Felhőhasználati szabályzat – KKV

A P27S Felhőhasználati szabályzat átfogó, ugyanakkor gyakorlatias követelményeket határoz meg a felhőszolgáltatások kezelésére KKV-környezetekben. Felismerve, hogy a KKV-k gyakran nem rendelkeznek teljes körű IT-részleggel, a szabályzat egyértelmű és egyszerűsített felelősségi körökkel készült: a kulcsdöntéseket az ügyvezető (GM), valamint az IT-szolgáltató vagy műszaki támogatás kapja, nem pedig specializált CISO- vagy SOC-szerepkörök, miközben továbbra is erős összhangot biztosít az ISO/IEC 27001:2022, a GDPR, a NIS2 és a DORA keretrendszereivel. A szabályzat minden felhőalapú szolgáltatásra vonatkozik, legyen az ingyenes vagy fizetős, és lefedi a tipikus üzleti alkalmazásokat, például dokumentummegosztó platformokat, SaaS-eszközöket, videókonferenciát, e-mailt, biztonsági mentést és ügyfélplatformokat. Bárki, aki vállalati adatokhoz fér hozzá – akár mobilon vagy táblagépen keresztül is –, köteles betartani ezeket a szabályokat. A szabályzat előírja valamennyi felhőszolgáltatás előzetes jóváhagyását, és kifejezetten tiltja a személyes felhőfiókok üzleti adatokhoz történő használatát, csökkentve a shadow IT kockázatait. Egy egyértelműen meghatározott Felhőszolgáltatás-nyilvántartást kell vezetni minden engedélyezett platform nyomon követésére: a felelős személy, az adatok tárolási helye, a hozzáférési jogosultságok és a támogatási információk rögzítésével. A biztonsági kontrollok kötelezőek: valamennyi felhőplatformnak ki kell kényszerítenie a többtényezős hitelesítés (MFA) használatát felhasználók és adminisztrátorok számára; erős, komplex jelszavakat kell alkalmaznia; tevékenységnaplózást és hozzáférés-korlátozást kell biztosítania (például ahol elérhető, IP-engedélyezési listák használatával); valamint rendszeres felülvizsgálatokat kell végeznie a megosztott tartalmakon. Bármely szabálysértés – például elfelejtett felhasználói letiltás vagy érzékeny adatok nyilvános megosztása – biztonsági incidensnek minősül, és helyesbítő intézkedések hatálya alá tartozik, beleértve a hozzáférés visszavonását, célzott továbbképzést vagy szükség esetén jogi lépéseket. A szabályzat szigorú követelményeket állapít meg az adatmegőrzésre és a biztonsági mentésre: az üzletmenet-kritikus vagy szabályozott adatokat rendszeresen menteni kell, és a megőrzést a jogi kötelezettségek vagy ügyfélkövetelmények teljesítéséhez kell igazítani. A beszállítói függőség elkerülése érdekében igazolni kell a felhőplatformokról történő exportálhatóságot. A fizetős felhőszolgáltatások szerződéseinek tartalmazniuk kell az adatvédelemre vonatkozó követelményeket, az incidensbejelentési határidőket, az adattulajdonlást és a meghatározott eszkalációt. A megfelelést legalább évente kétszer ellenőrzik a hozzáférések, a jelszavak és az adminisztrátori státusz tekintetében; a szabályzati kivételeket pedig formálisan indokolni és az ügyvezető (GM) által jóváhagyni szükséges, kompenzáló kontrollokkal és a megoldás határidejével. A felülvizsgálat és a folyamatos fejlesztés beépített: a szabályzat éves felülvizsgálatot ír elő, valamint frissítést incidensek után, új platformok bevezetésekor vagy szabályozási változások esetén. Az archivált feljegyzéseket az adatmegőrzési szabályzat szerint biztonságosan kell megőrizni, biztosítva, hogy minden felhőtevékenység auditálható legyen belső és külső (beleértve az ISO-t is) követelmények szerint. Célzott hatókörével a szabályzat a KKV-k számára robusztus, mégis kezelhető keretet ad a felhőhasználat irányításához, támogatva a jogszabályi megfelelést, a kockázatkezelést és az üzletmenet-folytonosságot.