¿Qué preguntas debo hacerle a un posible proveedor que se encarga de la facturación y el cumplimiento?

1

Mi compañía actualmente está buscando integrar un proveedor externo en nuestro proceso de facturación y cumplimiento. El proveedor asumirá la responsabilidad de procesar los pedidos en nuestra cuenta de comerciante y de manejar la información confidencial del cliente (incluidos los datos del titular de la tarjeta).

Al entrevistar a posibles proveedores externos, quiero hacerles preguntas de sondeo para evaluar qué tan efectiva es su seguridad. Obviamente, podría preguntarles si cumplen con la pci y dejarlo así; pero me he encontrado con varios proveedores que decían ser compatibles con pci, solo para descubrir que su seguridad era atroz (ver: datos del titular de la tarjeta en texto sin formato).

En cambio, me gustaría algunas ideas para preguntas difíciles que solo una verdadera empresa con mentalidad de seguridad podría responder adecuadamente. Por ejemplo: ¿tiene un plan de recuperación de desastres o podemos ver los resultados de su último análisis de vulnerabilidad del sistema? Básicamente, algo en lo que me pueden dar una respuesta tangible que demuestra el cumplimiento.

¿Qué preguntas recomendaría para examinar las prácticas de seguridad de un proveedor externo que manejará la información confidencial de los clientes?

    
pregunta Moses 28.06.2012 - 22:51
fuente

1 respuesta

1

Primero, si afirman ser compatibles con PCI, solicite la última versión de un cuestionario completado y los resultados de la exploración de los trimestres actuales. En función de la profundidad con la que completaron el cuestionario, debe comprender en qué medida son competentes.

¿También presiona si tienen auditorías externas? ¿Contratan a empresas externas para hacer pruebas parciales y, lo que es más importante, ingeniería social?

Si están manejando la facturación y el procesamiento, estarán manejando los datos del cliente. Pregúntales acerca de cómo lo cifran. ¿Cuáles son sus políticas de control de acceso? ¿Utilizan autenticación de dos factores?

Verifique si existe un régimen de capacitación para el personal de procesamiento de pedidos en materia de seguridad. Normalmente, las personas que realizan la facturación y el procesamiento de pedidos no son técnicos ni expertos en seguridad. Estos son usuarios de salarios bajos / medios con poca atención a los datos de sus empresas. Si llamé y afirmé ser el cliente X, ¿qué tan difícil sería para mí obtener su información?

También solicite una lista de su alta dirección. ¿Quién es su CTO, CSO, etc.? Investiga sus antecedentes. Vea si tienen antecedentes en compañías que están orientadas a la seguridad o si saltaron alrededor de una tonelada y parecen volar mercenarios nocturnos.

En última instancia, vea cuán dispuestos y cómodos están de compartir todo esto. Es posible que me esconda detrás de las excusas de "No podemos mostrarte porque violaría la seguridad", pero si se toman en serio el manejo de tus datos, tienes derecho a inspeccionar su seguridad en la superficie.

Un buen rápido es ver si piden un NDA o un MNDA si solo entregan información, lo más probable es que no sean tan diligentes. Si solicitan una NDA antes de entregar todo esto, al menos tienen un proceso legal documentado, lo que siempre es un buen comienzo.

    
respondido por el CogitoErgoSum 29.06.2012 - 19:54
fuente

Lea otras preguntas en las etiquetas