Rapporti con i fornitori
Onboarding dei fornitori
Zoom collabora con fornitori di terze parti per soddisfare le esigenze dei clienti e dell'azienda. Possiamo riferirci a queste aziende di terze parti come fornitori, venditori o fornitori di terze parti. Il programma di Gestione del rischio di terze parti (Third Party Risk Management, TPRM) fornisce attività di consulenza e valutazione per molti di questi fornitori di terze parti. Il TPRM collabora con l'ufficio legale, l'ufficio acquisti, quello per la conformità tecnologica, quello per la privacy, con il dipartimento informatico e con le unità aziendali per fornire una governance e una gestione complete di tutti i fornitori di Zoom.
Abbiamo istituito il programma TPRM per garantire che i fornitori che erogano tecnologia o servizi a Zoom e che accedono ai dati sensibili di Zoom rispettino i principi fondamentali di sicurezza e conformità, nonché i requisiti normativi. Saranno condotte valutazioni dei rischi nell'ambito del programma TPRM.
Il TPRM promuove la conformità a questi requisiti attraverso un ciclo di revisione basato sul rischio. Nessun nuovo fornitore può iniziare a lavorare prima del completamento del processo.
Domande frequenti
- Portale per la gestione del rischio dei fornitori
- Portale Zoom per la gestione del rischio dei fornitori
- Quando accedi per la prima volta usa il nome utente e la password che hai ricevuto dal portale Zoom per la gestione del rischio dei fornitori:
- Al primo accesso devi modificare la password
- Dopo il primo accesso avrai la possibilità di modificare il tuo nome utente
- Nota: inizialmente il tuo nome utente viene generato automaticamente e non corrisponde al tuo indirizzo e-mail. Digita il nome utente e la password anziché fare copia/incolla, per evitare di copiare spazi finali che non ti consentirebbero l'accesso.
- Nota: verrà richiesta un'autenticazione a più fattori (MFA).
- Quando accedi per la prima volta usa il nome utente e la password che hai ricevuto dal portale Zoom per la gestione del rischio dei fornitori:
- Hai dimenticato il nome utente/la password e devi reimpostarli?
- Puoi ripristinare la password utilizzando la funzionalità "password dimenticata" sul portale, contattando TPRM@zoom.us o TPRM_Assessments@zoom.us. Ti invieremo un link con una nuova password temporanea.
- Come posso consentire l'accesso al portale per la gestione del rischio ad altre persone in azienda?
- Se necessario, il contatto principale della tua azienda può aggiungere altri contatti sul portale fornitori.
- In che modo il TPRM invierà le comunicazioni alla mia azienda per le azioni richieste?
- Notifiche sul portale dei fornitori
- Portale Zoom per la gestione del rischio dei fornitori
- Scopo del programma
- Quali sono i fornitori coinvolti?
- Il questionario sui rischi intrinseci (IRQ, inherent risk questionnaire) a verrà somministrato a tutti i fornitori. A seconda dei risultati dell'IRQ, per alcuni fornitori potrebbe essere necessaria un'ulteriore valutazione del rischio. Per alcuni servizi ritenuti a basso rischio potrebbe non essere necessaria una valutazione dettagliata.
- Quanto tempo sarà necessario?
- All'avvio di un nuovo incarico, il team del TPRM pianificherà con te un incontro iniziale. In questo periodo ti comunicheremo le attività e le tempistiche della valutazione. L'obiettivo è quello di non superare i 90 giorni solari.
- Quali sono le fasi dell'incarico con il TPRM?
- Preparazione
- Lancio
- Valutazione del lavoro
- Riunioni e analisi
- Chiusura dell'incarico
- Monitoraggio continuo
- Cosa si intende per dati sensibili?
- Dati sui contenuti dei clienti
- Dati dei clienti
- Dati dei dipendenti
- Dati dei potenziali dipendenti
- Registri degli eventi
- Dati di configurazione
- Metadati della riunione
- Quali sono i fornitori coinvolti?
- Valutazioni del rischio
- Cosa sono?
- Le valutazioni del rischio sono servizi di consulenza e valutazione relativi alla conformità normativa o alla sicurezza delle informazioni. L'obiettivo è quello di fornire una direttiva ai team e alla leadership di progetto in modo che possano gestire il rischio tecnologico che le nuove soluzioni introducono.
- Quali sono le valutazioni del rischio interessate?
- Questionario sui rischi intrinseci (IRQ)
- Valutazioni del rischio della due diligence
- Saranno condotte da team di Subject Matter Expert (SME) che possono includere: team esperti nella gestione del rischio di terze parti, esperti di privacy, conformità, IT, architettura di sicurezza, sicurezza dagli attacchi o sicurezza open source.
- Cosa sono?
- Che cos'è un IRQ?
- L'IRQ è composto da domande sul servizio del fornitore. Tali domande si utilizzano per determinare il rischio potenziale per Zoom e il livello di rischio intrinseco.
- Cos'è il livello di rischio intrinseco?
- Per livello di rischio intrinseco si intende il rischio potenziale che un incarico presenta per Zoom ancor prima che vengano applicati o presi in considerazione i controlli. Il livello di rischio si misura su una scala che indica basso, medio e alto. Il livello di rischio intrinseco è l'elemento determinante per stabilire quale lavoro di valutazione del rischio è necessario.
- Con che frequenza sono richieste le valutazioni del rischio?
- Gli IRQ sono necessari nel momento in cui si coinvolge un nuovo fornitore.
- I requisiti di valutazione del rischio si basano sul livello di rischio intrinseco.
- Di seguito riportiamo le tempistiche generali che verranno seguite per il monitoraggio continuo:
- Critico: annuale
- Elevato: da annuale a biennale
- Medio: da biennale a triennale
- Basso: ad hoc
- Cosa succede se si identificano potenziali rischi o potenziali prove di rischio?
- Se si identificano prove di rischio relative alla sicurezza, il titolare dell'azienda ha la responsabilità di assicurarsi che il fornitore proponga un piano di risposta al rischio per i problemi riscontrati e che, se è necessario, integri tali piani negli accordi legali.
- I piani di risposta al rischio possono includere la correzione o l'accettazione delle conclusioni.
- Gestione degli incidenti
- Che comportamento deve tenere la mia azienda in caso di incidente relativo alla privacy o alla sicurezza?
- È possibile segnalare l'incidente contattando direttamente il tuo Vendor Manager di Zoom o inviando un'e-mail al TPRM (tprm@zoom.us).
- Accertati di includere:
- Data dell'incidente
- Nome del fornitore
- Nome del prodotto/dell'applicazione (se applicabile)
- Contatti Zoom avvisati
- PO associato (se applicabile/disponibile)
- Riepilogo dell'incidente
- Che comportamento deve tenere la mia azienda in caso di incidente relativo alla privacy o alla sicurezza?