공급자를 선택할 때 실사
1) 근면 제공 업체
공급자는 귀하의 신뢰 사슬의 연속입니다. 선택 오류 = 규제 처벌, 누출, 다운 타임 및 평판 손실. 근면 (DD) 은 다음을 허용합니다
제품/국가/데이터로 고유 한 위험을 식별합니다.
계약 수상 전에 준수 및 안전성을 확인하십시오.
계약 단계에서 SLA/SLO 및 감사 권한을 기록하십시오.
데이터 무결성을 유지하면서 모니터링 및 오프 보드 설정.
2) 언제 그리고 무엇을 다루는가
요점: 계약 전 예비 선택, 짧은 목록, 중요한 변경 사항, 연례 검토.
적용 범위: 법적 지위, 재무 안정성, 보안, 개인 정보 보호, 기술 성숙도, 운영/지원, 규정 준수 (GDPR/PCI/AML/SOC 2 등), 지리 및 제재 위험, ESG/윤리, 하청 업체.
3) 역할 및 RACI
(R - 책임; A - 책임; C-컨설팅; I-정보)
4) 스코어 카드 (우리가 확인하는 것)
4. 1 법률 및 기업 프로필
등록, 수혜자 (KYB), 소송, 제재 목록.
규제 서비스에 대한 라이센스/인증서.
4. 2 금융 및 지속 가능성
감사 진술, 부채 부하, 주요 투자자/은행.
단일 클라이언트/지역 종속성, 연속성 계획 (BCP).
4. 3 보안 및 개인 정보 보호
ISMS (정치인, RACI), 외부 테스트 결과, 취약성 관리.
휴식/대중 교통의 암호화, KMS/HSM, 비밀 관리.
DLP/EDRM, 저널링, 법적 보류, 유지 및 삭제.
사건 관리: SLA 알림, 플레이 북, 사후 관리.
4. 4 준수 및 인증
SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (타이밍 및 범위).
GDPR/로컬 규범: 역할 (컨트롤러/프로세서), DPA, SCC/BCR, DPIA.
AML/제재 루프 (해당되는 경우).
4. 5 기술적 성숙도 및 통합
아키텍처 (멀티 테넌시, 격리, SLO, DR/HA, RTO/RPO).
API/SDK, 버전 지정, 속도 제한, 관찰 가능성 (로그/메트릭/트레일).
관리 변경, 릴리스 (청록색/카나리아), 이전 버전과의 호환성.
4. 6 운영 및 지원
24 × 7/태양 추적, 반응/감소 시간, 온콜.
온 보딩/오프 보딩 절차, 처벌없이 데이터 수출.
4. 7 개의 하위 프로세서 및 공급망
하청 업체, 관할 구역, 통제 및 변경 통지 목록.
4. 8 윤리/ESG
반부패 정책, 행동 강령, 노동 관행, 보고.
5) 실사 절차 (SOP)
1. 개시: 수요 카드 (목표, 데이터, 관할 구역, 중요도).
2. 자격: 짧은 설문지 (사전 화면) + 제재/라이센스 확인.
3. 심층 평가: 설문지, 유물 (정책, 보고서, 인증서), 인터뷰.
4. 기술 점검: 보안 검토, 환경 데모, 로그/메트릭 읽기, PoC.
5. 점수 및 위험: 고유 위험 → 제어 프로파일 → 잔류 위험.
6. 치료: 계약 전 이용 약관/수정 (마감일이있는 간격 목록).
7. 습관: DPA/SLA/감사 권리/책임/IP/종료/종료 계획.
8. 온 보딩: 액세스/SSO, 데이터 카탈로그, 통합, 모니터링 계획.
9. 지속적인 모니터링: 연례 검토/트리거 (사고, 하위 프로세서 변경).
10. 오프 보딩: 수출, 삭제/익명화, 액세스 취소, 파괴 확인.
6) 공급자 설문지 (질문의 핵심)
유르. 3 년 동안 개인, 수혜자, 제재 점검, 분쟁.
인증 (SOC 2 유형/기간, ISO, PCI), 최신 보고서/범위.
보안 정책, 데이터 인벤토리, 분류, DLP/EDRM.
기술 격리: 테넌트 격리, 네트워크 정책, 암호화, 키.
로그 및 감사: 스토리지, 액세스, WORM/불변성, SIEM/SOAR.
24 개월 동안의 사건: 유형, 영향, 수업.
보존/삭제/법적 보류/DSAR 스트림.
하위 프로세서: 목록, 국가, 기능, 계약 보증.
DR/BCP: RTO/RPO, 최근 테스트 결과.
지원/SLA: 반응/결정 시간, 에스컬레이션, 신용 스키마.
종료 계획: 데이터 내보내기, 형식, 비용.
7) 득점 모델 (예)
Axes: 법률/재무/보안/개인 정보 보호/엔지니어링/운영/준수/체인/ESG.
각 축에서 1-5 점을 획득합니다. 서비스 중요 및 데이터 유형별 무게.
- 'RR = ère (weight _ i × score _ i)' → 범주: 낮음/중간/높음/중요.
고/중요: 사전 계약 개선, 향상된 SLA 조건 및 모니터링이 필수입니다.
낮음/중간: 표준 요구 사항 + 연간 개정.
8) 계약의 필수 조항 (필수)
DPA: 역할 (컨트롤러/프로세서), 목적, 데이터 범주, 유지 및 삭제, 법률 보유, DSAR 지원.
국경 간 전송을위한 SCC/BCR (해당되는 경우).
보안 부록: 암호화, 로그, 취약점/패치, 침투 테스트, 취약점 공개.
SLA/SLO: 반응/제거 시간 (세브 레벨), 크레딧/페널티, 가용성, RTO/RPO.
감사 권리: 감사/설문지/증거에 대한 권리; 제어/하위 프로세서 변경 알림.
위반 알림: 알림 조건 (예: www. 24-72 시간), 형식, 조사 협력.
서브 프로세서 조항: 목록, 통지/계약에 따른 변경, 책임.
종료 및 데이터 반환/삭제: 내보내기 형식, 날짜, 파괴 확인, 마이그레이션 지원.
책임/보상: 제한/예외 (PI 누출, 라이센스 위반, 규제 벌금).
IP/라이센스-개발/구성/데이터/메타 데이터 권한.
9) 모니터링 및 검토 트리거
인증서 만료/갱신 (SOC/ISO/PCI), 보고 상태 변경
서브 프로세서/스토리지 위치/관할 구역의 변경.
보안 사고/중요한 SLA 중단.
합병/인수, 재무 성과 저하.
격리/암호화/액세스에 영향을 미치는 릴리스.
규제 문의, 조사 결과.
10) 공급 업체 위험 Mgmt 지표 및 대시 보드
적용 범위 DD: 본격적인 DD를 통과 한 중요한 제공 업체의%.
타임 투 온보드: 입찰에서 계약까지의 중간 값 (위험 범주 별).
오픈 갭: 공급자에 의한 적극적인 치료 (타임 라인/소유자).
SLA 위반 률: 시간/가용성에 따른 SLA 위반 비율.
사고 률: 제공자 별 사건/12 개월 및 심각도.
감사 증거 준비: 최신 보고서/인증서의 가용성.
서브 프로세서 드리프트-통지없이 변경 (대상 0).
11) 분류 및 검증 수준
12) 점검표
DD 시작
- 요구 카드 및 서비스 위험 클래스.
- 사전 화면: 제재, 라이센스, 기본 프로필.
- 설문지 + 아티팩트 (정책, 보고서, 인증서).
- 통합을위한 보안/개인 정보 보호 검토 + PoC.
- 마감일과 소유자가있는 갭 목록.
- 계약: DPA/SLA/감사 권한/책임/종료.
- 온보드 및 모니터링 계획 (메트릭, 경고).
연례 검토
- 업데이트 된 인증서 및 보고서.
- 하위 프로세서/위치/관할 구역 확인.
- 치료 상태, 새로운 위험/사건.
- DR/BCP 테스트 및 결과.
- 드라이 런 감사: "버튼으로" 증거를 수집합니다.
13) 적기 (적기)
SOC/ISO/PCI 또는 보고서의 자료 섹션을 제공하지 않습니다.
데이터 암호화/로그/삭제에 대한 퍼지 답변.
DR/BCP 계획이 없거나 테스트되지 않았습니다.
사후 및 수업없이 사건을 종결하십시오.
보증없이 서브 프로세서/해외로 무제한 데이터 전송.
PI 누출에 대한 책임의 공격적인 제한.
14) 안티 패턴
PoC 및 기술 검증이없는 "종이" DD.
보편적 위험이없는/관할권 점검표.
DPA/SLA/감사 권한 및 종료 계획이없는 계약.
공급자 레지스트리 부족 및 모니터링 변경.
"영원히" 는 회전 및 재증명없이 액세스/토큰을 발행했습니다.
15) 관련 위키 기사
준수 및보고 자동화
연속 준수 모니터링 (CCM)
법적 보류 및 데이터 동결
정책 및 절차 수명주기
KYC/KYB 및 제재 심사
데이터 유지 및 삭제 일정
연속 계획 (BCP) 및 DRP
결과
위험 지향 Due Diligence는 틱이 아니라 올바른 분류, 주요 축을 따른 심층 검증, 명확한 계약 보증 및 지속적인 모니터링 관리 프로세스입니다. 따라서 공급 업체는 체인의 신뢰할 수있는 부분이되며 비즈니스 속도를 늦추지 않고 요구 사항을 충족 할 수 있습니다.