第三方供应商风险和合作伙伴审计
1)为什么和为谁
目标:减少通过外部供应商和合作伙伴出现的故障、泄漏和监管违规的可能性。
覆盖范围包括:PSP/支付网关,KUS/制裁/RER,antifrod,游戏和工作室提供商,关联网络和跟踪,云/CDN/托管,BI/分析,重建工具/市场营销SDK,呼叫中心以及供应商的子处理器。
2)风险类别(域名卡)
信息生成和隐私:PII/KYC/支付令牌泄漏,TOM薄弱,缺少WORM/审计。
合规性:GDPR/UK GDPR/ePrivacy,AML/KYC,PCI区域,司法管辖区的广告/游戏要求。
操作:可用性/SLA,单供应商依赖性(concentration), BCP/DR弱。
金融:供应商的可持续性,信贷风险,"chargeback冲击"。
制裁/地缘政治:对进出口的限制,数据中心的位置,所有权结构中的发展/制裁。
声誉和法律: 违反广告/负责任的游戏,IP权利.
技术:SDK/API漏洞,缺乏验证和测试环境。
3)供应链映射
1.Inventory:所有供应商/合作伙伴/子处理器与所有者(业务所有者)的统一注册表。
2.数据地图:哪些数据/司法管辖区/卷通过谁;PII/财务/特殊类别的旗帜。
3.Criticality:按金钱/PII/药房影响分类。
4)供应商的暴躁(标准示例)
5)风险筛选和计分
因素:安全(政策,认证),隐私(DPA/SCCs/DTIA),合规性(AML/PCI/ISO),操作可持续性(SLA/BCP/DR),财务(审计/报告),管辖权/制裁,事件历史,技术成熟(SDLC/DevSecOps)。
得分(示例):每个因素为0-5 →加权总数(W)→区域:绿色/黄色/红色。
- 绿色:标准合同。
- 琥珀色:对Go-Live的控制/重制。
- 红色:失效或飞行员使用多余的措施(segmentation,throttling,read-only,escrow,降低限制)。
6)尽职调查(入口处需要什么)
工件/控制(1-2级的最低限度):- 安全/隐私政策,RoPA,子处理器注册表。
- 审核报告/认证(ISO 27001/SOC 2 type II/PCI,如果适用)、最新五重测试。
- BCP/DR和测试结果,RPO/RTO。
- 事件程序(72小时通知),12至24个月的事件日志。
- DPA/跨境机制(SCCs/IDTA)+DTIA,数据/密钥本地化。
- 集成安全性:mTLS/OIDC,签名网络手册,密钥轮换,allow-list IP。
- 访问/导出日志、WORM副本、hash链。
- 重整和删除政策,确认在离岸时销毁后备箱。
- Finstability(公开报告/参考),所有权结构(制裁/RER检查)。
Tier 2-3的轻量级问卷:sSIG/CAIQ级别(20-60个问题)。
7)合同要求(关键项目)
SLA/SLO:药房(同上,第99页。9%),P95潜伏期,事件响应时间,服务信用。
Security/Privacy addendum:加密at rest/in transit、密钥/地理、日志、掩码、禁止二次数据使用。
DPA+子处理器:通知链扩展的职责;异议/审计权。
事件和通知:通知窗口≤ 72小时;访问记录/文物;联合战争室。
BCP/DR:每年N次强制性测试,RPO/RTO。
Pen-test/Audit权限:每年至少一次(远程/站点),访问报告。
更改控制:主要更改通知(SDK/API/体系结构/地理)。
Termination&Exit:导出数据(格式),删除/退回,escrow用于关键集成,支持迁移到X天。
Liability/Indemnity: cap/cublimits, IP保修,对SLA违规行为/泄漏的处罚。
8)登船→监视→离开(生命周期)
8.1 Onboarding
1.商业桉例和所有者→ tiring →问卷/文物。
2.Risk review (Security/Privacy/Compliance/Legal/Finance).
3.控制到Go-Live:分段(VPC/tenant),负载/限制,掩蔽/标记,功能横幅,测试沙盒。
4.合同/整合→飞行员→ Go/No-Go。
8.2 Continuous Monitoring
技术咨询:药房,错误,潜伏期,风险预算。
安全性:SIEM Alertes(不带有"目标"的异常出口/访问),供应商报告,SDK漏洞。
隐私/合规性:子处理器,位置,还原的变化;DSAR兼容性。
财务:转换为KPI/refund/chargeback,SLA罚款。
1-2级季度回顾和年度re-due-diligence。
8.3 Offboarding
撤消密钥/访问,销毁/退回数据和备份,行为,关闭字幕,更新注册表和数据地图。
9)合作伙伴审核程序
9.1计划和领域
重点:访问管理、加密/密钥、日志、事件、BCP/DR、DSAR进程、子处理器。
9.2种方法
访谈,文件/日志审查,抽查,技术测试(api-rate-limit/mTLS/签名),tabletop教学。
9.3报告和CAPA
发现分类(Critical/High/Medium/Low),重整时间,关闭控制和重新检查。
10)供应商发生的事件: 剧本
1.产品:供应商信号/我们的监控/社区。
2.War-room: owners + Security + DPO + Legal + Product.
3.容纳:流量限制/SDK/密钥关闭,时间限制/金丝雀池。
4.Forenzika:呼叫日志,webhook签名,WORM确认,受影响的记录范围。
5.通知:监管机构/用户/银行(如果需要),联合文本。
6.CAPA:虚构,时限,绩效检查;审查评分和合同条款。
11) RACI(简称)
12)度量(KPI/KRI)
Coverage:注册表中活跃供应商的百分比,最新评级≥ 100%。
评估TTM: 1级尽职调查时间中位数≤ 15个工作日。
Remediation SLA:关键发现关闭≤ 30天(≥ 95%)。
事件通知:72小时至100%窗口中的通知比例。
DPA/SCCs/DTIA Coverage:Tier 1-2-100%相关。
概括风险:每1个PSP/提供商的流量/收入份额 ≤ X%(阈值)。
BCP/DR Evidence:12个月内确认测试的Tier 1%-100%。
出口记录:100%的出口签名和点燃。
13)模板和片段
13.1迷你问卷(Tier 1-2,摘录)
认证/审计(ISO/SOC2/PCI),到期日期。
数据体系结构:地理,子处理器,密钥/KMS,加密。
24个月内的事件(类型/日期/措施)。
访问和日志(RBAC/ABAC,断玻璃,JIT,WORM)。
BCP/DR(测试日期,RPO/RTO)。
DSAR/重建,RoPA,CMP/SDK。
API技术控制: mTLS/OIDC, webhook签名,键轮换,rate-limit.
13.2个SLA(片段)
13.3安全和隐私附加条件(摘录)
"禁止二次使用数据;严格按需要到知道的方式进行;只出口到经批准的登记册"
"带有哈希签名的不可更改期刊(WORM);每年按需审计一次"
"替换子处理器时,通知≥ 30天,反对权,替代计划。"
"DTIA在适当司法管辖区以外的任何跨境转移;钥匙-在EC/UK(按安排)中"
14)支票单
在与供应商的Go-Live之前
- Owner已指定,射程已定义
- 已收到并验证问卷/文物
- DPA/SLA/编辑签名,子处理器声明
- 分段/限制/掩码包括在内,密钥是分开的
- 事件测试沙箱/药丸通过
- 退出/迁移计划和escrow已完成
季度(Tier 1-2)
- 监视SLA/事件/SDK漏洞
- 更新证书/报告,子处理器注册表
- DR/BCP测试已确认
- Fin筛查(可持续性)、制裁检查
- 重新审视集中风险和替代品
Offboarding
- 钥匙/访问被召回
- 数据导出完成,删除确认/备份
- 关闭行为,更新了Data Mar/Registries
15)示范情景和措施
A) SDK营销中的漏洞
立即关闭,PII收集块,必要时通知DPO/监管机构,供应商处的CAPA,请退货。
B) PSP通过SLA降解
将流量自动路由到备用PSP,降低限制,激活服务信贷,修订合同/退出计划。
C) KYC提供商泄漏
集成隔离、令牌重印、受影响的记录映射、通知、手动KYC高风险、供应商审核、最终更换。
16) TPRM实施路线图
1-2周:供应商库存,数据地图,暴风雨,基本问卷和注册表。
第3至第4周:SLA/DPA/补充模板,boarding/monitoring/离岸流程,与SIEM/CMDB/IDP集成。
第2个月:Tier 1-2飞行员,启动季度审查,自动化证书/截止日期检查。
月3+:缩放,计分/dashbords,BCP/DR压力测试,集中风险优化和其他途径。
TL;DR
强大TPRM=完整的供应商地图→ tiring和评分→硬合同(SLA/DPA/BCP/DTIA)→细分和安全集成→持续监控和审计→快速退出/重整。这保护了资金、数据和许可证-即使在合作伙伴崩溃的情况下也能保持业务的可持续性。