Audituri Interne și Externe

Audit intern

SSM.ro menține un proces intern de revizuire a securității și conformității, parte a Sistemului de Management al Securității Informației (SMSI) certificat ISO/IEC 27001:

• Audit intern ISO/IEC 27001 al SMSI — efectuat periodic, cu analiză de management
• Revizuirea documentelor de bază (registrul riscurilor, SOP operațional, memo controale compensatorii WAF) — anual sau la schimbări arhitecturale semnificative
• Revizuirea riscurilor și a controalelor reziduale (vezi Registrul Riscurilor)
• Analiza post-incident pentru evenimentele cu impact în producție
• Verificarea capacității de restaurare prin restaurări ad-hoc (backup/DR)

Audit extern / testare independentă

• Audit de certificare ISO/IEC 27001 — efectuat de un organism de certificare independent, cu audituri de supraveghere periodice
• Penetration testing — vezi Penetration Testing
• Audituri de securitate ale clienților — SSM.ro pune la dispoziție documentația de conformitate sub NDA
• Certificările furnizorilor (AWS, Heroku) acoperă straturile de infrastructură

Dovezi furnizate clienților

Pentru procesele de audit extern sau de securitate, clienții pot primi setul de documente de conformitate (DFD, diagrama de arhitectură, registrul riscurilor, catalogul rolurilor, memo WAF, SOP), clasificate Confidențial și furnizate sub NDA — vezi Rapoarte Disponibile Clienților.

Responsabilitatea clientului

Dovezile privind activitatea utilizatorilor din tenantul clientului (autentificări, ștergeri, modificări de roluri) se extrag de client din propriul tenant (log-uri activitate 3 luni, descărcabile). SSM.ro nu furnizează aceste rapoarte în locul clientului — vezi Review Periodic Accese.