¿Qué documentos de seguridad suelen compartir los proveedores con sus clientes?

Navega tus respuestas
4

En el contexto de hospedaje administrado / en la nube, ¿qué nivel de información suele compartir un proveedor (bajo NDA) con sus clientes para fines de evaluación de riesgo de auditoría de cumplimiento / de terceros? ¿Qué documentos están generalmente disponibles y cuáles no?

Por ejemplo, un proveedor comparte políticas y estándares, pero no procedimientos; una política de seguridad de la información pero no un plan de continuidad del negocio; Clasificación de uso interno, pero no confidencial de negocios? ¿Un proveedor renuncia a compartir información detallada a favor de su propia auditoría de terceros?

Las auditorías generalmente están relacionadas con regulaciones / estándares / marcos comunes como HIPAA, PCI-DSS, SOX, ISO 27001, etc.

    
pregunta phiz 24.04.2015 - 21:34
fuente

1 respuesta

5

Esta pregunta se basa en la opinión, pero trataré de proporcionar algunas sugerencias basadas en mi experiencia (que está sesgada hacia la PCI pero toca a otras). No es específico de la nube, pero creo que hay una equivalencia.

Algunas reglas de oro:

  • Las declaraciones / los resúmenes se distribuyen, los informes generalmente no lo están
  • Es más probable que las políticas sean compartidas que distribuidas
  • Las auditorías formales a menudo están sujetas a límites de distribución

Más información sobre estos ROT:

Las auditorías y las exploraciones a menudo vienen en múltiples niveles. Por ejemplo, una auditoría de PCI resultará en un ROC (Informe sobre cumplimiento) y un AOC (Certificado de cumplimiento). El primero es un informe detallado y el último es un resumen rápido. El AOC es para distribución, y el ROC no lo es. Y, en el caso de PCI, el AOC no se considera plenamente autorizado; El Listado de proveedores de servicios en el sitio de marcas de tarjetas es lo que se dirige a los clientes para una fuente autorizada (el cumplimiento puede ser invalidado dentro de un informa el período de tiempo válido ...)

Lo mismo ocurre generalmente con los escaneos. Los resultados detallados de la exploración, que enumeran elementos que no son deseables incluso si no son totalmente no conformes, casi nunca se distribuyen. Los informes de nivel superior que enumeran si existían o no elementos son más o menos.

Cuando se trata de políticas, éstas generalmente se entregan a regañadientes. Una práctica común es permitir que los socios vengan al sitio para ver las políticas en lugar de distribuirlas. Esto garantiza la seguridad de las políticas frente a la distribución y desalienta sutilmente a los socios para que no se tomen la molestia de obtenerlas.

Por cierto, esto es muy unilateral. He trabajado para un banco grande que requería copias de las políticas de seguridad para la compañía que quería integrar cualquier cosa con ellos. Están en condiciones de exigir eso, y lo hacen. El cliente de un banco o proveedor de servicios, sin embargo, carece del apalancamiento requerido para exigir lo mismo. Además, lo que dije sobre la ROC y la AOC: la ROC debe entregarse en la escala a las marcas Card Card; para eso está Pero nunca se comparte a la baja.

Finalmente, tenga en cuenta que pueden aplicarse límites. Si tiene un contrato, entonces puede incluir obligaciones contractuales. Los clientes grandes a menudo exigirán cláusulas que les permitan acceder a cosas, o incluso auditar al proveedor de servicios con regularidad. Algunos auditores colocan límites de distribución en su informe de auditoría completo y, en el caso de SSAE16 SOC 2 report , la distribución no está permitida por defecto.

    
respondido por el gowenfawr 25.04.2015 - 01:28
fuente

Lea otras preguntas en las etiquetas

¿Qué está haciendo si observa un ataque MITM contra un servidor Linux? [cerrado] IPsec: ¿Está AH en modo túnel seguro?