Надання постачальникам доступу до внутрішніх систем без обмежень за рівнем привілеїв.

Обов’язковий щорічний аудит фізичних серверів усіх постачальників без винятку.

Укладання угод із постачальниками, що містять вимоги щодо безпеки інформації інформації та управління ризиками.

Використання попередньо перевірених каналів зв’язку без додаткових заходів контролю.