Hoy en día, empresas financieras utilizan un sin número de proveedores, desde servicios de centros de llamadas hasta bancas en línea. Estos proveedores permiten reducir el costo operativo de su empresa y a la vez garantizando un servicio de calidad. Aunque se utilicen proveedores con mejoras de costo y calidad; esto no solo sería de estar con los ojos cerrados con ellos, sino que se deben exigir las mismas políticas de seguridad que utiliza la empresa financiera. No solamente seguir las reglas de seguridad; también, se deben realizar auditoría tal cual como si es parte de la misma empresa financiera.
Proveedor que sea comprometido por un ataque cibernético puede poner en riesgo a sus clientes si no es informado al instante. Los ciberdelincuentes ya no solo atacan directamente a sus víctimas, sino que un nuevo vector de ataques son los proveedores de las empresas que tienen en la mira. Un ciberdelincuente si logra comprometer un servicio de centro de llamadas al cliente (Centro De Atención Telefónica) pudiera comprometer información sensible de los clientes de la empresa financiera. En otras palabras, comprometer a un proveedor es un vector de ataque muy común hoy en día.
Estos servicios de terceros que ofrecen a las empresas financieras se les debe requerir un requisito que valide el uso de las buenas prácticas de seguridad de la información y a la vez certificaciones de estándares de cumplimiento de normas de seguridad (ej. PCI, ISO 27001, SOC2, etc.). También, es importante tener en conocimiento de la manera que realizan las auditorías de sus infraestructuras tecnológicas y sus aplicaciones desarrolladas por ellos mismo. Por último, se debe entender que si un proveedor es comprometido, como una banca en línea, no solo afectaría al banco, sino que afectaría todos sus clientes si el proveedor reutiliza sus mismos códigos fuentes para sus clientes.