我应该问一个潜在的供应商哪些问题来处理账单和履行？

Question

我的公司目前正在寻求将第三方供应商整合到我们的计费和履行过程中。供应商将承担在我们的商家帐户处理订单和处理敏感的客户信息(包括持卡人数据)的责任。

在采访潜在的第三方供应商时，我想问他们一些探究性的问题，以评估他们的安全性有多有效。显然，我可以问他们是否与pci兼容，但我遇到了几家声称与pci兼容的供应商，结果发现他们的安全性非常糟糕(见:明文持卡人数据)。

相反，我想要一些棘手的问题的想法，只有真正的安全意识公司才能充分回答这些问题。例如:您是否有灾难恢复计划，或者我们可以看到您上次系统漏洞扫描的结果？从根本上说，他们可以给我一个具体的回应，显示出他们的遵从性。

，您会推荐哪些问题来审查处理敏感客户信息的第三方供应商的安全实践？

Answer 1

首先，如果他们声称符合PCI标准，请索取最新版本的填写问卷和当前季度扫描结果。根据他们填写问卷的深度，你应该对他们的能力有一些了解。

如果他们有外部审计，也要按下吗？他们是否雇佣外部公司来做人工的工作，更重要的是做社会工程？

如果他们正在处理帐单和处理，他们将处理客户数据。问问他们是怎么加密的。他们的访问控制策略是什么？他们是否使用双因素认证？

检查他们的订单处理人员是否有安全方面的培训方案。通常情况下，做账单和订单处理的人并不是技术人员，也不了解安全性。这些都是低/中等工资的用户，对你们公司的数据几乎不关心。如果我打电话来，自称是客户X，我要获得他们的信息会有多难呢？

同时也要求他们的高级管理人员。谁是他们的首席技术官，CSO等？研究他们的背景。看看他们在那些以安全为导向的公司里是否有过这样的经历，或者他们是否在一吨重的地方跳来跳去，似乎是夜间的雇佣兵。

最终，看看他们有多愿意和舒适地分享这一切。SOme可能隐藏在“我们不能向您展示，因为它会违反安全”的借口，但如果他们是认真的处理您的数据，您有权检查他们的安全表面。

一个真正好的快速是看看他们是否要求一个NDA或MNDA，如果他们只是提供信息，他们可能不会那么勤奋。如果他们要求NDA，然后才交出所有这些，至少他们有一个书面的法律程序背后的幕后，这始终是一个良好的第一开始。