Fra Xero til helt
Cloud-regnskabsmestre skifter
I december sidste år annoncerede Xero, at det var ved at udrulle en ny global sikkerhedsstandard. Standarden trådte i kraft i januar i år, og giver partnere en seks måneders periode til at gennemføre en selvevaluering af sikkerheden inden den 30. juni 2020. For at opfylde den nye standard kan enhver tredjepartsudviklere med tilføjelsesprogrammer med mere end 1,000 forbindelser til Xeros række af API'er var påkrævet for at påvise overholdelse. Dette omfattede alle globale app-partnere med forbindelser til Xero API og WorkflowMax API, Xero Practice Manager, Xero Tax eller Xero HQ.
Grundlaget for Xero-tilgangen er et sæt standarder udviklet af Australian Tax Office (ATO), med fokus på digital tjenesteudbydere med tilføjede markedspladser. Standarderne skitserer et minimum af selvvurdering og brud på rapporterings-/logningskrav for digitale tjenesteudbydere, der driver et økosystem. Den klare fordel ved at have et sådant system på plads er den øgede beskyttelse af klientdata samt forbedret portabilitet af applikationer mellem forskellige leverandører.
Afsnit skitseret i ATO'erne Sikkerhedsstandard til tilføjelsesmarkedspladser afspejler direkte Xero-selvvurderingsstrukturen:
- Håndtering af krypteringsnøgler
- Kryptering i transit
- indirekte adgang til data
- App server konfiguration
- Sårbarhedshåndtering
- Kryptering i hvile
- Revisionslogning
- Datahosting
- Sikkerhedsovervågning praksis og overtrædelsesrapportering
Denne skabelse af fælles sikkerhedsstandarder på tværs af flere regnskabs-API-økosystemer er en verdensnyhed. Flytningen er stort set blevet hilst velkommen som en hævning af 'best practice'-baren. De digitale service-udøvere som har bevist overholdelse af Xeros kriterier, bør søge at udnytte den konkurrencefordel, som en så omfattende sikkerhedsposition viser.
Hvad skal der ske efter den 30. juni?
Når Xeros teknologipartnere har ophøjet deres sikkerhedspraksis, vil det næste logiske skridt være at udvide de nye standarder til de professionelle tjenesteudbydere, der interagerer med platformen. Da revisorer er toppen af den pyramide, ville vi forvente at se Institute of Chartered Accountants i England og Wales (ICAEW) og Association of Chartered Certified Accountants (ACCA) her i Storbritannien følge trop med nogle forbedrede standarder af deres egne. Nu er det tid til begge dele organisationer til at tage en stærk holdning til praksissikring med hensyn til datasikkerhed.
Her på ISMS.online, at hjælpe organisationer med at holde deres data sikre er vores mission, og derfor har vi allerede bygget rammerne for overholdelse af Xero-standarden ind i vores enkle, men kraftfulde platform. Hvis du har en selvevaluering på trapperne, kan vi hjælpe dig med at komme igennem den på en struktureret og effektiv måde. Ved at administrere, samarbejde og demonstrere din compliance fra ét punkt i skyen bliver den første – derefter årlige – selvevalueringsproces en simpel øvelse snarere end en tidskrævende proces.
Mens Xeros fokus er på teknologikontrol, adresserer det ikke to af de mest væsentlige sårbarhedsområder inden for levering af tjenester, fysisk infrastruktur og menneskelige ressourcer. Derfor vil vi anbefale en kombination af minimumssættet af kontroller inden for Xero-standarden og en mere strategisk tilgang til informationssikkerhedsstyring gennem ISO 27001 certificering. ISO 27001 overvejer mennesker og organisatoriske processer, samt fysisk sikkerhed og certificering, er hurtigt ved at blive et must-have for at drive forretning.
Hvis du gerne vil vide, hvordan vi kan hjælpe dig med at komme dertil, er vores team klar til at hjælpe.
