O software de avaliação de segurança e privacidade de fornecedores ajuda as empresas a gerenciar processos de avaliação de risco de cibersegurança e privacidade ao identificar, avaliar e reavaliar regularmente seus fornecedores, prestadores de serviços e outras terceiras partes. O objetivo deste software é ajudar as empresas a entender os riscos de privacidade e cibersegurança associados a fazer negócios com terceiros específicos, prospectivos e existentes. As avaliações de segurança e privacidade de fornecedores frequentemente incluem a revisão e pontuação das políticas de cibersegurança de um fornecedor, documentação, resultados de auditorias recentes, certificações e acordos legais sobre como dados sensíveis ou pessoalmente identificáveis serão acessados, usados, processados ou vendidos, conforme definido por leis de privacidade de dados, como o GDPR ou CCPA.
O software de avaliação de segurança e privacidade de fornecedores auxilia duas partes—tanto a empresa quanto a terceira parte com quem fazem negócios. As empresas usam este software para avaliar a conformidade de cibersegurança e privacidade de dados de seus fornecedores terceirizados, enquanto os fornecedores usam este software para responder mais facilmente aos questionários dos compradores e publicar as informações de conformidade de cibersegurança e privacidade de dados de sua empresa em um intercâmbio centralizado, atualizado e referenciável. Este software permite que os fornecedores usem as mesmas respostas em várias avaliações de clientes, bem como compartilhem proativamente informações com os clientes, o que economiza tempo do fornecedor em vez de editar manualmente planilhas ou formulários individuais. Do lado do cliente, o software de avaliação de segurança e privacidade de fornecedores é tipicamente gerenciado por equipes de segurança da informação. Do lado do fornecedor, as equipes de vendas geralmente usam o software para distribuir informações de conformidade de segurança e privacidade para clientes potenciais. O software de avaliação de segurança e privacidade de fornecedores frequentemente integra-se com outras ferramentas de software, incluindo software de CRM, software de governança, risco e conformidade, e provedores de serviços de cibersegurança, como provedores de serviços de classificação.
O software de avaliação de segurança e privacidade de fornecedores é para avaliar partes externas e, portanto, é diferente dos processos internos de avaliação de risco de privacidade ou segurança que utilizam software como software de avaliação de impacto de privacidade (PIA) ou software de análise de risco de segurança. Este software também é diferente do software de gerenciamento de risco de TI, que monitora o risco dos sistemas internos ou uso de dados de uma empresa. O software de avaliação de segurança e privacidade de fornecedores é semelhante, mas mais restrito em escopo do que o software de gerenciamento de fornecedores e o software de gerenciamento de risco de terceiros e fornecedores, que avalia o risco de forma mais ampla do que segurança ou privacidade, como fraude financeira, corrupção ou violações de direitos humanos.
Para se qualificar para inclusão na categoria de Avaliação de Segurança e Privacidade de Fornecedores, um produto deve:
Permitir que os fornecedores possuam, gerenciem e publiquem um perfil da empresa contendo informações e documentação de conformidade de cibersegurança e privacidade de dados
Permitir que as empresas avaliem perfis de fornecedores em um catálogo centralizado, bem como utilizando fluxo de trabalho para interagir com fornecedores e solicitar documentação, como questionários de segurança, auditorias, certificações, etc.
Fornecer às equipes voltadas para o cliente um fluxo de trabalho para compartilhar facilmente o acesso ao perfil do fornecedor da empresa, incluindo a capacidade de vincular o perfil em um site da empresa ou em materiais de marketing
Facilitar notificações automáticas, alertas e lembretes para ações específicas, incluindo avaliações futuras, solicitações de acesso ao perfil, etc.
Suportar modelos de questionários de estrutura de segurança e privacidade padronizados comumente solicitados por clientes, como CAIQ, SIG, NIST, VSA, GDPR, ISO 27001, Privacy Shield, etc.
