GH GambleHub

Due Diligence quando si selezionano i provider

1) Perché è necessario un provider Due Diligence

Il provider continua la sua catena di fiducia. Errore di selezione = multe regolatorie, perdite, interruzioni e perdita di reputazione. DD (DD) consente di:
  • Identificare il rischio inerente per prodotto/paese/dati.
  • Controllare la compliance e la sicurezza prima del contratto.
  • Fissa SLA/SLO e i diritti di verifica durante la fase del contratto.
  • Configura il monitoraggio e il piano di uscita (offboarding) mantenendo l'integrità dei dati.

2) Quando è in corso e cosa copre

Punti: pre-selezione, breve lista, prima del contratto, con modifiche significative, revisione annuale.
Copertura: status legale, sostenibilità finanziaria, sicurezza, privacy, tecnologia, sfruttamento/supporto, compilazione (GDPR/PCI/AML/SOCC 2, ecc.), geografia e rischi di sanzioni, ESG/etica, subappaltatori.

3) Ruoli e RACI

RuoloResponsabilità
Business Owner (A)Giustificazione aziendale, budget, soluzione finale a rischio
Procurement/Vendor Mgmt (R)Processo DD, offerta, confronto delle offerte, registro
Compliance/DPO (C/R)Privacy, legittimità di elaborazione, DPA/SCC
Legal (R/C)Contratti, responsabilità, diritti di verifica, licenze IP
Security/CISO (R)Controllo tecnico, test, requisiti per gli incidenti
Data Platform/IAM/IT (C)Integrazione, architettura, SSO, loghi
Finance (C)Solvibilità, condizioni di pagamento/valuta/tasse
Internal Audit (I)Osservazione della completezza e della tracciabilità

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Mappa dei criteri di valutazione (che stiamo verificando)

4. 1 Profilo legale e aziendale

Registrazione, beneficiari (KYB), controversie legali, liste di sanzioni.
Licenze/certificati per servizi regolati.

4. 2 Finanza e sostenibilità

Rapporti verificati, debito, investitori/banche chiave.
Dipendenza da un singolo client/regione, piano di continuità (BCP).

4. 3 Sicurezza e privacy

ISMS (policy, RACI), risultati dei test esterni, gestione delle vulnerabilità.
Crittografia At Rest/In Transit, KMS/HSM, gestione dei segreti.
DLP/EDRM, registro, Legale Hold, Retence e rimozione.
Gestione degli incidenti: notifiche SLA, playbook, post mortem.

4. 4 Conformità e certificazione

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (data e volume).
GDPR/norme locali: ruoli (controller/processor), DPA, SCC/BCR, DPIA.
Il tracciato AML/sanzione (se applicabile).

4. 5 Maturità tecnica e integrazione

Architettura (molteplicità, isolamento, SLO, DR/HA, RTO/RPO).
API/SDK, versioning, rate limits, osservabilità (fogli/metriche/trailer).
Gestione delle modifiche, rilascio (blue-green/canary), interoperabilità inversa.

4. 6 Operazioni e supporto

24 x 7/Follow-the-sun, tempo di reazione/recupero, oncole.
Procedure di onboording/off, esportazione di dati senza penalità.

4. 7 Sottoprocessori e catena di approvvigionamento

Elenco dei subappaltatori, giurisdizione, controllo e notifiche di modifiche.

4. 8 Etica/ESG

Politica contro la corruzione, codice di condotta, pratiche sul lavoro, rendicontazione.

5) Processo Due Diligence (SOP)

1. Iniziazione: scheda di necessità (obiettivi, dati, giurisdizione, criticità).
2. Qualifica: breve questionario (pre-screen) + sanzione/assegno di licenza.
3. Valutazione approfondita: interrogatori, artefatti (politici, rapporti, certificati), interviste.
4. Operatore tecnico: panoramica di sicurezza, demo dell'ambiente, lettura di fogli/metriche, PoC.
5. Screening e rischi: il rischio inerente di un profilo di controllo è un rischio residuo.
6. Rimediazione: condizioni/correzioni prima del contratto (foglio gap con deadline).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Accesso/SSO, directory dati, integrazione, piano di monitoraggio.
9. Monitoraggio continuo: revisione/trigger annuali (incidente, cambio del sottoprocessore).
10. Off - Esporta, rimuove/anonima, revoca delle disponibilità, conferma della distruzione.

6) Questionario provider (kernel di domande)

Eur. persone, beneficiari, controlli delle sanzioni, controversie di 3 anni.
Certificati (SOC 2 tipo/periodo, ISO, PCI), report/scope più recenti.
Criteri di sicurezza, inventario dati, classificazione, DLP/EDRM.
Isolamento tecnico: tenant-isolation, regole di rete, crittografia, chiavi.
Logi e verifiche: storage, accesso, WORM/immutabilità, SIEM/SOAR.
Incidenti in 24 mes, tipi, influenza, lezioni.
Retenza/rimozione/Legale Hold/DSAR-flusso.
Sottoprocessori: elenco, paesi, funzioni, garanzie contrattuali.
DR/BCP: RTO/RPO, risultati degli ultimi test.
Supporto/SLA: tempi di risposta/decisione, escalation, credit-schema.
Exit-plan: esportazione di dati, formati, valore.

7) Modello di scrittura (esempio)

Assi: Diritto/Finanza/Sicurezza/Privacy/Tecnica/Operazioni/Complaens/Catena/ESG.
Punti 1-5 per asse; peso per criticità del servizio e tipo di dati.

Rischio-scansione totale:
  • «RR = Peso _ i x _ i)» categoria Low/Medium/High/Critical.

High/Critical è obbligatorio per la rimediazione prima del contratto, le condizioni SLA rafforzate e il monitoraggio.
Low/Medium - requisiti standard + revisione annuale.

8) Clausole obbligatorie del contratto (must-have)

DPA: ruoli (controller/processor), obiettivo, categorie di dati, retenza e rimozione, Legale Hold, DSAR Facility.
SCC/BCR per le trasmissioni transfrontaliere (se applicabile).
Sicurezza Appendix: crittografia, login, vulnerabilità/patching, pentesti, vulnerabilità discovery.
SLA/SLO: Tempo di risposta/eliminazione (livelli sec), crediti/multe, disponibilità, RTO/RPO.
Audit Rights: facoltà di verifica/sondaggio/prova; notifica delle modifiche ai controlli/sottoprocessori.
Breach Notifica: data di notifica (ad esempio 24-72 ore), formato, collaborazione investigativa.
Subprocessor Clause: elenco, cambio notifica/accordo, responsabilità.
Exit & Data Return/Deletion: formato di esportazione, tempistica, conferma della distruzione, supporto alla migrazione.
Liability/Indemnity: limiti/eccezioni (perdita PI, violazione delle licenze, multe dei regolatori).
IP/License: diritti di sviluppo/configurazione/dati/metadati.

9) Monitoraggio e trigger di revisione

Scollegamento/aggiornamento certificati (SOC/ISO/PCI), modifiche allo stato di riferimento.
Cambia i sottoprocessori/posizioni di storage/giurisdizione.
Incidenti di sicurezza/interruzioni di SLA.
Fusioni/acquisizioni, peggioramento della performance finanziaria.
Rilasci che influiscono sull'isolamento/crittografia/accesso.
Richieste di controllo, verifiche Findings.

10) Metriche e dashboard Vendor Risk Mgmt

Coverage DD:% dei provider critici sottoposti a DD completo.
Time-to-Onboard - Mediana dalla richiesta al contratto (per categorie di rischio).
Open Gaps - Remediazioni attive per provider (data/proprietario).
SLA Breach Rate - Percentuale di violazioni SLA in termini di tempo/disponibilità.
Incident Rate: incidenti/12 mes su provider e serietà.
Audit Evidence Readover- Disponibilità di report/certificati aggiornati.
Subprocessor Drivt: modifiche senza preavviso (obiettivo 0).

11) Categorizzazione e livelli di verifica

Categoria providerEsempioDatiProfondità DDRevisione
Criticohost core, KYC/AML, PSPPI/finanzaCompleto (on-site/ROS)Ogni anno + trigger
Altoanalista, DWH, fogliPI/pseudo-PIEsteso12-18 mes
Mediamarketing, email, supportolimitatamenteBase18-24 mes
Bassoformazione, contenutinon elabora PIPre-screen leggero24 mes

12) Assegno fogli

Avvio DD

  • Scheda di necessità e di rischio-classe di servizio.
  • Pre-screen - Sanzioni, licenze, profilo base.
  • Interrogatore + artefatti (criteri, report, certificati).
  • Sicurezza/Privacy review + PoC durante le integrazioni.
  • Foglio gap con deadline e proprietari.
  • Contratto: DPA/SLA/audit rights/liability/exit.
  • Piano di onboording e monitoraggio (metriche, alert).

Revisione annuale

  • Certificati e report aggiornati.
  • Verifica dei sottoprocessori/posizioni/giurisdizioni.
  • Stato di rimediazioni, nuovi rischi/incidenti.
  • Test DR/BCP e risultati.
  • Controllo dry-run - Raccolta evidence «su pulsante».

13) Bandiere rosse (red flags)

Rifiuto di fornire SOC/ISO/PCI o sezioni essenziali di report.
Risposte dispari per crittografia/login/rimozione dei dati.
Non esistono piani DR/BCP o non vengono testati.
Incidenti chiusi senza post mortem e lezioni.
Trasferimento illimitato di dati ai sottoprocessori/all'estero senza garanzie.
Restrizioni di responsabilità aggressive per le fughe di PI.

14) Antipattern

DD «cartaceo» senza PoC o tecnico.
Foglio di assegno universale senza considerare il rischio/giurisdizione.
Contratto senza DPA/SLA/diritti di verifica e exit plan.
Nessun registro dei provider e monitoraggio delle modifiche.
Disponibilità/token rilasciate per sempre, senza rotazione o certificazione.

15) Articoli wiki collegati

Automazione della compilazione e del reporting

Monitoraggio continuo della conformità (CCM)

Legale Hold e congelamento dei dati

Ciclo di vita di regole e procedure

KYC/KYB e screening sanzionatorio

Grafici per la conservazione e l'eliminazione dei dati

Piano di continuità (BCP) e DRP

Totale

Un DUE orientato al rischio non è un segno di spunta, ma un processo gestito: una corretta categorizzazione, un controllo approfondito degli assi chiave, garanzie contrattuali chiare e un monitoraggio continuo. In questo modo i fornitori diventano una parte affidabile della vostra catena e voi siete prevedibilmente in grado di soddisfare i requisiti senza frenare il business.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.