¿Qué preguntas debo hacerle a un proveedor que proporciona correo electrónico cifrado alojado?

Ya tienes algunas preguntas geniales. Sin conocer su conocimiento profundo sobre el tema, es un poco difícil decir qué preguntas podrían agregarse que puedan ser de valor para usted. En su lugar, preferiría asegurarme de que su proceso de evaluación sea lo suficientemente bueno para encontrar la solución que funcione para su organización.

Empezaría y les permitiría que les dieran su introducción de seis diapositivas y luego les harían saber que el tema de marketing es para los vicepresidentes y las personas de nivel CIO, y estamos aquí para hablar técnicamente sobre cómo su solución se adapta a mi entorno. Comience asegurándose de que tengan una comprensión sólida de la teoría básica del producto. Si pueden al menos decirle cuál es el riesgo de transferir el secreto de los datos de sí mismos a la clave. Usted sabe solo una prueba de fuego que puede demostrarle que ellos conocen el producto de alguna manera, no solo la lectura de un script.

Comenzaría con la forma en que protegen sus datos en tránsito una vez que han dejado su frontera, cómo están protegidos en reposo en sus servidores y cómo están protegidos y cuáles son sus opciones una vez que los datos están en uso. Esto debería ser muy interactivo con usted explorando un montón de vías a medida que las preguntas le lleguen.

También asegúrate de hacer preguntas para las que ya sabes la respuesta, quieres validar sus afirmaciones ... también es bueno romper un poco las chuletas. Incluso si es tan malo que no quieres hacer negocios, al menos estarán un poco más preparados para su próximo compromiso. También quizás te fortalezca la mano que vas a negociar los términos. Por último, indudablemente, aún intentarán lanzarte el bote publicitario, asegúrate de que cumplas con las generalidades. Nada es como ver los faros encendidos de frente cuando les pide que expliquen por qué "En general se sabe que nuestro producto es el mejor ..." Un par de ellos y DETENDERÁN la charla de mercadeo, "usted puede llevar eso a la banco. '

Tal vez alguien lo haga de otra manera, sería genial ver esa perspectiva, si es mejor, me encantaría incorporarla yo mismo.

Esto suena como un sistema de comunicación cerrado donde el contenido en realidad no se "envía" desde su sistema. Usted menciona que los datos se cifran una vez ingresados y que:

  

"Todas las claves de cifrado (unidireccionales) se almacenan en el proveedor del servicio   sistemas y están protegidos con la contraseña de los usuarios ".

No estoy seguro de lo que quiere decir con "unidireccional" aquí, pero supongo que se refiere al cifrado simétrico que utiliza una clave única como AES. Mis preguntas aquí serían qué algoritmo de cifrado están utilizando y cómo se generan y almacenan las claves. ¿Están utilizando la clave de derivación basada en contraseña? Si es así, ¿se almacenan las claves generadas en algún lugar? Si no, ¿cómo están almacenando las claves que están generando? En cuanto a la cuenta en sí, ¿qué procesos existen para restablecer una contraseña perdida y qué tan difícil sería suplantar a un usuario en su sistema?

En el caso de un escenario, si un FBI entrara al centro de datos y desplegara un conjunto de servidores y el suyo se encontrara entre los tomados (cualquiera sea el motivo), ¿podrían acceder a los datos almacenados con datos físicos? ¿Acceso a los equipos? ¿Qué procedimientos existen para proteger los datos en caso de una violación de seguridad física?

Además, ¿cómo están haciendo una copia de seguridad de sus datos? ¿En el sitio? ¿Fuera del sitio? ¿La copia de seguridad está encriptada y quién tiene acceso a ella?