GH GambleHub

Należyta staranność przy wyborze dostawców

1) Dlaczego dostawcy Due Diligence

Dostawca jest kontynuacją łańcucha zaufania. Błąd wyboru = kary regulacyjne, wycieki, przestoje i straty reputacyjne. Due Diligence (DD) umożliwia:
  • Identyfikacja ryzyka nieodłącznego według produktu/kraju/danych.
  • Sprawdź zgodność i bezpieczeństwo przed udzieleniem zamówienia.
  • Zapisz prawa SLA/SLO i audytu na etapie kontraktu.
  • Konfigurowanie monitorowania i offboardingu przy zachowaniu integralności danych.

2) Kiedy i jakie pokrycia

Punkty: wstępny wybór, krótka lista, przed zawarciem umowy, z istotnymi zmianami, przegląd roczny.
Zakres: status prawny, stabilność finansowa, bezpieczeństwo, prywatność, dojrzałość techniczna, obsługa/wsparcie, zgodność (RODO/PCI/AML/SOC 2 itp.), ryzyko związane z geografią i sankcjami, ESG/etyka, podwykonawcy.

3) Role i RACI

RolaOdpowiedzialność
Właściciel firmy (A)Sprawa biznesowa, budżet, ostateczna decyzja oparta na ryzyku
Zamówienia/Sprzedawca Mgmt (R)Proces DD, oferta, porównanie ofert, rejestracja
Zgodność/DPO (C/R)Prywatność, legalność przetwarzania, DPA/SCC
Prawo (R/C)Umowy, Odpowiedzialność, Prawa audytu, IP/Licencje
Bezpieczeństwo/CISO (R)Kontrola techniczna, badania, wymagania dotyczące incydentów
Platforma danych/IAM/IT (C)Integracje, architektura, SSO, dzienniki
Finanse (C)Wypłacalność, warunki płatności/waluta/podatki
Audyt wewnętrzny (I)Monitorowanie kompletności i identyfikowalności

(R - Odpowiedzialny; A - Odpowiedzialność; C - Konsultowane; I - Poinformowany)

4) Karta wyników (co sprawdzamy)

4. 1 Profil prawny i korporacyjny

Rejestracja, beneficjenci (KYB), spory sądowe, listy sankcji.
Licencje/certyfikaty dla usług regulowanych.

4. 2 Finanse i zrównoważony rozwój

Sprawozdania z audytu, obciążenie długiem, kluczowi inwestorzy/banki.
Zależność jednego klienta/regionu, plan ciągłości (BCP).

4. 3 Bezpieczeństwo i prywatność

ISMS (politycy, RACI), wyniki testów zewnętrznych, zarządzanie podatnością na zagrożenia.
Szyfrowanie podczas odpoczynku/tranzytu, KMS/HSM, tajne zarządzanie.
DLP/EDRM, dziennikarstwo, przechowywanie, przechowywanie i usuwanie.
Zarządzanie incydentami: powiadomienia SLA, playbooks, pośmiertne.

4. 4 Zgodność i certyfikacja

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (czas i zakres).
Normy RODO/lokalne: role (kontroler/procesor), DPA, SCC/BCR, DPIA.
AML/pętla sankcji (w stosownych przypadkach).

4. 5 Dojrzałość techniczna i integracja

Architektura (wielozadaniowość, izolacja, SLO, DR/HA, RTO/RPO).
API/SDK, wersioning, limity prędkości, obserwowalność (kłody/mierniki/szlaki).
Zarządzanie zmianami, wydania (niebiesko-zielone/kanarkowe), kompatybilność wsteczna.

4. 6 Operacje i wsparcie

24 × 7/Follow-the-sun, czas reakcji/redukcji, oncalls.
Procedury pokładowe/offboarding, eksport danych bez kar.

4. 7 Podgrupy przetwórcze i łańcuch dostaw

Lista podwykonawców, jurysdykcji, ich kontroli i zmian ogłoszeń.

4. 8 Etyka/ESG

Polityka antykorupcyjna, kodeks postępowania, praktyki pracy, sprawozdawczość.

5) Proces Due Diligence (SOP)

1. Inicjacja: karta popytu (cele, dane, jurysdykcje, krytyka).
2. Kwalifikacja: krótki kwestionariusz (wstępny ekran) + sankcja/kontrola licencji.
3. Głęboka ocena: kwestionariusz, artefakty (polityki, sprawozdania, certyfikaty), wywiady.
4. Kontrola techniczna: przegląd bezpieczeństwa, demo środowiskowe, dzienniki/mierniki czytania, PoC.
5. Punktacja i ryzyko: nieodłączne ryzyko → profil kontroli → ryzyko rezydualne.
6. Rekultywacja: warunki/korekty przed zawarciem umowy (lista luk z terminami).
7. Контрака: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Wejście na pokład: dostęp/SSO, katalogi danych, integracje, plan monitorowania.
9. Ciągłe monitorowanie: coroczny przegląd/wyzwalacze (incydent, zmiana podwykonawcy).
10. Offboarding: eksport, usunięcie/anonimizacja, cofnięcie dostępu, potwierdzenie zniszczenia.

6) Kwestionariusz dostawcy (podstawa pytań)

Yur. osoba, beneficjenci, kontrole sankcji, spory przez 3 lata.
Certyfikaty (SOC 2 typ/okres, ISO, PCI), najnowsze raporty/zakres.
Polityka bezpieczeństwa, inwentaryzacja danych, klasyfikacja, DLP/EDRM.
Izolacja techniczna: izolacja najemcy, zasady sieci, szyfrowanie, klucze.
Rejestry i audyty: przechowywanie, dostęp, WORM/immutability, SIEM/SOAR.
Incydenty w ciągu 24 miesięcy: rodzaje, wpływ, lekcje.
Zatrzymanie/usunięcie/blokada prawna/strumień DSAR.
Podwykonawcy: lista, kraje, funkcje, gwarancje umowne.
DR/BCP: RTO/RPO, najnowsze wyniki badań.
Wsparcie/SLA: czas reakcji/decyzji, eskalacja, schemat kredytowy.
Plan wyjścia: eksport danych, formaty, koszt.

7) Model punktacji (przykład)

Osie: Prawo/Finanse/Bezpieczeństwo/Prywatność/Inżynieria/Operacje/Zgodność/Łańcuch/ESG.
Wyniki 1-5 na każdej osi; waga według krytyki serwisowej i typu danych.

Ostateczna stopa ryzyka:
  • „RR = Α (waga _ i × wynik _ i)” → kategoria: niska/średnia/wysoka/krytyczna.

Wysoka/krytyczna: Rekultywacja przed zawarciem umowy, zwiększone warunki SLA i monitorowanie są obowiązkowe.
Niski/średni: standardowe wymagania + coroczna zmiana.

8) Obowiązkowe postanowienia umowy (must-have)

DPA: role (administrator/procesor), cel, kategorie danych, zatrzymywanie i usuwanie, blokada prawna, pomoc DSAR.
SCC/BCR dla transmisji transgranicznych (w stosownych przypadkach).
Dodatek bezpieczeństwa: szyfrowanie, dzienniki, luki/łatanie, testy penetracji, ujawnianie luk.
SLA/SLO: czas reakcji/eliminacji (poziomy sev), kredyty/kary, dostępność, RTO/RPO.
Prawa audytu: prawo do audytu/kwestionariusza/dowodów; powiadomienia o zmianach dotyczących kontroli/podwykonawcy procesu.
Zgłoszenie naruszenia: warunki powiadomienia (na przykład, ≤ 24-72 godziny), format, współpraca w dochodzeniu.
Klauzula subprocesorowa: lista, zmiana w drodze zawiadomienia/umowy, odpowiedzialność.
Exit & Data Return/Deletion: format eksportu, daty, potwierdzenie zniszczenia, wsparcie migracji.
Odpowiedzialność/odszkodowanie: limity/wyjątki (wyciek PI, naruszenie licencji, grzywny regulacyjne).
IP/Licencja - rozwój/konfiguracja/dane/prawa metadane.

9) Uruchamianie monitoringu i przeglądu

Wygaśnięcie/odnowienie certyfikatów (SOC/ISO/PCI), zmiany stanu raportowania.
Zmiana podwykonawców/miejsc przechowywania/jurysdykcji.
Incydenty związane z bezpieczeństwem/znaczące przerwy w SLA.
Fuzje/przejęcia, pogorszenie wyników finansowych.
Uwolnienia wpływające na izolację/szyfrowanie/dostęp.
Dochodzenia regulacyjne, audyty ustaleń.

10) Mgmt Risk sprzedawca Mgmt Metrics i deski rozdzielcze

DD pokrycia:% dostawców krytycznych, którzy przeszli pełnoprawne DD.
Czas do wejścia na pokład: mediana od oferty do umowy (według kategorii ryzyka).
Otwarte luki: aktywna rekultywacja przez dostawcę (linie czasowe/właścicieli).
SLA Breach Rate: Odsetek naruszeń SLA według czasu/dostępności.
Wskaźnik incydentów: Incidents/12 miesięcy według dostawcy i ciężkości.
Gotowość do kontroli dowodów: dostępność aktualnych sprawozdań/certyfikatów.
Subprocessor Drift - zmiany bez powiadomienia (cel 0).

11) Kategoryzacja i poziomy weryfikacji

Kategoria dostawcyPrzykładDaneGłębokość DDZmiana
Krytycznehosting jądra, KYC/AML, PSPPI/FinanceKompletne (na miejscu/PoC)Roczny + wyzwalacze
Wysokaanalityka, DWH, dziennikiPI/pseudoPIzaawansowane12-18 miesięcy
Średniamarketing, e-mail, wsparcierestrykcyjniePodstawowy18-24 miesiące
Niskiszkolenie, treśćnie przetwarza PIŁatwy wstępny ekran24 miesiące

12) Listy kontrolne

Uruchamianie DD

  • Karta wymogowa i klasa ryzyka serwisowego.
  • Wstępny ekran: sankcje, licencje, profil podstawowy.
  • Kwestionariusz + artefakty (polityki, sprawozdania, certyfikaty).
  • Bezpieczeństwo/Przegląd prywatności + PoC dla integracji.
  • Lista luk z terminami i właścicielami.
  • Umowa: DPA/SLA/prawa audytu/odpowiedzialność/wyjście.
  • Plan wejścia na pokład i monitorowania (mierniki, wpisy).

Przegląd roczny

  • Uaktualnione certyfikaty i sprawozdania.
  • Kontrola podwykonawców/lokalizacji/jurysdykcji.
  • Status rekultywacji, nowe ryzyko/incydenty.
  • Badania i wyniki DR/BCP.
  • Audyt na sucho: zbierać dowody „przyciskiem”.

13) Czerwone flagi (czerwone flagi)

Odmowa dostarczenia raportów SOC/ISO/PCI lub części materiałowych.
Niewyraźne odpowiedzi na szyfrowanie/dzienniki/usuwanie danych.
Nie ma planów DR/BCP lub nie są one testowane.
Zamknięte incydenty bez pouboju i lekcji.
Nieograniczony transfer danych do sub-przetwórców/za granicą bez gwarancji.
Agresywne ograniczenia odpowiedzialności za wycieki PI.

14) Antypattery

„Papier” DD bez PoC i weryfikacji technicznej.
Uniwersalna lista kontrolna wolna od ryzyka/jurysdykcja.
Umowa bez uprawnień DPA/SLA/audyt i plan wyjścia.
Brak rejestru dostawcy i monitorowanie zmian.
„Forever” wydawane dostęp/żetony bez rotacji i ponowne zaświadczenie.

15) Powiązane artykuły wiki

Automatyzacja zgodności i sprawozdawczości

Ciągły monitoring zgodności (CCM)

Prawne przechowywanie i zamrażanie danych

Polityka i procedury Cykl życia

KYC/KYB i kontrola sankcji

Harmonogramy przechowywania i usuwania danych

Plan ciągłości (BCP) i DRP

Wynik

Zorientowana na ryzyko Due Diligence nie jest kleszczem, ale zarządzanym procesem: prawidłowa kategoryzacja, głęboka weryfikacja wzdłuż osi kluczowych, jasne gwarancje umowne i ciągłe monitorowanie. Tak więc dostawcy stają się niezawodną częścią Twojego łańcucha, a Ty przewidywalnie spełniasz wymagania bez spowalniania swojej działalności.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.