GH GambleHub

Dış kaynak riskleri ve yüklenici kontrolleri

1) Neden dış kaynak kullanımı = artan risk

Dış kaynak kullanımı başlangıçları hızlandırır ve maliyetleri düşürür, ancak risk yüzeyini genişletir: süreçlerinize, verilerinize ve müşterilerinize dış ekipler ve bunların alt yüklenicileri tarafından erişilir. Risk yönetimi, ölçülebilirlik ve denetlenebilirlik ile sözleşmeli, organizasyonel ve teknik önlemlerin bir kombinasyonudur.

2) Risk haritası (tipoloji)

Yasal: Gerekli lisansların eksikliği, zayıf sözleşme garantileri, IP/telif hakkı, yargı çatışmaları.
Düzenleme/uyumluluk: GDPR/AML/PCI DSS/SOC 2, vb. DPA/SCC yok; Raporlama sürelerinin ihlali.
Bilgi güvenliği: sızıntılar/sızıntı, zayıf erişim kontrolü, kayıt eksikliği ve şifreleme.
Gizlilik: Yedekli PI işleme, saklama/silme ihlali, Yasal Bekletme ve DSAR'ı göz ardı etme.
Operasyonel: Düşük hizmet kararlılığı, zayıf BCP/DR, 7 × 24 eksikliği, SLO/SLA ihlalleri.
Finansal: tedarikçi volatilitesi, bir müşteriye/bölgeye bağımlılık, gizli çıkış maliyetleri.
İtibar: olaylar/skandallar, çıkar çatışmaları, toksik pazarlama.
Tedarik zinciri: opak alt işlemciler, kontrolsüz depolama yerleri.

3) Roller ve Sorumluluklar (RACI)

RolSorumluluk
İşletme sahibi (A)Dış kaynak kullanımı mantığı, bütçe, son "go/no-go"
Satıcı Yönetimi/Tedarik (R)Seçme/Değerlendirme/Revizyon Süreçleri, Yüklenici Kaydı
Uyumluluk/DPO (R/C)DPA, gizlilik, sınır ötesi transferler, reg yükümlülükleri
Yasal (R/C)Sözleşmeler, Sorumluluk, Denetim Hakları, IP, Yaptırım Kontrolleri
Güvenlik/CISO (R)Bilgi güvenliği gereksinimleri, penetrasyon testleri, kayıt, olaylar
Veri/IAM/Platform (C)SSO, roller/SoD, şifreleme, günlükler, entegrasyonlar
Finans (C)Ödeme riskleri, kur koşulları, ceza mekanizmaları
İç denetim (I)Bütünlüğün doğrulanması, kontrollerin bağımsız değerlendirilmesi

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

4) Müteahhitler Yaşam Döngüsünü Kontrol Ediyor

1. Planlama: dış kaynak kullanımı hedefi, kritiklik, veri kategorileri, yetki alanları, alternatif değerlendirme (oluşturma/satın alma/ortak).
2. Durum Tespiti: anketler, eserler (sertifikalar, politikalar), teknik kontroller/RoS, risk puanlama ve boşluk listesi.
3. Sözleşme: DPA/SLA/denetim hakkı, sorumluluk ve cezalar, alt işlemciler, çıkış planı (çıkış) ve veri silme son tarihleri.
4. Onboarding: SSO ve roller (en az ayrıcalıklar), veri dizinleri, çevre yalıtımı, günlük kaydı ve uyarılar.
5. Operasyonlar ve izleme: KPI'lar/SLA'lar, olaylar, alt işlemci/konum değişiklikleri, yıllık incelemeler ve kanıt kontrolü.
6. Revizyon/iyileştirme: Son teslim tarihleriyle boşlukların düzeltilmesi, son kullanma tarihi olan feragat prosedürleri.
7. Offboarding: Erişimlerin iptali, ihracat, silme/anonimleştirme, imha onayı, kanıt arşivi.

5) Sözleşme "olması gereken"

DPA (sözleşme eki): roller (denetleyici/işlemci), işleme hedefleri, veri kategorileri, saklama/silme, Yasal Bekletme, DSAR yardımı, depolama ve iletim konumları (gerektiğinde SCC/BCR).
SLA/SLO: kullanılabilirlik seviyeleri, yanıt/eliminasyon süresi (sev seviyeleri), ihlaller için kredi/ceza, RTO/RPO, 24 × 7/Follow-the-sun.
Güvenlik Eki: Dinlenme/geçiş sırasında şifreleme, anahtar yönetimi (KMS/HSM), gizli yönetim, kayıt (WORM/Nesne Kilidi), penetrasyon testleri/taramaları, güvenlik açığı yönetimi.
Denetim ve Değerlendirme Hakları: düzenli anketler, raporlama (SOC 2/ISO/PCI), denetim hakkı/yerinde/günlük incelemesi.
Alt işleyiciler: liste, değişikliklerin bildirilmesi/onaylanması, zincirin sorumluluğu.
İhlal Bildirimi: terimler (örneğin ≤24 -72 saat), format, soruşturmadaki etkileşim.
Çıkış/Silme: dışa aktarma formatı, tarihler, imha onayı, geçiş desteği, çıkış maliyeti sınırı.
Sorumluluk/Tazminat: limitler, istisnalar (PI sızıntısı, düzenleyici cezalar, IP ihlalleri).
Kontrolü Değiştir: Hizmet/konum/denetimlerdeki önemli değişiklikler hakkında bildirimler.

6) Teknik ve organizasyonel kontroller

Erişim ve kimlikler: SSO, en az ayrıcalık ilkesi, SoD, yeniden sertifikalandırma kampanyaları, JIT/geçici erişim, zorunlu MFA.
İzolasyon ve ağlar: kiracı izolasyonu, segmentasyon, özel kanallar, izin listeleri, çıkış kısıtlaması.
Şifreleme: Zorunlu TLS, medyada şifreleme, anahtar yönetimi ve döndürme, ev yapımı kriptografinin yasaklanması.
Günlük kaydı ve ispatlar: merkezi günlükler, WORM/Nesne Kilidi, rapor karması, kanıt dizinleri.
Veri ve gizlilik: maskeleme/takma ad, saklama kontrolü/TTL, Yasal Bekletme geçersiz kılma, veri dışa aktarma kontrolü.
DevSecOps: SAST/DAST/SCA, gizli tarama, SBOM, OSS lisansları, CI/CD'deki kapılar, yayın politikası (mavi-yeşil/kanarya).
Esneklik: DR/BCP testleri, RTO/RPO hedefleri, kapasite planlama, SLO izleme.
Operasyonlar: playbook olayları, on-call, SLA ile ITSM biletleri, değişim yönetimi.
Eğitim ve kabul: zorunlu bilgi güvenliği/gizlilik sağlayıcı kursları, personel doğrulama (yasal olan yerlerde).

7) Sürekli satıcı izleme

Performans/SLA: kullanılabilirlik, reaksiyon/eliminasyon süresi, krediler.
Sertifikalar/raporlar: SOC/ISO/PCI uygunluğu, kapsamı ve istisnaları.
Olaylar ve değişiklikler: sıklık/önem derecesi, öğrenilen dersler, alt işlemci/konum değişiklikleri.
Kontrol kayması: sözleşme gereksinimlerinden sapmalar (şifreleme, günlüğe kaydetme, DR testleri).
Finansal sürdürülebilirlik: kamu sinyalleri, birleşme ve satın alma, yararlanıcıların değişimi.
Yargı yetkileri ve yaptırımlar: yeni kısıtlamalar, ülkelerin/bulutların/veri merkezlerinin listesi.

8) Satıcı Riski ve Dış Kaynak Metrikleri ve Gösterge Tabloları

MetriklerAçıklamaAmaç (örnek)
Kapsama DDDurum Tespiti tamamlanmış kritik yüklenicilerin %'si≥ 100%
Boşlukları AçYüklenicilerde aktif boşluklar/iyileştirme≤ 0 kritik
SLA İhlal OranıSLA Zaman/Kullanılabilirlik İhlalleri≤ %1/çeyrek
Olay oranıGüvenlik olayları/her yüklenici için 12 ay↓ trendi
Kanıt hazırlığıMevcut raporlar/sertifikalar/günlükler100%
Alt işlemci SürüklenmesiBildirimde bulunmadan yapılan değişiklikler0
Erişim hijyeni (3)Yüklenicinin gecikmiş/gereksiz erişimi≤ 1%
Time-to-OffboardÇözümden tam erişim iptali/silme işlemine≤ 5 iş günü

Panolar: Sağlayıcılar tarafından risklerin ısı haritası, SLA Merkezi, Olaylar ve Bulgular, Kanıt Hazırlık, Alt İşlemci Haritası.

9) Prosedürler (SOP)

SOP-1: Yüklenici Kanca-up

1. Hizmet risk sınıflandırması - 2) DD + PoC - 3) sözleşmeli uygulamalar - 4) erişim/log/şifreleme - 5) başlangıç metrikleri ve gösterge tabloları.

SOP-2: Yüklenici Değişim Yönetimi

1. Kartı değiştir (konum/alt işlemci/mimari) - 2) risk değerlendirmesi/yasal - 3) DPA/SLA güncellemesi - 4) iletişim ve uygulama zaman çizelgesi - 5) kanıt kontrolü.

SOP-3: Müteahhit olayı

Detect? Triage (sev)? Notify (sözleşmenin geçici pencereleri)? Contain? Eradiate? Recover? Post-mortem (dersler, kontrol/sözleşme güncellemeleri)? Evidence in WORM.

SOP-4: Offboarding

1. Entegrasyonların dondurulması2) veri aktarımı 3) silme/anonimleştirme + onaylama 4) tüm erişimlerin/anahtarların iptali 5) kapanış raporu.

10) İstisna yönetimi (feragat)

Son kullanma tarihi, risk değerlendirmesi ve dengeleme kontrolleri ile resmi istek.
GRC/gösterge tablolarında görünürlük, otomatik hatırlatıcılar, "ebedi" istisnaların yasaklanması.
Suç/kritik risk komitesine tırmanma.

11) Örnek şablonlar

Yüklenicinin onboarding kontrol listesi

  • DD tamamlandı; puanlama/risk kategorisi onaylandı
  • DPA/SLA/denetim hakları abone; Güvenlik Eki kabul edildi
  • Alt işlemci listesi alındı; Depolama yerleri onaylandı
  • SSO/MFA yapılandırılmış; Roller SoD Doğrulandı minimize
  • Günlükler bağlanır; WORM/Nesne Kilidi yapılandırılmıştır; Uyarılar başladı
  • DR/BCP hedefleri kabul edildi; Test tarihi ayarlandı
  • DSAR/Legal Hold prosedürleri entegre
  • Gösterge tabloları ve izleme metrikleri etkin

Mini SLA Gereksinim Şablonu

Reaksiyon süresi: Sev1 ≤ 15 dk., Sev2 ≤ 1 saat, Sev3 ≤ 4 saat

Kurtarma süresi: Sev1 ≤ 4 saat, Sev2 ≤ 24 saat

Kullanılabilirlik: ≥ 99. %9/ay; İhlal edilen krediler

Olay bildirimi: ≤ 24 saat, ara güncellemeler her 4 saatte bir (Sev1)

12) Antipatterns

Günlükleri, telemetri ve denetim hakları olmadan "kağıt" kontrolü.
Çıkış planı yoktur: pahalı/uzun ihracat, özel formatlara bağımlılık.
Sonsuz yüklenici erişimi, yeniden sertifikasyon eksikliği.
Alt işlemciler ve depolama yerleri göz ardı ediliyor.
Sahibi/Eskalasyonu olmayan KPI'lar ve Kırmızı Gerçekleri olan Yeşil Alanlar.
Kanıt için WORM/değişmezlik eksikliği - denetim tartışması.

13) Dış kaynak yönetimi olgunluk modeli (M0-M4)

M0 Dağınık: Bir kerelik kontroller, sözleşme'herkes gibi ".
M1 Kataloğu: yüklenici kaydı, temel SLA'lar ve anketler.
M2 Managed: Risk bazında DD, standart DPA/SLA, log ve dashboard bağlantıları.
M3 Entegre: sürekli izleme, kod olarak politika, otomatik kanıt, düzenli DR testleri.
M4 Garantili: "Denetime hazır düğme", tedarik zinciri tahmini riskleri, otomatik yükselmeler ve rampa dışı senaryolar.

14) İlgili wiki makaleleri

Sağlayıcıları seçerken Durum Tespiti

Uyumluluk ve raporlama otomasyonu

Sürekli Uyumluluk İzleme (CCM)

Yasal Tutma ve Veri Dondurma

Politikalar ve Prosedürler Yaşam Döngüsü

KYC/KYB ve yaptırım taraması

Süreklilik Planı (BCP) ve DRP

Toplam

Dış kaynak kontrolü bir kontrol listesi değil, bir sistemdir: risk odaklı seçim, sıkı sözleşme garantileri, minimum ve gözlemlenen erişim, sürekli izleme, hızlı offboarding ve kanıt tabanı. Böyle bir sistemde, yükleniciler iş hızını artırır - güvenlik açığınızı artırmadan.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.