Mi compañía actualmente está buscando integrar un proveedor externo en nuestro proceso de facturación y cumplimiento. El proveedor asumirá la responsabilidad de procesar los pedidos en nuestra cuenta de comerciante y de manejar la información confidencial del cliente (incluidos los datos del titular de la tarjeta).
Al entrevistar a posibles proveedores externos, quiero hacerles preguntas de sondeo para evaluar qué tan efectiva es su seguridad. Obviamente, podría preguntarles si cumplen con la pci y dejarlo así; pero me he encontrado con varios proveedores que decían ser compatibles con pci, solo para descubrir que su seguridad era atroz (ver: datos del titular de la tarjeta en texto sin formato).
En cambio, me gustaría algunas ideas para preguntas difíciles que solo una verdadera empresa con mentalidad de seguridad podría responder adecuadamente. Por ejemplo: ¿tiene un plan de recuperación de desastres o podemos ver los resultados de su último análisis de vulnerabilidad del sistema? Básicamente, algo en lo que me pueden dar una respuesta tangible que demuestra el cumplimiento.
¿Qué preguntas recomendaría para examinar las prácticas de seguridad de un proveedor externo que manejará la información confidencial de los clientes?