选择提供商时的尽职调查

1）为什么需要Due Diligence提供商

• 通过产品/国家/数据识别固有的风险。
• 在签订合同之前检查合规性和安全性。
• 在合同阶段记录SLA/SLO和审计权。
• 配置监视和退出计划（离岸）,同时保持数据完整性。

2）何时进行以及涵盖的内容

要点：预选，短名单，合同前，有意义的更改，年度修订。
覆盖面：法律地位、财务可持续性、安全性、隐私、技术性、运营/支持、合规性（GDPR/PCI/AML/SOC 2等）、地理和制裁风险、ESG/道德、分包商。

3）角色和RACI

(R — Responsible;A — Accountable;C — Consulted;I — Informed)

4）评分标准图（我们检查的内容）

4.1法律和公司简介

注册，受益人（KYB），法律纠纷，制裁名单。
受监管服务的许可证/证书。

4.2财务和可持续性

审计报告，债务负担，主要投资者/银行。
单个客户/区域依赖性，连续性计划（BCP）。

4.3安全和隐私

ISMS（策略,RACI）,外部测试结果,漏洞管理。
加密At Rest/In Transit, KMS/HSM,秘密管理。
DLP/EDRM，日志，法律保留，撤消和删除。
事件管理：SLA通知，花花公子，后面模特。

4.4合规性和认证

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR（时限和范围）。
GDPR/局部规范：角色（控制器/处理器），DPA，SCC/BCR，DPIA。
AML/制裁路线（如果适用）。

4.5技术成熟度和集成

体系结构（多元性，隔离性，SLO，DR/HA，RTO/RPO）。
API/SDK，转化，比例限制，观察能力（logi/度量/traces）。
更改管理，版本（蓝绿色/金丝雀），向后兼容性。

4.6业务和支助

24 × 7/Follow-the-sun，反应/恢复时间，肿瘤。
Onbording/Offbording程序,无罚数据导出。

4.7子处理器和供应链

分包商名单，司法管辖区，其控制和变更通知。

4.8 道德操守/ESG

反腐败政策，行为守则，劳工实践，报告。

5）尽职调查过程（SOP）

1.启动：需求卡（目标，数据，管辖权，关键性）。
2.资格：简短问卷（屏幕前）+制裁/许可支票。
3.深度评估：问卷，文物（政治家，报告，证书），访谈。
4.技术人员：安全审查，环境演示，读取逻辑/度量，PoC。
5.评分和风险：固有风险→基准→残余风险。
6.还原：合同前的条款/更正（截止日期清单）。

7.Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.

8.登陆：可用性/SSO、数据目录、集成、监控计划。
9.持续监控：年度修订/触发器（事件，子处理器更改）。
10.Offbording：导出,删除/匿名,召回访问,确认销毁。

6）供应商问卷（核心问题）

于尔。个人、受益人、制裁检查、3年争议。
认证（SOC 2类型/时期，ISO，PCI），最新报告/scope。
安全策略，数据清单，分类，DLP/EDRM。

技术隔离： tenant-isolation,网络策略,加密,密钥.

逻辑和审核：存储、访问、WORM/immutability、SIEM/SOAR。
24个月内的事件：类型，影响，经验教训。
Retence/Remove/Legal Hold/DSAR流。
子处理器：清单，国家，功能，合同担保。
DR/BCP：RTO/RPO，最新测试结果。
支持/SLA：反应/决策时间，升级，信用计划。
退出计划：数据导出、格式、成本。

7）评分模型（示例）

轴心：法律/财务/安全/隐私/技术/运营/合规/链/ESG。
每个轴的得分为1-5；按服务临界值和数据类型加权。

• "RR=Σ（重量_i ×分数_i）"→类别：低度/中度/高度/关键。

High/Critical：合同前必须重新调配，强化了SLA条款和监控。
Low/Medium：标准要求+年度修订。

8）合同中具有约束力的条款（必须拥有）

DPA：角色（控制器/处理器），目标，数据类别，撤消和删除，法律保留，DSAR协助。
跨境传输的SCC/BCR（如果适用）。
Security Appendix：加密、日志、漏洞/补丁、五分位数、漏洞披露。
SLA/SLO：反应/消除时间（sev-level），贷款/罚款，可用性，RTO/RPO。
审计权：审计/问卷/证据权；控制器/子处理器更改通知。
突破通知：通知时间（例如，≤ 24-72小时），格式，调查合作。
Subprocessor Clause：列表，通知/同意变更，责任。
Exit&Data Return/Deletion：导出格式、时间表、销毁确认、迁移支持。
Liability/Indemnity：限制/例外（PI泄漏、许可证违规、监管处罚）。
IP/许可证：开发/配置/数据/元数据权限。

9）监视和触发修订

证书到期/更新（SOC/ISO/PCI），报告状态更改。
更改子处理器/存储位置/司法管辖区。
安全事件/SLA严重中断。
合并/收购，财务业绩恶化。
影响隔离/加密/访问的版本。
监管要求，Findings审核。

10）Vendor Risk Mgmt的度量标准和dashbords

Coverage DD：通过完整DD的关键提供商的百分比。
时间到纸板：从申请到合同的中位数（按风险类别）。
Open Gaps：按提供商（时间/所有者）进行主动重整。
SLA突破率：按时间/可用性划分的SLA违规比例。
事件率：按供应商和严重程度分列的事件/12个月。
Audit Evidence Readiness：当前报告/证书的可用性。
Subprocessor Drift：无通知更改（目标-0）。

11）分类和验证级别

12）支票单

启动DD

• 需求卡和风险类服务。
• 屏幕前：制裁，许可证，基本配置文件。
• 问卷+文物（政策、报告、证书）。
• 集成时的安全/隐私评论+PoC。
• 与截止日期和所有者的差距列表。
• 合同：DPA/SLA/审计权/liability/exit。
• 提高认识和监测计划（指标，Alerts）。

年度修订

• 更新的证书和报告。
• 检查子处理器/地点/司法管辖区。
• 重新融合的状况、新的风险/事件。
• DR/BCP测试和结果。
• Dry-run审核："通过按钮"收集事件。

13）红旗（红旗）

拒绝提供SOC/ISO/PCI或重要报告部分。
加密/日志/数据删除的模煳响应。
没有DR/BCP计划或正在测试中。
没有太平间和课程的封闭事件。
无限制地将数据传输到子处理器/国外而无需担保。
PI泄漏的积极责任限制。

14）反模式

"纸质"DD，没有PoC和techprovers。
不考虑风险/司法管辖区的通用支票清单。
没有DPA/SLA/审计权和退出计划的合同。
缺少提供商注册和变更监控。
"Navechno"发行的访问/令牌无需旋转和重新认证。

15）相关维基文章

编译和报告自动化

连续合规性监控（CCM）

法律保留和数据冻结

策略和过程生命周期

KYC/KYB和制裁筛查

数据存储和删除时间表

连续性计划（BCP）和DRP

结果

面向风险的Due Diligence不是"打勾"，而是可管理的过程：正确的分类，对关键轴的深度检查，明确的合同保证和持续的监控。因此，供应商成为您链条中可靠的一部分，并且您可以预见地满足要求而不会阻碍业务。