GH GambleHub

Dê Diligence ao selecionar provedores

1) Por que precisa de Dou Diligence provedores

O provedor é uma continuação da sua cadeia de confiança. Erro de seleção = multas regulatórias, fugas, interrupções e perdas de reputação. DD (DD) permite:
  • Identificar risco inerente por produto/país/dados.
  • Verificar a complacência e a segurança antes do contrato.
  • Fixar SLA/SLO e direitos de auditoria na fase do contrato.
  • Configure o monitoramento e o plano de saída com a integridade dos dados.

2) Quando realizado e o que abrange

Pontos: pré-seleção, lista curta, antes do contrato, com mudanças significativas, revisão anual.
Abrangência: status legal, sustentabilidade financeira, segurança, privacidade, tecnologia, exploração/suporte, complacência (GDPR/PCI/AML/SOC 2 etc.), geografia e riscos de sanções, ESG/ética, subcontratados.

3) Papéis e RACI

PapelResponsabilidade
Business Owner (A)Justificativa de negócios, orçamento, decisão final com risco
Procurement/Vendor Mgmt (R)Processo DD, oferta, comparação de propostas, registro
Compliance/DPO (C/R)Privacidade, legalidade, DPA/SCC
Legal (R/C)Contratos, responsabilidade, direitos de auditoria, IP/licenças
Security/CISO (R)Controle técnico, testes, exigências de incidentes
Data Platform/IAM/IT (C)Integração, arquitetura, SSO, logs
Finance (C)Capacidade de pagamento, condições de pagamento/moeda/impostos
Internal Audit (I)Observação da totalidade e do traçado

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Mapa de critérios de avaliação (que verificamos)

4. 1 Perfil legal e corporativo

Registro, beneficiários (KYB), disputas judiciais, listas de sanções.
Licenças/certificados para serviços regulados.

4. 2 Finanças e sustentabilidade

Relatórios auditados, endividamento, investidores/bancos essenciais.
Dependência de um cliente/região, plano de continuidade (BCP).

4. 3 Segurança e privacidade

ISMS (políticas, RACI), resultados de testes externos, gerenciamento de vulnerabilidades.
Criptografia At Rest/In Transit, KMS/HSM, gerenciamento de segredos.
DLP/EDRM, registro, Legal Hold, retenção e remoção.
SLA notificações, playbooks, pós-mortem.

4. 4 Conformidade e certificação

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (data e volume).
GDPR/normas locais: rolos (controlador/processador), DPA, SCC/BCR, DPIA.
O caminho de sanção AML (se aplicável).

4. 5 Maturidade técnica e integração

Arquitetura (Multiplicidade, Isolamento, SLO, DR./HA, RTO/RPO).
API/SDK, versioning, rate limits, observabilidade (logs/métricas/trails).
Gerenciamento de alterações, lançamentos (blue-green/canary), compatibilidade invertida.

4. 6 Operações e suporte

24 x 7/Follow-the-sun, tempo de reação/recuperação, oncols.
Procedimentos onboarding/off, exportação de dados sem multas.

4. 7 Subprocessadores e cadeia de fornecimento

Lista de subcontratados, jurisdição, supervisão e notificação de alterações.

4. 8 Ética/ESG

Políticas contra a corrupção, código de conduta, práticas trabalhistas, relatórios.

5) Processo de Doe Diligence (SOP)

1. Iniciação: cartão de necessidade (objetivos, dados, jurisdições, critérios).
2. Qualificação: um questionário (pré-screen) + um cheque de autorização/sanção.
3. Avaliação profunda: entrevistador, artefactos (políticas, relatórios, certificados), entrevistas.
4. Técnico: Visão segura, demo ambiente, leitura de logs/métricas, PoC.
5. Mapeamento e riscos: risco inerente → perfil de controle → risco residual.
6. Remunção: termos/correções para o contrato (gap-listagem com deadline).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Acesso/SSO, diretórios de dados, integração, monitoramento.
9. Monitoramento contínuo: revisões/desencadeadores anuais (incidente, mudança de subprocessador).
10. Off-boarding: exportação, remoção/anonimato, revisão de acessos, confirmação de destruição.

6) Questionário do provedor (núcleo de questões)

Yur. pessoas, beneficiários, verificações de sanções, disputas de 3 anos.
Certificações (SOC 2 tipo/período, ISO, PCI), relatórios recentes/scope.
Políticas de segurança, inventário de dados, classificação, DLP/EDRM.
Isolamento técnico: tenant-isolation, políticas de rede, criptografia, chaves.
Logs e auditorias: armazenamento, acesso, WORM/imutability, SIEM/SOAR.
Incidentes em 24 mil, tipos, influência, lições.
Retenção/remoção/Fluxo Legal Hold/DSAR.
Subprocessadores: lista, países, funções, garantias contratuais.
DR./BCP: RTO/RPO, resultados dos últimos testes.
Suporte/SLA: tempos de reação/decisão, escalação, crédito-esquema.
Exit-plan: exportação de dados, formatos, valor.

7) Modelo de mapeamento (exemplo)

Eixos: Direito/Finanças/Segurança/Privacidade/Tecnologia/Operações/Complaens/Cadeia/ESG.
Pontos 1-5 em cada eixo; peso por criticidade de serviço e tipo de dados.

Acção de risco final:
  • 'RR = (peso _ i x ponto _ i)' categoria: Low/Medium/High/Critical.

High/Critical: É obrigatória a remunção antes do contrato, condições SLA reforçadas e monitoramento.
Low/Medium: requisitos padrão + revisão anual.

8) Cláusulas obrigatórias do contrato (must-have)

DPA: papéis (controlador/processor), alvo, categorias de dados, retenção e remoção, Legal Hold, DSAR facilitação.
SCC/BCR para transmissões de fronteiras (se aplicável).
Segurança Appendix: criptografia, logs, vulnerabilidades/patching, pentestes, vulnerabilidades de divulgação.
SLA/SLO: Tempo de Resposta/Eliminação (Níveis?), Créditos/Multas, disponibilidade, RTO/RPO.
Auditoria de Direitos: Direito de auditoria/questionário/prova; notificação de alterações nos controles/subprocessadores.
Breach Notificação: prazo de notificação (por exemplo, ≤ 24-72 h), formato, cooperação de investigação.
Subprocessor Clause: lista, mudança de notificação/concordância, responsabilidade.
Exit & Data Return/Deletição: formato de exportação, data limite, confirmação de destruição, suporte à migração.
Liability/Indemnity: limites/exceções (fuga de PI, violação de licenças, multas de reguladores).
IP/License: permissões de desenvolvimento/configuração/dados/metadados.

9) Monitoramento e revisões

Caducidade/Atualização de Certificados (SOC/ISO/PCI), alterações no status do relatório.
Altere os subprocessadores/locais de armazenamento/jurisdição.
Incidentes de segurança/interrupções significativas da SLA.
Fusões/aquisições, deterioração do desempenho financeiro.
Lançamentos que afetam isolamento/criptografia/acesso.
Pedidos regulatórios, auditorias Findings.

10) Métricas e dashboards Vendor Risk Mgmt

Coverage DD:% dos provedores críticos com DD completo.
Time-to-Onboard: Mediana do pedido ao contrato (por categoria de risco).
Open Gaps: remunções ativas por provedores (data/proprietários).
SLA Breach Rate: proporção de violações de tempo/disponibilidade da SLA.
Invident Rating: incidentes/12 mes sobre provedores e seriedade.
Audit Evidence Readiness: disponibilidade de relatórios/certificados relevantes.
Subprocessor Draft: alterações sem aviso (alvo: 0).

11) Categorização e níveis de verificação

Categoria do provedorExemploDadosProfundidade DDRevisão
Críticonúcleo de hospedagem, KYC/AML, PSPPI/finançasCompleto (site/ROS)Todos os anos + desencadeadores
Altaanalista, DWH, logsPI/pseudo-PIAvançado12-18 mes
Médiamarketing, email, suporterestritoBásico18-24 mes
Baixotreinamento, conteúdonão processa PIPré-screen leve24 mes

12) Folhas de cheque

Iniciar DD

  • Cartão de necessidade e serviço de risco.
  • Pré-screen: sanções, licenças, perfil básico.
  • Questionário + artefatos (políticas, relatórios, certificados).
  • Segurança/Private review + PoC na integração.
  • Folha de gap com deadline e proprietários.
  • Contrato: DPA/SLA/auditoria rights/liability/exit.
  • Plano de monitoramento e monitorização (métricas, alertas).

Revisão anual

  • Certificados e relatórios atualizados.
  • Verificar subprocessadores/locais/jurisdições.
  • Status de remunções, novos riscos/incidentes.
  • Testes de DR./BCP e resultados.
  • Auditoria de dry-run: coleta evidence «por botão».

13) Bandeiras vermelhas (red flags)

Recusa-se a fornecer SOC/ISO/PCI ou seções substanciais de relatórios.
Respostas vagas sobre criptografia/logs/remoção de dados.
Não há planos de DR./BCP ou eles não são testados.
Incidentes fechados sem pós-mortem ou aulas.
Transferência ilimitada de dados para subprocessadores/para o exterior sem garantias.
Limitações agressivas de responsabilidade por vazamentos de PI.

14) Antipattern

DD de papel, sem PoC e sem tecnologia.
Folha de cheque universal sem considerar o risco/jurisdição.
Contrato sem DPA/SLA/direitos de auditoria e exit plug-in.
Nenhum registro de provedores ou monitoramento de alterações.
«Para sempre» acessíveis/tokens emitidos sem rotação ou ré-avaliações.

15) Artigos wiki relacionados

Automação da compilação e relatórios

Monitoramento Contínuo de Conformidade (CCM)

Legal Hold e congelamento de dados

Ciclo de vida de políticas e procedimentos

KYC/KYB e screening de sanções

Gráficos de armazenamento e remoção de dados

Plano de continuidade (BCP) e DRP

Resultado

O Doe Diligence de risco não é um «selo», mas um processo controlado: categorização correta, verificação profunda de eixos-chave, garantias contratuais claras e monitoramento contínuo. Assim, os fornecedores tornam-se uma parte confiável da sua cadeia, e você, previsivelmente, cumpre os requisitos sem travar o negócio.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.