Relaciones con los proveedores

Incorporación de proveedores

Zoom se asocia con proveedores externos para satisfacer tanto las necesidades de clientes como las comerciales. Estas empresas externas se pueden denominar proveedores o proveedores externos. El Programa de gestión de riesgos de terceros (TPRM) ofrece actividades de asesoramiento y evaluación para muchos de estos proveedores externos. TPRM trabaja en colaboración con los departamentos de Asuntos Legales, Adquisiciones, Cumplimiento en Tecnología, Privacidad, TI y las unidades de negocio para proporcionar una gobernanza y gestión completas de la población de proveedores de Zoom.

El Programa de TPRM se estableció para garantizar que los proveedores que suministran tecnología o servicios a Zoom, y que acceden a los datos confidenciales de Zoom, sigan los principios clave de seguridad y los requisitos normativos y de cumplimiento. Como parte del Programa de TPRM, se llevarán a cabo evaluaciones de riesgos.

TPRM impulsa el cumplimiento de estos requisitos mediante un ciclo de revisión basado en el riesgo. Ningún proveedor nuevo puede comenzar a trabajar hasta que se haya completado este proceso.

Preguntas frecuentes

  • Portal de gestión de riesgos de proveedores
    • Portal de gestión de riesgos de proveedores de Zoom
      • Utilice el nombre de usuario y la contraseña que reciba del Portal de gestión de riesgos de proveedores de Zoom para iniciar sesión por primera vez:
        • Debe cambiar su contraseña al iniciar sesión por primera vez
        • Tendrá la opción de cambiar su nombre de usuario después del primer inicio de sesión
        • Nota: Al inicio, su nombre de usuario se genera automáticamente y no es de forma predeterminada su dirección de correo electrónico. Escriba el nombre de usuario o la contraseña en lugar de copiar y pegar para evitar que se copie un espacio al final, lo que produciría un error de inicio de sesión.
        • Nota: La autenticación multifactor (MFA) es obligatoria.
    • ¿Olvidó su nombre de usuario/contraseña y necesita restablecerlos?
      • Puede restablecer su contraseña con la función «Olvidé mi contraseña» en el portal o al ponerse en contacto con TPRM@zoom.us o TPRM_Assessments@zoom.us para que le enviemos un enlace con una nueva contraseña temporal.
    • ¿Cómo puedo conceder acceso al Portal de gestión de riesgos de proveedores a otra persona de mi empresa?
      • El contacto principal de proveedores de su empresa puede añadir contactos adicionales en el portal de proveedores según sea necesario.
    • ¿Cómo hará el TPRM para enviar comunicaciones a mi empresa con las acciones requeridas?
      • Correo electrónico
      • Notificaciones del portal de proveedores
  • Ámbito del programa
    • ¿Qué proveedores están incluidos?
      • Todos los proveedores serán incluidos en un cuestionario de riesgos inherentes (IRQ). Según los resultados del IRQ, algunos proveedores pueden requerir evaluaciones de riesgo adicionales. Algunos servicios que se consideran de bajo riesgo pueden no requerir una evaluación detallada.
    • ¿Cuánto tiempo llevará?
      • El equipo del TPRM programará una reunión inicial con usted al comienzo de una nueva participación. Durante este período, se le comunicarán las actividades de evaluación y los plazos. El objetivo es no superar los 90 días calendario.
    • ¿Cuáles son los pasos de participación del TPRM?
      • Preparación
      • Inicio
      • Trabajo de evaluación
      • Reuniones y análisis
      • Cierre de la participación
      • Supervisión continua
    • ¿Qué datos se consideran sensibles?
      • Datos de contenido del cliente
      • Datos del cliente
      • Datos de empleados
      • Datos de posibles empleados
      • Registros de eventos
      • Datos de configuración
      • Metadatos de la reunión
  • Evaluaciones de riesgos
    • ¿Qué es?
      • Las evaluaciones de riesgos son servicios de asesoramiento y evaluación relacionados con el cumplimiento normativo o la seguridad de la información. El objetivo es orientar a los equipos de proyectos y a los líderes para gestionar el riesgo tecnológico introducido por las nuevas soluciones.
    • ¿Qué evaluaciones de riesgos podrían estar incluidas?
      • Cuestionario de riesgos inherentes (IRQ)
      • Evaluaciones de riesgos de debida diligencia
      • Llevadas a cabo por equipos de expertos en la materia (SME) que pueden incluir Gestión de Riesgos de Terceros, Privacidad, Cumplimiento, TI, Arquitectura de Seguridad, Seguridad Ofensiva o Seguridad de Código Abierto.
    • ¿Qué es un IRQ?
      • El IRQ consta de preguntas sobre el servicio del proveedor que se utilizan para determinar el riesgo potencial que supone para Zoom y el nivel de riesgo inherente.
    • ¿Qué es un nivel de riesgo inherente?
      • Un nivel de riesgo inherente se refiere al riesgo potencial que presenta una participación para Zoom antes de que se apliquen o se tengan en cuenta controles. El nivel de riesgo se mide en una escala de bajo, medio y alto. El nivel de riesgo inherente es el factor impulsor para determinar qué trabajo de evaluación de riesgos se requiere.
    • ¿Con qué frecuencia son necesarias las evaluaciones de riesgos?
      • Los IRQ son necesarios para cualquier participación de un nuevo proveedor.
      • Los requisitos de evaluación de riesgos se basan en el nivel de riesgo inherente.
      • A continuación se indican los plazos generales que se seguirán para la supervisión continua:
        • Crítico: anual
        • Alto: anual a bienal
        • Medio: bienal a trienal
        • Bajo: ad hoc
    • ¿Qué sucede si se detectan posibles riesgos o hallazgos?
      • Si se identifica algún hallazgo de seguridad, el propietario de la empresa es responsable de garantizar que el proveedor proporcione un plan de respuesta al riesgo para el hallazgo e incorpore los planes en los acuerdos legales según sea necesario.
      • Los planes de respuesta ante riesgos pueden incluir la corrección o la aceptación de los hallazgos.
  • Administración de incidentes
    • ¿Qué debe hacer mi empresa si se produce un incidente de privacidad o de seguridad?
      • El incidente se puede informar al ponerse en contacto directamente con su gerente de proveedores de Zoom o al enviar un correo electrónico al TPRM (tprm@zoom.us). 
      • Asegúrese de incluir lo siguiente:
        • Fecha del incidente
        • Nombre del proveedor
        • Nombre del producto/aplicación (si corresponde)
        • Contactos de Zoom notificados
        • Orden de compra asociada (si corresponde/está disponible)
        • Resumen del incidente

Recursos