合作夥伴合規指南
1)目的和範圍
本指南為合作夥伴/承包商/附屬機構/提供商(包括支付和托管平臺,內容工作室,反欺詐服務,呼叫中心,營銷機構)定義了合規要求。
目標是:- 統一的安全、隱私、監管和負責任的溝通標準。
- 減少供應鏈中的運營/法律風險。
- 「審計就緒」證據基礎和相互可驗證性。
2)術語
合作夥伴是處理數據或提供服務的任何第三方。
關鍵合作夥伴-對安全性、支付、個人數據或監管流程產生有意義的影響。
子處理器是參與數據處理的合作夥伴的交易對手。
3)原則(「設計條款」)
合規設計:要求嵌入到流程和體系結構中。
數據最小化和管轄權會計(數據駐留)。
可跟蹤性和不可變性:標誌,WORM存檔,哈希收據。
促進性:檢查的深度取決於風險。
「真理的一個版本」:SLA和RACI可以理解的確認文物。
4)角色和RACI
(R — Responsible;A — Accountable;C — Consulted;I — Informed)
5)風險合作夥伴分類
標準:數據類型(PII/付款),交易量,對軟件系統的訪問,管轄權,鏈中的角色(處理器/控制器),事件歷史,證書/審計。
級別:低度/中度/高度/關鍵→決定了盡職調查的深度和修訂頻率。
6)討價還價和盡職調查(DD)
步驟:1.DD問卷(所有者,子處理器,數據位置,證書,控制器)。
2.制裁/聲譽/受益人檢查(screening)。
3.安全/隱私評估:SOC/ISO/PCI/pentest,撤消策略,DSAR流程。
4.技術驗證:SSO/OAuth,加密,秘密管理,拼寫。
5.付款/AML方面(如果適用):充電器流程,反欺詐和限制。
6.風險報告和解決方案:入場/有條件/拒絕+SARA/補償措施。
7.合同:MSA,SLA/OLA,DPA,審計權,鏡像撤回,事件通知,越位。
7)對合夥人的強制性要求(最低)
7.1安全和隱私
transit/at rest加密,密鑰管理(KMS/HSM)。
RBAC/ABAC,MFA,管理動作日誌,重新認證訪問。
具有哈希簽名的日誌和WORM檔案;同步時間。
回避政策,法律保留,DSAR程序;PI掩蔽/令牌化。
漏洞報告/pentests;托管更新策略。
7.2監管和營銷
禁止不可靠/激進的離場,強制性的折扣。
遵守負責任的遊戲和年齡驗證規則(如果適用)。
根據許可證和當地限制進行地理定位。
記錄的通信同意/退出,pruff存儲。
7.3 付款/AML/KYC(按角色)
KYC/KYB程序,制裁/RER篩查,交易監控。
授權/3 DS Logs、chargeback流程、風險限制。
協調的鎖定/調查和退貨方案。
8)技術集成
SSO/SAML/OIDC,SCIM proviging(如果可能)。
結構化邏輯(JSON/OTel),跟蹤(trace_id)。
Webhooks-帶有簽名和轉發;交付保證/等效性。
API限制,合同測試,後端兼容,轉換。
孤立的環境,密鑰和秘密-進入秘密存儲庫。
9)合同義務
SLA/OLA:藥房,TTR/MTTR,延遲,關鍵服務的RPO/RTO。
Evidence&Audit:審核權限、PBC格式、響應時間、數據室訪問。
事件:≤ X小時通知,報告格式和時間線,CAPA。
撤消和刪除:TTL,銷毀確認,子處理器的鏡像撤消。
保密/NDA和分包限制。
10)事件管理(聯合)
單一警報通道和戰鬥節奏更新。
立即法律保留相關數據。
聯合時間線(誰/什麼/時間),帶有哈希收據的文物。
向監管機構/客戶發出通知-通過一致的過程。
Post-mortem, CAPA, re-audit 30-90天。
11)報告和監測
季度報告:證書,事件,SLA,子處理器,數據位置更改。
特權/DSAR指標,客戶投訴,市場違規行為。
財務/支付:充電率、反欺詐效率、勝訴率。
12)控制和審計法
按風險類別分列的定期審計;計劃外事件/關鍵變化。
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
結果→ CAPA,截止日期和驗證(在WORM中進行)。
13)Offbording合作夥伴
遷移/替換計劃,工件和密鑰的轉移。
確認合作夥伴和子處理器的數據銷毀。
撤消訪問/秘密,關閉集成渠道。
最終審計/報告和證據存檔。
14)度量標準和KRI
登上領導時間(按風險等級)。
Vendor Certificate Freshness(目標:100%關鍵合作夥伴)。
按合作夥伴劃分的SLA Compliance和Incident Rate。
隱私/DSAR SLA和客戶投訴。
Chargeback Ratio/Fraud Loss%(用於支付角色)。
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift(位置/子處理器的不一致更改)。
15) Dashbords
Vendor Risk Heatmap:風險表、證書、事件、國家。
Compliance Coverage: DPA/SLA的存在,審計權,撤銷/法律保留。
SLA&Incidents:藥房,TTR/MTTR,未解決的事件。
Privacy&DSAR:時機、數量、投訴、趨勢。
Payments/Fraud: chargeback ratio,理由,win-rate上訴。
CAPA&Re-audit:狀態、延遲、重復註釋。
16) SOP(標準程序)
SOP-1: Onbording合作夥伴
DD問卷→篩選→那些/隱私/安全評估→風險報告→條約(MSA/DPA/SLA)→集成和書寫設置→飛行員→現場直播。
SOP-2: 合作夥伴的變化
更改符號(子處理器/位置/體系結構)→風險評估→合同/策略升級→測試→驗證。
SOP-3: 事件
單一通道→ Legal Hold →協作時間線/工件→通知→ CAPA →重新審核。
SOP-4: 定期審計
年度/季度風險周期→ PBC → ToD/ToE樣本→ 報告/SARA →發布指標。
SOP-5: Offbording
遷移計劃→出口/轉讓→銷毀確認→取消訪問→最終報告。
17)工件模板
17.1 Vendor DD Checklist(片段)
於爾。數據/受益人;制裁篩查
證書/審計、安全/隱私政策
數據位置/子處理器/轉介
24個月內的事件,CAPA
那些。集成: SSO、拼寫、加密、webhooks
17.2 DPA/SLA-強制性條款
數據處理、目標、法律依據
事件通知時間、報告格式
審核權限,PBC格式,數據室
TTL/刪除,法律保留,銷毀確認
子處理器和匹配順序
17.3證據包(證據包)
訪問/管理操作邏輯(結構化,哈希收據)
漏洞報告/pentests/scan
DSAR註冊/刪除/撤銷
SLA/事件/恢復(RTO/RPO)
已簽署的合同/增編版本
18)反模式
不透明的子處理器/數據位置。
沒有re-cert和日誌的「端到端」訪問。
手動卸載無不可變性和哈希確認。
具有不可靠/禁止承諾的營銷。
缺少Offbording中數據銷毀的確認。
永恒的等待者沒有時間表和補償措施。
19)成熟度模型(M0-M4)
M0地獄專用:一次性檢查,沒有合作夥伴風險登記冊。
M1目錄:合作夥伴列表,基本DD/合同。
M2管理:風險等級,SLA/DPA,dashbords,計劃修訂。
M3集成:成像/evidence-shin, re-audit, CAPA鏡頭,「audit-ready」。
M4持續保證:實時監控、推薦檢查、PBC/evidence數據包自動生成。
20)相關文章wiki
選擇提供商時的盡職調查
外包風險和承包商控制
第三方審計員的外部審計
保管證據和文件
日記和審計步道
補救計劃(CAPA)
重復審計和執行情況監測
策略和規範存儲庫
團隊中合規決策的交流
底線
「合作夥伴合規指南」將供應鏈轉變為可管理的生態系統:單一要求,可預測的檢查,不可改變的證據和透明的安排。這樣可以降低風險,加快集成速度,並使協作具有可擴展性和可驗證性。