Proveedor SaaS tuvo brecha. Nuestros datos estaban en su plataforma. Cliente final pregunta si están afectados antes de que el proveedor publique RCA. ¿Esperáis confirmación o comunicáis proactivo? El reloj DORA corre.
6 respuestas
Proactivo SIEMPRE. Si esperas y se filtra a prensa, la reputación cae mucho más que comunicando "estamos investigando con el proveedor X".
¿Y al regulador? DORA 24h early warning aplica si es entidad financiera. Hemos enviado el warning sin confirmación final.
Bien hecho. La autoridad valora la transparencia incluso con incertidumbre. En la intermediate notification a 72h ya tendréis más info.
Actualización: el proveedor confirmó que solo 2 de nuestros tenants estaban afectados. Comunicamos a esos clientes hoy con plan de mitigación.
¿Habéis revisado contractualmente el SLA de notificación del proveedor? Si tardó >24h, es palanca para renegociación o discount.
Tardó 31h. Procurement lo está usando ya para renegociar Q3. Gracias a todos por la guía durante el incidente.
Inicia sesión para responder y votar.