Quali documenti di sicurezza solitamente i fornitori condividono con i loro clienti?

4

Nel contesto dell'hosting gestito / cloud, quale livello di informazione generalmente un fornitore condivide (sotto la NDA) con i suoi clienti per l'audit di conformità / scopi di valutazione dei rischi di terze parti? Quali sono i documenti generalmente resi disponibili e quali sono alcuni che non lo sono?

Ad esempio, un fornitore condivide politiche e standard, ma non le procedure; una politica di sicurezza delle informazioni ma non un piano di continuità operativa; Classificazione per uso interno, ma non aziendale riservata? Un fornitore rinuncia a condividere informazioni dettagliate a favore del proprio audit di terze parti?

Gli audit sono generalmente correlati a regolamenti / standard / framework comuni come HIPAA, PCI-DSS, SOX, ISO 27001, ecc.

    
posta phiz 24.04.2015 - 21:34
fonte

1 risposta

5

Questa domanda si basa sull'opinione pubblica, ma cercherò di fornire alcuni suggerimenti basati sulla mia esperienza (che è distorta nei confronti del PCI ma tocca gli altri). Non è specifico per il cloud ma credo che ci sia un'equivalenza.

Alcune regole pratiche:

  • Gli attestati / i riepiloghi sono distribuiti, i rapporti generalmente non sono
  • Le politiche sono più probabilmente condivise di quelle distribuite
  • I controlli formali sono spesso soggetti a limiti di distribuzione

Altre informazioni su questi ROT:

Gli audit e le scansioni si presentano spesso su più livelli. Ad esempio, un audit PCI comporterà un ROC (Report On Compliance) e un AOC (Attestation Of Compliance). Il primo è un rapporto completo e il secondo è un breve riassunto. Il COA è per la distribuzione e il ROC no. E - nel caso del PCI - il COA non è considerato pienamente autorevole; la scheda dei fornitori di servizi sul sito dei marchi delle carte è ciò a cui i clienti sono indirizzati per una fonte autorevole (la conformità può essere invalidata all'interno di una riporta un intervallo di tempo valido ...)

Lo stesso vale generalmente per le scansioni. Risultati di scansione dettagliati, che elencano elementi non desiderabili anche se non completamente non conformi, non vengono quasi mai distribuiti. I rapporti di livello superiore che elencano se gli elementi esistessero o meno sono praticamente in tutto.

Quando si tratta di politiche, queste sono generalmente distribuite solo a malincuore. Una pratica comune è quella di consentire ai partner di venire sul posto per visualizzare le politiche piuttosto che distribuirle. Ciò garantisce la sicurezza delle politiche dalla distribuzione e scoraggia in modo discreto i partner dall'avere il problema di venire a prenderli.

Questo è molto unilaterale, comunque. Ho lavorato per una grande banca che ha richiesto copie delle politiche di sicurezza per la società che voleva integrare qualsiasi cosa con loro. Sono in grado di richiederlo, e lo fanno. Il cliente di una banca o di un fornitore di servizi, tuttavia, non ha la leva necessaria per richiedere lo stesso. Inoltre, quello che ho detto sul ROC e AOC - il ROC deve essere consegnato la scala per le marche di carte; ecco a cosa serve Ma non è mai condiviso al ribasso.

Infine, tieni presente che potrebbero essere applicati dei limiti. Se hai un contratto, allora potrebbe includere obblighi contrattuali. I clienti di grandi dimensioni spesso richiedono clausole che consentano loro di accedere a cose o persino di controllare periodicamente il fornitore di servizi. Alcuni revisori pongono limiti di distribuzione sulla loro relazione di audit completa e, nel caso di report SOCA SSAE16 , la distribuzione non è consentita per impostazione predefinita.

    
risposta data 25.04.2015 - 01:28
fonte