प्रदाताओं का चयन करते समय कारण परिश्रम

1) परिश्रम प्रदाताओं के कारण क्यों

• उत्पाद/देश/डेटा द्वारा अंतर्निहित जोखिम की पहचा
• अनुबंध पुरस्कार से पहले अनुपालन और सुरक्षा सत्यापित क
• अनुबंध चरण में एसएलए/एसएलओ और ऑडिट अधिकार रिकॉर्ड करें।
• डेटा अखंडता बनाए रखते समय मॉनिटरिंग और ऑफबोर्डिंग कॉन्फ़िगर करें।

2) कब और क्या कवर करता है

अंक: प्रारंभिक चयन, लघु सूची, अनुबंध से पहले, महत्वपूर्ण परिवर्तनों के साथ, वार्षिक समीक्षा।

कवरेज: कानूनी स्थिति, वित्तीय स्थिरता, सुरक्षा, गोपनीयता, तकनीकी परिपक्वता, ऑपरेशन/समर्थन, अनुपालन (जीडीपीआर/पीसीआई/एएमएल/एसओसी 2, आदि), भूगोल और प्रतिबंध जोखिम, ईएसजी/नैतिकता, उपमदाता।

3) भूमिकाएँ और आरएसीआई

(आर - जिम्मेदार; ए - जवाबदेह; सी - परामर्श; I - सूचित)

4) स्कोरकार्ड (हम क्या जाँच करते हैं)

4. 1 कानूनी और कॉर्पोरेट प्रोफ़ाइल

पंजीकरण, लाभार्थियों (केवाईबी), मुकदमेबाजी, प्रतिबंधों की सूची।

विनियमित सेवाओं के लिए लाइसेंस/प्रमाणपत्र।

4. 2 वित्त और स्थिरता

लेखा परीक्षित विवरण, ऋण भार, प्रमुख निवेशक/बैंक।

एकल ग्राहक/क्षेत्र निर्भरता, निरंतरता योजना (बीसीपी)।

4. 3 सुरक्षा और गोपनीयता

आईएसएमएस (राजनेता, आरएसीआई), बाहरी परीक्षण परिणाम, भेद्यता प्रबंधन।

आराम/पारगमन में एन्क्रिप्शन, केएमएस/एचएसएम, गुप्त प्रबंधन।

DLP/EDRM, पत्रकारिता, कानूनी पकड़, प्रतिधारण और विलोपन।

हादसा प्रबंधन: एसएलए सूचनाएं, प्लेबुक, पोस्टमार्टम।

4. 4 अनुपालन और प्रमाणन

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (समय और गुंजाइश)।

GDPR/स्थानीय मानदंड: भूमिकाएँ (नियंत्रक/प्रोसेसर), DPA, SCC/BCR, DPIA।

एएमएल/स्वीकृति लूप (यदि लागू हो)।

4. 5 तकनीकी परिपक्वता और एकीकरण

वास्तुकला (बहु-किरायेदारी, अलगाव, एसएलओ, डीआर/एचए, आरटीओ/आरपीओ)।

एपीआई/एसडीके, वर्शनिंग, दर सीमा, अवलोकन (लॉग/मेट्रिक्स/ट्रेल्स)।

परिवर्तन प्रबंधन, रिलीज़ (नीला-हरा/कैनरी), पिछड़े संगतता।

4. 6 ऑपरेशन और समर्थन

24 × 7/Follow-the-sun, प्रतिक्रिया/कमी समय, ऑन्कॉल।

ऑनबोर्डिंग/ऑफबोर्डिंग प्रक्रियाएं, दंड के बिना डेटा निर्यात।

4. 7 उप-प्रोसेसर और आपूर्ति श्रृंखला

उपमहाद्वीप, क्षेत्राधिकार, उनके नियंत्रण और नोटिस बदलने की सूची।

4. 8 नैतिकता/ईएसजी

भ्रष्टाचार विरोधी नीतियां, आचार संहिता, श्रम प्रथाओं, रिपो

5) परिश्रम प्रक्रिया (एसओपी)

1. दीक्षा: मांग कार्ड (लक्ष्य, डेटा, न्यायालय, आलोचना)।

2. योग्यता: लघु प्रश्नावली (प्री-स्क्रीन) + मंजूरी/लाइसेंस जांच।

3. गहन मूल्यांकन: प्रश्नावली, कलाकृतियां (नीतियां, रिपोर्ट, प्रमाणपत्र), साक्षात्कार।

4. तकनीकी जांच: सुरक्षा समीक्षा, पर्यावरण डेमो, रीडिंग लॉग/मैट्रिक्स, पीओसी।

5. स्कोरिंग और जोखिम: अंतर्निहित जोखिम नियंत्रण प्रोफ़ाइल - अवशिष्ट जो

6. विमुद्रीकरण: अनुबंध से पहले शर्तें/सुधार (समय सीमा के साथ अंतर सूची)।

7. Контракт: डीपीए/एसएलए/ऑडिट अधिकार/देयता/आईपी/समाप्ति/निकास योजना।

8. ऑनबोर्डिंग: एक्सेस/एसएसओ, डेटा कैटलॉग, एकीकरण, निगरानी योजना।

9. निरंतर निगरानी: वार्षिक समीक्षा/ट्रिगर (घटना, उप-प्रोसेसर परिवर्तन)।

10. ऑफबोर्डिंग: निर्यात, विलोपन/गुमनामी, पहुंच का निरसन, विनाश की पुष्टि।

6) प्रदाता प्रश्नावली (प्रश्नों का मूल)

यूर। व्यक्ति, लाभार्थी, प्रतिबंधों की जाँच, 3 साल के लिए विवाद।

प्रमाणपत्र (एसओसी 2 प्रकार/अवधि, आईएसओ, पीसीआई), नवीनतम रिपोर्ट/गुंजाइश।

सुरक्षा नीतियां, डेटा इन्वेंट्री, वर्गीकरण, डीएलपी/ईडीआरएम।

तकनीकी अलगाव: किरायेदार-अलगाव, नेटवर्क नीतियां, एन्क्रिप्शन, कुंजी।

लॉग और ऑडिट: भंडारण, पहुंच, WORM/अपरिवर्तनीयता, SIEM/SOAR।

24 महीनों में घटनाएं: प्रकार, प्रभाव, सबक।

अवधारण/विलोपन/कानूनी पकड ़/डीएसएआर धारा।

उप-प्रोसेसर: सूची, देश, कार्य, संविदात्मक गारंटी।

डीआर/बीसीपी: आरटीओ/आरपीओ, हाल के परीक्षण परिणाम।

समर्थन/एसएलए: प्रतिक्रिया/निर्णय समय, वृद्धि, क्रेडिट स्कीमा।

एग्जिट-प्लान: डेटा निर्यात, प्रारूप, लागत।

7) स्कोरिंग मॉडल (उदाहरण)

कुल्हाड़ी: कानून/वित्त/सुरक्षा/गोपनीयता/इंजीनियरिंग/संचालन/अनुपालन/श्रृंखला/ईएसजी।

प्रत्येक धुरी पर स्कोर 1-5; सेवा आलोचना और डेटा प्रकार द्वारा वजन।

• 'आरआर =) (वजन _ i × स्कोर _ i)' → श्रेणी: निम्न/मध्यम/उच्च/महत्वपूर्ण।

उच्च/महत्वपूर्ण: पूर्व-अनुबंध उपचारात्मक, बढ़ी हुई एसएलए स्थितियां और निगरानी अनिवार्य हैं।

निम्न/मध्यम: मानक आवश्यकताएं + वार्षिक संशोधन।

8) अनुबंध के अनिवार्य प्रावधान (होना चाहिए)

DPA: भूमिकाएँ (नियंत्रक/प्रोसेसर), उद्देश्य, डेटा श्रेणियां, प्रतिधारण और विलोपन, कानूनी पकड़, DSAR सहायता।

सीमा पार प्रसारण के लिए एससीसी/बीसीआर (यदि लागू हो)।

सुरक्षा परिशिष्ट: एन्क्रिप्शन, लॉग, कमजोरियां/पैचिंग, प्रवेश परीक्षण, कमजोरियों का खुलासा।

एसएलए/एसएलओ: प्रतिक्रिया/उन्मूलन समय (सेव-स्तर), क्रेडिट/दंड, उपलब्धता, आरटीओ/आरपीओ।

ऑडिट अधिकार: ऑडिट/प्रश्नावली/सबूत का अधिकार; नियंत्रण/उप-प्रोसेसर परिवर्तन की सूचनाएं।

उल्लंघन अधिसूचना: अधिसूचना की शर्तें (उदाहरण के लिए, ≤ 24-72 घंटे), प्रारूप, जांच में सहयोग।

सबप्रोसेसर खंड: सूची, नोटिस/समझौते द्वारा परिवर्तन, जिम्मेदारी।

निकास और डेटा रिटर्न/विलोपन: निर्यात प्रारूप, तिथि, विनाश की पुष्टि, प्रवासन समर्थन।

देयता/क्षतिपूर्ति: सीमा/अपवाद (पीआई रिसाव, लाइसेंस उल्लंघन, नियामक जुर्माना)।

आईपी/लाइसेंस - विकास/विन्यास/डेटा/मेटाडेटा अधिकार।

9) निगरानी और समीक्षा ट्रिगर

प्रमाणपत्रों की समाप्ति/नवीकरण (एसओसी/आईएसओ/पीसीआई), रिपोर्टिंग की स्थिति में परिवर्तन।

उप-प्रोसेसर/भंडारण स्थानों/न्यायालयों का परिवर्तन।

सुरक्षा घटनाएं/महत्वपूर्ण एसएलए आउटेज।

विलय/अधिग्रहण, वित्तीय निष्पादन की गिरावट।

अलगाव/एन्क्रिप्शन/एक्सेस को प्रभावित करता है।

नियामक पूछताछ, निष्कर्ष ऑडिट।

10) विक्रेता जोखिम Mgmt मेट्रिक्स और डैशबोर्ड

कवरेज डीडी: महत्वपूर्ण प्रदाताओं का% जो पूर्ण डीडी पारित कर चुके हैं।

टाइम-टू-ऑनबोर्ड: बोली से अनुबंध तक (जोखिम श्रेणी द्वारा)।

ओपन गैप्स: प्रदाता द्वारा सक्रिय उपचारात्मक (समयसीमा/मालिक)।

SLA उल्लंघन दर: समय/उपलब्धता के अनुसार SLA उल्लंघनों का अनुपात।

हादसा दर: प्रदाता द्वारा Incidents/12 महीने और गंभीरता।

ऑडिट साक्ष्य तत्परता: अप-टू-डेट रिपोर्ट/प्रमाणपत्र की उपलब्धता।

सबप्रोसेसर बहाव - नोटिस के बिना परिवर्तन (लक्ष्य 0)।

11) वर्गीकरण और सत्यापन स्तर

12) चेकलिस्ट

डीडी प्रारंभ किया जा रहा है

• आवश्यकता कार्ड और सेवा जोखिम वर्ग।
• प्री-स्क्रीन: प्रतिबंध, लाइसेंस, बेस प्रोफाइल।
• प्रश्नावली + कलाकृतियाँ (नीतियां, रिपोर्ट, प्रमाणपत्र)।
• एकीकरण के लिए सुरक्षा/गोपनीयता समीक्षा + पीओसी।
• समय सीमा और मालिकों के साथ गैप सूची।
• अनुबंध: डीपीए/एसएलए/ऑडिट अधिकार/देयता/निकास।
• ऑनबोर्डिंग और मॉनिटरिंग प्लान (मेट्रिक्स, अलर्ट)।

वार्षिक समीक्षा

• अद्यतन प्रमाणपत्र और रिपोर्ट।
• उप-प्रोसेसर/स्थान/न्यायालय जांच करते हैं।
• विमुद्रीकरण की स्थिति, नए जोखिम/घटनाएं।
• DR/BCP परीक्षण और परिणाम।
• ड्राई-रन ऑडिट: "बटन द्वारा" सबूत एकत्र करें।

13) लाल झंडे (लाल झंडे)

एसओसी/आईएसओ/पीसीआई या रिपोर्ट के भौतिक अनुभाग प्रदान करने से इनकार।

डेटा एनक्रिप्शन/लॉग/विलोपन के लिए फजी जवाब।

कोई डीआर/बीसीपी योजना नहीं है या उनका परीक्षण नहीं किया जा रहा है।

पोस्टमार्टम और सबक के बिना बंद घटनाएं।

गारंटी के बिना उप-प्रोसेसर/विदेशों में असीमित डेटा हस्तांतरण।

पीआई लीक के लिए देयता की आक्रामक सीमाएं।

14) एंटीपैटर्न

पीओसी और तकनीकी सत्यापन के बिना "पेपर" डीडी।

सार्वभौमिक जोखिम-मुक्त/न्यायिक चेकलिस्ट।

डीपीए/एसएलए/लेखा परीक्षा अधिकार और निकास योजना के बिना संविदा।

एक प्रदाता रजिस्ट्री और परिवर्तन निगरानी का अभाव।

"फॉरएवर" ने रोटेशन और फिर से सत्यापन के बिना एक्सेस/टोकन जारी किए।

15) संबंधित विकी लेख

अनुपालन और रिपोर्टिंग स्वचालन

सतत अनुपालन निगरानी (सीसीएम)

कानूनी पकड़ और डेटा फ्रीज

नीतियां और प्रक्रियाएं जीवनचक्र

केवाईसी/केवाईबी और स्वीकृति स्क्रीनिंग

डेटा प्रतिधारण और विलोपन अनुसूची

निरंतरता योजना (बीसीपी) और डीआरपी

परिणाम

जोखिम-उन्मुख कारण परिश्रम एक टिक नहीं है, लेकिन एक प्रबंधित प्रक्रिया है: सही वर्गीकरण, कुंजी कुल्हाड़ियों के साथ गहरे सत्यापन, स्पष्ट संविदात्मक गारंटी और निरंतर निगरानी। इसलिए आपूर्तिकर्ता आपकी श्रृंखला का एक विश्वसनीय हिस्सा बन जाते हैं, और आप अपने व्यवसाय को धीमा किए बिना आवश्यकताओं को पूरा करते हैं।