Declaración y Acuerdo de Seguridad Business-to-Business

8

Buscando una plantilla que cubra las prácticas de seguridad de la información de divulgación que son estándar en las asociaciones de empresa a empresa que comparten datos.

Por ejemplo:

  • gestión de acceso
  • gestión de contraseñas
  • Cifrado de datos en almacenamiento
  • Cifrado de datos en transmisión
  • Audibilidad y derecho de auditoría
  • Destrucción de datos
  • Aviso de incumplimiento
  • Divulgación de cualquier incumplimiento anterior valorado en exceso de $ 3,000 USD
  • Etc

Dicho esto, esto está más orientado hacia pequeñas y pequeñas empresas; 50-150 personas en cada empresa.

    
pregunta blunders 22.01.2012 - 00:19
fuente

2 respuestas

2

Un área muy común donde los negocios se comprometen con ciertas prácticas de seguridad son los comerciantes que contratan a compañías de tarjetas de crédito que requieren el cumplimiento de PCI . Donde tanto el cumplimiento de SOX como el de PCI difieren de su pregunta, es que la norma está establecida por un tercero independiente y las dos partes contratantes básicamente acuerdan cumplir con esa norma independiente.

Dado que la norma es objetiva y mantenida por un tercero, es posible que alguien audite a las empresas para verificar el cumplimiento, de hecho, la mayoría de los acuerdos con comerciantes exigen pruebas de cumplimiento de PCI.

Si bien puede ser una exageración, puede tener un contrato que requiera que su socio cumpla con el estándares NIST o Estándares Federales de Procesamiento de la Información (FIPS) . Al escribir un lenguaje simple como "La Firma X garantiza que cumplirá con el estándar X" en lugar de tratar de incorporar las disposiciones de un estándar en el contrato, la resolución sería mucho más simple y menos costosa en caso de incumplimiento o disputa debido a al tratar de discutir lo que dicen las disposiciones del contrato, se trata de una simple cuestión de que un experto externo se familiarice con el estándar al que se hace referencia para opinar sobre el cumplimiento de ese estándar.

Finalmente, no necesita exigir el cumplimiento de todo el conjunto de FIPS; por ejemplo, podría consultar FIPS 197 para el cifrado de datos y FIPS 112 para las contraseñas.

    
respondido por el JonnyBoats 02.02.2012 - 03:30
fuente
1

Las políticas que describe son similares a las que se requieren para SOX. Se pueden comprar plantillas de políticas SOX (ejemplo: enlace ). NIST tiene una serie de documentos que pueden ayudarlo aquí: enlace

    
respondido por el securityishard 26.01.2012 - 19:10
fuente

Lea otras preguntas en las etiquetas