La mia azienda sta cercando di integrare un fornitore di terze parti nel nostro processo di fatturazione e adempimento. Il fornitore si assumerà la responsabilità per l'elaborazione degli ordini nel nostro conto commerciale e la gestione delle informazioni sensibili dei clienti (compresi i dati dei titolari di carta).
Quando intervistano potenziali fornitori di terze parti, voglio porre loro delle domande per valutare quanto sia efficace la loro sicurezza. Ovviamente potrei chiedergli se sono pci-compliant e lasciarlo a questo; ma ho incontrato diversi fornitori che si sono dichiarati pci-compliant, solo per scoprire che la loro sicurezza era atroce (vedi: dati dei titolari di carta in chiaro).
Al contrario, vorrei alcune idee per domande difficili a cui solo una vera azienda orientata alla sicurezza potrebbe rispondere adeguatamente. Ad esempio: disponi di un piano di ripristino di emergenza o possiamo vedere i risultati dell'ultima scansione di vulnerabilità del sistema? Fondamentalmente qualcosa in cui possono darmi una risposta tangibile che mostra la conformità.
Quali domande consiglieresti per valutare le pratiche di sicurezza di un fornitore di terze parti che gestirà informazioni riservate sui clienti?