Van Xero tot held
Voorvechters van cloud-accounting veranderen
In december vorig jaar kondigde Xero aan dat het een nieuwe global uitrolde beveiligingsstandaard. De standaard werd in januari van dit jaar van kracht, waardoor partners zes maanden de tijd kregen om vóór 30 juni 2020 een zelfevaluatie van de beveiliging af te ronden. Om aan de nieuwe standaard te voldoen, moeten externe add-on-ontwikkelaars met meer dan 1,000 verbindingen met de reeks API's van Xero waren vereist om naleving aan te tonen. Dit omvatte alle wereldwijde app-partners met verbindingen met de Xero API en WorkflowMax API, Xero Practice Manager, Xero Tax of Xero HQ.
De basis van de Xero-aanpak is een set standaarden ontwikkeld door de Australian Tax Office (ATO), gericht op digitaal dienstverleners met add-on-marktplaatsen. De standaarden schetsen een minimale zelfbeoordeling en inbreukrapportage/logboekvereisten voor digitale dienstverleners die een ecosysteem exploiteren. Het duidelijke voordeel van het hebben van een dergelijk systeem is dat het toeneemt bescherming van klantgegevens evenals verbeterde portabiliteit van applicaties tussen verschillende leveranciers.
Secties beschreven in de ATO's Beveiligingsstandaard voor Add-on Marketplaces weerspiegelt rechtstreeks de Xero-zelfbeoordelingsstructuur:
- Beheer van encryptiesleutels
- Versleuteling onderweg
- indirect toegang tot gegevens
- Configuratie van app-server
- Beheer van kwetsbaarheden
- Versleuteling in rust
- Auditregistratie
- Datahosting
- Beveiliging monitoring praktijken en het melden van inbreuken
Deze creatie van gemeenschappelijke beveiligingsstandaarden voor meerdere API-ecosystemen voor boekhouding is een wereldprimeur. Deze stap werd grotendeels verwelkomd als een verhoging van de 'best practice'-lat. Die digitaal dienstverleners die hebben bewezen dat ze voldoen aan de criteria van Xero, zouden moeten proberen te profiteren van het concurrentievoordeel dat zo'n alomvattende beveiligingspositie aantoont.
Wat komt er na 30 juni?
Zodra de technologiepartners van Xero hun beveiligingspraktijken hebben verbeterd, zal de volgende logische stap zijn om de nieuwe standaarden uit te breiden naar de professionele dienstverleners die interactie hebben met het platform. Omdat accountants bovenaan die piramide staan, zouden we verwachten dat het Institute of Chartered Accountants in Engeland en Wales (ICAEW) en de Association of Chartered Certified Accountants (ACCA) hier in Groot-Brittannië dit voorbeeld zullen volgen met enkele verbeterde normen van hunzelf. Nu is het tijd voor beide organisaties een sterk standpunt in te nemen over praktijkborging met betrekking tot gegevensbeveiliging.
Hier bij ISMS.onlineHet is onze missie om organisaties te helpen hun gegevens veilig te houden. Daarom hebben we het raamwerk voor naleving van de Xero-standaard al ingebouwd in ons eenvoudige, maar krachtige platform. Als u een zelfevaluatie in het vooruitzicht heeft, kunnen wij u helpen hier op een gestructureerde en efficiënte manier doorheen te komen. Door uw compliance allemaal vanuit één punt in de cloud te beheren, samen te werken en aan te tonen, wordt het eerste (en vervolgens jaarlijkse) zelfbeoordelingsproces een eenvoudige oefening in plaats van een tijdrovend proces.
Hoewel de focus van Xero ligt op technologische controles, worden twee van de belangrijkste kwetsbaarheden op het gebied van dienstverlening, fysieke infrastructuur en infrastructuur niet aangepakt. human resources. Daarom raden wij een combinatie aan van de minimale set controles binnen de Xero-standaard en een meer strategische benadering van informatiebeveiligingsbeheer via ISO 27001-certificering. ISO 27001 rekening houdt met mensen en organisatorische processen, maar ook met fysieke beveiliging en certificering, wordt in snel tempo een must-have voor het zakendoen.
Als u wilt weten hoe wij u daarbij kunnen helpen, staat ons team voor u klaar.
