בדיקת נאותות בעת בחירת ספקים

1) מדוע ספקי בדיקת נאותות

• זהה סיכון טבוע על ידי מוצר/מדינה/נתונים.
• ודא ציות ובטיחות לפני פרס החוזה.
• תקליט SLA/SLO וזכויות ביקורת בשלב החוזה.
• הגדרות ניטור ועלייה למטוס תוך שמירה על שלמות נתונים.

2) מתי ומה מכסה

נקודות: בחירה ראשונית, רשימה קצרה, לפני החוזה, עם שינויים משמעותיים, סקירה שנתית.
כיסוי: מצב משפטי, יציבות פיננסית, ביטחון, פרטיות, בגרות טכנית, פעולה/תמיכה, ציות (GDPR/PCI/AML/SOC 2 וכו '), סיכוני גיאוגרפיה וסנקציות, סיכוני ESG/אתיקה, קבלני משנה.

3) תפקידים ו ־ RACI

(ר - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)

4) כרטיס ניקוד (מה שאנחנו בודקים)

4. 1 פרופיל משפטי ותאגידי

רישום, מוטבים (KYB), התדיינות משפטית, רשימות סנקציות.
רישיונות/תעודות עבור שירותים מוסדרים.

4. 2 מימון וקיימות

הצהרות מבוקרות, עומס חוב, משקיעים/בנקים מרכזיים.
תלות בלקוח/אזור אחד, תוכנית המשכיות (BCP).

4. 3 ביטחון ופרטיות

תוצאות מבחנים חיצוניים, ניהול פגיעות.
הצפנה במנוחה/במעבר, KMS/HSM, ניהול סודי.
DLP/EDRM, יומן, Hold משפטי, שימור ומחיקה.
הודעה ל-SLA, ספרי משחק, לאחר המוות.

4. 4 ציות ואישור

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (תזמון והיקף).
GDPR/נורמות מקומיות: תפקידים (בקר/מעבד), DPA, SCC/BCR, DPIA.
AML/סנקציה לולאה (אם ישים).

4. 5 בגרות טכנית ואינטגרציה

ארכיטקטורה (רב-שכבתיות, בידוד, SLO, DR/HA, RTO/RPO).
API/SDK, versioning, rate limits, observability (רישומים/מדטים/שבילים).
ניהול שינוי, שחרור (כחול ירוק/כנרי), תאימות לאחור.

4. 6 פעולות ותמיכה

24 × 7/Follow-the-sun, זמן תגובה/הפחתה, אולמות.
נהלי עלייה למטוס, יצוא נתונים ללא קנסות.

4. 7 תת-מעבדים ושרשרת אספקה

רשימה של קבלני משנה, תחומי שיפוט, בקריהם והודעות שינוי.

4. 8 אתיקה/ESG

מדיניות נגד שחיתות, קוד התנהגות, פרקטיקות עבודה, דיווח.

5) תהליך בדיקת נאותות (SOP)

1. קבלה: כרטיס דרישה (מטרות, נתונים, תחומי שיפוט, ביקורתיות).
2. הסמכה: שאלון קצר (טרום מסך) + סנקציה/בדיקת רישיון.
3. הערכה עמוקה: שאלון, חפצים (מדיניות, דוחות, תעודות), ראיונות.
4. בדיקה טכנית: סקירת אבטחה, הדגמת סביבה, רישומי קריאה/מדדים, POC.
5. ניקוד וסיכונים: סיכון תורשתי = פרופיל בקרה = = סיכון שיורי.
6. תיקון: מונחים/תיקונים לפני החוזה (רשימת פערים עם מועדים).
7. Oectletalite: DPA/SLA/ביקורת זכויות/אחריות/IP/סיום/תוכנית יציאה.
8. על העליה: גישה/SSO, קטלוג נתונים, אינטגרציה, תוכנית ניטור.
9. ניטור רציף: סקירה/טריגר שנתי (תקרית, שינוי תת מעבד).
10. הייצוא, המחיקה/האנונימיות, שלילת הגישה, אישור ההרס.

6) שאלון לספק (ליבת שאלות)

כל הכבוד. אדם, מוטבים, סנקציות בודקות, סכסוכים במשך 3 שנים.
תעודות (SOC 2 סוג/תקופה, ISO, PCI), דיווחים/היקף עדכניים.
מדיניות אבטחה, מלאי נתונים, סיווג, DLP/EDRM.
בידוד טכני: בידוד דייר, מדיניות רשת, הצפנה, מפתחות.
יומנים וביקורות: אחסון, גישה, תולעת/אי-תזוזה, SIEM/SOAR.
תקריות תוך 24 חודשים: סוגים, השפעה, שיעורים.
שימור/מחיקה/Ligal Hold/DSAR stream.
מעבדי משנה: רשימה, מדינות, פונקציות, ערבויות חוזיות.
ד "ר/BCP: RTO/RPO, תוצאות הבדיקה האחרונות.
תמיכה/SLA: זמן תגובה/החלטה, הסלמה, סכימת אשראי.
יציאה-תכנית: יצוא נתונים, פורמטים, עלות.

7) מודל ניקוד (דוגמה)

צירים: Law/Finance/Security/Privacy/Engineering/Operations/Complication/Chain/ESG.
נקודות 1-5 על כל ציר; משקל על ידי ביקורתיות שירות וסוג נתונים.

• (RR = image (משקל _ i × ציון _ i): Low/Medium/High/Critical.

היי/קריטי: תיקון טרום חוזה, תנאי SLA משופרים וניטור הם חובה.
Low/Medium: דרישות סטנדרטיות + שינוי שנתי.

8) הוראות חובה של החוזה (חייב-יש)

DPA: תפקידים (בקר/מעבד), מטרה, קטגוריות נתונים, שימור ומחיקה, Ligal Hold, DSAR.
SCC/BCR עבור שידורים חוצי גבולות (אם ישים).
נספח אבטחה: הצפנה, יומנים, נקודות תורפה/תיקון, בדיקות חדירה, גילוי נקודות תורפה.
SLA/SLO: זמן תגובה/אלימינציה (sev-levels), נקודות זכות/עונשים, זמינות, RTO/RPO.
זכויות ביקורת: זכות לביקורת/שאלון/ראיות; הודעות על שינויים בשליטה/תת-מעבד.
הודעת הפרה: תנאי הודעה (לדוגמה, 24-72 שעות), פורמט, שיתוף פעולה בחקירה.
סעיף תת-מעבד: רשימה, שינוי בהתראה/הסכם, אחריות.
יציאה והחזרת נתונים/מחיקה: פורמט יצוא, תאריכים, אישור להרס, תמיכה בנדידה.
אחריות/שיפוי: מגבלות/חריגות (דליפת PI, הפרת רישיון, קנסות רגולטוריים).
IP/License - זכויות פיתוח/הגדרה/נתונים/metadata.

9) מפעיל מעקב וסקירה

תפוגה/חידוש של תעודות (SOC/ISO/PCI), שינויים במצב הדיווח.
שינוי של תת-מעבדים/מיקום אחסון/תחום שיפוט.
תקריות אבטחה/הפסקות סל "א משמעותיות.
מיזוגים/רכישות, הידרדרות ביצועים פיננסיים.
משחרר המשפיע על בידוד/הצפנה/גישה.
חקירה רגולטורית, ביקורת ממצאים.

10) סיכון Mgmt מטריצות ולוחות מחוונים

סיקור DD:% מהספקים הקריטיים שעברו DD מלא.
Time-to-Onboard: חציוני מהצעה לחוזה (על ידי קטגוריית סיכון).
פערים פתוחים: תיקונים פעילים על ידי ספק (צירי זמן/בעלים).
קצב פריצת SLA: פרופורציה של פרצות SLA לפי זמן/זמינות.
קצב אירוע: Incidents/12 חודשים על ידי ספק וחומרה.
ביקורת מוכנות ראיות: זמינות של דיווחים עדכניים/תעודות.
Subprocessor Drift - שינויים ללא הודעה מוקדמת (מטרה 0).

11) קטגוריזציה ורמות אימות

12) רשימות בדיקה

מתחיל DD

[ כרטיס דרישה ] ושיעור סיכון שירות.

[ ] טרום מסך: סנקציות, רישיונות, פרופיל בסיס.

[ ] שאלון + חפצים (מדיניות, דוחות, תעודות).

[ ] סקירת אבטחה/פרטיות + PoC לאינטגרציה.

רשימת [ ] גאפ עם מועדים ובעלים.

[ ] חוזה: DPA/SLA/ביקורת זכויות/אחריות/יציאה.

[ ] תוכנית עלייה למטוס וניטור (מדדים, התראות).

סקירה שנתית

[ ] תעודות ודוחות מעודכנים.

[ ] בדיקת תת-מעבדים/מיקומים/תחום שיפוט.

[ ] מצב תיקון, סיכונים/תקריות חדשות.

[ ] DR/BCP בדיקות ותוצאות.

[ ביקורת ] יבש-לרוץ: לאסוף ראיות ”על כפתור”.

13) דגלים אדומים (דגלים אדומים)

סירוב לספק SOC/ISO/PCI או חלקים חומריים של דיווחים.
תשובות מעורפלות להצפנת נתונים/יומנים/מחיקה.
אין תוכניות DR/BCP או שהם לא נבדקים.
תקריות סגורות ללא לאחר המוות ושיעורים.
העברת מידע בלתי מוגבלת למעבדי משנה/בחו "ל ללא ערבויות.
מגבלות אגרסיביות של אחריות על דליפות בלש פרטי.

14) תרופות אנטי ־ פטריות

”נייר” DD ללא PoC ואימות טכני.
רשימה אוניברסלית ללא סיכונים/שיפוט.
חוזה ללא DPA/SLA/ביקורת זכויות ותוכנית יציאה.
היעדר רישום ספק וניטור שינוי.
”לנצח” הוציא גישה/אסימונים ללא סיבוב והעיד מחדש.

15) מאמרים הקשורים לוויקי

ציות ודיווח אוטומציה

ניטור ציות רציף (CCM)

אחיזה חוקית והקפאת נתונים

מדיניות ואופן חיים של נהלים

KYC/KYB וסינון סנקציה

שמירת נתונים ולוחות זמנים למחיקה

תוכנית המשכיות (BCP) ו ־ DRP

תוצאות

Dailigence אינו קרציה, אלא תהליך מנוהל: סיווג נכון, אימות עמוק לאורך גרזני מפתח, ערבויות חוזיות ברורות וניטור רציף. אז ספקים הופכים לחלק אמין של השרשרת שלך, ואתה צפוי לעמוד בדרישות מבלי להאט את העסק שלך.