信息安全治理-安全措施

Question

我们即将与OCR服务提供商签订合同(扫描文档(个人信息)将被发送，这些文件将被处理OCR，数据被传回，文档被删除。)服务提供商提供OCR服务，使用他在云中开发的应用程序提供OCR服务。我们使用内部开发的接口来上传ID的照片，这些图片是通过提供者的OCR应用程序的API集成发送的。

根据内部策略，我们要求供应商提供一系列安全要求，如:存在安全策略，从应用程序安全性的角度进行测试，代码健壮性分析--证明它们已经执行。供应商拒绝满足这些要求，理由是它们提供对OCR服务的访问，而不是软件，而不是许可证。

请根据您的经验告诉我，如果您知道提供此类服务的供应商必须/不应满足所需的安全要求的情况。谢谢!

Answer 1

“必须/不应该”成为法律或法规的问题，我们无法与之交谈。在一些司法管辖区(而且数量在增加)，他们有责任遵守像你这样的请求，所以你可以查一下。

根据您的描述，应用程序是由他们开发、托管和操作的。他们是唯一可以问你问题的人。你的问题既不奇怪也不独特。实际上，它们是相当基本的。

听起来，他并没有准备好接受那种级别的治理/审计。这是公平的，如果公司是新的和小的。他们可以回答这些问题，但他们不准备，而且很可能在不理解自己在回答问题时的责任的情况下，提供不安的答案。