Δέουσα επιμέλεια κατά την επιλογή των παρόχων

1) Γιατί οι πάροχοι της δέουσας επιμέλειας

• Προσδιορίστε τον εγγενή κίνδυνο ανά προϊόν/χώρα/δεδομένα.
• Επαλήθευση της συμμόρφωσης και της ασφάλειας πριν από την ανάθεση της σύμβασης.
• Καταγραφή SLA/SLO και δικαιωμάτων ελέγχου στο στάδιο της σύμβασης.
• Ρυθμίστε την παρακολούθηση και το offboarding διατηρώντας παράλληλα την ακεραιότητα των δεδομένων.

2) Πότε και τι καλύπτει

Σημεία: προκαταρκτική επιλογή, σύντομος κατάλογος, πριν από τη σύμβαση, με σημαντικές αλλαγές, ετήσια επανεξέταση.
Κάλυψη: νομικό καθεστώς, χρηματοοικονομική σταθερότητα, ασφάλεια, ιδιωτικότητα, τεχνική ωριμότητα, λειτουργία/υποστήριξη, συμμόρφωση (GDPR/PCI/AML/SOC 2 κ.λπ.), γεωγραφικοί κίνδυνοι και κίνδυνοι κυρώσεων, ESG/δεοντολογία, υπεργολάβοι.

3) Ρόλοι και ΠΓΣ

(R - Υπεύθυνος· A - Υπόλογος· Γ - Ζητήθηκε η γνώμη I - Ενημερωμένο)

4) Κάρτα βαθμολογίας (αυτό που ελέγχουμε)

4. 1 Νομικό και εταιρικό προφίλ

Καταχώριση, δικαιούχοι (KYB), διαφορές, κατάλογοι κυρώσεων.
Άδειες/πιστοποιητικά για ρυθμιζόμενες υπηρεσίες.

4. 2 Χρηματοδότηση και βιωσιμότητα

Ελεγχόμενες καταστάσεις, χρεωστικός φόρτος, βασικοί επενδυτές/τράπεζες.
Εξάρτηση μεμονωμένου πελάτη/περιφέρειας, σχέδιο συνέχειας (BCP).

4. 3 Ασφάλεια και προστασία της ιδιωτικής ζωής

ISMS (πολιτικοί, RACI), αποτελέσματα εξωτερικών δοκιμών, διαχείριση ευπάθειας.
Κρυπτογράφηση κατά την ανάπαυση/διαμετακόμιση, KMS/HSM, μυστική διαχείριση.
DLP/EDRM, δημοσιογραφία, νόμιμη κράτηση, διατήρηση και διαγραφή.
Διαχείριση συμβάντων: ειδοποιήσεις SLA, βιβλία παιχνιδιών, νεκροψίες.

4. 4 Συμμόρφωση και πιστοποίηση

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (χρονοδιάγραμμα και πεδίο εφαρμογής).
GDPR/τοπικά πρότυπα: ρόλοι (ελεγκτής/εκτελών την επεξεργασία), DPA, SCC/BCR, DPIA.
ΟΜΛ/βρόχος κύρωσης (κατά περίπτωση).

4. 5 Τεχνική ωριμότητα και ολοκλήρωση

Αρχιτεκτονική (πολυκατοικία, απομόνωση, SLO, DR/HA, RTO/RPO).
API/SDK, έκδοση, όρια ταχύτητας, παρατηρησιμότητα (καταγραφές/μετρήσεις/διαδρομές).
Διαχείριση αλλαγής, εκλύσεις (μπλε-πράσινο/καναρίνι), συμβατότητα προς τα πίσω.

4. 6 Ενέργειες και υποστήριξη

24 × 7/Follow-the-sun, χρόνος αντίδρασης/μείωσης, oncalls.
Διαδικασίες επιβίβασης/αποβίβασης, εξαγωγή δεδομένων χωρίς κυρώσεις.

4. 7 Υπεργολάβοι και αλυσίδα εφοδιασμού

Κατάλογος υπεργολάβων, δικαιοδοσιών, των ελέγχων τους και των ανακοινώσεων αλλαγής.

4. 8 Δεοντολογία/ESG

Πολιτικές κατά της διαφθοράς, κώδικας δεοντολογίας, εργασιακές πρακτικές, αναφορές.

5) Διαδικασία δέουσας επιμέλειας (SOP)

1. Έναρξη: κάρτα ζήτησης (στόχοι, δεδομένα, δικαιοδοσίες, κρισιμότητα).
2. Χαρακτηρισμός: σύντομο ερωτηματολόγιο (προ-οθόνη) + έλεγχος κυρώσεων/αδειών.
3. Βαθεία αξιολόγηση: ερωτηματολόγιο, τεχνουργήματα (πολιτικές, εκθέσεις, πιστοποιητικά), συνεντεύξεις.
4. Τεχνικός έλεγχος: ανασκόπηση ασφαλείας, περιβαλλοντική επίδειξη, καταγραφές ανάγνωσης/μετρήσεις, PoC.
5. Βαθμολογία και κίνδυνοι: εγγενές προφίλ κινδύνου → ελέγχου → υπολειπόμενου κινδύνου.
6. Αποκατάσταση: όροι/διορθώσεις πριν από τη σύμβαση (κατάλογος κενών με προθεσμίες).
7. : DPA/SLA/δικαιώματα ελέγχου/ευθύνη/IP/τερματισμός/σχέδιο εξόδου.
8. Επί του σκάφους: πρόσβαση/SSO, κατάλογοι δεδομένων, ενσωμάτωση, σχέδιο παρακολούθησης.
9. Συνεχής παρακολούθηση: ετήσια επανεξέταση/ενεργοποιήσεις (συμβάν, αλλαγή υπεργολάβου).
10. Εκτός επιβίβασης: εξαγωγή, διαγραφή/ανωνυμοποίηση, ανάκληση πρόσβασης, επιβεβαίωση καταστροφής.

6) Ερωτηματολόγιο παροχής (πυρήνας ερωτήσεων)

Γιουρ. πρόσωπο, δικαιούχοι, έλεγχοι κυρώσεων, διαφορές επί 3 έτη.
Πιστοποιήσεις (τύπος/περίοδος SOC 2, ISO, ΕΚΕ), τελευταίες εκθέσεις/πεδίο εφαρμογής.
Πολιτικές ασφαλείας, απογραφή δεδομένων, διαβάθμιση, DLP/EDRM.
Τεχνική απομόνωση: απομόνωση ενοικιαστών, πολιτικές δικτύου, κρυπτογράφηση, κλειδιά.
Αρχεία καταγραφής και λογιστικοί έλεγχοι: αποθήκευση, πρόσβαση, WORM/αμετάβλητο, SIEM/SOAR.
Περιστατικά σε 24 μήνες: τύποι, επιπτώσεις, διδάγματα.
Διατήρηση/διαγραφή/ροή νομικής συγκράτησης/DSAR.
Υπεργολάβοι: κατάλογος, χώρες, λειτουργίες, συμβατικές εγγυήσεις.
DR/BCP: RTO/RPO, πρόσφατα αποτελέσματα δοκιμών.
Υποστήριξη/SLA: χρόνοι αντίδρασης/λήψης αποφάσεων, κλιμακώσεις, πιστωτικά σχήματα.
Σχέδιο εξόδου: εξαγωγή δεδομένων, μορφότυποι, κόστος.

7) Μοντέλο βαθμολόγησης (παράδειγμα)

Άξονες: Νόμος/Χρηματοδότηση/Ασφάλεια/Προστασία της Ιδιωτικής Ζωής/Μηχανική/Λειτουργίες/Συμμόρφωση/Αλυσίδα/ESG.
βαθμολογίες 1-5 σε κάθε άξονα· βάρος ανά κρίσιμη υπηρεσία και τύπο δεδομένων.

• 'RR = Σ (βάρος _ i × βαθμολογία _ i)' → κατηγορία: Χαμηλή/Μεσαία/Υψηλή/Κρίσιμη.

Υψηλή/κρίσιμη: Η αποκατάσταση πριν από τη σύναψη της σύμβασης, οι βελτιωμένοι όροι SLA και η παρακολούθηση είναι υποχρεωτικές.
Χαμηλή/Μεσαία: τυπικές απαιτήσεις + ετήσια αναθεώρηση.

8) Υποχρεωτικές διατάξεις της σύμβασης (πρέπει να έχουν)

DPA: ρόλοι (υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία), σκοπός, κατηγορίες δεδομένων, διατήρηση και διαγραφή, νομική κατοχή, βοήθεια DSAR.
SCC/BCR για τις διασυνοριακές μεταδόσεις (κατά περίπτωση).
Προσάρτημα ασφαλείας: κρυπτογράφηση, καταγραφές, τρωτά σημεία/επιδιορθώσεις, δοκιμές διείσδυσης, γνωστοποίηση τρωτών σημείων.
SLA/SLO: χρόνος αντίδρασης/απομάκρυνσης (επίπεδα sev), πιστώσεις/κυρώσεις, διαθεσιμότητα, RTO/RPO.
Δικαιώματα ελέγχου: δικαίωμα ελέγχου/ερωτηματολόγιο/αποδεικτικά στοιχεία· τις κοινοποιήσεις αλλαγών ελέγχου/υπεργολαβίας επεξεργασίας.
Κοινοποίηση παραβίασης: όροι κοινοποίησης (π.χ. ≤ 24-72 ώρες), μορφότυπος, συνεργασία στην έρευνα.
Ρήτρα υπεργολαβίας: κατάλογος, αλλαγή με ειδοποίηση/συμφωνία, ευθύνη.
Έξοδος & Επιστροφή δεδομένων/Διαγραφή: μορφότυπος εξαγωγής, ημερομηνίες, επιβεβαίωση καταστροφής, υποστήριξη μετανάστευσης.
Ευθύνη/αποζημίωση: όρια/εξαιρέσεις (διαρροή PI, παραβίαση άδειας, πρόστιμα ρύθμισης).
IP/Άδεια - ανάπτυξη/διαμόρφωση/δικαιώματα δεδομένων/μεταδεδομένων.

9) Ενεργοποιήσεις παρακολούθησης και επανεξέτασης

Λήξη/ανανέωση των πιστοποιητικών (SOC/ISO/PCI), μεταβολές στην κατάσταση αναφοράς.
Αλλαγή υπεργολάβων/τόπων αποθήκευσης/δικαιοδοσιών.
Συμβάντα ασφαλείας/σημαντικές διακοπές λειτουργίας SLA.
Συγχωνεύσεις/εξαγορές, επιδείνωση των χρηματοοικονομικών επιδόσεων.
Εκπομπές που επηρεάζουν την απομόνωση/κρυπτογράφηση/πρόσβαση.
Κανονιστικές έρευνες, έλεγχοι πορισμάτων.

10) Mgmt Metrics και Dashboards

DD κάλυψης:% των κρίσιμων παρόχων που έχουν περάσει πλήρως την DD.
Time-to-board: διάμεσος από προσφορά σε σύμβαση (ανά κατηγορία κινδύνου).
Ανοικτά κενά: ενεργός αποκατάσταση ανά πάροχο (χρονοδιαγράμματα/ιδιοκτήτες).
Ποσοστό παραβίασης SLA: Ποσοστό παραβάσεων SLA ανά χρόνο/διαθεσιμότητα.
Ποσοστό περιστατικών: Incidents/12 μήνες ανά πάροχο και σοβαρότητα.
Στοιχεία ελέγχου Ετοιμότητα: διαθεσιμότητα επικαιροποιημένων εκθέσεων/πιστοποιητικών.
Υπεργολάβος Drift - αλλαγές χωρίς προειδοποίηση (στόχος 0).

11) Επίπεδα κατηγοριοποίησης και επαλήθευσης

12) Κατάλογοι ελέγχου

Εκκίνηση DD

• Απαιτούμενη κατηγορία κινδύνου κάρτας και υπηρεσίας.
• Προ-οθόνη: κυρώσεις, άδειες, βασικό προφίλ.
• Ερωτηματολόγιο + τεχνουργήματα (πολιτικές, εκθέσεις, πιστοποιητικά).
• Ανασκόπηση ασφάλειας/προστασίας της ιδιωτικής ζωής + PoC για την ολοκλήρωση.
• Κατάλογος κενών με προθεσμίες και ιδιοκτήτες.
• Σύμβαση: DPA/SLA/δικαιώματα ελέγχου/ευθύνη/έξοδος.
• Σχέδιο επιβίβασης και παρακολούθησης (μετρήσεις, προειδοποιήσεις).

Ετήσια επανεξέταση

• Επικαιροποιημένα πιστοποιητικά και εκθέσεις.
• Υπεργολάβοι/τόποι/δικαιοδοσίες ελέγχου.
• Κατάσταση αποκατάστασης, νέοι κίνδυνοι/συμβάντα.
• δοκιμές DR/BCP και αποτελέσματα.
• Έλεγχος στεγνής λειτουργίας: συλλογή αποδεικτικών στοιχείων «με κουμπί».

13) Κόκκινες σημαίες (κόκκινες σημαίες)

Άρνηση παροχής SOC/ISO/ΕΚΕ ή ουσιωδών τμημάτων εκθέσεων.
Ασαφείς απαντήσεις για κρυπτογράφηση δεδομένων/αρχεία καταγραφής/διαγραφή.
Δεν υπάρχουν σχέδια DR/BCP ή δεν ελέγχονται.
Κλειστά περιστατικά χωρίς μεταθανάτια και μαθήματα.
Απεριόριστη διαβίβαση δεδομένων σε υπεργολάβους/στο εξωτερικό χωρίς εγγυήσεις.
Επιθετικοί περιορισμοί ευθύνης για διαρροές PI.

14) Αντιπατερίδια

«Χαρτί» DD χωρίς PoC και τεχνική επαλήθευση.
Καθολικός κατάλογος ελέγχου μηδενικού κινδύνου/δικαιοδοσίας.
Σύμβαση χωρίς DPA/SLA/ελεγκτικά δικαιώματα και σχέδιο εξόδου.
Έλλειψη μητρώου παρόχου και παρακολούθηση αλλαγών.
«Για πάντα» εκδόθηκαν προσβάσεις/μάρκες χωρίς εκ περιτροπής και εκ νέου βεβαίωση.

15) Συναφή άρθρα wiki

Αυτοματοποίηση συμμόρφωσης και υποβολής εκθέσεων

Συνεχής παρακολούθηση της συμμόρφωσης (CCM)

Νόμιμη κράτηση και δέσμευση δεδομένων

Πολιτικές και διαδικασίες Κύκλος ζωής

KYC/KYB και έλεγχος κυρώσεων

Χρονοδιάγραμμα διατήρησης και διαγραφής δεδομένων

Σχέδιο συνέχειας (BCP) και DRP

Αποτέλεσμα

Η δέουσα επιμέλεια με γνώμονα τον κίνδυνο δεν είναι ένα τικ, αλλά μια διαδικασία διαχείρισης: σωστή κατηγοριοποίηση, βαθιά επαλήθευση κατά μήκος βασικών αξόνων, σαφείς συμβατικές εγγυήσεις και συνεχής παρακολούθηση. Έτσι οι προμηθευτές γίνονται ένα αξιόπιστο μέρος της αλυσίδας σας, και προβλέψιμα πληρούν τις απαιτήσεις χωρίς επιβράδυνση της επιχείρησής σας.