GH GambleHub

خطرات برون سپاری و کنترل پیمانکار

1) چرا برون سپاری = افزایش خطر

برون سپاری سرعت راه اندازی و کاهش هزینه ها را افزایش می دهد، اما سطح ریسک را گسترش می دهد: فرایندها، داده ها و مشتریان شما توسط تیم های خارجی و پیمانکاران فرعی آنها قابل دسترسی هستند. مدیریت ریسک ترکیبی از اقدامات قراردادی، سازمانی و فنی با قابلیت اندازه گیری و حسابرسی است.

2) نقشه ریسک (نوع شناسی)

قانونی: فقدان مجوزهای لازم، تضمین های قراردادی ضعیف، IP/کپی رایت، درگیری های قضایی.

مقررات/انطباق: عدم انطباق با GDPR/AML/PCI DSS/SOC 2، و غیره ؛ بدون DPA/SCC ؛ نقض مهلت های گزارش دهی

امنیت اطلاعات: نشت/exfiltration، کنترل دسترسی ضعیف، عدم ورود به سیستم و رمزگذاری.
حریم خصوصی: پردازش PI بیش از حد، نقض حفظ/حذف، نادیده گرفتن نگهداری قانونی و DSAR.
عملیات: ثبات خدمات پایین، BCP/DR ضعیف، عدم 24 × 7، نقض SLO/SLA.
مالی: نوسانات تامین کننده، وابستگی به یک مشتری/منطقه، هزینه های خروج پنهان.
شهرت: حوادث/رسوایی، تضاد منافع، بازاریابی سمی.
زنجیره تامین: زیر پردازنده های مبهم، مکان های ذخیره سازی کنترل نشده.

3) نقش ها و مسئولیت ها (RACI)

نقش هامسئولیت پذیری
صاحب کسب و کار (A)برون سپاری منطق، بودجه، نهایی «برو/بدون رفتن»
مدیریت فروشنده/تدارکات (R)فرآیندهای انتخاب/ارزیابی/بازنگری، ثبت نام پیمانکار
انطباق/DPO (R/C)DPA, حریم خصوصی, نقل و انتقالات مرزی, reg-تعهدات
حقوقی (R/C)قراردادها، مسئولیت، حقوق حسابرسی، IP، چک های تحریم
امنیت/CISO (R)الزامات امنیت اطلاعات، تست نفوذ، ورود به سیستم، حوادث
داده ها/IAM/بستر های نرم افزاری (C)SSO، نقش/SoD، رمزگذاری، سیاهههای مربوط، ادغام
امور مالی (C)خطرات پرداخت، شرایط ارز، مکانیزم مجازات
حسابرسی داخلی (I)تایید کامل بودن، ارزیابی مستقل از کنترل

(R - مسئول ؛ الف - مسئولیت پذیری ؛ C - مشاوره ؛ من - مطلع)

4) پیمانکاران کنترل چرخه عمر

1. برنامه ریزی: هدف برون سپاری، انتقاد، دسته بندی داده ها، حوزه های قضایی، ارزیابی جایگزین (ساخت/خرید/شریک).
2. Due Diligence: پرسشنامه ها، مصنوعات (گواهینامه ها، سیاست ها)، چک های فنی/RoS، نمره ریسک و لیست شکاف.
3. قرارداد: حق DPA/SLA/حسابرسی، مسئولیت و مجازات، زیر پردازنده، برنامه خروج (خروج) و مهلت حذف داده ها.
4. Onboarding: SSO و نقش ها (حداقل امتیازات)، دایرکتوری های داده، جداسازی محیط، ورود به سیستم و هشدارها.
5. عملیات و نظارت: KPI ها/SLA ها، حوادث، تغییرات زیر پردازنده/محل، بررسی سالانه و کنترل شواهد.
6. تجدید نظر/اصلاح: اصلاح شکاف با مهلت، روش چشم پوشی با تاریخ انقضا.
7. Offboarding: لغو دسترسی، صادرات، حذف/ناشناس، تایید تخریب، آرشیو شواهد.

5) قراردادی «باید»

DPA (پیوست قرارداد): نقش ها (کنترل کننده/پردازنده)، اهداف پردازش، دسته بندی داده ها، نگهداری/حذف، نگهداری قانونی، کمک DSAR، مکان های ذخیره سازی و انتقال (SCC/BCR در صورت نیاز).
SLA/SLO: سطح دسترسی، زمان پاسخ/حذف (سطح sev)، اعتبار/مجازات برای نقض، RTO/RPO، 24 × 7/Follow-the-sun.
ضمیمه امنیتی: رمزگذاری در حالت استراحت/حمل و نقل، مدیریت کلید (KMS/HSM)، مدیریت مخفی، ورود به سیستم (WORM/Object Lock)، تست های نفوذ/اسکن، مدیریت آسیب پذیری.
حقوق حسابرسی و ارزیابی: پرسشنامه های منظم، گزارش (SOC 2/ISO/PCI)، حق بررسی حسابرسی/در محل/بررسی ورود به سیستم.
زیرپردازنده ها: لیست، اطلاع رسانی/تصویب تغییرات، مسئولیت زنجیره.
اخطار نقض: شرایط (به عنوان مثال ≤24 -72 ساعت)، فرمت، تعامل در تحقیقات.
خروج/حذف: فرمت صادرات، تاریخ، تایید تخریب، پشتیبانی مهاجرت، کلاه در هزینه خروج.
مسئولیت/غرامت: محدودیت ها، استثنائات (نشت PI، مجازات های تنظیم کننده، نقض IP).
Change Control: اعلان ها در مورد تغییرات قابل توجه در سرویس/مکان/کنترل.

6) کنترل فنی و سازمانی

دسترسی و هویت: SSO، اصل حداقل امتیاز، SoD، کمپین های صدور گواهینامه، دسترسی JIT/موقت، MFA اجباری.
جداسازی و شبکه ها: جداسازی مستاجر، تقسیم بندی، کانال های خصوصی، لیست های مجاز، محدودیت خروج.
رمزگذاری: TLS اجباری، رمزگذاری در رسانه ها، مدیریت کلید و چرخش، ممنوعیت رمزنگاری خانگی.
ورود و اثبات: سیاهههای مربوط متمرکز، WORM/Object Lock، هش گزارش، دایرکتوری شواهد.
داده ها و حریم خصوصی: پوشش/pseudonymization، کنترل نگهداری/TTL، لغو قانونی نگه دارید، کنترل صادرات داده ها.
DevSecOps: SAST/DAST/SCA، اسکن مخفی، SBOM، مجوزهای OSS، دروازه های CI/CD، سیاست انتشار (آبی سبز/قناری).
انعطاف پذیری: تست های DR/BCP، اهداف RTO/RPO، برنامه ریزی ظرفیت، نظارت بر SLO.
عملیات: حوادث playbooks، در تماس، بلیط ITSM با SLA، تغییر مدیریت.
آموزش و پذیرش: دوره های اجباری امنیت اطلاعات/ارائه دهنده حریم خصوصی، تأیید پرسنل (در صورت قانونی).

7) نظارت مستمر بر فروشنده

عملکرد/SLA: در دسترس بودن، زمان واکنش/حذف، اعتبارات.
گواهینامه ها/گزارش ها: ارتباط SOC/ISO/PCI، دامنه و محرومیت.
حوادث و تغییرات: فرکانس/شدت، درس های آموخته شده، تغییرات زیر پردازنده/مکان.
رانش کنترل: انحراف از الزامات قراردادی (رمزگذاری، ورود به سیستم، آزمایش DR).

پایداری مالی: سیگنال های عمومی، M&A، تغییر ذینفعان

حوزه های قضایی و تحریم ها: محدودیت های جدید، لیست کشورها/ابرها/مراکز داده.

8) فروشنده ریسک و برون سپاری معیارها و داشبورد

معیارهای اندازه گیریتوضیحات محصولهدف (مثال)
پوشش DDدرصد از پیمانکاران مهم با علت سعی و کوشش تکمیل≥ 100%
شکاف های بازشکاف های فعال/اصلاح در پیمانکاران≤ 0 بحرانی
نرخ نقض SLAنقض زمان/دسترسی SLA≤ 1 ٪/سه ماهه
میزان حادثهحوادث امنیتی/12 ماه برای هر پیمانکارروند ↓
آمادگی شواهدگزارش های جاری/گواهینامه ها/سیاهههای مربوط100%
رانش زیر پردازندهتغییرات بدون اطلاع قبلی0
بهداشت دسترسی (3)دسترسی عقب افتاده/غیر ضروری پیمانکار≤ 1%
زمان به خارج از خانهاز راه حل برای لغو/حذف دسترسی کامل≤ 5 روز کاری

داشبورد: نقشه حرارتی خطرات توسط ارائه دهندگان، مرکز SLA، حوادث و یافته ها، آمادگی شواهد، نقشه زیر فرآیند.

9) روش ها (SOP)

SOP-1: پیمانکار قلاب کردن

1. طبقه بندی ریسک خدمات → 2) DD + PoC → 3) برنامه های قراردادی → 4) دسترسی/ورود/رمزگذاری onboarding → 5) شروع معیارها و داشبورد.

SOP-2: مدیریت تغییر پیمانکار

1. تغییر کارت (محل/زیر پردازنده/معماری) → 2) ارزیابی ریسک → 3) به روز رسانی DPA/SLA → 4) ارتباط و جدول زمانی پیاده سازی → 5) بررسی شواهد.

SOP-3: حادثه پیمانکار

Detect → Triage (sev) → Notify (temporary window of the contract) → Include → Reduce → Post-mortem (دروس, updates of the control/contract) → Evidence in WORM.

SOP-4: خارج شدن

1. انجماد → 2) صادرات داده → 3) حذف/ناشناس + تایید → 4) لغو تمام دسترسی ها/کلید → 5) بسته شدن گزارش.

10) مدیریت استثنا (چشم پوشی)

درخواست رسمی با تاریخ انقضا، ارزیابی ریسک و کنترل های جبران کننده.
دید در GRC/داشبورد، یادآوری خودکار، ممنوعیت استثنائات «ابدی».
تشدید به کمیته بزهکاری/خطر بحرانی.

11) قالب نمونه

چک لیست شرکت پیمانکار

  • DD تکمیل شده است ؛ دسته بندی امتیاز دهی/ریسک تایید شده است
  • DPA/SLA/حقوق حسابرسی مشترک ؛ ضمیمه امنیتی توافق شده است
  • لیست زیر پردازنده بازیابی ؛ مکان های ذخیره سازی تایید شده است
  • SSO/MFA پیکربندی شده ؛ نقش های به حداقل رسیده SoD تایید شده است
  • لینک ها متصل می شوند ؛ WORM/Object Lock پیکربندی شده است. هشدارها آغاز شد
  • اهداف DR/BCP توافق ؛ تاریخ آزمون تعیین شده است
  • روش DSAR/حقوقی برگزاری یکپارچه
  • داشبورد و معیارهای نظارت فعال شده است

قالب مورد نیاز مینی SLA

زمان واکنش: 15 دقیقه، 1 ساعت، 4 ساعت

زمان بازیابی: 4 ساعت، 24 ساعت

دسترسی: ≥ 99 9% در ماه وام در نقض

اطلاع رسانی حادثه: ≤ 24 ساعت، به روز رسانی متوسط هر 4 ساعت (Sev1)

12) ضد گلوله

کنترل «کاغذ» بدون سیاهههای مربوط، تله متری و حقوق حسابرسی.
هیچ برنامه خروجی وجود ندارد: صادرات گران/طولانی، وابستگی به فرمت های اختصاصی.
دسترسی پیمانکار ابدی، عدم صدور گواهینامه مجدد.
نادیده گرفتن زیر پردازنده ها و مکان های ذخیره سازی.
KPI ها بدون مالک/تشدید و مناطق سبز با حقایق قرمز.
عدم وجود WORM/غیر قابل تغییر برای شواهد - بحث حسابرسی.

13) برون سپاری مدل بلوغ مدیریت (M0-M4)

M0 پراکنده: چک های یک بار، قرارداد «مانند هر کس دیگری».
کاتالوگ M1: ثبت نام پیمانکار، SLA های اساسی و پرسشنامه ها.
M2 مدیریت: DD توسط خطر، استاندارد DPA/SLA، سیاهههای مربوط و داشبورد متصل شده است.
M3 یکپارچه: نظارت مستمر، سیاست به عنوان کد، شواهد خودکار، آزمایشات منظم DR.
M4 اطمینان: «دکمه حسابرسی آماده»، خطرات پیش بینی زنجیره تامین، افزایش خودکار و سناریوهای خارج از رمپ.

14) مقالات ویکی مرتبط

دقت در هنگام انتخاب ارائه دهندگان

اتوماسیون انطباق و گزارش دهی

نظارت بر انطباق مداوم (CCM)

نگهداری قانونی و انجماد داده ها

چرخه عمر سیاست ها و رویه ها

KYC/KYB و نمایش تحریم

برنامه تداوم (BCP) و DRP

مجموع

کنترل برون سپاری یک سیستم است، نه یک چک لیست: انتخاب ریسک گرا، تضمین های قراردادی دقیق، دسترسی حداقل و مشاهده شده، نظارت مستمر، خروج سریع و پایه شواهد. در چنین سیستمی، پیمانکاران سرعت کسب و کار را افزایش می دهند - بدون افزایش آسیب پذیری شما.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.