Étape 1
Comprendre les limites des services
Commencez par les données que vous partagez, ce qui reste sous votre contrôle et comment les espaces de travail des clients sont isolés.
- Mappez les données envoyées par votre équipe (résultats, métadonnées et informations de compte).
- Examinez le chemin d’ingestion depuis le scanner jusqu’au tableau de bord afin que les réviseurs comprennent la portée du traitement.
- Vérifiez que les données de votre espace de travail sont isolées des autres clients.
Étape 2
Valider contrôles de protection de base
Confirmer les contrôles de base pour la confidentialité, l'intégrité et disponibilité.
- Passez en revue les normes de chiffrement pour les données en transit et au repos.
- Confirmer le stockage de la clé API, les attentes de rotation et le flux de révocation.
- Passez en revue les engagements en matière de sauvegarde et de reprise après sinistre qui s’appliquent à votre plan.
Étape 3
Collectez les preuves et la propriété contacts
Capturez les artefacts de confiance et les contacts dont votre équipe a besoin pour une gouvernance continue des fournisseurs.
- Enregistrez les liens de politique actuels et les documents de confiance dans votre dossier de fournisseur.
- Enregistrez les contacts d’assistance, de sécurité et d’escalade juridique.
- Définissez une cadence de révision récurrente (par exemple, trimestrielle ou avant les renouvellements).