GH GambleHub

Due Diligence პროვაიდერების არჩევისას

1) რატომ გვჭირდება Due Diligence პროვაიდერები

პროვაიდერი არის თქვენი ნდობის ჯაჭვის გაგრძელება. არჩევანის შეცდომა = მარეგულირებელი ჯარიმები, გაჟონვა, მარტივი და რეპუტაციის ზარალი. Due Diligence (DD) საშუალებას გაძლევთ:
  • პროდუქტის/ქვეყნის/მონაცემების თანდაყოლილი რისკის დადგენა.
  • ხელშეკრულების გაფორმებამდე შეამოწმეთ შესაბამისობა და უსაფრთხოება.
  • დააფიქსირეთ SLA/SLO და აუდიტის უფლებები ხელშეკრულების ეტაპზე.
  • კონფიგურაცია და გასასვლელი გეგმა მონაცემთა მთლიანობის შენარჩუნებით.

2) როდის ტარდება და რა მოიცავს

მომენტები: წინასწარი არჩევანი, მოკლე სია, ხელშეკრულების წინ, მნიშვნელოვანი ცვლილებებით, ყოველწლიური გადასინჯვა.
გაშუქება: იურიდიული სტატუსი, ფინანსური სტაბილურობა, უსაფრთხოება, კონფიდენციალურობა, ტექნიკური სიმწიფე, ექსპლუატაცია/მხარდაჭერა, შესაბამისობა (GDPR/PCI/AML/SOC 2 და სხვ.), გეოგრაფია და სანქციების რისკები, ESG/ეთიკა, ქვეკონტრაქტორები.

3) როლები და RACI

როლიპასუხისმგებლობა
Business Owner (A)ბიზნესის დასაბუთება, ბიუჯეტი, საბოლოო გადაწყვეტილება რისკის გათვალისწინებით
Procurement/Vendor Mgmt (R)DD პროცესი, ტენდერი, შეთავაზებების შედარება, რეესტრი
Compliance/DPO (C/R)კონფიდენციალურობა, დამუშავების კანონიერება, DPA/SCC
Legal (R/C)ხელშეკრულებები, პასუხისმგებლობა, აუდიტის უფლებები, IP/ლიცენზია
Security/CISO (R)ტექნიკური კონტროლი, ტესტები, ინციდენტების მოთხოვნები
Data Platform/IAM/IT (C)ინტეგრაცია, არქიტექტურა, SSO, ლოგოები
Finance (C)გადახდისუნარიანობა, გადახდის პირობები/ვალუტა/გადასახადები
Internal Audit (I)სისრულისა და ტრეკერის დაკვირვება

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) შეფასების კრიტერიუმების რუკა (ჩვენ ვამოწმებთ)

4. 1 იურიდიული და კორპორატიული პროფილი

რეგისტრაცია, ბენეფიციარები (KYB), სასამართლო დავები, სანქციების სიები.
ლიცენზიები/სერთიფიკატები რეგულირებადი მომსახურებისთვის.

4. 2 ფინანსები და სტაბილურობა

აუდიტის ანგარიშები, სესხის ტვირთი, ძირითადი ინვესტორები/ბანკები.
დამოკიდებულება ერთ კლიენტზე/რეგიონში, უწყვეტობის გეგმა (BCP).

4. 3 უსაფრთხოება და კონფიდენციალურობა

ISMS (პოლიტიკოსები, RACI), გარე ტესტების შედეგები, დაუცველების მენეჯმენტი.
დაშიფვრა At Rest/In Transit, KMS/HSM, საიდუმლოების მენეჯმენტი.
DLP/EDRM, ჟურნალები, Legal Hold, რეტენსია და მოცილება.
ინციდენტის მენეჯმენტი: SLA შეტყობინებები, ფლეიბუკები, პოსტ-mortems.

4. 4 შესაბამისობა და სერტიფიკაცია

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (დრო და მოცულობა).
GDPR/ადგილობრივი სტანდარტები: როლები (კონტროლერი/პროფესორი), DPA, SCC/BCR, DPIA.
AML/სანქციების წრე (თუ გამოიყენება).

4. 5 ტექნიკური სიმწიფე და ინტეგრაცია

არქიტექტურა (მრავალმხრივი, იზოლაცია, SLO, DR/HA, RTO/RPO).
API/SDK, ვერსია, rate limits, observability (logs/მეტრიკა/ტრეისი).
ცვლილებების მენეჯმენტი, გამოშვებები (ცისფერი-მწვანე/კანარი), საპირისპირო თავსებადობა.

4. 6 ოპერაციები და მხარდაჭერა

24 × 7/Follow-the-sun, რეაქციის/გამოჯანმრთელების დრო, ონკოლი.
Onboarding/offboarding პროცედურები, მონაცემთა ექსპორტი ჯარიმების გარეშე.

4. 7 სუბპროცესორები და მიწოდების ჯაჭვი

ქვეკონტრაქტორების სია, იურისდიქცია, მათი კონტროლი და ცვლილებების შესახებ შეტყობინებები.

4. 8 ეთიკა/ESG

პოლიტიკოსები კორუფციის წინააღმდეგ, ქცევის კოდექსი, შრომითი პრაქტიკა, მოხსენებები.

5) Due Diligence (SOP) პროცესი

1. ინიციაცია: საჭიროების ბარათი (მიზნები, მონაცემები, იურისდიქცია, კრიტიკა).
2. კვალიფიკაცია: მოკლე კითხვარი (pre-screen) + სანქციების/ლიცენზირებული ჩეკი.
3. ღრმა შეფასება: კითხვარი, არტეფაქტები (პოლიტიკოსები, მოხსენებები, სერთიფიკატები), ინტერვიუები.
4. ტექნიკური მრჩეველი: უსაფრთხოების მიმოხილვა, გარემოს დემო, ლოგოების/მეტრიკის კითხვა, PoC.
5. სკორინგი და რისკები: რისკის თანდაყოლილი საკონტროლო პროფილი ნარჩენი რისკი.
6. რემედიაცია: პირობები/კორექტირება ხელშეკრულებამდე (gap სია ვადაზე).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. ონბორდი: წვდომა/SSO, მონაცემთა კატალოგები, ინტეგრაცია, მონიტორინგის გეგმა.
9. უწყვეტი მონიტორინგი: წლიური გადასინჯვა/გამომწვევი (ინციდენტი, სუბპროცესორის შეცვლა).
10. ოფბორდი: ექსპორტი, მოცილება/ანონიმიზაცია, წვდომის განხილვა, განადგურების დადასტურება.

6) პროვაიდერის კითხვარი (კითხვების ბირთვი)

იური სახე, ბენეფიციარები, სანქციების შემოწმება, დავები 3 წლის განმავლობაში.
სერთიფიკატები (SOC 2 ტიპი/პერიოდი, ISO, PCI), უახლესი მოხსენებები/სკოპი.
უსაფრთხოების პოლიტიკოსები, მონაცემთა ინვენტარი, კლასიფიკაცია, DLP/EDRM.
ტექნიკური იზოლაცია: ჩრდილოვანი იზოლაცია, ქსელის პოლიტიკა, დაშიფვრა, გასაღებები.
ლოგოები და აუდიტი: შენახვა, დაშვება, WORM/immutability, SIEM/SOAR.
ინციდენტები 24 თვის განმავლობაში: ტიპები, გავლენა, გაკვეთილები.
Retentia/მოცილება/Legal Hold/DSAR ნაკადი.
სუბპროცესორები: სია, ქვეყნები, ფუნქციები, სახელშეკრულებო გარანტიები.
DR/BCP: RTO/RPO, უახლესი ტესტების შედეგები.
მხარდაჭერა/SLA: რეაქციის/გადაწყვეტის დრო, ესკალაცია, საკრედიტო სქემა.
Exit plan: მონაცემთა ექსპორტი, ფორმატები, ღირებულება.

7) მორიელის მოდელი (მაგალითი)

ღერძი: კანონი/ფინანსები/უსაფრთხოება/კონფიდენციალურობა/ტექნიკა/ოპერაციები/შესაბამისობა/ჯაჭვი/ESG.
თითოეული ღერძის გასწვრივ 1-5 ქულები; წონა მომსახურების კრიტიკულობისა და მონაცემთა ტიპების მიხედვით.

საბოლოო რისკი:
  • 'RR = (წონა _ i × ქულა _ i)' კატეგორიაში: დაბალი/საშუალო/მაღალი/Critical.

High/Critical: სავალდებულოა რემედიაცია ხელშეკრულებამდე, გაძლიერებული SLA პირობები და მონიტორინგი.
დაბალი/საშუალო: სტანდარტული მოთხოვნები + წლიური მიმოხილვა.

8) ხელშეკრულების სავალდებულო დებულებები

DPA: როლები (Controller/processor), სამიზნე, მონაცემთა კატეგორიები, რეტენსია და მოცილება, Legal Hold, DSAR დახმარება.
SCC/BCR ტრანსსასაზღვრო გადაცემებისთვის (თუ გამოიყენება).
უსაფრთხოების Appendix: დაშიფვრა, ლოგოები, დაუცველობა/პატჩინგი, პენტესტები, გამჟღავნების დაუცველობა.
SLA/SLO: რეაქციის/აღმოფხვრის დრო (საშუალო დონე), სესხები/ჯარიმები, წვდომა, RTO/RPO.
Audit Rights: აუდიტის/კითხვარის/მტკიცებულების უფლება; შეტყობინებები მაკონტროლებელი/სუბპროცესორების ცვლილების შესახებ.
Breach Notification: შეტყობინებების დრო (მაგალითად, 24-72 საათი), ფორმატი, გამოძიებაში თანამშრომლობა.
Subprocessor Clause: სია, შეტყობინებების/კოორდინაციის შეცვლა, პასუხისმგებლობა.
Exit & Data Return/Deletion: ექსპორტის ფორმატი, დრო, განადგურების დადასტურება, მიგრაციის მხარდაჭერა.
Liability/Indemnity: ლიმიტები/გამონაკლისები (PI გაჟონვა, ლიცენზიების დარღვევა, რეგულატორების ჯარიმები).
IP/ლიცენზია: განვითარების/კონფიგურაციის უფლებები/მონაცემები/მეტამონაცემები.

9) მონიტორინგი და გადასინჯვა

სერთიფიკატების გადინება/განახლება (SOC/ISO/PCI), საანგარიშო სტატუსის ცვლილებები.
მონაცემთა/იურისდიქციის შენახვის სუბპრესორების/ადგილმდებარეობების შეცვლა.
უსაფრთხოების ინციდენტები/SLA- ს მნიშვნელოვანი შეფერხებები.
შერწყმა/შთანთქმა, ფინანსური მაჩვენებლების გაუარესება.
გამოშვებები, რომლებიც გავლენას ახდენს იზოლაციაზე/დაშიფვრაზე/წვდომაზე.
მარეგულირებელი მოთხოვნები, Findings აუდიტი.

10) მეტრიკი და დაშბორდები Vendor Risk Mgmt

Coverage DD: კრიტიკული პროვაიდერების%, რომლებმაც გაიარეს სრული DD.
Time-to-Onboard: საშუალო განაცხადიდან კონტრაქტამდე (რისკის კატეგორიების მიხედვით).
Open Gaps: აქტიური რემონტი პროვაიდერებზე (ვადები/მფლობელები).
SLA Breach Rate: SLA დარღვევების წილი დროში/წვდომაში.
Incident Rate: ინციდენტები/12 თვე პროვაიდერებზე და სერიოზულობაზე.
Audit Evidence Readiness: შესაბამისი ანგარიშების/სერთიფიკატების არსებობა.
Subprocessor Drift: ცვლილებები შეტყობინების გარეშე (მიზანი - 0).

11) კატეგორიზაცია და გადამოწმების დონე

პროვაიდერის კატეგორიამაგალითიმონაცემებიDD სიღრმეგადასინჯვა
კრიტიკულიბირთვის ჰოსტინგი, KYC/AML, PSPPI/ფინანსებისრული (საიტი/ROS)ყოველწლიურად + ტრიგერები
მაღალიანალიტიკა, DWH, ლოგოებიPI/ფსევდო PIგაფართოებული12-18 თვე
საშუალომარკეტინგი, email, მხარდაჭერაშეზღუდულიაძირითადი18-24 თვე
დაბალიტრენინგი, შინაარსიარ ამუშავებს PIმსუბუქი pre screen24 თვე

12) ჩეკის ფურცლები

DD გაშვება

  • საჭიროების ბარათი და მომსახურების რისკის კლასი.
  • Pre-screen: სანქციები, ლიცენზიები, ძირითადი პროფილი.
  • კითხვარი + არტეფაქტები (პოლიტიკოსები, მოხსენებები, სერთიფიკატები).
  • უსაფრთხოება/პირადი მიმოხილვა + PoC ინტეგრაციის დროს.
  • Gap სიის ვადა და მფლობელები.
  • კონტრაქტი: DPA/SLA/audit rights/liability/exit.
  • ონბორდინგისა და მონიტორინგის გეგმა (მეტრიკა, ალერტები).

წლიური გადასინჯვა

  • განახლებული სერთიფიკატები და მოხსენებები.
  • სუბპრესორების/ადგილმდებარეობების/იურისდიქციების შემოწმება.
  • რემედიაციის სტატუსი, ახალი რისკები/ინციდენტები.
  • ტესტები DR/BCP და შედეგები.
  • Dry-run აუდიტი: შერჩევა „ღილაკზე“.

13) წითელი დროშები

უარი თქვით SOC/ISO/PCI ან ანგარიშის მნიშვნელოვანი მონაკვეთები.
მონაცემთა დაშიფვრის/ლოგოების/წაშლის უცნაური პასუხები.
არ არსებობს DR/BCP გეგმები ან მათი ტესტირება არ ხდება.
დახურული ინციდენტები პოსტმორტემისა და გაკვეთილების გარეშე.
მონაცემთა შეუზღუდავი გადაცემა ქვე-პროცესორებზე/საზღვარგარეთ გარანტიების გარეშე.
PI გაჟონვის პასუხისმგებლობის აგრესიული შეზღუდვები.

14) ანტიპატერები

„ქაღალდი“ DD გარეშე PoC და ტექნიკური მრჩეველი.
უნივერსალური შემოწმების სია რისკის/იურისდიქციის გამოკლებით.
ხელშეკრულება DPA/SLA/აუდიტის და exit გეგმის გარეშე.
პროვაიდერების რეესტრის არარსებობა და ცვლილებების მონიტორინგი.
„სამუდამოდ“ გაცემული წვდომა/ნიშნები როტაციისა და რეპეტიციის გარეშე.

15) ვიკის დაკავშირებული სტატიები

შესაბამისობისა და ანგარიშგების ავტომატიზაცია

შესაბამისობის უწყვეტი მონიტორინგი (CCM)

Legal Hold და გაყინვა

პოლიტიკის და პროცედურების სასიცოცხლო ციკლი

KYC/KYB და სანქციების სკრინინგი

მონაცემთა შენახვისა და წაშლის გრაფიკები

უწყვეტობის გეგმა (BCP) და DRP

შედეგი

რისკზე ორიენტირებული Due Diligence არ არის „ნიშანი“, არამედ კონტროლირებადი პროცესი: სწორი კატეგორიზაცია, საკვანძო ღერძებზე ღრმა შემოწმება, მკაფიო სახელშეკრულებო გარანტიები და უწყვეტი მონიტორინგი. ასე რომ, მომწოდებლები გახდებიან თქვენი ჯაჭვის საიმედო ნაწილი და თქვენ პროგნოზირებით აკმაყოფილებთ მოთხოვნებს ბიზნესის შეფერხების გარეშე.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.