Rapporti con i fornitori

Onboarding dei fornitori

Zoom collabora con fornitori di terze parti per soddisfare le esigenze dei clienti e dell'azienda. Possiamo riferirci a queste aziende di terze parti come fornitori, venditori o fornitori di terze parti. Il programma di Gestione del rischio di terze parti (Third Party Risk Management, TPRM) fornisce attività di consulenza e valutazione per molti di questi fornitori di terze parti. Il TPRM collabora con l'ufficio legale, l'ufficio acquisti, quello per la conformità tecnologica, quello per la privacy, con il dipartimento informatico e con le unità aziendali per fornire una governance e una gestione complete di tutti i fornitori di Zoom.

Abbiamo istituito il programma TPRM per garantire che i fornitori che erogano tecnologia o servizi a Zoom e che accedono ai dati sensibili di Zoom rispettino i principi fondamentali di sicurezza e conformità, nonché i requisiti normativi. Saranno condotte valutazioni dei rischi nell'ambito del programma TPRM.

Il TPRM promuove la conformità a questi requisiti attraverso un ciclo di revisione basato sul rischio. Nessun nuovo fornitore può iniziare a lavorare prima del completamento del processo.

Domande frequenti

  • Portale per la gestione del rischio dei fornitori
    • Portale Zoom per la gestione del rischio dei fornitori
      • Quando accedi per la prima volta usa il nome utente e la password che hai ricevuto dal portale Zoom per la gestione del rischio dei fornitori:
        • Al primo accesso devi modificare la password
        • Dopo il primo accesso avrai la possibilità di modificare il tuo nome utente
        • Nota: inizialmente il tuo nome utente viene generato automaticamente e non corrisponde al tuo indirizzo e-mail. Digita il nome utente e la password anziché fare copia/incolla, per evitare di copiare spazi finali che non ti consentirebbero l'accesso.
        • Nota: verrà richiesta un'autenticazione a più fattori (MFA).
    • Hai dimenticato il nome utente/la password e devi reimpostarli?
      • Puoi ripristinare la password utilizzando la funzionalità "password dimenticata" sul portale, contattando TPRM@zoom.us o TPRM_Assessments@zoom.us. Ti invieremo un link con una nuova password temporanea.
    • Come posso consentire l'accesso al portale per la gestione del rischio ad altre persone in azienda?
      • Se necessario, il contatto principale della tua azienda può aggiungere altri contatti sul portale fornitori.
    • In che modo il TPRM invierà le comunicazioni alla mia azienda per le azioni richieste?
      • E-mail
      • Notifiche sul portale dei fornitori
  • Scopo del programma
    • Quali sono i fornitori coinvolti?
      • Il questionario sui rischi intrinseci (IRQ, inherent risk questionnaire) a verrà somministrato a tutti i fornitori. A seconda dei risultati dell'IRQ, per alcuni fornitori potrebbe essere necessaria un'ulteriore valutazione del rischio. Per alcuni servizi ritenuti a basso rischio potrebbe non essere necessaria una valutazione dettagliata.
    • Quanto tempo sarà necessario?
      • All'avvio di un nuovo incarico, il team del TPRM pianificherà con te un incontro iniziale. In questo periodo ti comunicheremo le attività e le tempistiche della valutazione. L'obiettivo è quello di non superare i 90 giorni solari.
    • Quali sono le fasi dell'incarico con il TPRM?
      • Preparazione
      • Lancio
      • Valutazione del lavoro
      • Riunioni e analisi
      • Chiusura dell'incarico
      • Monitoraggio continuo
    • Cosa si intende per dati sensibili?
      • Dati sui contenuti dei clienti
      • Dati dei clienti
      • Dati dei dipendenti
      • Dati dei potenziali dipendenti
      • Registri degli eventi
      • Dati di configurazione
      • Metadati della riunione
  • Valutazioni del rischio
    • Cosa sono?
      • Le valutazioni del rischio sono servizi di consulenza e valutazione relativi alla conformità normativa o alla sicurezza delle informazioni. L'obiettivo è quello di fornire una direttiva ai team e alla leadership di progetto in modo che possano gestire il rischio tecnologico che le nuove soluzioni introducono.
    • Quali sono le valutazioni del rischio interessate?
      • Questionario sui rischi intrinseci (IRQ)
      • Valutazioni del rischio della due diligence
      • Saranno condotte da team di Subject Matter Expert (SME) che possono includere: team esperti nella gestione del rischio di terze parti, esperti di privacy, conformità, IT, architettura di sicurezza, sicurezza dagli attacchi o sicurezza open source.
    • Che cos'è un IRQ?
      • L'IRQ è composto da domande sul servizio del fornitore. Tali domande si utilizzano per determinare il rischio potenziale per Zoom e il livello di rischio intrinseco.
    • Cos'è il livello di rischio intrinseco?
      • Per livello di rischio intrinseco si intende il rischio potenziale che un incarico presenta per Zoom ancor prima che vengano applicati o presi in considerazione i controlli. Il livello di rischio si misura su una scala che indica basso, medio e alto. Il livello di rischio intrinseco è l'elemento determinante per stabilire quale lavoro di valutazione del rischio è necessario.
    • Con che frequenza sono richieste le valutazioni del rischio?
      • Gli IRQ sono necessari nel momento in cui si coinvolge un nuovo fornitore. 
      • I requisiti di valutazione del rischio si basano sul livello di rischio intrinseco.
      • Di seguito riportiamo le tempistiche generali che verranno seguite per il monitoraggio continuo:
        • Critico: annuale
        • Elevato: da annuale a biennale
        • Medio: da biennale a triennale
        • Basso: ad hoc
    • Cosa succede se si identificano potenziali rischi o potenziali prove di rischio?
      • Se si identificano prove di rischio relative alla sicurezza, il titolare dell'azienda ha la responsabilità di assicurarsi che il fornitore proponga un piano di risposta al rischio per i problemi riscontrati e che, se è necessario, integri tali piani negli accordi legali.
      • I piani di risposta al rischio possono includere la correzione o l'accettazione delle conclusioni.
  • Gestione degli incidenti
    • Che comportamento deve tenere la mia azienda in caso di incidente relativo alla privacy o alla sicurezza?
      • È possibile segnalare l'incidente contattando direttamente il tuo Vendor Manager di Zoom o inviando un'e-mail al TPRM (tprm@zoom.us).
      • Accertati di includere:
        • Data dell'incidente
        • Nome del fornitore
        • Nome del prodotto/dell'applicazione (se applicabile)
        • Contatti Zoom avvisati
        • PO associato (se applicabile/disponibile)
        • Riepilogo dell'incidente

Risorse