Quando accedi per la prima volta usa il nome utente e la password che hai ricevuto dal portale Zoom per la gestione del rischio dei fornitori:

Al primo accesso dovrai modificare la password Dopo il primo accesso avrai la possibilità di modificare il tuo nome utente Nota: inizialmente il tuo nome utente viene generato automaticamente e non corrisponde al tuo indirizzo e-mail. Digita il nome utente e la password anziché fare copia/incolla, per evitare di copiare spazi finali che non ti consentirebbero l’accesso. Nota: verrà richiesta un’autenticazione a più fattori (MFA).

In che modo il TPRM invierà le comunicazioni alla mia azienda per le azioni richieste?

E-mail Notifiche sul portale dei fornitori

Quali sono le fasi dell'incarico con il TPRM?

Preparazione Lancio Valutazione del lavoro Riunioni e analisi Chiusura dell’incarico Monitoraggio continuo

Cosa si intende per dati sensibili?

Dati sui contenuti dei clienti Dati dei clienti Dati dei dipendenti Dati dei potenziali dipendenti Registri degli eventi Dati di configurazione Metadati della riunione

Quali sono le valutazioni del rischio interessate?

Questionario sui rischi intrinseci (IRQ) Valutazioni del rischio di due diligence da condurre da team di esperti in materia (SME) che possono includere gestione del rischio di terze parti, privacy, conformità, IT, architettura di sicurezza, sicurezza offensiva o sicurezza open source.

Con che frequenza sono richieste le valutazioni del rischio?

Gli IRQ sono necessari nel momento in cui si coinvolge un nuovo fornitore. I requisiti di valutazione del rischio si basano sul livello di rischio intrinseco. Di seguito riportiamo le tempistiche generali che verranno seguite per il monitoraggio continuo: Critico: annuale Elevato: da annuale a biennale Medio: da biennale a triennale Basso: ad hoc

Cosa succede se si identificano potenziali problemi o rischi?

Se vengono individuate problematiche di sicurezza, il responsabile aziendale di Zoom è incaricato di assicurarsi che il fornitore fornisca un piano di gestione del rischio relativo al problema e può integrare tale piano nei contratti legali, se necessario. I piani di risposta al rischio possono includere la correzione o l’accettazione degli stessi.

Che comportamento deve tenere la mia azienda in caso di incidente relativo alla privacy o alla sicurezza?

È possibile segnalare l’incidente contattando direttamente il proprio vendor manager di Zoom o inviando un’e-mail al TPRM ( tprm@zoom.us ). Accertati di includere: Data dell’incidente Nome del fornitore Nome del prodotto/dell’applicazione (se applicabile) Contatti Zoom avvisati PO associato (se applicabile/disponibile) Riepilogo dell’incidente

Relazioni con i fornitori di terze parti

Onboarding dei fornitori

Zoom collabora con fornitori di terze parti per soddisfare le esigenze dei clienti e delle aziende. Queste società di terze parti possono essere indicate come fornitori, venditori o venditori di terze parti. Il programma di gestione del rischio di terze parti (TPRM) fornisce attività di consulenza e valutazione per molti di questi fornitori di terze parti. TPRM collabora con Ufficio Legale, Approvvigionamenti, Conformità tecnologica, Privacy, IT e Business Unit per fornire una governance e una gestione complete della popolazione di fornitori di Zoom.

Il programma TPRM è stato istituito per garantire che i fornitori che forniscono tecnologia o servizi a Zoom e accedono ai dati sensibili di Zoom seguano i principi chiave di sicurezza, soddisfino i requisiti normativi e di conformità. Nell'ambito del programma TPRM, verranno condotte valutazioni del rischio.

Il TPRM promuove la conformità a questi requisiti attraverso un ciclo di revisione basato sul rischio. Per tutti i nuovi fornitori, il lavoro non può iniziare fino al completamento di questo processo.

Domande frequenti

Vendor Risk Management Portal

Al primo accesso dovrai modificare la password
Dopo il primo accesso avrai la possibilità di modificare il tuo nome utente
Nota: inizialmente il tuo nome utente viene generato automaticamente e non corrisponde al tuo indirizzo e-mail. Digita il nome utente e la password anziché fare copia/incolla, per evitare di copiare spazi finali che non ti consentirebbero l’accesso.
Nota: verrà richiesta un’autenticazione a più fattori (MFA).

Puoi ripristinare la password utilizzando la funzionalità "password dimenticata" sul portale, contattando TPRM@zoom.us o TPRM_Assessments@zoom.us. Ti invieremo un link con una nuova password temporanea.

Se necessario, il contatto principale della tua azienda può aggiungere altri contatti sul portale fornitori.

E-mail
Notifiche sul portale dei fornitori

Program Scope

Il questionario sui rischi intrinseci (IRQ) verrà somministrato a tutti i fornitori. A seconda dei risultati dell’IRQ, per alcuni fornitori potrebbe essere necessaria un’ulteriore valutazione del rischio. Per alcuni servizi ritenuti a basso rischio potrebbe non essere necessaria una valutazione dettagliata.

All’avvio di un nuovo incarico, il team del TPRM pianificherà con te un incontro iniziale. In questo periodo ti comunicheremo le attività e le tempistiche della valutazione. L’obiettivo è quello di non superare i 90 giorni solari.

Preparazione
Lancio
Valutazione del lavoro
Riunioni e analisi
Chiusura dell’incarico
Monitoraggio continuo

Dati sui contenuti dei clienti
Dati dei clienti
Dati dei dipendenti
Dati dei potenziali dipendenti
Registri degli eventi
Dati di configurazione
Metadati della riunione

Risk Assessments

Le valutazioni del rischio sono servizi di consulenza e valutazione relativi alla conformità normativa o alla sicurezza delle informazioni. L’obiettivo è quello di fornire una direttiva ai team e alla leadership di progetto in modo che possano gestire il rischio tecnologico che le nuove soluzioni introducono.

Questionario sui rischi intrinseci (IRQ)
Valutazioni del rischio di due diligence da condurre da team di esperti in materia (SME) che possono includere gestione del rischio di terze parti, privacy, conformità, IT, architettura di sicurezza, sicurezza offensiva o sicurezza open source.

L’IRQ è costituito da domande sul servizio del fornitore, utilizzate per determinare il potenziale rischio per Zoom e il livello di rischio intrinseco.

Per livello di rischio intrinseco si intende il rischio potenziale che un incarico presenta per Zoom ancor prima che vengano applicati o presi in considerazione i controlli. Il livello di rischio si misura su una scala che indica basso, medio ed elevato. Il livello di rischio intrinseco è l’elemento determinante per stabilire quale lavoro di valutazione del rischio è necessario.

Gli IRQ sono necessari nel momento in cui si coinvolge un nuovo fornitore.
I requisiti di valutazione del rischio si basano sul livello di rischio intrinseco.
Di seguito riportiamo le tempistiche generali che verranno seguite per il monitoraggio continuo:
- Critico: annuale
- Elevato: da annuale a biennale
- Medio: da biennale a triennale
- Basso: ad hoc

Se vengono individuate problematiche di sicurezza, il responsabile aziendale di Zoom è incaricato di assicurarsi che il fornitore fornisca un piano di gestione del rischio relativo al problema e può integrare tale piano nei contratti legali, se necessario.
I piani di risposta al rischio possono includere la correzione o l’accettazione degli stessi.

Incident Management

È possibile segnalare l’incidente contattando direttamente il proprio vendor manager di Zoom o inviando un’e-mail al TPRM (tprm@zoom.us).
Accertati di includere:
- Data dell’incidente
- Nome del fornitore
- Nome del prodotto/dell’applicazione (se applicabile)
- Contatti Zoom avvisati
- PO associato (se applicabile/disponibile)
- Riepilogo dell’incidente