GH GambleHub

Աուտսորսինգի ռիսկերը և կապալառուների վերահսկումը

1) Ինչու՞ է աուտսորսինգը = ավելի մեծ ռիսկ

Utsorsing-ը արագացնում է գործարկումը և նվազեցնում ծախսերը, բայց ընդլայնում է ռիսկի մակերեսը 'ձեր գործընթացներին, տվյալներին և հաճախորդներին ստանում են արտաքին թիմեր և նրանց ենթակայաններ։ Ռիսկերի կառավարումը պայմանագրային, պայմանագրային և տեխնոլոգիական միջոցների համադրություն է չափման և դեղորայքի հետ։

2) Ռիսկերի քարտեզը (տիոպոլոգիա)

Իրավական 'ճիշտ պայմանագրերի բացակայություն, թույլ պայմանագրային երաշխիքներ, IP/հեղինակային իրավունքներ, միգրացիոն բախումներ։

Կարգավորող/համադրող 'GDPR/AML/PCI DSS/SOC 2 և այլն։ DPA/SCC բացակայություն; Հաշվետվությունների խախտումները։

Տեղեկատվական անվտանգությունը 'արտահոսք/էքսպոզիցիա, հասանելի թույլ կառավարում, ամսագրերի և հաճախորդների բացակայություն։

Գաղտնիությունը 'PI-ի ավելցուկ վերամշակումը, ռենտենիայի խախտումը/108, Legal Hold և DSAR-ի անտեսումը։

Վիրահատական 'ցածր կայունություն, թույլ BCP/DR, 24 247 բացակայություն, SLO/SLA խախտումներ։

Ֆինանսական ՝ անկայունություն, կախվածություն մեկ հաճախորդից/տարածաշրջանից, թաքնված ելքի ծախսերը։

Հեղինակություն 'միջադեպեր/սկանդալներ, շահերի բախում, թունավոր մարքեթինգ։

Մատակարարման շղթա 'անթափանց սուզանավեր, որոնք չեն վերահսկվում տվյալների պահպանման վայրերով։

3) Դերեր և պատասխանատվություն (RACI)

ԴերըՊատասխանատվություն
Business Owner (A)Աուտսորսինգի հիմնավորումը, բյուջեն, վերջնական «go/71-go»
Vendor Management / Procurement (R)Ընտրության/գնահատման/վերանայման գործընթացները, կապալառուների իրականացումը
Compliance/DPO (R/C)DPA, սեփականատիրությունը, բյուջետային փոխանցումները, ռեգ պարտավորությունները
Legal (R/C)Պայմանագրեր, պատասխանատվություններ, միգրանցների իրավունքներ, IP, սանկցիոն ստուգումներ
Security/CISO (R)IB, pentests, ամսագրեր, միջադեպեր
Data/IAM/Platform (C)SSO, դերեր/SoD, ծածկագրում, լոգներ,
Finance (C)Հիբրիդային ռիսկերը, արտարժույթի պայմանները, տուգանային մեխանիզմները
Internal Audit (I)Լիովին վերաֆինանսավորում, վերահսկման անկախ գնահատում

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Կապալառուների վերահսկման կյանքի ցիկլը

1. Պլանավորումը 'աուտսորսինգի նպատակը, քննադատությունը, տվյալների կատեգորիաները, իրավասությունները, այլընտրանքների գնահատումը (build/buy/partner)։

2. Due Diligence: Հարցաթերթիկներ, արտեֆակտներ (հավաստագրեր, քաղաքականություններ), techprowers/RoS, ռիսկերի և գապ թերթերի։

3. Պայմանագիրը ՝ DPA/SLA/օրենքի, պատասխանատվությունը և տուգանքները, ենթահամակարգերը, ելքի պլանը (exit) և տվյալների ավելացման ժամանակը։

4. Onbording: SSO-ը և դերերը (ամենափոքր առավելությունները), կոդերը և տվյալները, միջավայրերի մեկուսացումը, լրագրությունը և ալերտները։

5. Վիրահատություններ և հետազոտություններ ՝ KPI/SLA, միջադեպեր, ենթահամակարգերի/միգրացիայի փոփոխություններ, տարեկան վերանայումներ և ապացույցների վերահսկում։

6. Express/remedication 'haps շտկելը dedlins, waiver-ընթացակարգեր' ամսաթվի հետ։

7. Օֆբորդինգը 'հասանելիության, արտահանման, հեռացման/անունացման, ոչնչացման ապացույց, էվիդենցիայի արխիվ։

5) Պայմանագրային «must-have»

DPA (դիմումը) 'դերեր (www.ler/processor), մշակման նպատակներ, տվյալների կատեգորիաներ, վերականգնումը/հեռացումը, Legal Hold, օգնություն DSAR-ից, պահեստավորման և փոխանցման վայրերից (SCC/BCR, որտեղ անհրաժեշտ է)։

SLA/SLO 'հասանելիության մակարդակներ, ռեակցիայի/վերացման ժամանակը (sev մակարդակներ), վարկը/տուգանքը խախտումների համար, RTO/RPO, 24-7/Follow-the-sun։

Express Annex: at rest/in transit կոդավորումը, բեկորների կառավարումը (KFC/HSM), գաղտնիքը-կառավարումը, ամսագրումը (WORM/Object Prok), պենտեստները/սկանները, խոցելիությունների կառավարումը։

Audit & Assess.Rights: Ռուսական հարցազրույցները, հյուրանոցների տրամադրումը (SOC 2/CSI/PCI), աուդիտի իրավունք/նա կայք/վեպ/վեպ։

Medprocessors: 108, ծանուցում/փոփոխություններ, պատասխանատվություն շղթայի համար։

Breach Notif.ru: Ժամկետները (օրինակ ՝ 24-72 ժամ), ձևաչափը, փոխազդեցությունը հետազոտության մեջ։

Exit/Medetion: Էքսպորտի ձևաչափը, ժամկետները, ոչնչացման հաստատումը, հրթիռների աջակցությունը, cap-ը ելքի արժեքի համար։

Liability/Indemnity: Limits, բացառություններ (PI արտահոսք, կարգավորիչների տուգանքներ, IP խախտումներ)։

Change Control: ծանուցումներ դիմումների/վերահսկման էական փոփոխությունների մասին։

6) Տեխնիկական և կազմակերպական վերահսկումները

Հասանելիությունը և ինքնությունը 'SSO, ամենափոքր արտոնությունների սկզբունքը, SoD, re-certifent քարոզարշավը, JIT/ժամանակավոր հասանելի, պարտադիր MFA։

Մեկուսացում և ցանցեր ՝ tenault-isolation, սեգմենացիա, մասնավոր ջրանցքներ, allow-lis.ru, egress սահմանափակումը։

Կոդավորումը 'պարտադիր TFC, կոդավորումը, բեկորների կառավարումը և լուծումը, ինքնաբուխ կրիպտոգրաֆիայի արգելքը։

Ամսագրում և ապացույցները 'կենտրոնացված լոգներ, WORM/Object Systek, hash-ամրագրում 108, 108 և evidence։

Տվյալները և գաղտնիությունը 'դիմակավորում/կեղծանունացում, վերափոխման վերահսկողություն/TTL, Legal Hold override, տվյալների արտահանման վերահսկողություն։

DevSecOps: SMS/DMS/SCA, գաղտնիք-սկան, SBSA, OFC արտոնագիր, CI/CD խաղացողներ, ֆորումների քաղաքականություն (blue-green/canary)։

Կայունություն ՝ DR/BCP թեստեր, RTO/RPO նպատակները, capacity պլանավորումը, SLO-ն։

Վիրահատություններ ՝ playbooks 2019, on-call, ITSM-ticets SLA, change-2019։

Սովորեցրեք և ընդունեք, որ պրովայդերի պարտադիր դասընթացները IB/մասնագիտության, անձնակազմի հավատարմագրումը (wwww.lawful)։

7) Շարունակական պաշտպանություն

Պերֆորանսը/SLA 'հասանելիություն, արձագանքի/վերացման ժամանակը, վարկերը։

Հավաստագրություն/հաշվետվություններ 'SOC/IV/PCI, scope և բացառություններ։

Պատահականներն ու փոփոխությունները 'հաճախականությունը/լրջությունը, դասերը, ենթահամակարգերի/միգրացիայի փոփոխությունները։

Դրեյֆը վերահսկում է, պայմանագրային պահանջներից շեղումները (ծածկագրում, ամսագրում, DR թեստեր)։

Ֆինանսական կայունություն 'հանրային ազդանշաններ, M&A, բուլգարների փոփոխություն։

Իրավասությունները և սանկցիաները 'նոր սահմանափակումներ, երկրների ցուցակ/ամպեր/ամսաթվերի կենտրոններ։

8) Metriki և dashbords Vendor Risk & Dissourcing

ՄետրիկաՆկարագրությունՆպատակը (օրինակ)
Coverage DDկրիտիկական կապալառուների տոկոսը ավարտված Due Diligence-ով≥ 100%
Open GapsԱկտիվ գապներ/ռեմիդացիաներ կապալառուների մոտ240 կրիտիկական
SLA Breach RateSLA խախտումները ժամանակի/հասանելիության241 %/թաղամաս
Incident RateԱնվտանգության/12 մեզ յուրաքանչյուր կապալառուի համարտենդենցը
Evidence ReadinessԻրական հաշվետվություններ/հավաստագրեր/լոգներ100%
Subprocessor DriftՓոփոխություններ առանց ծանուցման0
Access Hygiene (3rd)Հետաձգված/ավելացված կապալառուի հասանելիությունը≤ 1%
Time-to-OffboardԼուծումից մինչև հասանելիության ամբողջական արձագանքը/20195 աշխատանքային օր

Dashbords: Heatmap ռիսկերը պրովայդերների, SLA Express, Incidents & Findings, Evidence Readiness, Processor Map-ի համար։

9) Ընթացակարգեր (SOP)

SOP-1 'Կապողի միացում

1. Ծառայության ռիսկի-դասակարգումը 492) DD + PoC 353) 492 պայմանագրային ծրագրերը) հասանելի/logs/35.25) մեկնարկային մետրերը և dashbords։

SOP-2 'Փոփոխությունների կառավարումը կապալառուի մոտ

1. Փոփոխության քարտը (միգրացիա/ենթահամակարգ/ճարտարապետություն) 242) ռիսկի/իրավաբանության թիվ 3) DPA/SLA 244) հաղորդակցությունը և 355-ի իրականացման ժամանակը) evidence ստուգումը։

SOP-3: Պատահականություն կապալառուի մոտ

Deta.ru Triage (sev) Notify (պայմանագրի ժամանակավոր պատուհանները) մեջբերում է Altain Eeradicate Express Post-mortem (դասեր, վերահսկման/պայմանագրի նորարարություններ) WORM-ում։

SOP-4: Օֆբորդինգը

1. Freeze ինտեգրացիա 242) տվյալների էքսպորտը 243) հեռացում/անանունացում + հաստատումը 244) բոլոր հասանելի/655) փակող զեկույցը։

10) Բացառությունների կառավարում (waivers)

Պաշտոնական հարցումը մրցույթի ամսաթվով, ռիսկի գնահատմամբ և փոխհատուցող վերահսկողություններով։

Տեսանելիությունը GRC/dashbords, Avto հիշեցումներ, «հավերժական» բացառությունների արգելք։

Հանձնաժողովի էսկալացիան ժամկետանց/կրիտիկական ռիսկի ժամանակ։

11) Ձևանմուշների օրինակներ

Chek-liste onbording կապալառուն

  • DD ավարտվել է; սկորինգը/ռիսկի կատեգորիան պնդված են
  • DPA/SLA/audit rights ստորագրվել են; Express Annex համաձայնեցված
  • Ենթահամակարգերի ցանկը։ պահեստային տեղերը ապացուցված են
  • SSO/MFA տրամադրված են; դերերը նվազագույն են. SoD ստուգված
  • Լոգները միացված են; WORM/Object Disk-ը տրամադրված է; alerts ստեղծվել են
  • DR/BCP նպատակները համաձայնեցված են. թեստի ամսաթիվը նշանակված է
  • DSAR/Legal Hold-ի ընթացակարգերը ինտեգրված են
  • Dashbords և metrics-ը ներառված են

SLA-ի մինի-ձևանմուշները

Արձագանքի ժամանակը ՝ Sev1 2415 րոպե, Sev2 241 ժամ, Sev3 244 ժամ

Վերականգնման ժամանակը 'Sev1 244 ժամ, Sev2 2424 ժամ

Հասանելիություն ՝ 3699։ 9 %/ամիս; վարկեր խախտելիս

Դեպքի մասին ծանուցում ՝ 2424 ժամ, միջանկյալ դեղագործներ յուրաքանչյուր 4 ժամվա ընթացքում (Sev1)

12) Անտիպատերնի

«Թուղթ» վերահսկողությունը առանց լոգարանների, հեռուստատեսության և իրավունքների։

Ելք չկա 'թանկ/երկար էքսպորտը, կախվածությունը պրետեկտորային ձևերից։

Հավիտենական կապալառուի հասանելի, re-certifae բացակայություն։

Ենթահամակարգերի անտեսումը և տվյալների պահպանումը։

KPI-ն առանց սեփականատիրոջ/էսկալացիաների և «կանաչ» գոտիների կարմիր փաստերի մեջ։

WORM/immutability-ի բացակայությունը evidence-ի համար բանավեճն է։

13) Աուտսորսինգի կառավարման մոդելը (M0-M4)

M0 Razroznen: Տարբեր ստուգումներ, «ինչպես բոլորը» պայմանագիրը։

M1 Կատալոգը ՝ կապալառուներ, հիմնական SLA և հարցազրույցներ։

M2 Կառավարվող ՝ DD ռիսկի վրա, DPA/SLA, միացվում են լոգներն ու դաշբորդները։

M3 Ինտեգրված ՝ inus monitoring, policy-as-code, avto-evidence, www.DR թեստեր։

M4 Assured: «audit-ready կոճակի վրա», կանխատեսելի մատակարարման շղթաների ռիսկերը, ավտոմատ շարժումները և off-ramp սցենարները։

14) Կապված հոդվածներ wiki

Due Diligence ընտրելիս

Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան

Շարունակական կոմպոզիցիա (MSM)

Legal Hold-ը և տվյալների սառեցումը

Քաղաքական և ընթացակարգերի կյանքի ցիկլը

KYC/KYB և սանկցիոն սկրինինգը

Շարունակականության պլանը (BCP) և PPP

Արդյունքը

Utsorsing- ի վերահսկումը համակարգ է, ոչ թե չեկի ցուցակ, ռիսկի կենտրոնացված ընտրություն, կոշտ պայմանագրային երաշխիքներ, նվազագույն և դիտվող հասանելի, շարունակական ինտեգրում, արագ օֆբորդինգ և ապացույց։ Այս համակարգում կապալառուները բարձրացնում են բիզնեսի արագությունը 'առանց ավելացնելու ձեր խոցելիությունը։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։