Passo 1
Entenda os limites do serviço
Comece com quais dados você compartilha, o que permanece sob seu controle e como os espaços de trabalho dos clientes são isolados.
- Mapeie os dados que sua equipe envia (descobertas, metadados e informações da conta).
- Revise o caminho de ingestão do scanner ao painel para que os revisores entendam o escopo do processamento.
- Verifique se os dados do seu espaço de trabalho estão isolados de outros clientes.
Passo 2
Valide os principais controles de proteção
Confirme os controles básicos de confidencialidade, integridade e disponibilidade.
- Revise os padrões de criptografia para dados em trânsito e em repouso.
- Confirme o armazenamento de chaves de API, as expectativas de rotação e o fluxo de revogação.
- Revise os compromissos de backup e recuperação de desastres que se aplicam ao seu plano.
Passo 3
Colete evidências e contatos de propriedade
Capture os artefatos de confiança e os contatos que sua equipe precisa para uma governança contínua do fornecedor.
- Salve links de políticas atuais e documentos confiáveis em seu registro de fornecedor.
- Registre contatos de suporte, segurança e escalonamento jurídico.
- Defina uma cadência de revisão recorrente (por exemplo, trimestralmente ou antes das renovações).