Från Xero till hjälte
Molnbokföringsmästare byter

I december förra året meddelade Xero att det rullar ut en ny global säkerhetsstandard. Standarden trädde i kraft i januari i år, vilket ger partners en sexmånadersperiod för att slutföra en självutvärdering av säkerheten senast den 30 juni 2020. För att möta den nya standarden måste alla tredjepartsutvecklare med fler än 1,000 XNUMX tilläggsprogram anslutningar till Xeros utbud av API: er krävs för att visa överensstämmelse. Detta inkluderade alla globala apppartners med kopplingar till Xero API och WorkflowMax API, Xero Practice Manager, Xero Tax eller Xero HQ.

Grunden för Xero-metoden är en uppsättning standarder utvecklade av Australian Tax Office (ATO), fokuserade på digitala tjänsteleverantörer med tilläggsmarknadsplatser. Standarderna beskriver ett minimikrav för självutvärdering och överträdelse av rapportering/loggning för digitala tjänsteleverantörer som driver ett ekosystem. Den klara fördelen med att ha ett sådant system på plats är den ökade skydd av kunduppgifter samt förbättrad portabilitet av applikationer mellan olika leverantörer.

Avsnitt som beskrivs i ATO:erna Säkerhetsstandard för tilläggsmarknadsplatser reflekterar direkt Xero självbedömningsstruktur:

• Hantering av krypteringsnyckel
• Kryptering under transport
• Indirekt tillgång till data
• App-serverkonfiguration
• Sårbarhetshantering
• Kryptering i vila
• Revisionsloggning
• Datavärd
• Säkerhetsövervakning praxis och överträdelserapportering

Detta skapande av gemensamma säkerhetsstandarder för flera redovisnings-API-ekosystem är en världsnyhet. Flytten har till stor del välkomnats som en höjning av ribban för "bästa praxis". De där digitala tjänsteleverantörer som har bevisat överensstämmelse med Xeros kriterier bör försöka dra fördel av den konkurrensfördel som en så omfattande säkerhetsposition visar.

Vad kommer att hända efter den 30 juni?

När Xeros teknologipartner har höjt sina säkerhetspraxis, kommer nästa logiska steg att vara att utöka de nya standarderna till de professionella tjänsteleverantörer som interagerar med plattformen. Eftersom revisorer är toppen av den pyramiden, förväntar vi oss att se Institute of Chartered Accountants i England och Wales (ICAEW) och Association of Chartered Certified Accountants (ACCA) här i Storbritannien följa efter med några förbättrade standarder av sina egna. Nu är det dags för båda organisationer att ta en stark ställning när det gäller praxissäkerhet med avseende på datasäkerhet.

här på ISMS.online, att hjälpa organisationer att hålla sina data säkra är vårt uppdrag, och det är därför vi redan har byggt in ramverket för överensstämmelse med Xero-standarden i vår enkla men kraftfulla plattform. Om du har en självbedömning på sikt kan vi hjälpa dig att ta dig igenom den på ett strukturerat och effektivt sätt. Genom att hantera, samarbeta och demonstrera din efterlevnad allt från en punkt i molnet, blir den första – sedan årliga – självutvärderingsprocessen en enkel övning, snarare än en tidskrävande process.

Även om Xeros fokus ligger på teknikkontroller, tar det inte upp två av de mest betydande sårbarhetsområdena inom tjänsteleverans, fysisk infrastruktur och mänskliga resurser. Det är därför vi rekommenderar en kombination av minimiuppsättningen kontroller inom Xero-standarden och ett mer strategiskt tillvägagångssätt för informationssäkerhetshantering genom ISO 27001-certifiering. ISO 27001 tar hänsyn till människor och organisatoriska processer, såväl som fysisk säkerhet och certifiering, håller snabbt på att bli ett måste för att göra affärer.

Om du vill veta hur vi kan hjälpa dig att komma dit är vårt team redo att hjälpa till.