Esta pregunta se basa en la opinión, pero trataré de proporcionar algunas sugerencias basadas en mi experiencia (que está sesgada hacia la PCI pero toca a otras). No es específico de la nube, pero creo que hay una equivalencia.
Algunas reglas de oro:
- Las declaraciones / los resúmenes se distribuyen, los informes generalmente no lo están
- Es más probable que las políticas sean compartidas que distribuidas
- Las auditorías formales a menudo están sujetas a límites de distribución
Más información sobre estos ROT:
Las auditorías y las exploraciones a menudo vienen en múltiples niveles. Por ejemplo, una auditoría de PCI resultará en un ROC (Informe sobre cumplimiento) y un AOC (Certificado de cumplimiento). El primero es un informe detallado y el último es un resumen rápido. El AOC es para distribución, y el ROC no lo es. Y, en el caso de PCI, el AOC no se considera plenamente autorizado; El Listado de proveedores de servicios en el sitio de marcas de tarjetas es lo que se dirige a los clientes para una fuente autorizada (el cumplimiento puede ser invalidado dentro de un informa el período de tiempo válido ...)
Lo mismo ocurre generalmente con los escaneos. Los resultados detallados de la exploración, que enumeran elementos que no son deseables incluso si no son totalmente no conformes, casi nunca se distribuyen. Los informes de nivel superior que enumeran si existían o no elementos son más o menos.
Cuando se trata de políticas, éstas generalmente se entregan a regañadientes. Una práctica común es permitir que los socios vengan al sitio para ver las políticas en lugar de distribuirlas. Esto garantiza la seguridad de las políticas frente a la distribución y desalienta sutilmente a los socios para que no se tomen la molestia de obtenerlas.
Por cierto, esto es muy unilateral. He trabajado para un banco grande que requería copias de las políticas de seguridad para la compañía que quería integrar cualquier cosa con ellos. Están en condiciones de exigir eso, y lo hacen. El cliente de un banco o proveedor de servicios, sin embargo, carece del apalancamiento requerido para exigir lo mismo. Además, lo que dije sobre la ROC y la AOC: la ROC debe entregarse en la escala a las marcas Card Card; para eso está Pero nunca se comparte a la baja.
Finalmente, tenga en cuenta que pueden aplicarse límites. Si tiene un contrato, entonces puede incluir obligaciones contractuales. Los clientes grandes a menudo exigirán cláusulas que les permitan acceder a cosas, o incluso auditar al proveedor de servicios con regularidad. Algunos auditores colocan límites de distribución en su informe de auditoría completo y, en el caso de SSAE16 SOC 2 report , la distribución no está permitida por defecto.