Sto valutando un fornitore di servizi che svolge le seguenti funzioni con email:
- Un utente accede a un'applicazione basata su Web tramite una connessione SSL.
- L'email è composta in un browser web tramite la connessione SSL.
- L'email viene quindi inviata all'account del destinatario con lo stesso fornitore di servizi.
- L'e-mail originale rimane sui sistemi del fornitore di servizi e un'email di notifica viene inviata a un indirizzo e-mail associato all'account del destinatario.
- Il destinatario accede al proprio account e legge l'e-mail tramite una connessione SSL nel proprio browser Web.
- Tutte le chiavi di crittografia (a senso unico) sono memorizzate sui sistemi del fornitore di servizi e sono protette con la password dell'utente.
Ho già trovato alcune domande da porre, ad esempio:
- Posso portare le mie chiavi.
- Come posso migrare lontano dal fornitore di servizi, se necessario?
- Sei compatibile con SOC-2, SOC-3 e / o SAS70? (Grazie a Jeff Ferland per quello!)
- In che modo vengono garantiti i fondamenti fisici del back-end del servizio?
- I sistemi di back-end sono a livello di disco o di volume protetti?
Quali sono alcune altre buone domande che dovrebbe essere richiesto a un fornitore di sicurezza di email come questo?