合作伙伴合规指南
1)目的和范围
本指南为合作伙伴/承包商/附属机构/提供商(包括支付和托管平台,内容工作室,反欺诈服务,呼叫中心,营销机构)定义了合规要求。
目标是:- 统一的安全、隐私、监管和负责任的沟通标准。
- 减少供应链中的运营/法律风险。
- "审计就绪"证据基础和相互可验证性。
2)术语
合作伙伴是处理数据或提供服务的任何第三方。
关键合作伙伴-对安全性、支付、个人数据或监管流程产生有意义的影响。
子处理器是参与数据处理的合作伙伴的交易对手。
3)原则("设计条款")
合规设计:要求嵌入到流程和体系结构中。
数据最小化和管辖权会计(数据驻留)。
可跟踪性和不可变性:标志,WORM存档,哈希收据。
促进性:检查的深度取决于风险。
"真理的一个版本":SLA和RACI可以理解的确认文物。
4)角色和RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
5)风险合作伙伴分类
标准:数据类型(PII/付款),交易量,对软件系统的访问,管辖权,链中的角色(处理器/控制器),事件历史,证书/审计。
级别:低度/中度/高度/关键→决定了尽职调查的深度和修订频率。
6)讨价还价和尽职调查(DD)
步骤:1.DD问卷(所有者,子处理器,数据位置,证书,控制器)。
2.制裁/声誉/受益人检查(screening)。
3.安全/隐私评估:SOC/ISO/PCI/pentest,撤消策略,DSAR流程。
4.技术验证:SSO/OAuth,加密,秘密管理,拼写。
5.付款/AML方面(如果适用):充电器流程,反欺诈和限制。
6.风险报告和解决方案:入场/有条件/拒绝+SARA/补偿措施。
7.合同:MSA,SLA/OLA,DPA,审计权,镜像撤回,事件通知,越位。
7)对合伙人的强制性要求(最低)
7.1安全和隐私
transit/at rest加密,密钥管理(KMS/HSM)。
RBAC/ABAC,MFA,管理动作日志,重新认证访问。
具有哈希签名的日志和WORM档案;同步时间。
回避政策,法律保留,DSAR程序;PI掩蔽/令牌化。
漏洞报告/pentests;托管更新策略。
7.2监管和营销
禁止不可靠/激进的离场,强制性的折扣。
遵守负责任的游戏和年龄验证规则(如果适用)。
根据许可证和当地限制进行地理定位。
记录的通信同意/退出,pruff存储。
7.3 付款/AML/KYC(按角色)
KYC/KYB程序,制裁/RER筛查,交易监控。
授权/3 DS Logs、chargeback流程、风险限制。
协调的锁定/调查和退货方案。
8)技术集成
SSO/SAML/OIDC,SCIM proviging(如果可能)。
结构化逻辑(JSON/OTel),跟踪(trace_id)。
Webhooks-带有签名和转发;交付保证/等效性。
API限制,合同测试,后端兼容,转换。
孤立的环境,密钥和秘密-进入秘密存储库。
9)合同义务
SLA/OLA:药房,TTR/MTTR,延迟,关键服务的RPO/RTO。
Evidence&Audit:审核权限、PBC格式、响应时间、数据室访问。
事件:≤ X小时通知,报告格式和时间线,CAPA。
撤消和删除:TTL,销毁确认,子处理器的镜像撤消。
保密/NDA和分包限制。
10)事件管理(联合)
单一警报通道和战斗节奏更新。
立即法律保留相关数据。
联合时间线(谁/什么/时间),带有哈希收据的文物。
向监管机构/客户发出通知-通过一致的过程。
Post-mortem, CAPA, re-audit 30-90天。
11)报告和监测
季度报告:证书,事件,SLA,子处理器,数据位置更改。
特权/DSAR指标,客户投诉,市场违规行为。
财务/支付:充电率、反欺诈效率、胜诉率。
12)控制和审计法
按风险类别分列的定期审计;计划外事件/关键变化。
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
结果→ CAPA,截止日期和验证(在WORM中进行)。
13)Offbording合作伙伴
迁移/替换计划,工件和密钥的转移。
确认合作伙伴和子处理器的数据销毁。
撤消访问/秘密,关闭集成渠道。
最终审计/报告和证据存档。
14)度量标准和KRI
登上领导时间(按风险等级)。
Vendor Certificate Freshness(目标:100%关键合作伙伴)。
按合作伙伴划分的SLA Compliance和Incident Rate。
隐私/DSAR SLA和客户投诉。
Chargeback Ratio/Fraud Loss%(用于支付角色)。
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift(位置/子处理器的不一致更改)。
15) Dashbords
Vendor Risk Heatmap:风险表、证书、事件、国家。
Compliance Coverage: DPA/SLA的存在,审计权,撤销/法律保留。
SLA&Incidents:药房,TTR/MTTR,未解决的事件。
Privacy&DSAR:时机、数量、投诉、趋势。
Payments/Fraud: chargeback ratio,理由,win-rate上诉。
CAPA&Re-audit:状态、延迟、重复注释。
16) SOP(标准程序)
SOP-1: Onbording合作伙伴
DD问卷→筛选→那些/隐私/安全评估→风险报告→条约(MSA/DPA/SLA)→集成和书写设置→飞行员→现场直播。
SOP-2: 合作伙伴的变化
更改符号(子处理器/位置/体系结构)→风险评估→合同/策略升级→测试→验证。
SOP-3: 事件
单一通道→ Legal Hold →协作时间线/工件→通知→ CAPA →重新审核。
SOP-4: 定期审计
年度/季度风险周期→ PBC → ToD/ToE样本→ 报告/SARA →发布指标。
SOP-5: Offbording
迁移计划→出口/转让→销毁确认→取消访问→最终报告。
17)工件模板
17.1 Vendor DD Checklist(片段)
于尔。数据/受益人;制裁筛查
证书/审计、安全/隐私政策
数据位置/子处理器/转介
24个月内的事件,CAPA
那些。集成: SSO、拼写、加密、webhooks
17.2 DPA/SLA-强制性条款
数据处理、目标、法律依据
事件通知时间、报告格式
审核权限,PBC格式,数据室
TTL/删除,法律保留,销毁确认
子处理器和匹配顺序
17.3证据包(证据包)
访问/管理操作逻辑(结构化,哈希收据)
漏洞报告/pentests/scan
DSAR注册/删除/撤销
SLA/事件/恢复(RTO/RPO)
已签署的合同/增编版本
18)反模式
不透明的子处理器/数据位置。
没有re-cert和日志的"端到端"访问。
手动卸载无不可变性和哈希确认。
具有不可靠/禁止承诺的营销。
缺少Offbording中数据销毁的确认。
永恒的等待者没有时间表和补偿措施。
19)成熟度模型(M0-M4)
M0地狱专用:一次性检查,没有合作伙伴风险登记册。
M1目录:合作伙伴列表,基本DD/合同。
M2管理:风险等级,SLA/DPA,dashbords,计划修订。
M3集成:成像/evidence-shin, re-audit, CAPA镜头,"audit-ready"。
M4持续保证:实时监控、推荐检查、PBC/evidence数据包自动生成。
20)相关文章wiki
选择提供商时的尽职调查
外包风险和承包商控制
第三方审计员的外部审计
保管证据和文件
日记和审计步道
补救计划(CAPA)
重复审计和执行情况监测
策略和规范存储库
团队中合规决策的交流
底线
"合作伙伴合规指南"将供应链转变为可管理的生态系统:单一要求,可预测的检查,不可改变的证据和透明的安排。这样可以降低风险,加快集成速度,并使协作具有可扩展性和可验证性。