GH GambleHub

Due Diligence la selectarea furnizorilor

1) De ce furnizorii de due diligence

Furnizorul este o continuare a lanțului de încredere. Eroare de selecție = sancțiuni de reglementare, scurgeri, timpi de nefuncționare și pierderi de reputație. Due Diligence (DD) permite:
  • Identificarea riscului inerent în funcție de produs/țară/date.
  • Verificarea conformității și siguranței înainte de atribuirea contractului.
  • Înregistrați SLA/SLO și drepturile de audit în stadiul contractual.
  • Configurați monitorizarea și offboardingul, menținând în același timp integritatea datelor.

2) Când și ce acoperă

Puncte: selecție preliminară, listă scurtă, înainte de contract, cu modificări semnificative, revizuire anuală.
Acoperire: statut juridic, stabilitate financiară, securitate, confidențialitate, maturitate tehnică, funcționare/suport, conformitate (GDPR/PCI/AML/SOC 2 etc.), riscuri de geografie și sancțiuni, ESG/etică, subcontractanți.

3) Roluri și RACI

RolResponsabilitate
Proprietar de afaceri (A)Caz de afaceri, buget, decizie finală bazată pe risc
Achiziții/Furnizor Mgmt (R)Proces DD, licitație, comparație ofertă, înregistrare
Conformitate/DPO (C/R)Confidențialitate, legalitatea prelucrării, DPA/SCC
Juridic (R/C)Contracte, Răspundere, Drepturi de Audit, IP/Licențe
Securitate/CISO (R)Control tehnic, încercări, cerințe privind incidentele
Platforma de date/IAM/IT (C)Integrări, arhitectură, SSO, jurnale
Finanţe (C)Solvabilitate, termene de plată/valută/taxe
Audit intern (I)Monitorizarea integralității și trasabilității

(R - Responsabil; A - Responsabil; C - Consultat; I - Informat)

4) Scorecard (ceea ce verificăm)

4. 1 Profil juridic și corporativ

Înregistrare, beneficiari (KYB), litigii, liste de sancțiuni.
Licente/certificate pentru servicii reglementate.

4. 2 Finanțe și sustenabilitate

Declarații auditate, sarcina datoriei, investitori cheie/bănci.
Dependența unică client/regiune, planul de continuitate (BCP).

4. 3 Securitate și confidențialitate

ISMS (politicieni, RACI), rezultatele testelor externe, managementul vulnerabilității.
Criptare în repaus/în tranzit, KMS/HSM, management secret.
DLP/EDRM, jurnalizare, deținere legală, păstrare și ștergere.
Managementul incidentelor: notificări SLA, playbook-uri, post-mortems.

4. 4 Conformitate și certificare

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (calendarul și domeniul de aplicare).
GDPR/norme locale: roluri (controler/procesor), DPA, SCC/BCR, DPIA.
LMA/buclă de sancțiune (dacă este cazul).

4. 5 Maturitate tehnică și integrare

Arhitectură (multi-chirie, izolare, SLO, DR/HA, RTO/RPO).
API/SDK, versioning, limitele ratei, observabilitate (busteni/metrici/trasee).
Managementul schimbării, versiuni (albastru-verde/canar), compatibilitate înapoi.

4. 6 Operațiuni și asistență

24 × 7/Follow-the-sun, timp de reacție/reducere, oncalls.
Proceduri de onboarding/offboarding, export de date fără penalități.

4. 7 Subprocesoare și lanț de aprovizionare

Lista subcontractanților, jurisdicțiilor, controalele acestora și anunțurile de modificare.

4. 8 Etică/ESG

Politici anticorupție, cod de conduită, practici de muncă, raportare.

5) Procesul de Due Diligence (POS)

1. Inițiere: card de cerere (obiective, date, jurisdicții, criticalitate).
2. Calificare: chestionar scurt (pre-ecran) + sancțiune/verificare licență.
3. Evaluare profundă: chestionar, artefacte (politici, rapoarte, certificate), interviuri.
4. Verificare tehnică: revizuire de securitate, demo de mediu, busteni de lectură/metrici, PoC.
5. Scoring și riscuri: risc inerent → profil de control → risc rezidual.
6. Remediere: termeni/corecții înainte de contract (lista decalajelor cu termenele limită).
7. Контракт: DPA/SLA/drepturi de audit/răspundere/IP/planul de reziliere/ieșire.
8. Onboarding: accesări/OSS, cataloage de date, integrări, plan de monitorizare.
9. Monitorizare continuă: revizuire/declanșatoare anuale (incident, schimbare sub-procesor).
10. Offboarding: export, ștergere/anonimizare, revocarea accesului, confirmarea distrugerii.

6) Chestionarul furnizorului (nucleul întrebărilor)

Yur. persoană, beneficiari, controale de sancțiuni, litigii timp de 3 ani.
Certificări (SOC 2 tip/perioadă, ISO, PCI), ultimele rapoarte/domeniu de aplicare.
Politici de securitate, inventarierea datelor, clasificare, DLP/EDRM.
Izolare tehnică: izolarea chiriașilor, politici de rețea, criptare, chei.
Busteni si audituri: depozitare, acces, WORM/imutabilitate, SIEM/SOAR.
Incidente în 24 de luni: tipuri, impact, lecții.
Retenție/ștergere/Legal Hold/DSAR stream.
Sub-procesatori: listă, țări, funcții, garanții contractuale.
DR/BCP: RTO/RPO, rezultate recente ale testelor.
Suport/SLA: timpi de reacție/decizie, escaladări, scheme de credit.
Exit-plan: export de date, formate, cost.

7) Scoring model (exemplu)

Axe: Lege/Finanțe/Securitate/Confidențialitate/Inginerie/Operațiuni/Conformitate/Lanț/ESG.
Scorurile 1-5 pe fiecare axă; greutatea în funcție de criticalitatea serviciului și de tipul de date.

Rata finală de risc:
  • 'RR = Σ (greutate _ i × score _ i)' → categorie: Low/Medium/High/Critical.

High/Critical: remedierea precontractuală, îmbunătățirea condițiilor SLA și monitorizarea sunt obligatorii.
Low/Medium: cerințe standard + revizuire anuală.

8) Prevederi obligatorii ale contractului (must-have)

DPA: roluri (controler/procesor), scop, categorii de date, retenție și ștergere, Legal Hold, asistență DSAR.
SCC/BCR pentru transmisii transfrontaliere (dacă este cazul).
Apendicele de securitate: criptare, jurnale, vulnerabilități/patching, teste de penetrare, dezvăluirea vulnerabilităților.
SLA/SLO: timp de reacție/eliminare (niveluri severe), credite/penalități, disponibilitate, RTO/RPO.
Drepturi de audit: dreptul la audit/chestionar/dovezi; notificările modificărilor de control/sub-procesor.
Notificarea încălcării: condiții de notificare (de exemplu, ≤ 24-72 de ore), format, cooperare în anchetă.
Subprocesor Clauză: listă, schimbare prin notificare/acord, responsabilitate.
Exit & Data Return/Deletion: format de export, date, confirmarea distrugerii, suport pentru migrare.
Răspundere/despăgubire: limite/excepții (scurgeri PI, încălcarea licenței, amenzi de reglementare).
IP/Licență - dezvoltare/configurare/date/drepturi de metadate.

9) Declanșatoare de monitorizare și revizuire

Expirarea/reînnoirea certificatelor (SOC/ISO/PCI), modificări ale stării de raportare.
Schimbarea subprocesoarelor/locațiilor de stocare/jurisdicțiilor.
Incidente de securitate/întreruperi semnificative ale SLA.
Fuziuni/achiziții, deteriorarea performanței financiare.
Eliberări care afectează izolarea/criptarea/accesul.
Anchete de reglementare, audituri constatări.

10) Furnizor de risc Mgmt Metrics și tablouri de bord

Acoperire DD:% dintre furnizorii critici care au trecut DD cu drepturi depline.
Time-to-Onboard: mediană de la ofertă la contract (pe categorii de risc).
Deschideți lacunele: remedierea activă de către furnizor (termene/proprietari).
Rata de încălcare a SLA: Proporția încălcărilor SLA în funcție de timp/disponibilitate.
Rata de incidență: Incidents/12 luni de către furnizor și severitate.
Pregătirea pentru probele de audit: disponibilitatea rapoartelor/certificatelor actualizate.
Subprocesor Drift - modificări fără notificare (țintă 0).

11) Niveluri de clasificare și verificare

Categoria furnizoruluiExempluDateAdâncimea DDRevizuire
Criticăkernel hosting, KYC/AML, PSPPI/FinanţeComplet (la fața locului/PoC)Declanșatoare anuale +
ridicatanalytics, DWH, busteniIP/pseudoPIavansat12-18 luni
Mediemarketing, e-mail, suportrestrictivDe bază18-24 luni
scăzutinstruire, conținutnu procesează PIPre-ecran ușor24 luni

12) Liste de verificare

DD de pornire

  • Cardul de cerințe și clasa de risc de service.
  • Pre-ecran: sancțiuni, licențe, profil de bază.
  • Chestionar + artefacte (politici, rapoarte, certificate).
  • Securitate/Privacy review + PoC pentru integrări.
  • Lista decalajelor cu termenele limită și proprietarii.
  • Contract: DPA/SLA/drepturi de audit/răspundere/ieșire.
  • Planul de onboarding și monitorizare (metrici, alerte).

Reexaminarea anuală

  • Certificate și rapoarte actualizate.
  • Sub-procesoare/locații/jurisdicții verifica.
  • Starea de remediere, noi riscuri/incidente.
  • Testele și rezultatele DR/BCP.
  • Audit uscat: colectează dovezi „prin buton”.

13) Steaguri roșii (steaguri roșii)

Refuzul de a furniza SOC/ISO/PCI sau secțiuni materiale de rapoarte.
Răspunsuri fuzzy pentru criptarea datelor/jurnale/ștergere.
Nu există planuri DR/BCP sau nu sunt testate.
Incidente închise fără post-mortem şi lecţii.
Transfer nelimitat de date către subprocesori/în străinătate fără garanții.
Limitări agresive ale răspunderii pentru scurgerile de IP.

14) Antipattern

„Hârtie” DD fără PoC și verificare tehnică.
Lista de verificare universală fără risc/jurisdicțională.
Contract fără drepturi DPA/SLA/audit și plan de ieșire.
Lipsa unui registru de furnizori și monitorizarea schimbărilor.
„Forever” a emis accesări/jetoane fără rotație și re-atestare.

15) Articole wiki înrudite

Automatizarea conformității și raportării

Monitorizarea continuă a conformității (CCM)

Păstrarea legală și înghețarea datelor

Ciclul de viață al politicilor și procedurilor

KYC/KYB și screeningul sancțiunii

Programele de păstrare și ștergere a datelor

Planul de continuitate (BCP) și DRP

Rezultat

Due Diligence orientat spre risc nu este o căpușă, ci un proces gestionat: clasificare corectă, verificare profundă de-a lungul axelor cheie, garanții contractuale clare și monitorizare continuă. Astfel, furnizorii devin o parte fiabilă a lanțului dvs. și îndepliniți în mod previzibil cerințele fără a vă încetini afacerea.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.