Երրորդ կողմի ռիսկերը և գործընկերների աուդիտը

1) Ինչո՞ ւ և ում համար

Նպատակը 'նվազեցնել ձախողումների հավանականությունը, արտահոսքը և կարգավորող խախտումները, որոնք գալիս են արտաքին ինստիտուտների և գործընկերների միջոցով։

Տե՛ ս ՝ PSA/ստացիոնար դարպասներ, KUS/պատժամիջոցներ/RER, հակաֆրոդերներ, խաղերի և ստուդիայի պրովայդերներ, Աֆֆիլիական ցանցեր և թրքինգ, ամպեր/CDN/հոստինգ, BI/վերլուծություն, ռենտգենյան գործիքներ/MSK, Call կենտրոններ, ինչպես նաև մեր գողերի պրոցեսորներ։

2) Ռիսկերի կատեգորիաները (հիբրիդային քարտեզը)

Ինֆոբեզը և գաղտնիությունը 'PII/KYC/հիբրիդային հոսանքներ, թույլ TOMS, WORM/2019 բացակայություն։

Կոմպլենսը ՝ GDPR/UK GDPR/ePrivacy, AML/KYC, PCI գոտի, գովազդային/խաղային պահանջներ։

Վիրահատական 'հասանելիությունը/SLA, կախվածությունը մեկ հաճախորդից (concentration), թույլ BCP/DR։

Ֆինանսական 'մրցույթի կայունությունը, վարկային ռիսկերը, «chargeback-ցնցումները»։

Սանկցիոն/աշխարհաքաղաքական 'էքսպոզիտիկ/ռուսական սահմանափակումները, տվյալների կենտրոնների միգրացիան, RER/սանկցիաները սեփականության կառուցվածքներում։

Հեղինակավոր և իրավական 'գովազդի/պատասխանատու խաղի խախտումները, IP իրավունքները։

Տեխնիկական 'SDK/API խոցելիությունը, տարբերակման և թեստային միջավայրերի բացակայությունը։

3) Մատակարարման շղթայի քարտ

1. Contentory: Բոլոր գողերի/գործընկերների/ենթահամակարգերի միասնական գրանցում սեփականատիրոջ հետ (business owner)։

2. Windows Map: Ո՞ ր տվյալները/իրավասությունները/ծավալները անցնում են մեկի միջոցով։ PII/ֆինանսներ/հատուկ կոորդինատներ։

3. Criticality: դասակարգում ենք փողի վրա ազդեցություն/PII/aptaim։

4) Տիրինգը (չափանիշների օրինակ)

5) Ռիսկի սկրինինգը և սկորինգը

Գործոններ ՝ անվտանգություն (քաղաքականություն, հավաստագրում), գաղտնիություն (DPA/SCCS/DTIA), (AML/PCI/III), վիրահատական կայունություն (SLA/BCP/DR), ֆինանսներ (աուդիտ/հաշվետվություններ), իրավասություններ/պատժամիջոցներ, պատահականության պատմությունը, տեխնոլոգիական պատմությունը, տեխնոլոգիական հասունությունը (MSLC/DevSecOps)։

Սկորինգը (օրինակ) '0-5 յուրաքանչյուր գործոնով կշռված արդյունք է (W) ռուսական գոտի' կանաչ/դեղին/կարմիր։

Շեմի լուծումները

Green: Ստանդարտ պայմանագիր։

Amber: Վերահսկել/ռեմեդիա մինչև Go-Line։

Red 'հրաժարվելը կամ օդաչուն' չափսերով (segmentation, throttling, read-only, escrow, կրճատված սահմաններ)։

6) Due diligence (ինչ պահանջել մուտքի վրա)

Արտեֆակտները/վերահսկեցին (առնվազն Tier 1-2 համար)

Անվտանգության/մասնավոր քաղաքականությունը, RoPA, ռուսական ենթահամակարգեր։

Աուդիտի/հավաստագրման հաշվետվությունները (ISO 27001/SOC 2 տիպի II/PCI կիրառությամբ), վերջին պենտեստները։

BCP/DR և թեստերի արդյունքները, RPO/RTO։

Պատահականության ընթացակարգերը (72-ժամյա ծանուցումներ), ամսագիրը 12-24 մեսի համար։

DPA/ճշգրտության մեխանիզմ (SCCS/IDTA) + DTIA, տվյալների տեղայնացումը/2019։

Ինտեգրման անվտանգությունը ՝ mTSA/OIDC, ստորագրված webhuks, կոդավորման ռոտացիա, allow-list IP։

Մուտքի/թողարկման ամսագրեր, WORM պատճեններ, hash շղթաներ։

Ռեթենշնի և հեռացման քաղաքականությունը, Բեքապների ոչնչացման մասին պնդումը boarding-ի ժամանակ։

Ֆինանսական կայունությունը (հանրային հաշվետվություններ/հավաստագրեր), սեփականության կառուցվածքը (սանկցիոն/RER ստուգումներ)։

Tier 2-3 'sSSIG/CAIQ մակարդակի (20-60 հարց)։

7) Պայմանագրային պահանջները (հիմնական կետերը)

SLA/SLO 'aptaim (օրինակ ՝ 99։ 9%), P95 լատինականությունը, միջադեպի պատասխանելու ժամանակը, մեջբերում է credits-ը։

System/Privacy endendum: at rest/in transit, բանալիներ/գեո, ամսագրեր, դիմակավորում, տվյալների ստացիոնար օգտագործման արգելք։

DPA + ենթահամակարգերը 'նախատեսվում է տեղեկացնել շղթայի ավելացման մասին։ առարկության իրավունք/2019։

Incident & Notif.ru: Ծանուցման պատուհանը 3872 ժամ; մուտք դեպի բլոգեր/արտեֆակտներ; միասին war-room.

BCP/DR 'պարտադիր թեստեր N տարին մեկ, RPO/RTO։

Pen-test/Audit rights: ոչ պակաս քան 1 անգամ տարեկան (remote/onsite), զեկույցների հասանելիությունը։

Change no l: ծանուցում major-փոփոխությունների մասին (MSK/API/ճարտարապետություն/երկրագրություն)։

Termination & Exit: Տվյալների էքսպորտը (105), հեռացումը/108, escrow քննադատական ինտեգրումների համար, X օրվա ընթացքում ինտեգրման աջակցությունը։

Liability/Indemnity: cap/cublimits, IP երաշխիքներ, տուգանքներ SLA/արտահոսքի խախտման համար։

8) Onboarding Monitoring Noboarding (կյանքի ցիկլ)

8. 1 Onboarding

1. Բիզնես հիմնավորումը և owner productiring-ը հետազոտող/արտեֆակտներ են։

2. Risk review (Security/Privacy/Compliance/Legal/Finance).

3. Մենք վերահսկում էինք մինչև Go-International: Հատվածներ (SDC/tenae), բեռներ/լիմիտներ, դիմակավորում/թունավորում, feature-flags, թեստային ավազի։

4. Պայմանագիրը/ինտեգրումը բացատրում է օդաչուն Go/J-Go։

8. 2 Continuous Monitoring

Techmonoring: aptaim, սխալներ, լատենտ, ռիսկերի բյուջե։

Անվտանգություն 'SIEM ալտերտեր (աննորմալ ֆորումներ/հասանելիություն առանց «purpose»), վենդորի հաշվետվությունները, MSK խոցելիությունը։

Գաղտնիությունը/կոմպլենսը 'ենթահամակարգերի, միգրացիայի, ռետենշենի փոփոխությունները։ DSAR-համատեղելիությունը։

Ֆինանսներ ՝ KPI ծրարներով/refund/chargeback, SLA տուգանքներ։

Tier 1-2-ի և տարեկան re-due-diligence-ի համար։

8. 3 Offboarding

Հաղորդագրությունների/հասանելի ակնարկները, տվյալների ոչնչացումը/կոդավորումը և բեքապները, գործողությունները, հյուսվածքները, տրամագծերի նորարարությունը և տվյալների քարտեզները։

9) Գործընկերների ինտեգրման ընթացակարգերը

9. 1 Պլան և տարածք

Ֆոկուս 'հասանելի կառավարումը, կոդավորումը/բանալիները, ամսագրերը, միջադեպերը, BCP/DR, DSAR գործընթացները, ենթահամակարգերը։

9. 2 Մեթոդներ

Հարցազրույցներ, փաստաթղթերի/լոգարանների ակնարկ, ընտրական ստուգումներ, տեխնոլոգիական թեստեր (api-rate-limit/mTSA/ստորագրություններ), tabletop-ուսուցում։

9. 3 Զեկույց և CAPA

Գտածոների դասակարգումը (Critical/High/Windows/Low), ամրացման ժամանակը, փակման և ռետեստի վերահսկումը։

10) Վենդորի միջադեպերը 'playbook

1. Մանկություն 'վենդորի ազդանշան/մեր մոնիտորինգի/համայնքի։

2. War-room: owners + Security + DPO + Legal + Product.

3. Internainment: սահմանափակումը/անջատումը MSK/108, ժամանակավոր լիմիտներ/կանարեկային փամփուշտներ։

4. Ֆորենզիկա 'զանգերի ամսագիր, Webhuks ստորագրություններ, WORM-ի հաստատում, ձայնագրությունների միջակայք։

5. Ծանուցումներ ՝ կարգավորիչներ/օգտագործողներ/բանկեր (եթե անհրաժեշտ է), միասին տեքստեր։

6. CAPA 'ֆիքսներ, ժամկետներ, արդյունավետության ստուգում; ֆորումը և պայմանագրի պայմանները։

11) RACI (uprunic)

12) Մետրիկի (KPI/KRI)

Coverage: Ակտիվ ակտիվների տոկոսը բյուջեում 100 տոկոսն է։

Assessport TTM: due diligence Tier 1-15 աշխատանքային օր։

Remediation SLA։ Քննադատական գտածոները փակված են 30 օրվա ընթացքում (3695%)։

Incident Notifics-ը 72 ժամ պատուհանում ծանուցումների մասնաբաժինը 100 տոկոսն է։

DPA/SCCs/DTIA Coverage: Tier 1-2-100 տոկոսը արդիական է։

Concentration Risk '1 PSA/պրովայդեր X% (շեմն)։

BCP/DR Evidence: % Tier 1-ը 12 մեզի համար ապացուցված թեստերով 100 տոկոսն է։

Express Logging-ը 'օրինագծերի 100 տոկոսը ստորագրվել և սեղմվել են։

13) Ձևանմուշներ և բեկորներ

13. 1 Մինի-հարցումը (Tier 1-2, դիմացկուն)

Հավաստագրություն/աուդիտ (ISO/SOC2/PCI), մրցույթի ամսաթիվը։

Տվյալների ճարտարապետությունը 'գեո, ենթահամակարգեր, բանալիներ/KHL, կոդավորում։

24 մեզ (տիպ/ամսաթիվ/միջոցներ)։

Հասանելի և ամսագրեր (RBAC/ABAC, break-glass, JIT, WORM)։

BCP/DR (թեստերի ամսաթվերը, RPO/RTO)։

DSAR/retenshn, RoPA, CBS/MSK։

Տեխնիկոնացված API: mTSA/OIDC, Webhuks ստորագրությունը, կոդավորման լուծումը, rate-limit։

13. 2 SLA (հատված)

13. 3 System & Privacy Dimendum (Կլաուզներ-կանգառներ)

"Տվյալների ստացիոնար օգտագործման արգելքը. խիստ մուտք Need-to-Know; արտահանումը միայն հաստատված օրինագծերի մեջ է"։

"Անփոփոխ ամսագրեր (WORM) ծանր ստորագրությամբ։ աուդիտ' պահանջելով տարին մեկ անգամ"։

«Ենթահամակարգին փոխարինելիս 'ծանուցում 30 օր, առարկության իրավունք, այլընտրանքային պլան»։

"DTIA-ն, ցանկացած բյուջետային փոխանցման ժամանակ, առանց համարժեք միգրացիաների։ բանալիները' EC/UK (per պայմանագրեր)"։

14) Չեկ թերթերը

Go-International-ից առաջ

Owner-ը նշանակված է, tir-ը։

• Հետազոտողը/արտեֆակտները ստանում և ստուգվում են
• DPA/SLA/ուղղությունները ստորագրվել են, ենթահամակարգերը հայտարարված են։
• Հատվածներ/լիմիտներ/դիմակներ ներառված են, բանալիները առանձին են։
• Պատահականության փորձարկումը/տաբլետոպը անցել են
• Ելքի պլանը/escrow և escrow կազմված են

Եժեքվարտալ (Tier 1-2)

SLA/2019/MSK խոցելիություն

• Հավաստագրերի/հաշվարկների նորարարությունը, ենթահամակարգերի իրականացումը
• DR/BCP թեստը ապացուցված է
• Ֆին Սկրինինգը (կայունություն), սանկցիոն ստուգումներ
• Համակենտրոնացման ռիսկերի և այլընտրանքների հոսք

Offboarding

Բանալիներ/հասանելի են հետ կանչվել

• Տվյալների էքսպորտը ավարտվել է, ապացուցում է կոդերը/bakas
• Փակման ակտերը, նորարարված է Donald Tramp/RAM/R

15) Տիպիկ սցենարներ և միջոցներ

A) MSK մարքեթինգի խոցելիությունը

Վերջնական անջատումը, PII-ի հավաքման բլոկը, DPO/կարգավորիչների ծանուցումը, անհրաժեշտության դեպքում, CAPA-ն վենդորի մոտ, է։

B) PSA-ն բաժանում է SLA-ով

Auto-routing-ը տեղադրված է PSA-ի վրա, սահմանների նվազումը, credits-ի ակտիվացումը, պայմանագրի իրականացումը/exite պլանը։

C) KYC պրովայդերի արտահոսքը

Հյուրանոցների մեկուսացումը, հոսանքների վերականգնումը, բարձրացված գրառումների, ծանուցումների, ձեռքերի KYC high-risk, վենդորի աուդիտը, հնարավոր փոխարինումը։

16) Ճանապարհային քարտեզը TPRM ներդրման համար

Շաբաթներ 1-2։ Գողերի, Windows Map-ի, տիրինգի, հիմնական հարցազրույցի և մրցույթի։

Շաբաթներ 3-4: SLA/DPA/ավելացումներ, onboarding/monitoring/wwww.boarding գործընթացը, SIEM/CMDB/IDP-ի հետ ինտեգրումը։

Մեկ ամիս 2: Օդաչու Tier 1-2, եռամսյակային հրթիռների արձակումը, հավաստագրերի ստուգումների ավտոմատացումը/105։

Մեկ ամիս 3 + 'մեծացում, սկորինգ/dashbords, BCP/DR սթրեսի թեստեր, համակենտրոնացման ռիսկերի օպտիմիզացում և այլընտրանքային երթուղիներ։

TL; DR

Ուժեղ TPRM = Wendors prodtiring-ի ամբողջական քարտեզը և արագ պայմանագրերը (SLA/DPA/BCP/DTIA) բացատրվում են հատվածով և անվտանգ պայմանագրերով, և աուդիտը կատարվում է արագ էկզիտ/ռեմիա։ Դա պաշտպանում է փողը, տվյալները և լիցենզիաները, և պահպանում է բիզնեսի կայունությունը նույնիսկ գործընկերների ձախողումների ժամանակ։