Tenemos un servicio B2B Saas que se ejecuta en Microsoft Azure. Microsoft publica mucha información sobre la seguridad de Azure, pero ocasionalmente los clientes nos preguntan sobre las pruebas de seguridad y las auditorías que se han realizado en nuestro propio software, en lugar de la plataforma de Microsoft en general.
¿Qué buenas prácticas debemos seguir aquí? ¿Es suficiente decir que regularmente tenemos nuestros sistemas probados por especialistas independientes certificados? ¿O deberíamos proporcionar más detalles? En caso afirmativo, ¿a qué nivel?