Politika dwar l-Iżvilupp Esternalizzat - SME

Din il-Politika dwar l-Iżvilupp Esternalizzat (numru tad-dokument P28S) hija mfassla speċifikament għal intrapriżi żgħar u ta’ daqs medju (SMEs), u tipprovdi qafas pragmatiku għal żvilupp ta’ softwer esternalizzat sigur, konformi, u ġestit tajjeb. Hija allinjata bis-sħiħ ma’ ISO/IEC 27001:2022, u tiżgura li anke organizzazzjonijiet li m’għandhomx timijiet dedikati tal-IT jew tas-sigurtà jistgħu jaderixxu mal-aħjar prattiki tal-industrija u mal-obbligi legali meta jinvolvu żviluppaturi esterni, freelancers, jew fornituri ta’ servizzi ta’ partijiet terzi. Il-politika tistabbilixxi rwoli u responsabbiltajiet ċari għall-Maniġer Ġenerali (GM), li jaġixxi bħala l-awtorità prinċipali għall-approvazzjoni tal-fornituri, sorveljanza kuntrattwali, u azzjonijiet ta’ rimedju, u għas-Sidien tal-Proċessi, li huma responsabbli għall-koordinazzjoni ta’ kuljum, validazzjoni funzjonali, u handover sigur. Billi tenfasizza l-ħtieġa għal ftehimiet kuntrattwali infurzabbli, ftehim ta’ nuqqas ta’ żvelar, u ftehimiet dokumentati dwar is-sid tal-assi u trasferiment tad-drittijiet, il-politika tipproteġi lill-organizzazzjonijiet minn riskji bħal kodiċi mhux sigur, użu mill-ġdid mhux xieraq ta’ assi proprjetarji, espożizzjoni tad-data, lock-in tal-fornitur, u nuqqas ta’ konformità mar-regolamenti (inkluż GDPR, NIS2, u DORA). Kontrolli ta’ governanza obbligatorji huma stabbiliti, u jeħtieġu li l-kuntratti jispeċifikaw obbligi ta’ żvilupp sigur, valutazzjoni tar-riskju regolari mill-GM, u ġestjoni xierqa tal-kredenzjali kollha tas-sistema u tal-aċċess. L-aspettattivi tas-sigurtà jkopru l-obbligi tal-iżviluppatur li juża tekniki ta’ kodifikazzjoni sigura (b’referenza għal standards bħal OWASP Top 10), dokumentazzjoni bir-reqqa, għażla prudenti ta’ libreriji, u projbizzjoni stretta fuq iż-żamma ta’ aċċess jew dejta korporattiva wara l-għeluq tal-proġett. Proċeduri komprensivi jiżguraw li kull proġett esternalizzat ikun preċedut minn diliġenza dovuta tal-fornitur, ivvalidat permezz ta’ ittestjar funzjonali u tas-sigurtà (preferibbilment minn xi ħadd ieħor minbarra l-iżviluppatur), u jintemm biss wara t-twassil sħiħ tal-kodiċi tas-sors, istruzzjonijiet tal-bini, u trasferiment tal-kredenzjali kollha. Il-politika hija speċifika għall-SME, u tuża rwoli simplifikati bħall-Maniġer Ġenerali u s-Sidien tal-Proċessi minflok pożizzjonijiet tradizzjonali bħal Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) jew ċentru tal-operazzjonijiet tas-sigurtà (SOC). Dan ifisser li tipprovdi istruzzjonijiet pass pass li jistgħu jitwettqu minn maniġers tan-negozju jew tal-operazzjonijiet, u tinkludi proċeduri ta’ valutazzjoni tar-riskju, traċċar tal-eċċezzjonijiet, u gwida ta’ rispons għall-inċidenti adattata għal organizzazzjonijiet li m’għandhomx riżorsi tekniċi estensivi. Kull impenn irid ikun appoġġat minn ftehimiet dokumentati, u traċċi awditabbli huma obbligatorji, biex jappoġġaw obbligi ta’ rappurtar regolatorju u rieżamijiet interni. Rieżamijiet annwali u interim tal-politika jridu jitwettqu mill-GM, biex jiżguraw li l-kontrolli jibqgħu aġġornati mar-riskji li jaffettwaw l-SMEs u mal-istandards ta’ konformità li qed jevolvu. Il-Politika dwar l-Iżvilupp Esternalizzat hija parti minn sett ta’ kontrolli orjentati lejn l-SME, maħsuba biex jiġu implimentati flimkien ma’ politiki relatati, bħal rwoli ta’ governanza, kontroll tal-aċċess, taħriġ ta’ sensibilizzazzjoni dwar is-sigurtà, protezzjoni tad-data, żvilupp sigur, u rispons għall-inċidenti, biex jiġu ġestiti b’mod olistiku r-riskji tal-iżvilupp esternalizzat, f’konformità ma’ standards bħal ISO/IEC 27001:2022, ISO 27002:2022, GDPR, u oħrajn.