Üpjün edijileri saýlanda Due Diligence

1) Näme üçin üpjün edijileriň Due Diligence gerek?

• Önüm/ýurt/maglumatlar boýunça häsiýetli töwekgelçiligi kesgitlemek.
• Şertnama baglaşylýança komplayensiň we howpsuzlygyň barlanylmagy.
• Şertnama tapgyrynda SLA/SLO-ny we audit hukuklaryny düzetmek.
• Maglumatlaryň bitewiligini saklamak bilen gözegçilik we çykyş meýilnamasyny (offboarding) düzüň.

2) Haçan geçirilýär we nämäni öz içine alýar

Pursatlar: öňünden saýlamak, gysga sanaw, şertnamadan öň, düýpli üýtgeşmeler bolan ýagdaýynda, her ýyl täzeden gözden geçirmek.
Gurşaw: hukuk ýagdaýy, maliýe durnuklylygy, howpsuzlyk, gizlinlik, tehniki kämillik, amal/goldaw, laýyklyk (GDPR/PCI/AML/SOC 2 we ş.m.), geografiýa we sanksiýa töwekgelçiligi, ESG/etika, kömekçi potratçylar.

3) Rollar we RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Bahalandyrmagyň ölçegleriniň kartasy (näme barlaýarys)

4. 1 Hukuk we korporatiw profil

Hasaba alyş, benefisiarlar (KYB), kazyýet jedelleri, sanksiýa sanawlary.
Düzgünleşdirilýän hyzmatlar üçin ygtyýarnamalar/şahadatnamalar.

4. 2 Maliýe we durnuklylyk

Auditlenen hasabat, karz ýüki, esasy maýadarlar/banklar.
Bir müşderä/sebite garaşlylyk, dowamlylyk meýilnamasy (BCP).

4. 3 Howpsuzlyk we gizlinlik

ISMS (syýasatlar, RACI), daşarky synaglaryň netijeleri, gowşaklygy dolandyrmak.
At Rest/In Transit, KMS/HSM şifrlemek, syrlary dolandyrmak.
DLP/EDRM, journalurnalizasiýa, Legal Hold, retensiýa we aýyrmak.
Waka-dolandyryş: SLA habarnamalary, pleýbuklar, post-mortemler.

4. 4 Laýyklyk we sertifikatlaşdyrmak

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (möhletler we göwrümi).
GDPR/ýerli kadalar: rollar (controller/processor), DPA, SCC/BCR, DPIA.
AML/sanksiýa kontury (ulanylsa).

4. 5 Tehniki kämillik we integrasiýa

Arhitektura (köp tenantlyk, izolýasiýa, SLO, DR/HA, RTO/RPO).
API/SDK, wersiýalaşdyrmak, rate limits, observability (logi/metrika/trade).
Üýtgeşmeleri dolandyrmak, goýbermek (blue-green/canary), ters gabat gelmek.

4. 6 Amallar we goldaw

24 × 7/Follow-the-sun, reaksiýa/dikeldiş wagty, onkoll.
Onbording/offbording amallary, maglumatlary jerimesiz eksport etmek.

4. 7 Subprosessorlar we üpjünçilik zynjyry

Kömekçi potratçylaryň, ýurisdiksiýalaryň, olaryň gözegçilikleriniň we üýtgeşmeler hakynda habarnamalarynyň sanawy.

4. 8 Ahlaklylyk/ESG

Korrupsiýa garşy syýasatlar, özüni alyp barş kodeksi, zähmet tejribesi, hasabat.

5) Due diligence prosesi (SOP)

1. Inisiatiwasy: zerurlyk kartoçkasy (maksatlar, maglumatlar, ýurisdiksiýalar, kritiklik).
2. Kwalifikasiýa: gysga anketa (pre-screen) + sanksiýa/ygtyýarnama çeki.
3. Çuňňur baha bermek: anketa, artefaktlar (syýasatlar, hasabatlar, şahadatnamalar), söhbetdeşlikler.
4. Tehniki barlag: security-syn, gurşawyň demosy, sahypalary/metrikleri okamak, PoC.
5. Skoring we töwekgelçilikler: adaty töwekgelçilik → gözegçilik profili → galyndy töwekgelçiligi.
6. Remediasiýa: şertnamadan öň şertler/düzedişler (möhletli gap-liste).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Onbording: elýeterlilik/SSO, maglumat kataloglary, integrasiýa, gözegçilik meýilnamasy.
9. Üznüksiz gözegçilik: her ýyl gözden geçirmek/triggerler (waka, subprosessoryň üýtgemegi).
10. Offbording: eksport, aýyrmak/anonimleşdirmek, elýeterliligi yzyna almak, ýok edilendigini tassyklamak.

6) Üpjün edijiniň anketasy (soraglaryň özeni)

Ýur. şahs, benefisiarlar, sanksiýa barlaglary, 3 ýyl üçin jedeller.
Sertifikatlar (SOC 2 tip/döwür, ISO, PCI), iň soňky hasabatlar/skope.
Howpsuzlyk syýasaty, maglumatlaryň inwentary, klassifikasiýa, DLP/EDRM.
Tehniki izolýasiýa: tenant-isolation, tor syýasatlary, şifrlemek, açarlar.
Giriş we audit: saklamak, elýeterlilik, WORM/immutability, SIEM/SOAR.
24 aýlyk hadysalar: görnüşleri, täsiri, sapaklary.
Retensiýa/öçürmek/Legal Hold/DSAR akymy.
Subprosessorlar: sanawy, ýurtlary, wezipeleri, şertnamalaýyn kepillikleri.
DR/BCP: RTO/RPO, soňky synaglaryň netijeleri.
Goldaw/SLA: reaksiýa/çözgüt wagty, eskalasiýa, karz shemasy.
Exit-plan: maglumatlary eksport etmek, formatlar, bahasy.

7) Skoring-model (mysal)

Oklar: Hukuk/Maliýe/Howpsuzlyk/Gizlinlik/Tehnika/Amallar/Utgaşma/Zynjyr/ESG.
Her ok boýunça 1-5 bal; hyzmatyň kritikligi we maglumatlaryň görnüşi boýunça agramlary.

• 'RR = Σ (agram _ i × bal _ i)' → Kategoriýalar: Low/Medium/High/Critical.

High/Critical: şertnamadan öň gaýtadan işlemek, SLA-nyň güýçlendirilen şertleri we gözegçilik etmek hökmanydyr.
Low/Medium: standart talaplar + ýyllyk gözden geçirmek.

8) Şertnamanyň hökmany düzgünleri (must-have)

DPA: rollar (controller/processor), maksat, maglumat kategoriýalary, retensiýa we aýyrmak, Legal Hold, DSAR kömek.
Serhetara geçirişler üçin SCC/BCR (ulanylsa).
Howpsuzlyk Appendix: şifrlemek, girelgeler, gowşaklyklar/patching, pentestler, gowşaklyklar açylýar.
SLA/SLO: reaksiýanyň/ýok etmegiň wagty (sev-derejeler), karzlar/jerimeler, elýeterlilik, RTO/RPO.
Audit Rights: audit/anketa/subutnama hukugy; gözegçileriň/kömekçi prosessorlaryň üýtgemegi barada habarnamalar.
Breach Notification: habar bermegiň möhletleri (mysal üçin ≤ 24-72 sagat), format, derňewde hyzmatdaşlyk.
Subprocessor Clause: sanaw, habarnamanyň/ylalaşygyň üýtgemegi, jogapkärçilik.
Exit & Data Return/Deletion: eksport formaty, möhletleri, ýok edilendigini tassyklamak, migrasiýa goldaw.
Liability/Indemnity: çäklendirmeler/kadadan çykmalar (PI syzmagy, ygtyýarnamalaryň bozulmagy, düzgünleşdirijileriň jerimeleri).
IP/License: Ösüş/konfigurasiýa/maglumat/meta-maglumatlar hukugy.

9) Gaýtadan gözden geçirmegiň monitoringi we triggerleri

Şahadatnamalaryň gutarmagy/täzelenmegi (SOC/ISO/PCI), hasabat statusynyň üýtgemegi.
Subprosessorlary/maglumatlary saklamak ýerlerini/ýurisdiksiýalary üýtgetmek.
Howpsuzlyk hadysalary/SLA-da düýpli bökdençlikler.
Birleşmek/satyn almak, maliýe görkezijileriniň ýaramazlaşmagy.
Izolýasiýa/şifrlemek/elýeterlilige täsir edýän goýberişler.
Düzgünleşdiriji soraglar, audit gözlegleri.

10) Metrikler we daşbordlar Vendor Risk Mgmt

Coverage DD: Doly DD-den geçen möhüm üpjün edijileriň% -i.
Time-to-Onboard: haýyşnamadan şertnama çenli (töwekgelçilik kategoriýalary boýunça).
Açyk Gaps: üpjün edijiler boýunça işjeň remediasiýa (möhletler/eýeler).
SLA Breach Rate: SLA bozulmalarynyň wagt/elýeterlilik boýunça paýy.
"Incident Rate": üpjün edijiler we çynlakaýlyk boýunça hadysalar/12 aý.
Audit Evidence Readiness: degişli hasabatlaryň/şahadatnamalaryň bolmagy.
Subprocessor Drift: Habarsyz üýtgeşmeler (maksat - 0).

11) Kategorizasiýa we barlagyň derejeleri

12) Çek-listler

DD başla

• Hyzmatyň zerurlyk kartoçkasy we töwekgelçilik synpy.
• Deslapky ekran: sanksiýalar, ygtyýarnamalar, esasy profil.
• Anket + artefaktlar (syýasatlar, hasabatlar, şahadatnamalar).
• Integrasiýalarda Howpsuzlyk/Gizlinlik syny + PoC.
• Möhleti we eýeleri bolan gap-listi.
• Şertnama: DPA/SLA/audit rights/liability/exit.
• Onbording we gözegçilik meýilnamasy (metrikler, alertler).

Her ýyl gözden geçirmek

• Täzelenen şahadatnamalar we hasabatlar.
• Subprosessorlary/ýerleri/ýurisdiksiýalary barlamak.
• Remediasiýalaryň ýagdaýy, täze töwekgelçilikler/hadysalar.
• DR/BCP synaglary we netijeleri.
• Dry-run audit: "düwme boýunça" evidence ýygnamak.

13) Gyzyl baýdaklar (red flags)

SOC/ISO/PCI ýa-da hasabatyň möhüm bölümlerini bermekden ýüz öwürmek.
Maglumatlary şifrlemek/silmek üçin nädogry jogaplar.
DR/BCP meýilnamasy ýok ýa-da synagdan geçirilmeýär.
Post-mortemsiz we sapaksyz ýapyk hadysalar.
Maglumatlaryň subprosessorlara/daşary ýurda kepilliksiz çäklendirilmedik berilmegi.
PI syzmagy üçin jogapkärçiligiň agressiw çäklendirmeleri.

14) Antipatternler

PoC we tehniki barlagsyz "kagyz" DD.
Töwekgelçiligi/ýurisdiksiýalary hasaba almazdan ähliumumy çek-sanawy.
DPA/SLA/audit hukugy we exit-meýilnamasy bolmadyk şertnama.
Üpjün edijileriň sanawynyň we üýtgeşmeleriň monitoringiniň ýoklugy.
"Baky" berlen girelgeler/bellikler rotasiýa we gaýtadan şahadatnamasyz.

15) Baglanyşykly wiki maddalary

Komplayensiň we hasabatlylygyň awtomatlaşdyrylmagy

Yzygiderli laýyklyk gözegçiligi (CCM)

Kanuny Hold we maglumatlary doňdurmak

Syýasatlaryň we proseduralaryň durmuş sikli

KYC/KYB we sanksiýa barlagy

Maglumatlary saklamak we aýyrmak grafikleri

Dowamlylyk meýilnamasy (BCP) we DRP

Jemi

Töwekgelçilige gönükdirilen Due Diligence "bellik" däl-de, dolandyrylýan proses: dogry kategoriýalaşdyrmak, esasy oklar boýunça çuňňur barlag, anyk şertnama kepillikleri we üznüksiz gözegçilik. Şeýlelik bilen, üpjün edijiler zynjyryňyzyň ygtybarly bölegine öwrülýärler, siz bolsa işi haýallatmazdan talaplara laýyk gelýärsiňiz.