Ghiduri
Un client îți cere un chestionar de securitate: ce e, de ce l-ai primit și cum răspunzi fără să ai un CISO
Un client important îți trimite un chestionar de securitate cu zeci de întrebări și intri în panică fiindcă nu ai om de securitate. Vezi ce înseamnă, de ce l-ai primit și cum răspunzi corect, fără să minți și fără să pierzi contractul.
Aștepți de luni de zile contractul cu un client mare. În sfârșit vine emailul, doar că în loc de semnătură are atașat un fișier Excel cu 120 de întrebări despre securitate și o propoziție care îți taie respirația: „te rugăm să completezi chestionarul de evaluare a furnizorilor până vineri". Întrebări despre criptare, MFA, planuri de continuitate, sub-procesatori, politici pe care nu ești sigur că le ai. Tu ești o firmă de zece oameni, nu ai CISO și nu știi nici măcar cu ce să începi.
Mai întâi, respiră. Nu e un examen pe care îl pici, e o etapă normală de business pe care, din păcate, nimeni nu te-a învățat. Hai să lămurim ce e documentul ăsta, de ce a ajuns la tine și, mai ales, cum răspunzi în așa fel încât să închei contractul, nu să îl pierzi.
Ce este, de fapt, un chestionar de securitate
Este setul structurat de întrebări prin care un client îți evaluează nivelul de securitate înainte să te accepte ca furnizor și, de multe ori, periodic după aceea. În spate stă un concept simplu: managementul riscului din lanțul de aprovizionare. Clientul tău a înțeles că, dacă tu ești spart și ai acces la datele sau la sistemele lui, problema devine a lui. Așa că verifică, înainte, cât de solid ești.
De ce a devenit asta atât de frecvent tocmai acum? Pentru că presiunea vine de sus și coboară pe lanț. Companiile mari sunt obligate să își verifice furnizorii prin standardul ISO 27001 (care are controale dedicate relației cu furnizorii), prin SOC 2 și prin articolul 28 din GDPR, atunci când tu le prelucrezi datele personale. Peste toate, directiva NIS2, transpusă în România prin OUG 155/2024 și Legea 124/2025, le cere companiilor mari din sectoarele vizate să își gestioneze riscul din lanțul de aprovizionare. În practică, ele fac asta exact prin astfel de chestionare, iar cerințele coboară până la firmele mici care le sunt furnizori. Pe scurt: nu ești suspectat de nimic, ești doar tratat ca un furnizor serios.
Schimbă unghiul din care privești
Cum arată: de la Excel improvizat la SIG și CAIQ
În majoritatea cazurilor primești un fișier Excel sau un formular pe care clientul l-a compus singur, cu întrebări de-a valma și formulări vagi gen „folosiți criptare?". Mai rar, dar tot mai des, primești un standard recunoscut. SIG, de la Shared Assessments, vine în versiuni de mărimi diferite: SIG Lite are în jur de 130 de întrebări pentru o evaluare de bază, iar SIG Core trece de 600 pentru furnizorii care țin date sensibile. CAIQ, de la Cloud Security Alliance, e specific furnizorilor de cloud și SaaS și are aproape 260 de întrebări de tip da/nu cu explicații.
Indiferent de format, în același plic vine de multe ori și un acord de prelucrare a datelor (DPA, cerut de articolul 28 din GDPR). Acela nu e un chestionar, ci un contract: îl citești cu atenție, fiindcă te obligă juridic. Nu te lăsa intimidat de nume pompoase. Sub orice acronim, întrebările se învârt în jurul acelorași teme, pe care le recunoști imediat.
Acces și identitate
Cine are acces la ce, dacă folosești autentificare în doi pași (și pentru cine, doar administratori sau toți), cum gestionezi plecările din firmă.
Criptare și date
Dacă datele sunt criptate în tranzit și în repaus, unde sunt stocate, dacă pleacă în afara UE și cine sunt sub-procesatorii tăi.
Copii de rezervă și continuitate
Cum faci backup, dacă l-ai testat vreodată la restaurare și ce plan ai dacă pică un sistem critic.
Vulnerabilități și testare
Cum faci update, dacă rulezi scanări de vulnerabilități sau teste de penetrare și cât de des.
Incidente și notificare
Dacă ai un plan de răspuns la incident și în cât timp anunți clientul atunci când apare o breșă.
Oameni și certificări
Dacă îți instruiești angajații pe securitate și ce certificări ai, de exemplu ISO 27001 sau SOC 2.
Cum răspunzi corect, fără să ai CISO
Acum, partea care contează cel mai mult. Primul principiu, nenegociabil: nu minți și nu umfla realitatea. Răspunsurile dintr-un chestionar devin adesea parte din contract, ca declarații pe proprie răspundere. Un „da" fals descoperit mai târziu îi poate da clientului dreptul să rezilieze și chiar să ceară daune, ca să nu mai vorbim de încrederea pierdută definitiv. În plus, un evaluator cu experiență miroase din prima răspunsurile copiate din broșuri.
Al doilea principiu: răspunsurile oneste „nu se aplică" și „planificat, cu un termen" sunt perfect legitime. Nimeni nu se așteaptă ca o firmă de zece oameni să aibă maturitatea unei bănci. Dacă ceva lipsește, spui ce ai în plan și până când. Transparența cu un plan bate orice listă de „da" nesusținute. Practic, procesul arată așa.
Numește un singur responsabil
O persoană care adună răspunsurile și ține legătura cu clientul. Chestionarul cu cinci stăpâni nu se termină niciodată.
Clarifică scopul cu clientul
Întreabă exact ce produs, ce serviciu și ce date intră în evaluare. Răspunzi pentru ce e relevant, nu pentru toată firma la întâmplare.
Răspunde doar la ce te întreabă
Fără eseuri de marketing. Un răspuns scurt, clar și sincer e mai valoros decât un paragraf care ocolește întrebarea.
Atașează dovezi
O politică, un rezumat al unei scanări sau al unui pentest recent, un certificat. Dovada cântărește mult mai mult decât o bifă.
Păstrează tot pentru data viitoare
Construiește o bibliotecă de răspunsuri reutilizabile, datate, cu documentele la zi. Al doilea chestionar trebuie să îți ia ore, nu săptămâni.
Dovezile fac cea mai mare diferență, iar pe unele le obții repede. Un raport de scanare sau un rezumat de test de penetrare răspunde dintr-o lovitură la mai multe întrebări despre vulnerabilități și testare. Dacă nu ai încă așa ceva, vezi diferența dintre cele două în ghidul despre scanare de vulnerabilități și pentest. Iar dacă chestionarul scoate la iveală lipsuri reale pe care nu știi să le acoperi, e exact momentul în care un partener extern (un vCISO sau un furnizor gestionat) îți aduce valoare, atât ca să răspunzi credibil, cât și ca să închizi găurile. Cum alegi un astfel de partener am detaliat în ghidul despre cum alegi o firmă de securitate.
Capcana care pare scurtătură
Greșelile care te costă efectiv contractul
Cel mai sigur mod de a pierde e să ignori documentul sau să răspunzi târziu. În achiziții, viteza contează, iar de multe ori câștigă furnizorul care a răspuns primul și complet. Pe lângă întârziere, mai sunt câteva greșeli care se văd imediat: pereți de „da" copiați mecanic, paragrafe de marketing în loc de răspunsuri concrete, afirmații fără nicio dovadă în spate și tratarea chestionarului ca pe un eveniment unic, în loc de a-ți construi materiale pe care le refolosești.
Tot aici intră și subevaluarea părții legale. Dacă prelucrezi date personale ale clientului, DPA-ul și articolul 28 din GDPR nu sunt opționale, indiferent cât de mică e firma ta. Iar dacă vrei să înțelegi cât de scumpă devine o lipsă de securitate atunci când lucrurile chiar o iau razna, merită citit și ce s-a întâmplat cu firme reale în articolul despre amenzile GDPR din 2025.
Transformă chestionarul într-un avantaj
Firmele care înțeleg jocul nu mai suferă la fiecare chestionar, ci îl folosesc. Își construiesc o dată un set curat de răspunsuri și de politici, le țin la zi și, tot mai des, publică o pagină de securitate sau un „trust center" pe site, unde clientul găsește singur o parte din răspunsuri. Asta taie din munca repetitivă și, în plus, transmite un mesaj clar: securitatea e ceva ce iei în serios, nu ceva ce improvizezi când te întreabă cineva.
Iar diferența comercială e reală. Pe măsură ce NIS2 se așază, tot mai mulți clienți din România și din UE vor cere astfel de dovezi. Furnizorul care răspunde repede, onest și cu documente câștigă contracte pe care altul le pierde pur și simplu fiindcă nu a știut ce să trimită.
Dacă ai un chestionar pe masă chiar acum
Întrebări frecvente
Ce este un chestionar de securitate și de ce l-am primit?
Este setul structurat de întrebări prin care un client sau un partener îți evaluează nivelul de securitate înainte să lucreze cu tine sau periodic, după. L-ai primit pentru că firma respectivă trebuie să își gestioneze riscul din lanțul de aprovizionare: o cer standardul ISO 27001 (controalele despre relația cu furnizorii), SOC 2, articolul 28 din GDPR atunci când prelucrezi datele lor personale și, mai ales, directiva NIS2, care le cere companiilor mari să își gestioneze riscul din lanțul de aprovizionare cu furnizorii și împinge cerințele în jos, către IMM-uri. Nu e o acuzație, e semnul că ești tratat ca furnizor serios.
Nu am CISO și nu știu să răspund la tot. Ce fac?
Nu intra în panică și nu minți. „Nu se aplică" și „planificat, cu un termen" sunt răspunsuri legitime și oneste; o maturitate parțială e normală. Numește un singur responsabil, clarifică cu clientul ce intră în scop (ce produs și ce date sunt evaluate), răspunde doar la ce te întreabă și atașează dovezi: politici, un rezumat al unei scanări sau al unui pentest recent, certificate. Dacă lipsurile sunt reale, un vCISO sau un MSSP te poate ajuta să răspunzi credibil și să le acoperi.
Pot să răspund „da" la tot ca să închei mai repede contractul?
Nu, și e riscant. Răspunsurile devin adesea parte din contract, ca declarații pe proprie răspundere: un „da" fals îi poate da clientului dreptul să rezilieze și să ceară daune, iar un evaluator cu experiență miroase imediat răspunsurile copiate din broșuri. Un set de răspunsuri oneste, cu dovezi și cu un termen de remediere acolo unde ai o lipsă, construiește mai multă încredere decât un perete de „da" nesusținute.
Cât de des voi primi astfel de chestionare și cum mă pregătesc?
Tot mai des, de la clienți din România și din UE, mai ales sub presiunea NIS2. Tratează primul chestionar ca pe o radiografie a propriilor lipsuri și construiește-ți o bibliotecă de răspunsuri reutilizabile (răspunsuri datate, plus politicile și certificatele la zi), ca următorul să îți ia ore, nu săptămâni. O pagină publică de tip „trust center" sau o pagină de securitate poate prelua multe dintre întrebările repetate. Pregătirea bună devine, în timp, un avantaj comercial.
Citește și
GhiduriScanare de vulnerabilități vs pentest: ce îți trebuie
Doi furnizori, două prețuri care diferă de zece ori, aceeași cerere. Diferența dintre o scanare automată și un pentest manual, ce raport să ceri și la ce buget să te aștepți.
GhiduriCum alegi o firmă de securitate cibernetică
Două oferte, una ieftină și una serioasă. Cum le compari corect: ce înseamnă „managed", ce SLA să ceri, ce certificări contează și ce red flags trădează un furnizor slab.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.