Supongamos que en el ámbito del SGSI tengo la administración de los servicios proporcionados por algún proveedor de la nube, es decir, el proveedor me proporciona un servidor virtual para realizar ciertas operaciones críticas.
Me gustaría preguntar qué debo obtener como evidencia de cumplimiento de seguridad para los siguientes escenarios:
a) El proveedor de la nube tiene la certificación ISO27001. Supongo que solo necesito demostrar que los servicios relevantes están en el alcance de su certificado que es público.
b) El proveedor de la nube está siguiendo la norma ISO27001 pero NO está certificado: ¿Debo tener un SLA para proporcionarme los resultados de la auditoría interna o permitirme hacer un pentest en su sitio?
c) No sigue las mejores prácticas de ISO27001 (o al menos no afirma): ¿Necesito tener un SLA y su autorización para realizar un Pentest?
En caso de que el proveedor de la nube no acepte, ¿solo digo que es un riesgo aceptable?