Quali domande dovrei chiedere a un fornitore che fornisce email crittografate in hosting?

4

Sto valutando un fornitore di servizi che svolge le seguenti funzioni con email:

  • Un utente accede a un'applicazione basata su Web tramite una connessione SSL.
  • L'email è composta in un browser web tramite la connessione SSL.
  • L'email viene quindi inviata all'account del destinatario con lo stesso fornitore di servizi.
  • L'e-mail originale rimane sui sistemi del fornitore di servizi e un'email di notifica viene inviata a un indirizzo e-mail associato all'account del destinatario.
  • Il destinatario accede al proprio account e legge l'e-mail tramite una connessione SSL nel proprio browser Web.
  • Tutte le chiavi di crittografia (a senso unico) sono memorizzate sui sistemi del fornitore di servizi e sono protette con la password dell'utente.

Ho già trovato alcune domande da porre, ad esempio:

  • Posso portare le mie chiavi.
  • Come posso migrare lontano dal fornitore di servizi, se necessario?
  • Sei compatibile con SOC-2, SOC-3 e / o SAS70? (Grazie a Jeff Ferland per quello!)
  • In che modo vengono garantiti i fondamenti fisici del back-end del servizio?
  • I sistemi di back-end sono a livello di disco o di volume protetti?

Quali sono alcune altre buone domande che dovrebbe essere richiesto a un fornitore di sicurezza di email come questo?

    
posta Wesley 28.09.2011 - 21:11
fonte

2 risposte

2

Hai già alcune grandi domande. Senza conoscere la tua profondità di conoscenza sull'argomento, è piuttosto difficile dire quali domande potrebbero essere utili per te. Invece, preferirei semplicemente assicurarmi che il tuo processo di valutazione sia sufficiente per trovare la soluzione che funzionerà per la tua organizzazione.

Vorrei iniziare e lasciare che ti diano la loro presentazione di sei diapositive e poi fargli sapere che, quel materiale di marketing è per i professionisti di livello VP e CIO e siamo qui per parlare tecnicamente di come la tua soluzione si adatta al mio ambiente. Inizia facendo in modo che abbiano una solida conoscenza della teoria di base del prodotto. Se possono almeno dirti quale sia il rischio nel trasferire la segretezza dei dati da sé alla chiave. Sai solo una cartina di tornasole che può dimostrarti che conoscono il prodotto in qualche modo, non solo leggendo da una sceneggiatura.

Vorrei iniziare con come proteggono i tuoi dati in transito dopo che hanno lasciato il tuo confine, come sono protetti sui server e come sono protetti e quali sono le tue opzioni una volta che i dati sono in uso. Questo dovrebbe essere molto interattivo con te mentre esplori un sacco di strade mentre le domande ti vengono rivolte.

Assicurati anche di fare domande per le quali già conosci la risposta, vuoi convalidare le loro affermazioni ... è anche un bene spezzare un po 'le costolette. Anche se è così brutto che non vuoi fare affari, saranno almeno un po 'più preparati per il loro prossimo impegno. Inoltre forse rafforzerà la tua mano che vai a negoziare i termini. Infine, cercheranno ancora sicuramente di dribblarti marketing, assicurati di fare qualifiche generali. Nulla è più come vedere quei fari che si avvicinano quando chiedi loro di spiegare perché "È generalmente noto che il nostro prodotto è il migliore ..." Un paio di quelli e FARANNO che il marketing parli, "puoi portarlo al banca '.

Forse qualcuno lo fa in modo diverso, sarebbe bello vedere quella prospettiva, se è meglio mi piacerebbe incorporarla da sola.

    
risposta data 28.09.2011 - 21:44
fonte
3

Sembra un sistema di comunicazione chiuso in cui il contenuto non è effettivamente "inviato" dal loro sistema. Tu dici che i dati vengono crittografati una volta inseriti e che:

"All encryption keys (one-way) are stored on the service provider's systems and are secured with the users' password."

Non sono sicuro di cosa intendi per "a senso unico" qui, ma presumo che ti riferisci alla crittografia simmetrica che utilizza una singola chiave come AES. Le mie domande qui sarebbero l'algoritmo di crittografia che stanno usando e come vengono generate e memorizzate le chiavi. Stanno usando la derivazione della chiave basata su password? In tal caso, le chiavi generate vengono archiviate ovunque? In caso contrario, come stanno memorizzando le chiavi che stanno generando? Per quanto riguarda l'account stesso, quali processi sono in atto per ripristinare una password persa e quanto sarebbe difficile impersonare un utente sul proprio sistema?

Per quanto riguarda uno scenario, se un FBI dovesse entrare nel data center e stendere un rack di server e il loro fosse tra quelli presi (qualunque sia il motivo), sarebbero in grado di accedere ai dati memorizzati con dati fisici accesso all'apparecchiatura? Quali procedure sono in atto per proteggere i dati in caso di violazione della sicurezza fisica?

Inoltre, come stanno facendo il backup dei loro dati? Sul posto? Fuori sede? Il backup è crittografato e chi può accedervi?

    
risposta data 28.09.2011 - 21:55
fonte

Leggi altre domande sui tag