¿Qué preguntas debo hacerle a un proveedor que proporciona correo electrónico cifrado alojado?

4

Estoy evaluando a un proveedor de servicios que realiza las siguientes funciones con el correo electrónico:

  • Un usuario inicia sesión en una aplicación basada en web a través de una conexión SSL.
  • El correo electrónico está compuesto en un navegador web a través de la conexión SSL.
  • El correo electrónico se envía a la cuenta del destinatario con el mismo proveedor de servicios.
  • El correo electrónico original permanece en los sistemas del proveedor del servicio y se envía un correo electrónico de notificación a una dirección de correo electrónico asociada con la cuenta del destinatario.
  • El destinatario inicia sesión en su cuenta y lee el correo electrónico a través de una conexión SSL en su navegador web.
  • Todas las claves de cifrado (unidireccionales) se almacenan en los sistemas del proveedor del servicio y se protegen con la contraseña de los usuarios.

Ya se me han ocurrido algunas preguntas para hacer, como:

  • ¿Puedo traer mis propias llaves?
  • ¿Cómo puedo migrar fuera del proveedor de servicios si es necesario?
  • ¿Es compatible con SOC-2, SOC-3 y / o SAS70? (¡Gracias a Jeff Ferland por eso!)
  • ¿Cómo se aseguran los fundamentos físicos del backend del servicio?
  • ¿Los sistemas back-end de nivel de disco o volumen están protegidos?

¿Cuáles son algunas otras buenas preguntas que un proveedor de seguridad de correo electrónico como esta debería hacer?

    
pregunta Wesley 28.09.2011 - 21:11
fuente

2 respuestas

2

Ya tienes algunas preguntas geniales. Sin conocer su conocimiento profundo sobre el tema, es un poco difícil decir qué preguntas podrían agregarse que puedan ser de valor para usted. En su lugar, preferiría asegurarme de que su proceso de evaluación sea lo suficientemente bueno para encontrar la solución que funcione para su organización.

Empezaría y les permitiría que les dieran su introducción de seis diapositivas y luego les harían saber que el tema de marketing es para los vicepresidentes y las personas de nivel CIO, y estamos aquí para hablar técnicamente sobre cómo su solución se adapta a mi entorno. Comience asegurándose de que tengan una comprensión sólida de la teoría básica del producto. Si pueden al menos decirle cuál es el riesgo de transferir el secreto de los datos de sí mismos a la clave. Usted sabe solo una prueba de fuego que puede demostrarle que ellos conocen el producto de alguna manera, no solo la lectura de un script.

Comenzaría con la forma en que protegen sus datos en tránsito una vez que han dejado su frontera, cómo están protegidos en reposo en sus servidores y cómo están protegidos y cuáles son sus opciones una vez que los datos están en uso. Esto debería ser muy interactivo con usted explorando un montón de vías a medida que las preguntas le lleguen.

También asegúrate de hacer preguntas para las que ya sabes la respuesta, quieres validar sus afirmaciones ... también es bueno romper un poco las chuletas. Incluso si es tan malo que no quieres hacer negocios, al menos estarán un poco más preparados para su próximo compromiso. También quizás te fortalezca la mano que vas a negociar los términos. Por último, indudablemente, aún intentarán lanzarte el bote publicitario, asegúrate de que cumplas con las generalidades. Nada es como ver los faros encendidos de frente cuando les pide que expliquen por qué "En general se sabe que nuestro producto es el mejor ..." Un par de ellos y DETENDERÁN la charla de mercadeo, "usted puede llevar eso a la banco. '

Tal vez alguien lo haga de otra manera, sería genial ver esa perspectiva, si es mejor, me encantaría incorporarla yo mismo.

    
respondido por el M15K 28.09.2011 - 21:44
fuente
3

Esto suena como un sistema de comunicación cerrado donde el contenido en realidad no se "envía" desde su sistema. Usted menciona que los datos se cifran una vez ingresados y que:

  

"Todas las claves de cifrado (unidireccionales) se almacenan en el proveedor del servicio   sistemas y están protegidos con la contraseña de los usuarios ".

No estoy seguro de lo que quiere decir con "unidireccional" aquí, pero supongo que se refiere al cifrado simétrico que utiliza una clave única como AES. Mis preguntas aquí serían qué algoritmo de cifrado están utilizando y cómo se generan y almacenan las claves. ¿Están utilizando la clave de derivación basada en contraseña? Si es así, ¿se almacenan las claves generadas en algún lugar? Si no, ¿cómo están almacenando las claves que están generando? En cuanto a la cuenta en sí, ¿qué procesos existen para restablecer una contraseña perdida y qué tan difícil sería suplantar a un usuario en su sistema?

En el caso de un escenario, si un FBI entrara al centro de datos y desplegara un conjunto de servidores y el suyo se encontrara entre los tomados (cualquiera sea el motivo), ¿podrían acceder a los datos almacenados con datos físicos? ¿Acceso a los equipos? ¿Qué procedimientos existen para proteger los datos en caso de una violación de seguridad física?

Además, ¿cómo están haciendo una copia de seguridad de sus datos? ¿En el sitio? ¿Fuera del sitio? ¿La copia de seguridad está encriptada y quién tiene acceso a ella?

    
respondido por el Justin Scott 28.09.2011 - 21:55
fuente

Lea otras preguntas en las etiquetas