Quali domande dovrei chiedere a un potenziale venditore che gestisce la fatturazione e la realizzazione?

1

La mia azienda sta cercando di integrare un fornitore di terze parti nel nostro processo di fatturazione e adempimento. Il fornitore si assumerà la responsabilità per l'elaborazione degli ordini nel nostro conto commerciale e la gestione delle informazioni sensibili dei clienti (compresi i dati dei titolari di carta).

Quando intervistano potenziali fornitori di terze parti, voglio porre loro delle domande per valutare quanto sia efficace la loro sicurezza. Ovviamente potrei chiedergli se sono pci-compliant e lasciarlo a questo; ma ho incontrato diversi fornitori che si sono dichiarati pci-compliant, solo per scoprire che la loro sicurezza era atroce (vedi: dati dei titolari di carta in chiaro).

Al contrario, vorrei alcune idee per domande difficili a cui solo una vera azienda orientata alla sicurezza potrebbe rispondere adeguatamente. Ad esempio: disponi di un piano di ripristino di emergenza o possiamo vedere i risultati dell'ultima scansione di vulnerabilità del sistema? Fondamentalmente qualcosa in cui possono darmi una risposta tangibile che mostra la conformità.

Quali domande consiglieresti per valutare le pratiche di sicurezza di un fornitore di terze parti che gestirà informazioni riservate sui clienti?

    
posta Moses 28.06.2012 - 22:51
fonte

1 risposta

1

Innanzitutto, se affermano di essere conformi al PCI, richiedere l'ultima versione di un questionario compilato e i risultati della scansione dei quarti in corso. Sulla base del modo in cui hanno compilato il questionario, dovresti avere una certa comprensione di quanto siano competitivi.

Premere anche se hanno audit esterni? Impiegano aziende esterne per fare pentest manuali e, ancora più importante, ingegneria sociale?

Se gestiscono la fatturazione e l'elaborazione, gestiranno i dati dei clienti. Chiedi loro come lo crittografano. Quali sono le loro politiche di controllo degli accessi? Usano l'autenticazione a due fattori?

Verifica se esiste un regime di allenamento per il personale addetto al trattamento degli ordini in sicurezza. In genere le persone che eseguono la fatturazione e l'elaborazione degli ordini non sono tecniche o esperte in materia di sicurezza. Si tratta di utenti con un livello medio / basso di salario, con scarsa attenzione ai dati delle aziende. Se ho chiamato e richiesto di essere cliente X, quanto sarebbe difficile per me ottenere le loro informazioni?

Chiedete anche al loro senior management. Chi è il loro CTO, CSO ecc.? Ricerca i loro sfondi. Scopri se hanno una storia in aziende orientate alla sicurezza o se saltano intorno a una tonnellata e sembrano mercenari di notte in volo.

In definitiva vedi quanto sono disposti e comodi a condividere tutto questo. SOme potrebbe nascondersi dietro una scusa "Non possiamo mostrarti perché violerebbe la sicurezza" ma se sono seriamente intenzionati a gestire i tuoi dati hai il diritto di ispezionare la loro sicurezza in superficie.

Un vero e proprio sveltina è vedere se chiedono una NDA o un MNDA se si limitano a consegnare le informazioni, è probabile che non saranno così diligenti. Se chiedono una NDA prima di consegnare tutto questo almeno hanno un processo legale documentato dietro le quinte che è sempre un buon inizio.

    
risposta data 29.06.2012 - 19:54
fonte

Leggi altre domande sui tag