Due Diligence при выборе провайдеров

1) Зачем нужен Due Diligence провайдеров

• Идентифицировать присущий риск по продукту/стране/данным.
• Проверить комплаенс и безопасность до заключения договора.
• Зафиксировать SLA/SLO и права аудита на этапе контракта.
• Настроить мониторинг и план выхода (offboarding) с сохранением целостности данных.

2) Когда проводится и что охватывает

Моменты: предварительный выбор, короткий список, перед контрактом, при значимых изменениях, ежегодный пересмотр.
Охват: юридический статус, финансовая устойчивость, безопасность, приватность, техзрелость, эксплуатация/поддержка, комплаенс (GDPR/PCI/AML/SOC 2 и др.), география и санкционные риски, ESG/этика, субподрядчики.

3) Роли и RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Карта критериев оценки (что проверяем)

4.1 Правовой и корпоративный профиль

Регистрация, бенефициары (KYB), судебные споры, санкционные списки.
Лицензии/сертификаты для регулируемых услуг.

4.2 Финансы и устойчивость

Аудированная отчетность, долговая нагрузка, ключевые инвесторы/банки.
Зависимость от одного клиента/региона, план непрерывности (BCP).

4.3 Безопасность и приватность

ISMS (политики, RACI), результаты внешних тестов, управление уязвимостями.
Шифрование At Rest/In Transit, KMS/HSM, управление секретами.
DLP/EDRM, журналирование, Legal Hold, ретенция и удаление.
Инцидент-менеджмент: SLA уведомления, плейбуки, пост-мортемы.

4.4 Соответствие и сертификации

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (сроки и объем).
GDPR/локальные нормы: роли (controller/processor), DPA, SCC/BCR, DPIA.
AML/санкционный контур (если применимо).

4.5 Техническая зрелость и интеграции

Архитектура (многотенантность, изоляция, SLO, DR/HA, RTO/RPO).
API/SDK, версионирование, rate limits, observability (логи/метрики/трейсы).
Управление изменениями, релизы (blue-green/canary), обратная совместимость.

4.6 Операции и поддержка

24×7/Follow-the-sun, время реакции/восстановления, онколлы.
Процедуры онбординга/оффбординга, экспорт данных без штрафов.

4.7 Субпроцессоры и цепочка поставок

Перечень субподрядчиков, юрисдикции, их контроли и уведомления об изменениях.

4.8 Этичность/ESG

Политики против коррупции, кодекс поведения, трудовые практики, отчетность.

5) Процесс Due Diligence (SOP)

1. Инициация: карточка потребности (цели, данные, юрисдикции, критичность).
2. Квалификация: короткая анкета (pre-screen) + санкционный/лицензионный чек.
3. Глубокая оценка: опросник, артефакты (политики, отчеты, сертификаты), интервью.
4. Техпроверка: security-обзор, демо окружения, чтение логов/метрик, PoC.
5. Скоринг и риски: присущий риск → контрольный профиль → остаточный риск.
6. Ремедиация: условия/исправления до контракта (gap-лист с дедлайнами).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Онбординг: доступы/SSO, каталоги данных, интеграции, план мониторинга.
9. Непрерывный мониторинг: ежегодный пересмотр/триггеры (инцидент, смена субпроцессора).
10. Оффбординг: экспорт, удаление/анонимизация, отзыв доступов, подтверждение уничтожения.

6) Анкета провайдера (ядро вопросов)

Юр. лицо, бенефициары, санкционные проверки, споры за 3 года.
Сертификации (SOC 2 тип/период, ISO, PCI), последние отчеты/scope.
Политики безопасности, инвентарь данных, классификация, DLP/EDRM.
Техническая изоляция: tenant-isolation, сетевые политики, шифрование, ключи.
Логи и аудит: хранение, доступ, WORM/immutability, SIEM/SOAR.
Инциденты за 24 мес: типы, влияние, уроки.
Ретенция/удаление/Legal Hold/DSAR-поток.
Субпроцессоры: список, страны, функции, договорные гарантии.
DR/BCP: RTO/RPO, результаты последних тестов.
Поддержка/SLA: времена реакции/решения, эскалации, кредит-схема.
Exit-plan: экспорт данных, форматы, стоимость.

7) Скоринг-модель (пример)

Оси: Право/Финансы/Безопасность/Приватность/Техника/Операции/Комплаенс/Цепочка/ESG.
Баллы 1–5 по каждой оси; веса по критичности услуги и типу данных.

• `RR = Σ(вес_i × балл_i)` → категории: Low / Medium / High / Critical.

High/Critical: обязательна ремедиация до контракта, усиленные условия SLA и мониторинг.
Low/Medium: стандартные требования + годовой пересмотр.

8) Обязательные положения договора (must-have)

DPA: роли (controller/processor), цель, категории данных, ретенция и удаление, Legal Hold, DSAR содействие.
SCC/BCR для трансграничных передач (если применимо).
Security Appendix: шифрование, логи, уязвимости/патчинг, пентесты, уязвимости раскрытие.
SLA/SLO: время реакции/устранения (sev-уровни), кредиты/штрафы, доступность, RTO/RPO.
Audit Rights: право на аудит/опросник/доказательства; уведомления об изменениях контролей/субпроцессоров.
Breach Notification: сроки уведомления (например, ≤ 24–72 ч), формат, сотрудничество в расследовании.
Subprocessor Clause: список, смена по уведомлению/согласованию, ответственность.
Exit & Data Return/Deletion: формат экспорта, сроки, подтверждение уничтожения, поддержка миграции.
Liability/Indemnity: лимиты/исключения (утечка PI, нарушение лицензий, штрафы регуляторов).
IP/License: права на разработки/конфигурации/данные/метаданные.

9) Мониторинг и триггеры пересмотра

Истечение/обновление сертификатов (SOC/ISO/PCI), изменения отчетного статуса.
Смена субпроцессоров/локаций хранения данных/юрисдикций.
Инциденты безопасности/существенные перебои SLA.
Слияния/поглощения, ухудшение финансовых показателей.
Релизы, затрагивающие изоляцию/шифрование/доступ.
Регуляторные запросы, Findings аудитов.

10) Метрики и дашборды Vendor Risk Mgmt

Coverage DD: % критичных провайдеров, прошедших полноценный DD.
Time-to-Onboard: медиана от заявки до контракта (по категориям риска).
Open Gaps: активные ремедиации по провайдерам (сроки/владельцы).
SLA Breach Rate: доля нарушений SLA по времени/доступности.
Incident Rate: инциденты/12 мес по провайдерам и серьезности.
Audit Evidence Readiness: наличие актуальных отчетов/сертификатов.
Subprocessor Drift: изменения без уведомления (цель — 0).

11) Категоризация и уровни проверки

12) Чек-листы

Запуск DD

• Карточка потребности и риск-класс услуги.
• Pre-screen: санкции, лицензии, базовый профиль.
• Опросник + артефакты (политики, отчеты, сертификаты).
• Security/Privacy review + PoC при интеграциях.
• Gap-лист с дедлайнами и владельцами.
• Контракт: DPA/SLA/audit rights/liability/exit.
• План онбординга и мониторинга (метрики, алерты).

Ежегодный пересмотр

• Обновленные сертификаты и отчеты.
• Проверка субпроцессоров/локаций/юрисдикций.
• Статус ремедиаций, новые риски/инциденты.
• Тесты DR/BCP и результаты.
• Dry-run аудита: сбор evidence «по кнопке».

13) Красные флаги (red flags)

Отказ предоставить SOC/ISO/PCI или существенные разделы отчетов.
Нечеткие ответы по шифрованию/логам/удалению данных.
Нет планов DR/BCP или они не тестируются.
Закрытые инциденты без пост-мортема и уроков.
Неограниченная передача данных субпроцессорам/за рубеж без гарантий.
Агрессивные ограничения ответственности за утечки PI.

14) Антипаттерны

«Бумажный» DD без PoC и техпроверки.
Универсальный чек-лист без учета риска/юрисдикций.
Договор без DPA/SLA/права аудита и exit-плана.
Отсутствие реестра провайдеров и мониторинга изменений.
«Навечно» выданные доступы/токены без ротации и ре-аттестаций.

15) Связанные статьи wiki

Автоматизация комплаенса и отчетности

Непрерывный мониторинг соответствия (CCM)

Legal Hold и заморозка данных

Жизненный цикл политик и процедур

KYC/KYB и санкционный скрининг

Графики хранения и удаления данных

План непрерывности (BCP) и DRP

Итог

Риск-ориентированный Due Diligence — это не «галочка», а управляемый процесс: корректная категоризация, глубокая проверка по ключевым осям, четкие договорные гарантии и непрерывный мониторинг. Так поставщики становятся надежной частью вашей цепочки, а вы — предсказуемо соответствуете требованиям, не тормозя бизнес.