. В последнее время уже несколько корпоративных клиентов стали присылать длиннющие опросники, связанные с безопасностью, с вопросами вроде "каким образом идентифицируются те, кто ходят в ваш офис", "есть ли у вас формальный документ, регламентирующий SDLC", "как часто вы проводите аудит исходного кода/серверов/офисных машин сотрудников на предмет уязвимостей".
Первому клиенту с таким опросником (там реально было более сотни вопросов!) я сперва говорил, что пока не знаю, когда заполню. Потом сказал, что времени нет, что я потрачу несколько дней, отвечая на всё, и что это не кажется разумным. Они даже спросили меня, что если они купят что-нибудь подороже, заполню ли я в таком случае опросник. Я ответил, но, видно, цена их не устроила, и больше я от них ничего не слышал.
Потом появился еще один клиент. В этот раз я все заполнил. Но, честно говоря, отвечая десять раз "No" на вопросы о формальных документах в компании, как-то начинаешь думать, что может быть и стоило завести эти документы хотя бы формально
И вот недавно еще один клиент спросил есть ли у нас сертификат soc 2 type 2. Я сказал, что его нет, и тоже получил в ответ опросник из 60 вопросов о безопасности и всем таком прочем.
Вижу, что коллеги любят "посылать" таких клиентов, но создается впечатление, что эти опросники становятся обычным делом, да и терять клиентов не хочется, лицензии довольно дорогие.
Для GDPR, помнится, появились генераторы, может и для этого случая что-то уже есть? Получал ли кто-то этот сертификат soc 2 type 2?
MyCommerce присылал такой документ
Сначала я поставил все галочки, чтобы от меня отстали
Но они сказали, что это не прокатит
Тогда я прислал им документ где все галочки сняты
И только 2-3 отмечены. Ну backup я делаю регулярно
Съели нормально
Не знаю зачем это было нужно
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Для GDPR, помнится, появились генераторы, может и для этого случая что-то уже есть? Получал ли кто-то этот сертификат soc 2 type 2?
Да буквально недавно приходили запросы про soc 2.
Я пытался понять что это за soc. Какая-то американская писанина. Вроде как Soc2 проводят специальные аудиторы или сертифицированные бухгалтеры.
Причем встречаются фразы, что soc2 report нельзя раздавать всяким посторонним.
Отвечал клиентам, что у нас скачиваемый продукт, не серверный/облачный. Не знаю прокатит ли.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Для GDPR, помнится, появились генераторы, может и для этого случая что-то уже есть? Получал ли кто-то этот сертификат soc 2 type 2?
Конкретно про soc не скажу, не помню, но последнее время на все подобные вопросы у меня генерит ответы гпт-4
Я его наставляю как-то так — "ты работник в софтверной компании которая очень печется о безопасности, что бы ты ответил этому кретину на это: <копипаста>"
И оно такое прекрасное выдает, почти не правлю, ну может чуть чтобы совсем gptish не было, все довольны.
Здравствуйте, Unhandled_Exception, Вы писали: M_F>>Отвечал клиентам, что у нас скачиваемый продукт, не серверный/облачный. Не знаю прокатит ли.
U_E>А личного кабинета для пользователей у вас нет?
нет
ШЖ>Конкретно про soc не скажу, не помню, но последнее время на все подобные вопросы у меня генерит ответы гпт-4
Интересно, а кто у них генерит вопросы?