Due Diligence ընտրելիս

1) Ինչու՞ պետք է Due Diligence պրովայդերների կարիք ունենաք

Պրովայդերը ձեր վստահության շղթայի շարունակությունն է։ Ընտրության սխալը = կարգավորող տուգանքներ, արտահոսքեր, խոչընդոտներ և հեղինակության կորուստներ։ Due Diligence (DD) թույլ է տալիս

Նույնացնել ապրանքի/երկրի/տվյալների բնորոշ ռիսկը։

Ստուգել կոմպլենսը և անվտանգությունը մինչև պայմանագրի կնքումը։

Ամրագրել SLA/SLO և պայմանագրի փուլում մրցույթի իրավունքները։

Տվյալների ամբողջականության պահպանումով միացում և ելքի պլանը (wwww.boarding)։

2) Ե՞ րբ է կատարվում և ինչ է ընդգրկում

Պահերը 'նախնական ընտրություն, կարճ ցուցակ, պայմանագրից առաջ, նշանակալի փոփոխություններով, տարեկան։

Ֆորումը 'իրավաբանական կարգավիճակը, ֆինանսական կայունությունը, անվտանգությունը, գաղտնիությունը, տեխնոլոգիական հասունությունը, գործողությունը/աջակցությունը, կոմպլենսը (GDPR/PCI/AML/SOC 2 և այլն), երկրագրությունը և սանկցիոն ռիսկերը, ESG/էթիկան, ենթադրողները։

3) Դերեր և RACI

Դերը	Պատասխանատվություն
Business Owner (A)	Բիզնես հիմնավորում, բյուջե, վերջնական լուծում հաշվի առնելով ռիսկը
Procurement/Vendor Mgmt (R)	DD գործընթացը, մրցույթերը, առաջարկների համեմատությունը,
Compliance/DPO (C/R)	Գաղտնիությունը, վերամշակման օրինականությունը, DPA/SCC
Legal (R/C)	Պայմանագրեր, պատասխանատվություններ, մրցույթի իրավունքներ, IP/լիցենզիա
Security/CISO (R)	Տեխնիկական վերահսկում, թեստեր, կատարողների պահանջներ
Data Platform/IAM/IT (C)	Մոսկվա, ճարտարապետություն, SSO, լոգներ
Finance (C)	Վճարունակություն, վճարման/արժույթի/հարկերի պայմանները
Internal Audit (I)	Դիտարկել ամբողջական և հետադարձ կապ

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Գնահատման չափանիշների քարտեզը (ինչ մենք ստուգում ենք)

4. 1 Իրավական և կորպորատիվ պրոֆիլը

Մոսկվան, Բուլգարները (KYB), դատական բանավեճերը, սանկցիոն ցուցակները։

Լիցենզիաներ/հավաստագրեր ընտրված ծառայությունների համար։

4. 2 Ֆինանսներ և կայունություն

Հաշվարկված զեկույցները, պարտական ձեռնարկությունները, հիմնական ներդրողները/բանկերը։

Կախվածությունը մեկ հաճախորդից/տարածաշրջանից, շարունակականության պլանը (BCP)։

4. 3 Անվտանգություն և մասնավոր

ISSA (քաղաքականություն, RACI), արտաքին թեստերի արդյունքները, խոցելիությունների կառավարումը։

At Rest/In Transit, KFC/HSM կոդավորումը, գաղտնիքների կառավարումը։

DLP/EDRM, սուրհանդակը, Legal Hold, վերականգնումը և հեռացումը։

Կառավարումը 'SLA ծանուցումներ, պլեյբուսներ, post-մորտեմներ։

4. 4 Համապատասխանություն և սերտիֆիկացում

SOC 2/MS 27001/PCI DSS/MS 27701/CSA STAR (ժամանակը և ծավալը)։

GDPR/տեղական նորմերը 'դերեր (www.ler/processor), DPA, SCC/BCR, DPIA։

AML/սանկցիոն ֆորումը (եթե կիրառելի է)։

4. 5 Տեխնիկական հասունություն և կայունություն

Ճարտարապետությունը (բազմաբնույթ, մեկուսացում, SLO, DR/HA, RTO/RPO)։

API/MSK, տարբերակումը, rate limits, observability (logs/metrics/treiss)։

Փոփոխությունների կառավարումը (blue-green/canary), հակառակը։

4. 6 Վիրահատություն և աջակցություն

24 247/Follow-the-sun, արձագանքի/վերականգնման ժամանակը, ուռուցքները։

Ուռբորդինգի/օֆբորդինգի ընթացակարգերը, տվյալների արտահանումը առանց տուգանքների։

4. 7 Ենթահամակարգեր և մատակարարման շղթաներ

Ենթակայանների, իրավասության, նրանց վերահսկում էին նաև փոփոխությունների մասին ծանուցումները։

4. 8 Էթիկություն/ESG

Կոռուպցիայի դեմ քաղաքական գործիչները, վարքագիծը, աշխատանքային պրակտիկան, հաշվետվությունները։

5) Due Diligence (SOP) գործընթացը

1. Նախաձեռնություն 'կարիքների քարտեզ (նպատակներ, տվյալներ, իրավասություններ, քննադատություն)։

2. Որակավորում 'կարճ հարցաթերթիկ (pre-screen) + սանկցիոն/պոլիոնային չեկ։

3. Խորը գնահատական 'հետազոտություն, արտեֆակտներ (քաղաքականություններ, հաշվետվություններ, հավաստագրեր), հարցազրույցներ։

4. Techproverka: Նախկին ակնարկ, շրջակա միջավայրի դեմո, լոգոներ/մետրիկ կարդալը, PoC-ն։

5. Սկորինգը և ռիսկերը 'ռիսկի բնորոշ ռիսկի դիմումը վերահսկող պրոֆիլային ռիսկի։

6. Ռեմեդիա 'պայմանները/ուղղումը մինչև պայմանագիրը (gap-թերթ dedlins)։

7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.

8. Onbording: հասանելի/SSO, տվյալների և տվյալների, կոդավորման, մոնիտորինգի պլան։

9. Շարունակական տերմինալ 'տարեկան բանաձև/ձգան (պատահականություն, ենթահամակարգիչի փոփոխություն)։

10. Օֆբորդինգը 'էքսպորտը, հեռացումը/անանունացումը, հասանելի ակնարկները, ոչնչացման ապացույցը։

6) Անկետա պրովայդերի (հարցերի միջուկը)

Յուրը։ դեմքը, բուլգարները, սանկցիոն ստուգումները, բանավեճերը երեք տարվա ընթացքում։

Հավաստագրություն (SOC 2 տիպ/ժամանակահատվածը, IV, PCI), վերջին հաշվետվությունները/scope։

Անվտանգության քաղաքականությունը, տվյալների կիսագունդը, դասակարգումը, DLP/EDRM։

Տեխնիկական մեկուսացում ՝ tenault-isolation, ցանցային քաղաքականություն, ծածկագրում, բանալիներ։

Լոգներն ու աուդիտը 'պահպանումը, հասանելիությունը, WORM/immutability, SIEM/SOAR։

24 մեզի համար 'տեսակներ, ազդեցություն, դասեր։

Ռետենցիա/հեռացում/Legal Hold/DSAR հոսք։

Ենթահամակարգերը ՝ ցուցակը, երկրները, գործառույթները, պայմանագրային երաշխիքները։

DR/BCP: RTO/RPO, վերջին թեստերի արդյունքները։

Աջակցություն/SLA 'արձագանքի/լուծման, էսկալացիայի, վարկերի սխեմայի ժամանակները։

Exit-plan 'տվյալների արտահանումը, ռուսական, արժեքը։

7) Սկորինգի մոդել (օրինակ)

Առանցքներ ՝ Իրավունք/Ֆինանսներ/Անվտանգություն/Գաղտնիություն/Տեխնոլոգիա/Վիրահատություն/Կոմպլենս/Շղթա/ESG։

Յուրաքանչյուր առանցքի 1-5 բալլաները. ծանրությունը ծառայության և տվյալների տեսակի։

Վերջնական ռիսկի սկոր

«RR = System (քաշը _ i - բալլ _ i)» ռուսական կատեգորիաներ ՝ Low/Windows/High/Critical։

High/Critical: Պարտադիր է ռելիեֆը մինչև պայմանագիրը, SLA և ռուսական պայմանները։

Low/Lenta.ru: Ռուսաստանի պահանջները + տարեկան ռուբլիա։

8) Պայմանագրի պարտադիր դրույթները (must-have)

DPA 'դերեր (www.ler/processor), նպատակը, տվյալների կատեգորիաները, վերականգնումը և հեռացումը, Legal Hold, DSAR աջակցություն։

SCC/BCR էքսպորտի համար (եթե կիրառելի է)։

Appendix-ը ՝ կոդավորումը, լոգները, խոցելիությունը/պաթչինգը, պենտեստները, խոցելիությունը։

SLA/SLO 'արձագանքի/վերացման ժամանակը (sev մակարդակները), վարկերը/տուգանքները, հասանելիությունը, RTO/RPO։

Audit Rights: աուդիտի/հարցազրույցի/ապացույցների իրավունք; ծանուցումներ վերահսկման/ենթահամակարգերի փոփոխությունների մասին։

Breach Notifics: Ծանուցման ժամանակը (օրինակ, 2424-72 ժամ), ձևաչափը, համագործակցությունը հետազոտության մեջ։

Exprocessor Clause: ցուցակը, ծանուցման/համաձայնեցման փոփոխությունը, պատասխանատվությունը։

Exit & Windows Return/Medetion ՝ էքսպորտի ձևաչափ, ժամկետներ, ոչնչացման ապացույց, ռուսական աջակցություն։

Liability/Indemnity: Limits/բացառություններ (PI արտահոսք, միգրանցների խախտում, կարգավորողների տուգանքներ)։

IP/License 'զարգացման/կազմաձևի/տվյալների/մետատվյալների իրավունքները։

9) Մոսկվան և վերանայման ձգանները

Հավաստագրերի ստուգում/թարմացում (SOC/IV/PCI), տեխնոլոգիական կարգավիճակի փոփոխություններ։

Ենթահամակարգերի փոփոխությունը/տվյալների/միգրացիաների պահեստավորման։

Անվտանգության դեպքերը/SLA-ի կարևոր ընդհատումները։

Միաձուլումը/կլանումը, ֆինանսական ցուցանիշների վատացումը։

Ուլտրաձայնները, որոնք ազդում են մեկուսացման/կոդավորման/հասանելիության վրա։

Կարգավորող հարցումները, Findings աուդիտները։

10) Metriki և dashbords Vendor Risk Mgmt

Coverage DD 'քննադատական պրովայդերների տոկոսը, ովքեր անցել են լիարժեք DD-ն։

Time-to-Onboard: Միջին է պայմանագրից պայմանագրի (ռիսկի կատեգորիաներով)։

Open Gaps: ակտիվ ռելեներ պրովայդերների վրա (ժամկետներ/սեփականատերեր)։

SLA Breach Rate-ը SLA-ի խախտումների մասն է ժամանակի/հասանելիության համար։

Incident Rate: միջադեպեր/12 մեզ պրովայդերների և լուրջ։

Audit Evidence Readiness-ը 'իրական կոդերի/հավաստագրերի առկայությունը։

Exprocessor Drift: Փոփոխություններ առանց ծանուցման (նպատակը 0)։

11) Դասակարգում և ստուգման մակարդակներ

Պրովայդերի կատեգորիա	Օրինակ	Տվյալները	DD խորություն	Մոսկվան
Քննադատական	հոստինգը, KYC/AML, PSA	PI/ֆինանսներ	Ամբողջական (նա/RoS)	Ամեն տարի + ձգումներ
Բարձր	վերլուծաբան, MSH, լոգներ	PI/կեղծ PI	Ընդլայնված	12-18 մեզ
Միջին	մարքեթինգը, email, աջակցություն, աջակցություն	սահմանափակ է	Հիմնական	18-24 մեզ
Ցածր	ուսուցում, բովանդակություն	չի մշակում PI-ն	Թեթև pre-screen	24 մեզ

12) Չեկ թերթերը

DD մեկնարկը

Կարիքների քարտը և ծառայությունների ռիսկային դասը։
Pre-screen: սանկցիաներ, լիցենզիաներ, հիմնական պրոֆիլը։
Հարցող + արտեֆակտներ (քաղաքականություն, հաշվետվություններ, հավաստագրեր)։
/Privacy review + PoC ինտեգրման ժամանակ։
Gap-թերթ 'dedlines և սեփականատերերի հետ։
Պայմանագիրը ՝ DPA/SLA/audit rights/liability/exit։
Onbording և մոնիտորինգի պլանը (metriks, alerta)։

Տարեկան ֆորումը

Նորացված հավաստագրեր և հաշվետվություններ։
Սուզանավերի/միգրացիաների/խմբակցությունների ստուգում։
Արհեստների կարգավիճակը, նոր ռիսկերը/միջադեպերը։
DR/BCP թեստերը և արդյունքները։
Disy-run 2019 'evidence «կոճակի վրա» հավաքելը։

13) Կարմիր դրոշները (red flags)

Հրաժարվելով SOC/IV/PCI կամ նշանակալի հատվածներ տրամադրել։

Գաղտնագրման/լոգարանների/տվյալների հեռացման պարզ պատասխանները։

Չկա DR/BCP պլաններ, կամ դրանք չեն թեստավորվում։

Փակ պատահարներ առանց փոստի մորտեմի և դասերի։

Այս ենթահամակարգերի անսահմանափակ փոխանցումը/առանց երաշխիքների։

Պատասխանատվության ագրեսիվ սահմանափակումները PI արտահոսքի համար։

14) Անտիպատերնի

«Թուղթ» DD առանց PoC-ի և տեխնիկայի։

Համընդհանուր չեկի ցուցակը առանց ռիսկի/միգրացիայի։

Պայմանագիրը առանց DPA/SLA/մրցույթի և exit պլանի։

Ռուսական պրովայդերների բացակայությունը և փոփոխությունների մոնիտորինգը։

«Հավիտյան» տպագրված հասանելիությունները/հոսանքները առանց ռելիզացիայի և հավաստագրման։

15) Կապված wiki հոդվածները

Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան

Շարունակական կոմպոզիցիա (MSM)

Legal Hold-ը և տվյալների սառեցումը

Քաղաքական և ընթացակարգերի կյանքի ցիկլը

KYC/KYB և սանկցիոն սկրինինգը

Տվյալների պահպանման և տեղադրման գրաֆիկները

Շարունակականության պլանը (BCP) և PPP

Արդյունքը

Ռիսկային Due Diligence-ը ոչ թե «վանդակ» է, այլ կառավարվող գործընթաց 'ճիշտ կատեգորիզացիա, խորը ստուգում առանցքային առանցքների վրա, հստակ պայմանագրային երաշխիքներ և շարունակական իրականացում։ Այսպիսով, մատակարարները դառնում են ձեր շղթայի հուսալի մասը, իսկ դուք կանխատեսելիորեն համապատասխանում եք պահանջներին 'առանց կանխորոշելու բիզնեսը։