Estoy evaluando a un proveedor de servicios que realiza las siguientes funciones con el correo electrónico:
- Un usuario inicia sesión en una aplicación basada en web a través de una conexión SSL.
- El correo electrónico está compuesto en un navegador web a través de la conexión SSL.
- El correo electrónico se envía a la cuenta del destinatario con el mismo proveedor de servicios.
- El correo electrónico original permanece en los sistemas del proveedor del servicio y se envía un correo electrónico de notificación a una dirección de correo electrónico asociada con la cuenta del destinatario.
- El destinatario inicia sesión en su cuenta y lee el correo electrónico a través de una conexión SSL en su navegador web.
- Todas las claves de cifrado (unidireccionales) se almacenan en los sistemas del proveedor del servicio y se protegen con la contraseña de los usuarios.
Ya se me han ocurrido algunas preguntas para hacer, como:
- ¿Puedo traer mis propias llaves?
- ¿Cómo puedo migrar fuera del proveedor de servicios si es necesario?
- ¿Es compatible con SOC-2, SOC-3 y / o SAS70? (¡Gracias a Jeff Ferland por eso!)
- ¿Cómo se aseguran los fundamentos físicos del backend del servicio?
- ¿Los sistemas back-end de nivel de disco o volumen están protegidos?
¿Cuáles son algunas otras buenas preguntas que un proveedor de seguridad de correo electrónico como esta debería hacer?