Also alle Zertifizierungen, die ich bisher so kenne, kosten richtig viel Geld und gelten dann immer nur für die jeweils zertifizierte Version. ...
Ich denke der erste Weg ist die Minimierung der Fremdkomponenten. Erst die mit Closed Source, dann die anderen.
Ja, so viel selber machen wie möglich, oder vor-zertifizierte Komponenten einkaufen, als "Nachweis" der Konformität in Teilen.
Closed Source ist sowieso schon immer ein No-Go für mich, schon aus anderen Gründen ...
Ansonsten der Ausbau von
Unit-Tests für Geschäftsregeln, was sehr viel Arbeit bedeutet.
Genau, es gibt ja entsprechende Normen und allgemein annerkannte Regeln der Technik.
Ich werde versuchen diese im ersten Schritt mal "anzupeilen", also eine Umsetzung "gemäß" oder "in Anlehnung an" diese oder jene Regel.
Aus jeden Fall alle möglichen QS-Standards für Software versuchen einzuhalten, um den Stand der Technik nachzuweisen.
Dann wird es womöglich später erforderlich sein, sicherheitskritische Teile extern zertifizieren zu lassen.
Oder eben sicherheitskritische Teile in externe Cloud-Systeme auszulagen, die zertifiziert sind,
aber das allein wird wohl nicht reichen, denn ich bin nach wie vor für das Ganze verantwortlich.
Womöglich kann man auch intern Teile herausziehen und separat zertifizieren, quasi als "Baumusterprüfung" von Komponenten,
das könnte die Kosten womögöich reduzieren.
Was ist denn z.B. mit der genutzten Datenbank? Die wird man in der Regel ja nicht selbst entwickeln, gehört aber sicher zum "Produkt". Für Fehler in dieser muss ich dann wohl auch gerade stehen?
Ja, aber das könnte gut eine vor-zertifizierte Komponente sein.
Wie bei anderen Produkten auch, ist es immer gut Zertifikate von Vorlieferanten zur Lieferantenbewertung einzuholen,
all das zielt darauf ab, das gesamte Risiko zu verringern und wird positiv gewertet.
Neues Update da -> neue Zertifizierung. Das kann also nicht die Lösung sein.
In der Theorie ist das wohl so gedacht, aber praktisch unmöglich.
Deshalb wird es wohl um die Nachweise gehen, dass Du einigermaßen alles richtig machst.
Ein Prüfinstitut kann ja gar nicht in die Details schauen, aber es wird sich durch eine Liste typischer Fehler durcharbeiten.
Also sowas wie Usereingaben ungeprüft zur
DB zu schicken sollte man dann tunlichst unterlassen.
Praktikabel wird das dann durch jährliche Audits nachgeprüft, die dann jedes Mal 1-3000 EUR Kosten, wenn es dem normalen Umfang entspricht.
Bei z.B. Messgeräterichtlinie wird dann auch nach ca. 5 Jahren wieder eine Nachprüfung erforderlich, die dann entsprechend teuer wird.
Es gibt aber immer verschiedene Möglichkeit die Konformität nachzuweisen, obiges gilt jetzt für die hochkritischen Bereiche,
also da wo notifizierte Stellen vorgeschrieben werden.
Es könnte gut sein, dass dies schon da vorgeschrieben wird, wo Du mit einfachen Kundendaten arbeitest z.B auch im WebShop,
das wäre dann schon der worst-case.
Unabhängig ob Dein Prüfistitut dir eine AAAAA Note gibt, wenn was passiert bist Du sowieso immer in Haftung und kannst das nicht auf das Prüfinstitut abwälzen.
Solche Fälle kenne ich auch, wo es quasi einen Prüfinstitut-War gibt, TÜV gegen SGS, beide mit verschiedenen Einschatzungen.
Das muss nicht immer gut für Dich ausgehen.