El software de evaluación de seguridad y privacidad de proveedores ayuda a las empresas a gestionar los procesos de evaluación de riesgos de ciberseguridad y privacidad al identificar, evaluar y reevaluar regularmente a sus proveedores, prestadores de servicios y otras terceras partes. El propósito de este software es ayudar a las empresas a comprender los riesgos de privacidad y ciberseguridad asociados con hacer negocios con terceros específicos, tanto prospectivos como existentes. Las evaluaciones de seguridad y privacidad de proveedores a menudo incluyen la revisión y calificación de las políticas de ciberseguridad de un proveedor, documentación, resultados de auditorías recientes, certificaciones y acuerdos legales sobre cómo se accederá, usará, procesará o venderá la información sensible o de identificación personal según lo definido por leyes de privacidad de datos como el GDPR o CCPA.
El software de evaluación de seguridad y privacidad de proveedores asiste a dos grupos: tanto a la empresa como a la tercera parte con la que hacen negocios. Las empresas utilizan este software para evaluar el cumplimiento de ciberseguridad y privacidad de datos de sus proveedores de terceros, mientras que los proveedores utilizan este software para responder más fácilmente a los cuestionarios de los compradores y publicar la información de cumplimiento de ciberseguridad y privacidad de datos de su empresa en un intercambio centralizado, actualizado y referenciable. Este software permite a los proveedores usar las mismas respuestas en múltiples evaluaciones de clientes, así como compartir proactivamente información con los clientes, lo que ahorra tiempo al proveedor en lugar de editar manualmente hojas de cálculo o formularios individuales. En el lado del cliente, el software de evaluación de seguridad y privacidad de proveedores es típicamente gestionado por equipos de seguridad de la información. En el lado del proveedor, los equipos de ventas suelen usar el software para distribuir información de cumplimiento de seguridad y privacidad a clientes potenciales. El software de evaluación de seguridad y privacidad de proveedores a menudo se integra con otras herramientas de software, incluyendo software CRM, software de gobernanza, riesgo y cumplimiento, y proveedores de servicios de ciberseguridad, como proveedores de servicios de calificación.
El software de evaluación de seguridad y privacidad de proveedores es para evaluar partes externas y, por lo tanto, es diferente de los procesos internos de evaluación de riesgos de privacidad o seguridad que utilizan software como el software de evaluación de impacto de privacidad (PIA) o el software de análisis de riesgos de seguridad. Este software también es diferente del software de gestión de riesgos de TI, que monitorea el riesgo de los sistemas internos de una empresa o el uso de datos. El software de evaluación de seguridad y privacidad de proveedores es similar, pero más limitado en alcance que el software de gestión de proveedores y el software de gestión de riesgos de terceros y proveedores, que evalúa el riesgo de manera más amplia que la seguridad o la privacidad, como el fraude financiero, la corrupción o las violaciones de derechos humanos.
Para calificar para la inclusión en la categoría de Evaluación de Seguridad y Privacidad de Proveedores, un producto debe:
Permitir a los proveedores poseer, gestionar y publicar un perfil de empresa que contenga información y documentación de cumplimiento de ciberseguridad y privacidad de datos
Permitir a las empresas evaluar perfiles de proveedores en un catálogo centralizado, así como utilizar flujos de trabajo para interactuar con los proveedores y solicitar documentación como cuestionarios de seguridad, auditorías, certificaciones, etc.
Proporcionar a los equipos orientados al cliente un flujo de trabajo para compartir fácilmente el acceso al perfil del proveedor de la empresa, incluyendo la capacidad de vincular al perfil en un sitio web de la empresa o en materiales de marketing
Facilitar notificaciones automáticas, alertas y recordatorios para acciones específicas, incluyendo evaluaciones próximas, solicitudes de acceso a perfiles, etc.
Soportar plantillas de cuestionarios de marco de seguridad y privacidad estandarizados comúnmente solicitados por los clientes, como CAIQ, SIG, NIST, VSA, GDPR, ISO 27001, Privacy Shield, etc.
