Санҷиши мувофиқ ҳангоми интихоби провайдерҳо

1) Чаро провайдерҳои боғайрат

• Муайян кардани хатари ҷудонопазири маҳсулот/кишвар/маълумот.
• Пеш аз супоридани шартнома мувофиқат ва бехатариро тафтиш кунед.
• SLA/SLO ва ҳуқуқи аудиториро дар марҳилаи шартнома сабт кунед.
• Танзими мониторинг ва оффборд ҳангоми нигоҳ доштани тамомияти маълумот.

2) Кай ва чӣ фаро мегирад

Нуқтаҳо: интихоби пешакӣ, рӯйхати кӯтоҳ, пеш аз шартнома, бо тағироти назаррас, баррасии солона.
Фарогирӣ: вазъи ҳуқуқӣ, суботи молиявӣ, амният, махфият, камолоти техникӣ, амалиёт/дастгирӣ, мувофиқат (GDPR/PCI/AML/SOC 2 ва ғайра), хавфҳои ҷуғрофӣ ва таҳримот, ESG/этика, пудратчиён.

3) Нақшҳо ва RACI

(R - масъул; A - Ҳисоботдиҳанда; C - Машварат; I - Маълумот)

4) Нишондиҳандаҳо (он чизе ки мо тафтиш мекунем)

4. 1 Профили ҳуқуқӣ ва корпоративӣ

Бақайдгирӣ, баҳрабардорон (KYB), мурофиаҳои судӣ, рӯйхати таҳримҳо.
Иҷозатномаҳо/шаҳодатномаҳо барои хидматҳои танзимшаванда.

4. 2 Молия ва устуворӣ

Изҳороти санҷидашуда, сарбории қарз, сармоягузорони асосӣ/бонкҳо.
Вобастагии ягонаи муштарӣ/минтақа, нақшаи давомдор (BCP).

4. 3 Амният ва махфият

ISMS (сиёсатмадорон, RACI), натиҷаҳои берунии санҷиш, идоракунии осебпазирӣ.
Рамзгузорӣ дар истироҳат/дар транзит, KMS/HSM, идоракунии махфӣ.
DLP/EDRM, рӯзноманигорӣ, нигоҳдории ҳуқуқӣ, нигоҳдорӣ ва несткунӣ.
Идоракунии ҳодисаҳо: огоҳиномаҳои SLA, дафтарҳои бозӣ, пас аз марг.

4. 4 Мувофиқат ва сертификатсия

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (вақт ва миқёс).
GDPR/меъёрҳои маҳаллӣ: нақшҳо (контролер/протсессор), DPA, SCC/BCR, DPIA.
Ҳалқаи AML/санксия (агар лозим бошад).

4. 5 Камолоти техникӣ ва ҳамгироӣ

Меъморӣ (бисёрҳуҷрагӣ, ҷудокунӣ, SLO, DR/HA, RTO/RPO).
API/SDK, версия, маҳдудиятҳои нархҳо, мушоҳидаҳо (гузоришҳо/ченакҳо/роҳҳо).
Идоракунии тағирот, релизҳо (кабуд-сабз/канарӣ), мутобиқати қафо.

4. 6 Амалиёт ва дастгирӣ

24 × 7/Follow-the-sun, вақти реаксия/коҳиш, oncalls.
Тартиби боркунӣ/оффшорӣ, содироти маълумот бидуни ҷарима.

4. 7 Зерсохторҳо ва занҷири таъминот

Рӯйхати пудратчиён, қаламравҳо, назорат ва тағир додани огоҳиҳо.

4. 8 Этика/ESG

Сиёсати зиддикоррупсионӣ, кодекси рафтор, амалияи меҳнатӣ, ҳисоботдиҳӣ.

5) Раванди санҷиш (SOP)

1. Ташаббус: корти талабот (ҳадафҳо, додаҳо, қаламравҳо, танқид).
2. Тахассус: саволномаи кӯтоҳ (пеш аз экран) + санксия/иҷозатнома.
3. Арзёбии амиқ: саволнома, артефактҳо (сиёсатҳо, ҳисоботҳо, шаҳодатномаҳо), мусоҳибаҳо.
4. Тафтиши техникӣ: баррасии амният, намоиши муҳити зист, гузоришҳои хониш/ченакҳо, POC.
5. Баҳодиҳӣ ва хатарҳо: хавфи ҷудонопазири {профили назорат → хатари боқимонда.
6. Ислоҳ: шартҳо/ислоҳҳо пеш аз шартнома (рӯйхати фосила бо мӯҳлатҳо).
7. Контракт: DPA/SLA/ҳуқуқи аудит/масъулият/IP/қатъ/баромадан.
8. Боргузорӣ: дастрасӣ/SSO, каталогҳои маълумот, ҳамгироӣ, нақшаи мониторинг.
9. Мониторинги доимӣ: баррасии солона/триггерҳо (ҳодиса, тағирёбии протсессор).
10. Боргузорӣ: содирот, нест кардан/беном кардан, бекор кардани дастрасӣ, тасдиқи нобудшавӣ.

6) Саволномаи провайдер (асоси саволҳо)

Юр. шахс, баҳрабардорон, чекҳои таҳримот, баҳсҳо барои 3 сол.
Сертификатсия (намуди/давраи SOC 2, ISO, PCI), ҳисоботҳои охирин/миқёс.
Сиёсати амният, инвентаризатсияи маълумот, таснифот, DLP/EDRM.
Ҷудокунии техникӣ: ҷудокунии иҷорагир, сиёсати шабака, рамзгузорӣ, калидҳо.
Сабтҳо ва аудитҳо: нигоҳдорӣ, дастрасӣ, WORM/тағйирнопазирӣ, SIEM/SOAR.
Ҳодисаҳо дар 24 моҳ: намудҳо, таъсир, дарсҳо.
Нигоҳдорӣ/несткунӣ/Ҷараёни ҳуқуқӣ/DSAR.
Зерсохторҳо: рӯйхат, кишварҳо, вазифаҳо, кафолатҳои шартномавӣ.
DR/BCP: RTO/RPO, натиҷаҳои санҷиши охирин.
Дастгирӣ/SLA: вақти вокуниш/қарор, шиддат, схемаи қарзӣ.
Нақшаи баромад: содироти маълумот, форматҳо, арзиш.

7) Модели баҳодиҳӣ (мисол)

Меҳварҳо: Қонун/Молия/Амният/Махфият/Муҳандисӣ/Амалиёт/Мувофиқат/Занҷир/ESG.
Холҳои 1-5 дар ҳар як меҳвар; вазн аз рӯи танқиди хидмат ва навъи маълумот.

• 'RR = Σ (вазн _ i × холҳои _ i)' → категория: паст/миёна/баланд/интиқодӣ.

High/Critical: Барқарорсозии пеш аз шартнома, шароити мукаммали SLA ва мониторинг ҳатмист.
Паст/Миёна: талаботи стандартӣ + таҷдиди солонаи.

8) Муқаррароти ҳатмии шартнома (ҳатмӣ)

DPA: нақшҳо (назоратчӣ/протсессор), мақсад, категорияҳои маълумот, нигоҳдорӣ ва несткунӣ, нигоҳдории ҳуқуқӣ, кӯмаки DSAR.
SCC/BCR барои интиқоли фаромарзӣ (агар лозим бошад).
Замимаи Амният: рамзгузорӣ, гузоришҳо, осебпазирӣ/ҷобаҷогузорӣ, санҷишҳои воридшавӣ, ифшои осебҳо.
SLA/SLO: вақти аксуламал/бартарафкунӣ (сев-сатҳҳо), кредитҳо/ҷаримаҳо, мавҷудият, RTO/RPO.
Ҳуқуқи аудит: ҳуқуқ ба аудит/саволнома/далелҳо; огоҳиномаҳо дар бораи тағиротҳои назорат/зер-протсессор.
Огоҳинома дар бораи вайронкунӣ: шартҳои огоҳӣ (масалан, ≤ 24-72 соат), формат, ҳамкорӣ дар тафтишот.
Банди зерсохтор: рӯйхат, тағир аз рӯи огоҳӣ/созишнома, масъулият.
Баромадан ва баргардонидани маълумот/нест кардан: формати содирот, санаҳо, тасдиқи нобудшавӣ, дастгирии муҳоҷират.
Масъулият/Ҷуброн: маҳдудиятҳо/истисноҳо (ихроҷи PI, вайронкунии иҷозатнома, ҷаримаҳои танзимкунанда).
IP/License - таҳия/конфигуратсия/маълумот/ҳуқуқи метамаълумот.

9) Триггерҳои мониторинг ва бознигарӣ

Мӯҳлат/тамдиди сертификатҳо (SOC/ISO/PCI), тағирот дар ҳолати ҳисоботӣ.
Тағир додани зерсохторҳо/маконҳои нигоҳдорӣ/қаламравҳо.
Ҳодисаҳои амниятӣ/қатъшавии назарраси SLA.
Якҷояшавӣ/ба даст овардан, бад шудани нишондиҳандаҳои молиявӣ.
Нашрияҳое, ки ба ҷудокунӣ/рамзгузорӣ/дастрасӣ таъсир мерасонанд.
Тафтишоти танзимкунанда, аудити бозёфтҳо.

10) Метрикаҳои хавфи Mgmt ва панели фурӯшанда

Фарогирии DD:% провайдерҳои муҳим, ки аз ДД-и мукаммал гузаштаанд.
Вақт-ба-бор: медиан аз дархост ба шартнома (аз рӯи категорияи хатар).
Холигии кушод: барқароркунии фаъол аз ҷониби провайдер (мӯҳлатҳо/соҳибон).
Меъёри вайронкунии SLA: Таносуби вайронкунии SLA аз рӯи вақт/мавҷудият.
Сатҳи ҳодиса: Incidents/12 моҳ аз ҷониби провайдер ва вазнинӣ.
Омодагии далелҳои аудит: мавҷудияти ҳисоботҳо/шаҳодатномаҳои муосир.
Subprocessor Drift - тағйирот бе огоҳӣ (ҳадафи 0).

11) Сатҳи гурӯҳбандӣ ва санҷиш

12) Рӯйхати санҷишҳо

Оғози DD

• Корти талабот ва синфи хавфи хидматрасонӣ.
• Экрани пешакӣ: таҳримҳо, литсензияҳо, профили асосӣ.
• Саволнома + артефактҳо (сиёсатҳо, ҳисоботҳо, шаҳодатномаҳо).
• Шарҳи Амният/Махфият + POC барои ҳамгироӣ.
• Рӯйхати холигӣ ​ ​ бо мӯҳлатҳо ва соҳибон.
• Шартнома: DPA/SLA/ҳуқуқи аудит/масъулият/баромадан.
• Нақшаи боркунӣ ва мониторинг (ченакҳо, огоҳиҳо).

Шарҳи солона

• Шаҳодатномаҳо ва ҳисоботҳои нав.
• Санҷиши зерсохторҳо/маконҳо/қаламравҳо.
• Ҳолати барқарорсозӣ, хатарҳо/ҳодисаҳои нав.
• Санҷишҳо ва натиҷаҳои DR/BCP.
• Аудити хушк: ҷамъоварии далелҳо "бо тугма".

13) Парчамҳои сурх (парчамҳои сурх)

Рад кардани пешниҳоди SOC/ISO/PCI ё қисматҳои моддии гузоришҳо.
Ҷавобҳои номуайян барои рамзгузорӣ/гузоришҳо/несткунӣ.
Нақшаҳои DR/BCP вуҷуд надоранд ё онҳо озмуда намешаванд.
Ҳодисаҳои пӯшида бидуни қатл ва дарсҳо.
Интиқоли бемаҳдуд ба зерсохторҳо/хориҷа бидуни кафолат.
Маҳдудиятҳои хашмгинонаи масъулият барои ихроҷи PI.

14) Антипаттернҳо

DD "Paper" бидуни POC ва санҷиши техникӣ.
Рӯйхати назоратии бидуни хатар/юрисдиксияи универсалӣ.
Шартнома бидуни DPA/SLA/аудит ва нақшаи баромадан.
Набудани бақайдгирии провайдерҳо ва мониторинги тағирот.
"Forever" дастрасӣ/нишонаҳоро бидуни гардиш ва дубора аттестатсия додааст.

15) Мақолаҳои марбут ба вики

Автоматикунонии мутобиқат ва ҳисобот

Мониторинги доимии мутобиқат (CCM)

Нигоҳдории ҳуқуқӣ ва яхкунӣ

Сиёсатҳо ва тартибот дар давраи ҳаёт

KYC/KYB ва таҳқиқи санксия

Ҷадвалҳои нигоҳдорӣ ва нест кардани маълумот

Нақшаи давомдор (BCP) ва DRP

Натиҷа

Санҷиши дурусти ба хатар нигаронидашуда нишона нест, балки раванди идорашаванда аст: гурӯҳбандии дуруст, санҷиши амиқ дар меҳварҳои асосӣ, кафолатҳои дақиқи шартнома ва мониторинги доимӣ. Ҳамин тавр, таъминкунандагон як қисми боэътимоди занҷираи шумо мешаванд ва шумо пешгӯии талаботро бидуни суст кардани тиҷорати худ иҷро мекунед.