دقت در هنگام انتخاب ارائه دهندگان
1) چرا ارائه دهندگان علت سعی و کوشش
ارائه دهنده ادامه زنجیره اعتماد شما است. خطای انتخاب = مجازات های قانونی، نشت، خرابی و زیان های اعتباری. علت سعی و کوشش (DD) اجازه می دهد تا:- شناسایی خطر ذاتی توسط محصول/کشور/داده ها.
- اطمینان از انطباق و ایمنی قبل از اعطای قرارداد.
- ضبط SLA/SLO و حقوق حسابرسی در مرحله قرارداد.
- پیکربندی نظارت و offboarding در حالی که حفظ یکپارچگی داده ها.
2) چه زمانی و چه چیزی را پوشش می دهد
امتیازات: انتخاب اولیه، لیست کوتاه، قبل از قرارداد، با تغییرات قابل توجه، بررسی سالانه.
پوشش: وضعیت حقوقی، ثبات مالی، امنیت، حریم خصوصی، بلوغ فنی، عملیات/پشتیبانی، انطباق (GDPR/PCI/AML/SOC 2، و غیره)، جغرافیا و خطرات تحریم، ESG/اخلاق، پیمانکاران فرعی.
3) نقش ها و RACI
ج - مسئولیت پذیری ؛ الف - مسئولیت پذیری ؛ C - مشاوره ؛ من - مطلع)
4) کارت امتیازی (آنچه ما بررسی می کنیم)
4. 1 پروفایل حقوقی و شرکتی
ثبت نام، ذینفعان (KYB)، دادرسی، لیست تحریم ها.
مجوزها/گواهینامه ها برای خدمات تنظیم شده.
4. ۲ امور مالی و پایداری
اظهارات حسابرسی، بار بدهی، سرمایه گذاران کلیدی/بانک ها.
وابستگی مشتری/منطقه واحد، برنامه تداوم (BCP).
4. ۳ امنیت و حریم خصوصی
ISMS (سیاستمداران، RACI)، نتایج آزمون خارجی، مدیریت آسیب پذیری.
رمزگذاری در حالت استراحت/در حمل و نقل، KMS/HSM، مدیریت مخفی.
DLP/EDRM، روزنامه نگاری، نگهداری قانونی، حفظ و حذف.
مدیریت حادثه: اطلاعیه های SLA، playbooks، پس از مرگ.
4. 4 انطباق و صدور گواهینامه
SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (زمان بندی و محدوده).
GDPR/هنجارهای محلی: نقش ها (کنترل کننده/پردازنده)، DPA، SCC/BCR، DPIA.
حلقه AML/تحریم (در صورت لزوم).
4. 5 بلوغ فنی و ادغام
معماری (چند اجاره، انزوا، SLO، DR/HA، RTO/RPO).
API/SDK, نسخه, محدودیت نرخ, مشاهده پذیری (سیاهههای مربوط/متریک/مسیرهای پیاده روی).
مدیریت تغییر، انتشار (آبی سبز/قناری)، سازگاری با عقب.
4. 6 عملیات و پشتیبانی
24 × 7/Follow-the-sun، زمان واکنش/کاهش، oncalls.
روش های Onboarding/offboarding، صادرات داده ها بدون مجازات.
4. 7 زیر پردازنده و زنجیره تامین
فهرست پیمانکاران فرعی، حوزه های قضایی، کنترل آنها و اطلاعیه های تغییر.
4. 8 اخلاق/ESG
سیاست های ضد فساد، کد رفتار، شیوه های کار، گزارش.
5) علت سعی و کوشش فرآیند (SOP)
1. شروع: کارت تقاضا (اهداف، داده ها، حوزه های قضایی، بحرانی).
2. صلاحیت: پرسشنامه کوتاه (قبل از صفحه نمایش) + بررسی تحریم/مجوز.
3. ارزیابی عمیق: پرسشنامه، مصنوعات (سیاست ها، گزارش ها، گواهینامه ها)، مصاحبه ها.
4. بررسی فنی: بررسی امنیتی، نسخه ی نمایشی محیط زیست، خواندن سیاهههای مربوط/معیارها، PoC.
5. امتیاز دهی و خطرات: خطر ذاتی → مشخصات کنترل → خطر باقی مانده
6. اصلاح: شرایط/اصلاحات قبل از قرارداد (لیست شکاف با مهلت).
7. Контракт: DPA/SLA/حقوق حسابرسی/مسئولیت/IP/خاتمه/طرح خروج.
8. Onboarding: دسترسی/SSOs، کاتالوگ داده ها، ادغام، طرح نظارت.
9. نظارت مداوم: بررسی سالانه/عوامل (حادثه، تغییر زیر پردازنده).
10. Offboarding: صادرات، حذف/ناشناس، لغو دسترسی، تایید تخریب.
6) پرسشنامه ارائه دهنده (هسته اصلی سوالات)
بله. شخص، ذینفعان، چک های تحریم، اختلافات به مدت 3 سال.
گواهینامه ها (نوع/دوره SOC 2، ISO، PCI)، آخرین گزارش ها/دامنه.
سیاست های امنیتی، موجودی داده ها، طبقه بندی، DLP/EDRM.
جداسازی فنی: جداسازی مستاجر، سیاست های شبکه، رمزگذاری، کلید.
سیاهههای مربوط و ممیزی: ذخیره سازی، دسترسی، WORM/غیر قابل تغییر، SIEM/SOAR.
حوادث 24 ماه: انواع، تاثیر، درس
حفظ/حذف/برگزاری قانونی/جریان DSAR.
زیر پردازنده: لیست، کشورها، توابع، تضمین های قراردادی.
DR/BCP: RTO/RPO، نتایج آزمایش اخیر.
پشتیبانی/SLA: زمان واکنش/تصمیم گیری، تشدید، طرح اعتباری.
خروج طرح: صادرات داده ها، فرمت ها، هزینه.
7) مدل امتیاز دهی (مثال)
محورها: قانون/امور مالی/امنیت/حریم خصوصی/مهندسی/عملیات/انطباق/زنجیره/ESG.
نمرات 1-5 در هر محور ؛ وزن توسط بحرانی خدمات و نوع داده ها.
- 'RR = Σ (weight _ i × score _ i)' → رده: کم/متوسط/زیاد/بحرانی.
بالا/بحرانی: اصلاح قبل از قرارداد، شرایط SLA افزایش یافته و نظارت اجباری است.
کم/متوسط: الزامات استاندارد + تجدید نظر سالانه.
8) مقررات اجباری قرارداد (باید داشته باشد)
DPA: نقش ها (کنترل کننده/پردازنده)، هدف، دسته بندی داده ها، نگهداری و حذف، نگهداری قانونی، کمک DSAR.
SCC/BCR برای انتقال مرزی (در صورت وجود).
ضمیمه امنیتی: رمزگذاری، سیاهههای مربوط، آسیب پذیری/پچ، تست نفوذ، افشای آسیب پذیری.
SLA/SLO: زمان واکنش/حذف (سطح sev)، اعتبار/مجازات، در دسترس بودن، RTO/RPO.
حقوق حسابرسی: حق حسابرسی/پرسشنامه/شواهد ؛ اطلاعیه های تغییرات کنترل/زیر پردازنده.
اخطار نقض: شرایط اطلاع رسانی (به عنوان مثال، ≤ 24-72 ساعت)، فرمت، همکاری در تحقیقات.
زیرپردازنده بند: لیست، تغییر با اطلاع/توافق، مسئولیت.
خروج و بازگشت داده ها/حذف: فرمت صادرات، تاریخ، تایید تخریب، پشتیبانی مهاجرت.
مسئولیت/غرامت: محدودیت ها/استثنائات (نشت PI، نقض مجوز، جریمه های قانونی).
IP/License - حقوق توسعه/پیکربندی/داده/ابرداده.
9) نظارت و بررسی عوامل
انقضا/تمدید گواهینامه ها (SOC/ISO/PCI)، تغییر در وضعیت گزارش.
تغییر زیر پردازنده/محل ذخیره سازی/حوزه های قضایی.
حوادث امنیتی/قطع قابل توجه SLA.
ادغام/خرید، بدتر شدن عملکرد مالی.
انتشار موثر انزوا/رمزگذاری/دسترسی.
سوالات نظارتی، ممیزی یافته ها.
10) فروشنده ریسک متریک Mgmt و داشبورد
پوشش DD:٪ از ارائه دهندگان بحرانی که DD کامل را گذرانده اند.
زمان-به-پردازنده: متوسط از پیشنهاد به قرارداد (توسط رده خطر).
شکاف های باز: اصلاح فعال توسط ارائه دهنده (جدول زمانی/صاحبان).
نرخ نقض SLA: نسبت نقض SLA با زمان/در دسترس بودن
میزان حادثه: Incidents/12 ماه توسط ارائه دهنده و شدت.
آمادگی شواهد حسابرسی: در دسترس بودن گزارش ها/گواهینامه های به روز.
زیر پردازنده رانش - تغییرات بدون اطلاع قبلی (هدف 0).
11) سطح طبقه بندی و تایید
12) چک لیست
شروع DD
- کارت مورد نیاز و کلاس ریسک خدمات.
- پیش نمایش: تحریم ها، مجوزها، مشخصات پایه.
- پرسشنامه + مصنوعات (سیاست ها، گزارش ها، گواهینامه ها).
- بررسی امنیت/حریم خصوصی + PoC برای ادغام.
- لیست شکاف با مهلت و صاحبان.
- قرارداد: DPA/SLA/حقوق حسابرسی/مسئولیت/خروج.
- برنامه نظارت و نظارت (معیارها، هشدارها).
بررسی سالانه
- گواهینامه ها و گزارش های به روز شده.
- زیر پردازنده/مکان/حوزه های قضایی را بررسی کنید.
- وضعیت بازسازی، خطرات/حوادث جدید.
- تست DR/BCP و نتایج.
- ممیزی خشک اجرا: جمع آوری شواهد «با دکمه».
13) پرچم های قرمز (پرچم های قرمز)
امتناع از ارائه SOC/ISO/PCI یا بخشهای مادی گزارشها.
پاسخ های فازی برای رمزگذاری داده ها/سیاهههای مربوط/حذف.
هیچ برنامه DR/BCP وجود ندارد و یا آزمایش نمی شود.
حوادث بسته بدون پس از مرگ و درس.
انتقال داده نامحدود به زیر پردازنده/خارج از کشور بدون تضمین.
محدودیت های تهاجمی مسئولیت نشت PI.
14) ضد گلوله
«مقاله» DD بدون PoC و تأیید فنی.
چک لیست جهانی بدون ریسک/قضایی.
قرارداد بدون DPA/SLA/حقوق حسابرسی و برنامه خروج.
عدم وجود رجیستری ارائه دهنده و تغییر نظارت.
«برای همیشه» دسترسی صادر/نشانه بدون چرخش و دوباره گواهی.
15) مقالات ویکی مرتبط
اتوماسیون انطباق و گزارش دهی
نظارت بر انطباق مداوم (CCM)
نگهداری قانونی و انجماد داده ها
چرخه عمر سیاست ها و رویه ها
KYC/KYB و نمایش تحریم
نگهداری داده ها و برنامه های حذف
برنامه تداوم (BCP) و DRP
نتیجه گیری
علت سعی و کوشش ریسک گرا است یک تیک نیست, اما یک فرایند مدیریت: طبقه بندی صحیح, تایید عمیق در امتداد محورهای کلیدی, تضمین قراردادی روشن و نظارت مستمر. بنابراین تامین کنندگان تبدیل به یک بخش قابل اعتماد از زنجیره شما می شوند و شما به طور قابل پیش بینی نیازهای خود را بدون کاهش سرعت کسب و کار خود برآورده می کنید.