Para produtos conectados, o que geralmente significa responder duas perguntas mais cedo. A EN 18031 aplica-se ao produto, e quais partes do ecossistema do produto precisam ser incluídas na avaliação?
Inicie sua Avaliação Gratuita da EN 18031
Esta página é para equipes que já sabem EN 18031 podem ser relevantes e precisam de uma maneira prática para determinar o escopo.
Uma boa avaliação de âmbito ajuda a responder:
se o produto estiver de acordo com os requisitos de cibersegurança
que EN 18031 parte provavelmente mais importa
quais componentes do produto precisam de revisão
com quais equipes precisam ser envolvidas
o que deve passar para o mapeamento de requisitos a seguir
O que deveria ser incluído no escopo
Em muitos casos, o escopo vai além do produto físico. Sua avaliação pode precisar incluir:
o dispositivo com rádio
aplicativos complementares ou web
serviços de backend ou nuvem
criação de conta e fluxos de login
funções de administração remota
caminhos de atualização de software e firmware
armazenamento ou transferência de dados pessoais, de tráfego ou de localização
processos de suporte do produto vinculados ao manuseio de segurança ou vulnerabilidade
Uma revisão mais estreita muitas vezes parece mais simples no início, mas cria lacunas mais tarde, quando as equipes começam a documentar controlos e responsabilidades.
Precisa de mais informações?
Ao entrar em contato com a QIMA, você concorda com a nossa política de privacidade e com os nossos termos e condições.
Como avaliar dispositivo, App e Backend Juntos
Um exercício de âmbito de aplicação útil deveria seguir o modo como o produto funciona.
Comece com a jornada do produto:
como o produto se conecta
como os usuários acessam isso
de que sistemas depende
onde os dados se movem
como as atualizações são entregues
o que acontece quando é encontrado um problema de segurança
Isso torna mais fácil identificar se o produto depende de componentes fora do hardware em si.
Sinais que Escopo Pode Ser Corretor Do que Esperava
O escopo geralmente é mais amplo quando o produto:
depende de um app companheiro para configuração ou controle
envia dados para uma plataforma em nuvem
processos de dados pessoais, de tráfego ou de localização
suporta acesso remoto ou configuração remota
recebe atualizações de firmware ou software
inclui contas de usuário, permissões ou cargos de administrador
lida com pagamentos, transferências ou valor armazenado
Se vários destes são verdadeiros, a revisão geralmente deve cobrir mais do que o dispositivo sozinho.
Erros de escopo comuns
As equipes frequentemente enfrentam problemas quando eles são:
tratar hardware como o limite completo do produto
ignorar dependências de backend
deixar o aplicativo fora de análise
não define propriedade entre engenharia, conformidade e segurança
iniciar a recolha de provas antes do escopo ser acordado
Misturar recursos do produto com escopo regulatório sem documentar o link
Estas questões geralmente causam atrasos mais tarde, especialmente quando começa o mapeamento de requisitos.
Como é a boa aparência para a Saída Scoping
Uma avaliação do âmbito de aplicação útil deve produzir algo de concreto, e no mínimo as equipas devem partir:
uma declaração clara sobre se EN 18031 é relevante
a peça padrão provável ou partes envolvidas
um limite documentado através do dispositivo, aplicativo e backend
a lista de sistemas, funções e fluxos incluídos em revisão
identificados donos para o próximo passo
a limpeza de entrega nos requisitos de mapeamento e preparação de evidência
Como o Cyberexpert ajuda
O Cyberexpert ajuda as equipes a estruturar este trabalho desde o início.
Com o Cyberexpert, as equipes podem:
avaliar se EN 18031 é relevante para o produto
define o escopo através do dispositivo, aplicativo e backend
identificar os sistemas e fluxos que precisam de revisão
organizar o próximo passo para o mapeamento de requisitos
criar um ponto de partida mais claro para o trabalho de documentação e prova