Артем Таганов, CEO HintEd, рассказал, как пройти согласование со службой IT-безопасности клиента

Этап разработки архитектуры продукта

Это может прозвучать супер банально, но если вы делаете enterprise-решение, надо изначально продумывать архитектуру своего продукта таким образом, чтобы у служб IT-безопасности было минимум вопросов. Все, кто начинает делать какие-либо сложные корпоративные системы, обычно об этом не задумываются, а надо. 

Во-первых, обратите пристальное внимание на сбор персональных данных. Мы изначально разрабатывали систему, которая никаких персональных данных не собирает, даже при интеграции в банковские или корпоративные системы. Да, это не всегда возможно. Но если можно без этого обойтись, то нужно это сделать: либо вообще не собирать никакие клиентские данные, либо уметь их быстро обезличивать, либо их хэшировать. 

Во-вторых, желательно разрабатывать архитектуру так, чтобы можно было систему разворачивать внутри компании. То есть в чистой корпоративной сети, без связи с Интернет. Это зачастую позволяет очень быстро снять вообще все вопросы службы безопасности, потому что, если вся система стоит внутри корпоративной сети, у них все вопросы отпадают. 

Я рекомендую продумать как минимум легкий пилот. Для того, чтобы быстро запуститься или провести пилотный запуск, надо придумать легкую часть системы, которую можно быстро поставить во внутренней корпоративной сети. Можно переносить не всю систему внутрь сети, а какой-то модуль хранения данных. К ним все корпорации относятся очень ревностно и берегут как могут. 

Этап подготовки к согласованию с собственной службой IT-безопасности

Надо заранее запастись всей возможной документацией, которую только можно написать про свою систему. Сотрудники IT-безопасности в корпорациях любят порядок, они по-хорошему дотошные. Мы в свое время собрали несколько технических описаний нашей системы. И сейчас у нас уже довольно большой подробный документ, где все вопросы, которые нам задают с точки зрения безопасности, раскрыты. Это схема архитектуры, какие данные, где забираются, какие протоколы безопасности используются, как осуществляется управление учетными записями и так далее.

В таком универсальном документе можно собрать полностью все технические детали системы. И вам не придется готовить каждый раз документацию под каждого заказчика. Это нам очень помогает быстро пройти все согласования, даже в крупных банках. 

Этап согласования с собственной службой IT-безопасности

В процессе квалификации клиента, когда вы еще только его изучаете, узнайте, как организовано согласование у конкретного заказчика. И обязательно выясните, как у заказчика устроено согласование именно с точки зрения IT-безопасности.

Зачастую сам заказчик не знает, как у них внутри все устроено  с точки зрения согласования. Когда мы проходили согласование со службой IT-безопасности, в 7 из 10 случаев для наших заказчиков это тоже было открытие, — что у них есть какие-то процессы по согласованию. Поэтому очень важно понять заранее, кто, какие документы и какие вещи согласовывает. 

Поговорите со службой IT-безопасности лично или по телефону. Обычно еще до того, как у нас согласованы первые договоры, даже до NDA, мы вначале пересылаем большой документ с техническим описанием системы, а потом обязательно созваниваемся с “безопасниками”, и просто с ними разговариваем, обсуждаем не на техническом, а на человеческом языке, как у нас работает система.

И конечно, когда вы уже пошли на согласование, максимально честно, подробно отвечайте на все вопросы.