GH GambleHub

מיקור חוץ סיכונים ובקרת קבלן

1) מדוע מיקור חוץ = סיכון מוגבר

מיקור חוץ מאיץ סטארט-אפים ומוריד עלויות, אבל מרחיב את משטח הסיכון: התהליכים, הנתונים והלקוחות שלכם ניהול סיכונים הוא שילוב של אמצעים חוזיים, ארגוניים וטכניים עם מדידות ושמיעה.

2) מפת סיכונים (טיפולוגיה)

חוקי: היעדר רישיונות הכרחיים, ערבויות חוזיות חלשות, זכויות יוצרים/IP, סכסוכים שיפוטיים.
רגולציה/ציות: אי-ציות ל ־ GDPR/AML/PCI DSS/SOC 2, וכו '; אין DPA/SCC; הפרות של לוח זמנים דיווח.
אבטחת מידע: דליפות/חילוץ, בקרת גישה חלשה, חוסר כריתת עצים והצפנה.
פרטיות: מיותר עיבוד PI, הפרה של שימור/מחיקה, התעלמות משפטי Hold ו DSAR.
תפעולי: יציבות שירות נמוכה, BCP/DR חלש, חוסר 24 × 7, הפרות SLO/SLA.
תנודתיות ספקית, תלות בלקוח/אזור אחד, עלויות יציאה נסתרות.
מוניטין: תקריות/שערוריות, ניגוד אינטרסים, שיווק רעיל.
שרשרת אספקה: תת-מעבדים אטומים, מקומות אחסון לא מבוקרים.

3) תפקידים ואחריות (RACI)

תפקידאחריות
בעל עסק (א)מיקור חוץ רציונל, תקציב, סופי ”ללכת/לא ללכת”
ניהול ספקים/רכישה (R)תהליכי בחירה/הערכה/תיקון, רשמת קבלן
ציות/DPO (R/C)DPA, פרטיות, העברות מעבר לגבול, התחייבויות
חוקי (R/C)חוזים, אחריות, זכויות ביקורת, IP, בדיקות סנקציה
אבטחה/CISO (R)דרישות אבטחת מידע, בדיקות חדירה, רישום, אירועים
נתונים/IAM/פלטפורמה (C)SSO, תפקידים/SoD, הצפנה, יומנים, אינטגרציות
פיננסים (C)סיכוני תשלום, תנאי מטבע, מנגנוני עונשין
ביקורת פנימית (אני)אימות של שלמות, הערכה בלתי תלויה של בקרות

(R - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)

4) קבלנים שולטים על אופן החיים

1. תכנון: מיקור חוץ, ביקורתיות, קטגוריות מידע, תחום שיפוט, הערכה חלופית (לבנות/לקנות/שותף).
2. בדיקת נאותות: שאלונים, חפצים (תעודות, פוליסות), בדיקות טכניות/ROS, סיכוני ניקוד ורשימת פערים.
3. חוזה: DPA/SLA/ביקורת נכונה, אחריות ועונשים, תת-מעבדים, תוכנית יציאה (יציאה) ומועדי מחיקת נתונים.
4. בעלייה למטוס: SSO ותפקידים (פחות הרשאות), ספריות מידע, בידוד סביבה, רישום והתראות.
5. מבצעים וניטור: KPIs/SLAs, תקריות, שינויים במעבד/מיקום, ביקורות שנתיות ובקרת ראיות.
6. תיקון/תיקון: תיקון פערים עם מועדים, הליכי ויתור עם תאריך תפוגה.
7. שלילת גישה, ייצוא, מחיקה/אנונימיות, אישור הרס, ארכיון ראיות.

5) חוזה ”חייב להיות”

DPA (מצורף חוזה): תפקידים (בקר/מעבד), יעדי עיבוד, קטגוריות נתונים, שימור/מחיקה, Ligal Hold, DSAR סיוע, אחסון ומיקומי תמסורת (SCC/BCR במקום הדרוש).
SLA/SLO: רמות זמינות, זמן תגובה/אלימינציה (sev-levels), אשראי/עונש על הפרות, RTO/RPO, 24 × 7/Follow-the-sun.
נספח אבטחה: הצפנה במנוחה/במעבר, ניהול מפתחות (KMS/HSM), ניהול סודי, רישום (WORM/Object Lock), בדיקות חדירה/סריקות, ניהול פגיעות.
ביקורת וזכויות הערכה: שאלונים רגילים, דיווח (SOC 2/ISO/PCI), נכון לביקורת/באתר/רישום סקירה.
תת-פרוצדורה: רשימה, הודעה/אישור של שינויים, אחריות על השרשרת.
הודעת הפרה: מונחים (לדוגמה, 24/72 שעות), פורמט, אינטראקציה בחקירה.
יציאה/מחיקה: פורמט ייצוא, תאריכים, אישור להרס, תמיכה בהגירה, מכסה על עלות היציאה.
אחריות/שיפוי: גבולות, חריגים (דליפת PI, עונשי רגולטור, הפרות IP).
בקרת שינוי: הודעות על שינויים משמעותיים בשירות/מיקומים/בקרה.

6) בקרה טכנית וארגונית

גישה וזהויות: SSO, עקרון החיסיון המועט ביותר, SoD, קמפיינים להסמכה מחדש, JIT/גישה זמנית, MFA חובה.
בידוד ורשתות: בידוד דייר, קטגמנטציה, ערוצים פרטיים, רשימות הרשאה, הגבלת יציאה.
הצפנה: TLS חובה, הצפנה במדיה, ניהול מפתחות וסבב, איסור על הצפנה ביתית.
רישום והוכחות: יומנים מרכזיים, מנעול תולעת/אובייקט, דיווח חשיש, ספריות ראיות.
נתונים ופרטיות: מיסוך/פסאודונימיזציה, שליטה בשמירה/TTL, עקיפה משפטית Hold, בקרת יצוא נתונים.
SAST/DAST/SCA, סריקה סודית, SBOM, רישיונות OSS, שערים ב CI/CD, מדיניות שחרור (כחול-ירוק/קנרית).
עמידות: בדיקות DR/BCP, מטרות RTO/RPO, תכנון קיבולת, ניטור SLO.
מבצעים: תקריות בספרי השמעה, בכוננות, כרטיסי ITSM עם SLA, שינויי ניהול.
הכשרה וכניסה: קורסי אבטחת מידע/פרטיות חובה, אימות כוח אדם (במקום חוקי).

7) ניטור רציף של הספקים

ביצועים/SLA: זמינות, זמן תגובה/ביטול, קרדיטים.
תעודות/דוחות: SOC/ISO/PCI רלוונטיות, היקף ובלעדיות.
תקריות ושינויים: תדירות/חומרה, לקחים נלמדים, תת מעבד/שינויים מיקום.
סחף בקרה: סטיות מדרישות חוזיות (הצפנה, רישום, בדיקות DR).
קיימות פיננסית: אותות ציבוריים, M&A, שינוי של מוטבים.
סמכויות שיפוט וסנקציות: הגבלות חדשות, רשימת מדינות/עננים/מרכזי מידע.

8) סיכון ומיקור חוץ של מדדים ולוחות מחוונים

מדדיםתיאורמטרה (דוגמה)
DD כיסוי% מהקבלנים הקריטיים עם בדיקת נאותות הושלמו≥ 100%
פתח פעריםפערים פעילים/תיקונים בקבלניםצילום 0 קריטי
קצב פריצה ב ־ SLAהפרות זמן/זמינות SLA1 %/רבעון
קצב אירועתקריות אבטחה/12 חודשים לכל קבלןמגמה עליונה
מוכנות הראיותדוחות/תעודות/יומנים נוכחיים100%
סחף תת ־ מעבדשינויים ללא הודעה מוקדמת0
היגיינה גישה (שלישי)קבלן של איחור/גישה מיותרת≤ 1%
זמן לסיבובמהפתרון לשלילת גישה מלאה/מחיקה5 ימי עבודה

לוחות מחוונים: חימום סיכונים על ידי ספקים, מרכז SLA, תקריות וממצאים, מוכנות לראיות, מפת משנה.

9) נהלים (SOP)

SOP-1: הקבלן וו-אפ

1. Service Schange Accessification # 2) DD + PoC # 3) יישומים חוזיים = 4) גישה/רישום/הצפנה על גבי 5) מדדים ולוחות מחוונים.

SOP-2: ניהול שינוי קבלן

1. כרטיס שינוי (מיקום/תת-מעבד/ארכיטקטורה) * 2) הערכת סיכונים/חוק * 3) עדכון DPA/SLA * * 4) תקשורת וציר זמן יישום = 5) בדיקת ראיות.

SOP-3: תקרית קבלן

Execute # Triage (sev) # Nootify (חלונות זמניים של החוזה) # Hole # Erdicate # Recovery # Post-Mortem (לקחים, עדכונים של הבקרה/חוזה) * Residence in WORM.

SOP-4: עלייה למטוס

1. להקפיא אינטגרציות * 2) מידע לייצוא * 3) מחיקה/אנונימיות + אישור * 4) ביטול כל הגישה/מפתחות * 5) סגירת דו "ח.

10) ניהול יוצא מן הכלל (ויתורים)

בקשה רשמית עם תאריך פקיעה, הערכת סיכונים ובקרת קיזוז.
ראות בלוחות מחוונים, תזכורות אוטומטיות, איסור על חריגים ”נצחיים”.
הסלמה לוועדה על עבריינות/סיכון קריטי.

11) תבניות לדוגמה

הקבלן ברשימת העליה למטוס

[ ] DD השלים; אישור לקטגוריית ניקוד/סיכון
[ ] זכויות DPA/SLA/ביקורת מנויה; נספח הביטחון הסכים
[ ] רשימת מעבד משנה שהוחזרה; מיקומי אחסון אישרו
[ ] SSO/MFA; תפקידים ממוזערים מאומת SoD
[ ] בולי עץ מחוברים; נעילת אובייקט/תולעת מוגדרת; התראות החלו
[ ] יעדי DR/BCP הסכימו; תאריך הבדיקה נקבע
[ ] DSAR/משפטי Hold משולב
[ ] לוחות מחוונים וניטור מדדים

מיני SLA תבנית דרישה

זמן תגובה: Sev1 בידוד 15 דקות, Sev2 1 h, Sev3 4 h

זמן התאוששות: Sev1 4h, Sev2 24 hh

זמינות: 99. 9 %/חודש; הלוואות בהפרה

הודעת אירוע: 24 שעות, עדכונים ביניים כל 4 שעות (Sev1)

12) תרופות אנטי ־ פטריות

”נייר” שליטה ללא יומנים, טלמטריה וזכויות ביקורת.
אין תוכנית יציאה: יצוא יקר/ארוך, תלות בפורמטים קנייניים.
גישה לקבלן נצחי, חוסר אישור מחדש.
מתעלם ממעבדי משנה ומקומות אחסון.
KPIs ללא בעלים/הסלמה ושטחים ירוקים עם עובדות אדומות.
היעדר תולעת/אי-מידתיות לראיות - ביקורת מחלוקת.

13) מיקור חוץ מודל בגרות ניהול (M0-M4)

M0 מפוזר: בדיקות חד פעמיות, חוזה ”כמו כולם”.
אם-1 קטלוג: קבלנים רשומים, סלונים בסיסיים ושאלונים.
M2 מנוהל: DD בסיכון, DPA/SLA סטנדרטי, רישומים ולוחות מחוונים מחוברים.
M3 משולב: מעקב רציף, מדיניות-כקוד, ראיה אוטומטית, בדיקות ד "ר רגילות.
M4 מובטח: ”ביקורת מוכנה על כפתור”, סיכוני חיזוי שרשרת אספקה, הסלמה אוטומטית ותרחישים מחוץ לרמפה.

14) מאמרים הקשורים לוויקי

בדיקת נאותות בעת בחירת ספקים

ציות ודיווח אוטומציה

ניטור ציות רציף (CCM)

אחיזה חוקית והקפאת נתונים

מדיניות ואופן חיים של נהלים

KYC/KYB וסינון סנקציה

תוכנית המשכיות (BCP) ו ־ DRP

סך הכל

בקרת מיקור חוץ היא מערכת, לא רשימה: בחירה מוכוונת סיכונים, ערבויות חוזיות מחמירות, גישה מינימלית ונצפית, ניטור רציף, עלייה מהירה למטוס ובסיס ראיות. במערכת כזו, קבלנים מגבירים את מהירות העסקים מבלי להגדיל את הפגיעות שלך.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.