GH GambleHub

Autsorsinq riskləri və podratçılara nəzarət

1) Niyə autsorsing = artan risk

Autsorsing başlanğıcı sürətləndirir və xərcləri azaldır, lakin risk səthini genişləndirir: proseslərinizə, məlumatlarınıza və müştərilərinizə xarici komandalar və onların subpodratçıları daxil olur. Risklərin idarə edilməsi - müqavilə, təşkilati və texniki tədbirlərin ölçü və audit qabiliyyəti ilə birləşməsidir.

2) Risk xəritəsi (tipologiya)

Hüquqi: lazımi lisenziyaların olmaması, zəif müqavilə zəmanətləri, IP/müəllif hüquqları, yurisdiksiya münaqişələri.
Tənzimləyici/komplayens: GDPR/AML/PCI DSS/SOC 2 və s. Uyğunsuzluq; DPA/SCC yoxdur; hesabat müddətinin pozulması.
İnformasiya təhlükəsizliyi: sızma/ifşa, zəif giriş nəzarəti, jurnallaşdırma və şifrələmə yoxdur.
Gizlilik: həddindən artıq PI emalı, retensiyanın pozulması/çıxarılması, Legal Hold ignor və DSAR.
Əməliyyat: aşağı xidmət sabitliyi, zəif BCP/DR, 24 × 7 olmaması, SLO/SLA pozuntuları.
Maliyyə: təchizatçının qeyri-sabitliyi, bir müştəri/bölgədən asılılığı, gizli çıxış xərcləri.
Nüfuzlu: hadisələr/qalmaqallar, maraq toqquşması, zəhərli marketinq.
Təchizat zənciri: qeyri-şəffaf alt prosessorlar, nəzarətsiz məlumat saxlama yerləri.

3) Rollar və məsuliyyət (RACI)

RolMəsuliyyət
Business Owner (A)Autsorsinqin əsaslandırılması, büdcə, son «go/no-go»
Vendor Management / Procurement (R)Seçmə/qiymətləndirmə/yenidən baxılma prosesləri, podratçıların reyestri
Compliance/DPO (R/C)DPA, məxfilik, transsərhəd ötürmələr, req öhdəlikləri
Legal (R/C)Müqavilələr, məsuliyyət, audit hüquqları, IP, sanksiya yoxlamaları
Security/CISO (R)IB tələbləri, pentestlər, jurnallaşdırma, hadisələr
Data/IAM/Platform (C)SSO, rollar/SoD, şifrələmə, qeydlər, inteqrasiya
Finance (C)Ödəniş riskləri, valyuta şərtləri, cərimə mexanizmləri
Internal Audit (I)Dolğunluğun yoxlanılması, müstəqil nəzarət qiymətləndirilməsi

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Podratçıların nəzarət həyat dövrü

1. Planlaşdırma: autsorsing məqsədi, kritik, məlumat kateqoriyaları, yurisdiksiya, alternativlərin qiymətləndirilməsi (build/buy/partner).
2. Due Diligence: anketlər, artefaktlar (sertifikatlar, siyasətlər), texniki yoxlamalar/RoS, risklərin hesablanması və qapı siyahısı.
3. Müqavilə: DPA/SLA/audit hüququ, məsuliyyət və cərimələr, alt prosessorlar, çıxış planı (exit) və məlumatların silinmə müddəti.
4. Onbording: SSO və rollar (ən kiçik imtiyazlar), məlumat kataloqları, mühit izolyasiyası, jurnallaşdırma və alertlər.
5. Əməliyyatlar və monitorinq: KPI/SLA, insidentlər, alt prosessorların/yerlərin dəyişdirilməsi, illik yenidən baxılması və dəlil nəzarəti.
6. Review/remediation: son tarix ilə haps düzəliş, waiver-prosedurlar.
7. Offbording: giriş geri çağırılması, ixrac, silinmə/anonimləşdirmə, məhv təsdiqi, evidence arxivi.

5) Müqavilə «must-have»

DPA (müqavilə tətbiqi): rollar (controller/processor), emal məqsədləri, məlumat kateqoriyaları, retensiya/silmə, Legal Hold, DSAR, saxlama və ötürmə yerləri (lazım olan yerlərdə SCC/BCR) ilə kömək.
SLA/SLO: əlçatanlıq səviyyələri, reaksiya/aradan qaldırma vaxtı (sev-səviyyələri), kredit/pozuntulara görə cəza, RTO/RPO, 24 × 7/Follow-the-sun.
Təhlükəsizlik Annex: şifrələmə at rest/in transit, açar idarəetmə (KMS/HSM), gizli idarəetmə, jurnallaşdırma (WORM/Object Lock), pentestalar/skanlar, zəifliklərin idarə edilməsi.
Audit & Assessment Rights: müntəzəm sorğular, hesabatların verilməsi (SOC 2/ISO/PCI), audit hüququ/on-sayt/log review.
Subprocessors: siyahı, xəbərdarlıq/dəyişiklik razılaşdırılması, zəncir üçün məsuliyyət.
Breach Notification: vaxt (məsələn, ≤ 24-72 saat), format, istintaq qarşılıqlı.
Exit/Deletion: ixrac formatı, şərtlər, məhv təsdiqi, miqrasiya dəstəyi, çıxış dəyəri üçün cap.
Liability/Indemnity: limitlər, istisnalar (PI sızması, tənzimləyicilərin cərimələri, IP pozuntuları).
Change Control: Service/Location/Control-da əhəmiyyətli dəyişikliklər barədə bildirişlər.

6) Texniki və təşkilati nəzarət

Giriş və şəxsiyyət: SSO, ən kiçik imtiyazlar prinsipi, SoD, kampaniya yenidən sertifikatlaşdırma, JIT/müvəqqəti giriş, məcburi MFA.
İzolyasiya və şəbəkələr: tenant-isolation, seqmentasiya, şəxsi kanallar, allow-lists, egress məhdudlaşdırılması.
Şifrələmə: məcburi TLS, media şifrələmə, açarların idarə edilməsi və rotasiya, ev kriptoqrafiyasının qadağan edilməsi.
Jurnallaşdırma və sübut: mərkəzləşdirilmiş qeydlər, WORM/Object Lock, hesabatların hash fiksasiyası, evidence kataloqları.
Data & Privacy: maskalama/təxəllüs, Retence Control/TTL, Legal Hold override, Data Export Control.
DevSecOps: SAST/DAST/SCA, gizli scan, SBOM, OSS lisenziyaları, CI/CD geytaları, buraxılış siyasəti (mavi-yaşıl/canary).
Sabitlik: DR/BCP testləri, RTO/RPO hədəfləri, capacity-planlaşdırma, SLO monitorinqi.
Əməliyyatlar: playbooks hadisələr, on-call, SLA ilə ITSM-biletlər, change-management.
Təlim və qəbullar: IB/privacy provayder məcburi kursları, personalın yoxlanılması (where lawful).

7) Davamlı təchizatçı monitorinqi

Performans/SLA: əlçatanlıq, reaksiya/aradan qaldırma vaxtı, kreditlər.
Sertifikatlar/hesabatlar: SOC/ISO/PCI aktuallığı, scope və istisnalar.
Hadisələr və dəyişikliklər: tezlik/ciddilik, dərslər, alt prosessor/yer dəyişikliyi.
Drift controls: müqavilə tələblərindən kənarlaşmalar (şifrələmə, jurnallaşdırma, DR testlər).
Maliyyə sabitliyi: ictimai siqnallar, M&A, benefisiarların dəyişməsi.
Yurisdiksiya və sanksiyalar: yeni məhdudiyyətlər, ölkələrin/buludların/məlumat mərkəzlərinin siyahısı.

8) Ölçülər və Daşbordlar Vendor Risk & Outsourcing

MetrikaTəsvirMəqsəd (nümunə)
Coverage DDtamamlanmış Due Diligence ilə kritik podratçılar%≥ 100%
Open GapsPodratçılarda aktiv qapılar/remediasiya≤ 0 kritik
SLA Breach RateZaman/əlçatanlıq SLA pozuntuları≤ 1 %/rüb
Incident RateTəhlükəsizlik hadisələri/hər bir podratçı üçün 12 ay↓ trend
Evidence ReadinessAktual Hesabatlar/Sertifikatlar/Qeydlər100%
Subprocessor DriftBildirişsiz dəyişikliklər0
Access Hygiene (3rd)Podratçının vaxtı keçmiş/lazımsız çıxışları≤ 1%
Time-to-OffboardHəlldən tam giriş/silinməyə qədər≤ 5 iş günü

Dashboard: Provayderlərin Heatmap riskləri, SLA Center, Incidents & Findings, Evidence Readiness, Subprocessor Map.

9) Prosedurlar (SOP)

SOP-1: Podratçı qoşulma

1. Risk təsnifatı xidməti → 2) DD + PoC → 3) müqavilə proqramları → 4) giriş/giriş/şifrələmə onbordinq → 5) başlanğıc metriklər və dashbordlar.

SOP-2: Podratçıda dəyişikliklərin idarə edilməsi

1. Dəyişiklik kartı (yer/sub-prosessor/memarlıq) → 2) risk qiymətləndirilməsi/hüquqşünaslıq → 3) DPA/SLA yeniləmə → 4) kommunikasiya və tətbiq müddəti → 5) evidence yoxlama.

SOP-3: Podratçıda insident

Detect → Triage (sev) → Notify (müqavilənin müvəqqəti pəncərələri) → Contain → Eradicate → Recover → Post-mortem (dərslər, nəzarət/müqavilə yeniləmələri) → Evidence WORM-də.

SOP-4: Offbording

1. Freeze inteqrasiyalar → 2) məlumat ixrac → 3) silinməsi/anonimləşdirilməsi + təsdiq → 4) bütün giriş/açarları geri çağırılması → 5) bağlama hesabat.

10) Istisnaların idarə edilməsi (waivers)

Son tarix, risk qiymətləndirilməsi və kompensasiya nəzarəti ilə rəsmi sorğu.
GRC/daşbordlarda görünürlük, avtomatik xatırlatmalar, «əbədi» istisnaların qadağan edilməsi.
Komitənin gecikmə/kritik risk altında eskalasiyası.

11) Nümunə nümunələri

Podratçı onbordinq yoxlama siyahısı

  • DD tamamlandı; skoring/risk kateqoriyası təsdiq
  • DPA/SLA/audit rights imzalanmışdır; Security Annex razılaşdırılıb
  • Subprosessorların siyahısı alındı; saxlama yerləri təsdiq
  • SSO/MFA konfiqurasiya; rolları minimuma endirilir; SoD təsdiqləndi
  • Qeydlər bağlıdır; WORM/Object Lock konfiqurasiya; alertlər açılır
  • DR/BCP məqsədləri razılaşdırılmış; test tarixi təyin
  • DSAR/Legal Hold prosedurları inteqrasiya
  • Dashboard və monitorinq metrikası daxildir

Mini SLA şablon tələbləri

Reaksiya müddəti: 15 dəqiqə, 1 saat, 4 saat

Bərpa vaxtı: Sev1 ≤ 4 saat, Sev2 ≤ 24 saat

Mövcudluq: ≥ 99. 9 %/ay; pozulduqda kreditlər

Hadisə xəbərdarlığı: ≤ 24 saat, hər 4 saatdan bir aralıq yeniləmə (Sev1)

12) Antipattern

Log, telemetriya və audit hüquqları olmadan «kağız» nəzarət.
Çıxış planı yoxdur: bahalı/uzun ixrac, xüsusi formatlardan asılılıq.
Podratçının əbədi çıxışları, re-certification yoxdur.
Subprosessorlar və data saxlama yerləri.
KPI sahibi olmadan/eskalasiya və qırmızı faktlarla «yaşıl» zonalar.
evidence üçün WORM/immutability olmaması - audit mübahisəlidir.

13) Autsorsing nəzarət yetkinlik modeli (M0-M4)

M0 Bölünmüş: birdəfəlik yoxlamalar, «hamı kimi» müqaviləsi.
M1 Kataloq: podratçıların reyestri, əsas SLA və sorğu vərəqələri.
M2 Nəzarət: DD risk, standart DPA/SLA, bağlı log və dashboard.
M3 inteqrasiya: continuous monitoring, policy-as-code, auto-evidence, müntəzəm DR testlər.
M4 Assured: «düyməsi ilə audit-ready», təchizat zəncirinin proqnozlaşdırılan riskləri, avtomatik eskalasiya və off-ramp ssenariləri.

14) Əlaqəli wiki məqalələr

Due Diligence provayderləri seçərkən

Komplayens və hesabatların avtomatlaşdırılması

Davamlı uyğunluq monitorinqi (CCM)

Legal Hold və məlumatların dondurulması

Siyasət və prosedurların həyat dövrü

KYC/KYB və sanksiya skrininqi

Davamlılıq Planı (BCP) və DRP

Yekun

Autsorsinq nəzarəti yoxlama siyahısı deyil, sistemdir: risk yönümlü seçim, sərt müqavilə zəmanəti, minimum və müşahidə olunan giriş, davamlı monitorinq, sürətli offbording və sübut bazası. Belə bir sistemdə podratçılar sizin zəifliyinizi artırmadan biznesin sürətini artırırlar.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.