選擇提供商時的盡職調查

1）為什麼需要Due Diligence提供商

• 通過產品/國家/數據識別固有的風險。
• 在簽訂合同之前檢查合規性和安全性。
• 在合同階段記錄SLA/SLO和審計權。
• 配置監視和退出計劃（離岸）,同時保持數據完整性。

2）何時進行以及涵蓋的內容

要點：預選，短名單，合同前，有意義的更改，年度修訂。
覆蓋面：法律地位、財務可持續性、安全性、隱私、技術性、運營/支持、合規性（GDPR/PCI/AML/SOC 2等）、地理和制裁風險、ESG/道德、分包商。

3）角色和RACI

(R — Responsible;A — Accountable;C — Consulted;I — Informed)

4）評分標準圖（我們檢查的內容）

4.1法律和公司簡介

註冊，受益人（KYB），法律糾紛，制裁名單。
受監管服務的許可證/證書。

4.2財務和可持續性

審計報告，債務負擔，主要投資者/銀行。
單個客戶/區域依賴性，連續性計劃（BCP）。

4.3安全和隱私

ISMS（策略,RACI）,外部測試結果,漏洞管理。
加密At Rest/In Transit, KMS/HSM,秘密管理。
DLP/EDRM，日誌，法律保留，撤消和刪除。
事件管理：SLA通知，花花公子，後面模特。

4.4合規性和認證

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR（時限和範圍）。
GDPR/局部規範：角色（控制器/處理器），DPA，SCC/BCR，DPIA。
AML/制裁路線（如果適用）。

4.5技術成熟度和集成

體系結構（多元性，隔離性，SLO，DR/HA，RTO/RPO）。
API/SDK，轉化，比例限制，觀察能力（logi/度量/traces）。
更改管理，版本（藍綠色/金絲雀），向後兼容性。

4.6業務和支助

24 × 7/Follow-the-sun，反應/恢復時間，腫瘤。
Onbording/Offbording程序,無罰數據導出。

4.7子處理器和供應鏈

分包商名單，司法管轄區，其控制和變更通知。

4.8 道德操守/ESG

反腐敗政策，行為守則，勞工實踐，報告。

5）盡職調查過程（SOP）

1.啟動：需求卡（目標，數據，管轄權，關鍵性）。
2.資格：簡短問卷（屏幕前）+制裁/許可支票。
3.深度評估：問卷，文物（政治家，報告，證書），訪談。
4.技術人員：安全審查，環境演示，讀取邏輯/度量，PoC。
5.評分和風險：固有風險→基準→殘余風險。
6.還原：合同前的條款/更正（截止日期清單）。

7.Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.

8.登陸：可用性/SSO、數據目錄、集成、監控計劃。
9.持續監控：年度修訂/觸發器（事件，子處理器更改）。
10.Offbording：導出,刪除/匿名,召回訪問,確認銷毀。

6）供應商問卷（核心問題）

於爾。個人、受益人、制裁檢查、3年爭議。
認證（SOC 2類型/時期，ISO，PCI），最新報告/scope。
安全策略，數據清單，分類，DLP/EDRM。

技術隔離： tenant-isolation,網絡策略,加密,密鑰.

邏輯和審核：存儲、訪問、WORM/immutability、SIEM/SOAR。
24個月內的事件：類型，影響，經驗教訓。
Retence/Remove/Legal Hold/DSAR流。
子處理器：清單，國家，功能，合同擔保。
DR/BCP：RTO/RPO，最新測試結果。
支持/SLA：反應/決策時間，升級，信用計劃。
退出計劃：數據導出、格式、成本。

7）評分模型（示例）

軸心：法律/財務/安全/隱私/技術/運營/合規/鏈/ESG。
每個軸的得分為1-5；按服務臨界值和數據類型加權。

• 「RR=Σ（重量_i ×分數_i）」→類別：低度/中度/高度/關鍵。

High/Critical：合同前必須重新調配，強化了SLA條款和監控。
Low/Medium：標準要求+年度修訂。

8）合同中具有約束力的條款（必須擁有）

DPA：角色（控制器/處理器），目標，數據類別，撤消和刪除，法律保留，DSAR協助。
跨境傳輸的SCC/BCR（如果適用）。
Security Appendix：加密、日誌、漏洞/補丁、五分位數、漏洞披露。
SLA/SLO：反應/消除時間（sev-level），貸款/罰款，可用性，RTO/RPO。
審計權：審計/問卷/證據權；控制器/子處理器更改通知。
突破通知：通知時間（例如，≤ 24-72小時），格式，調查合作。
Subprocessor Clause：列表，通知/同意變更，責任。
Exit&Data Return/Deletion：導出格式、時間表、銷毀確認、遷移支持。
Liability/Indemnity：限制/例外（PI泄漏、許可證違規、監管處罰）。
IP/許可證：開發/配置/數據/元數據權限。

9）監視和觸發修訂

證書到期/更新（SOC/ISO/PCI），報告狀態更改。
更改子處理器/存儲位置/司法管轄區。
安全事件/SLA嚴重中斷。
合並/收購，財務業績惡化。
影響隔離/加密/訪問的版本。
監管要求，Findings審核。

10）Vendor Risk Mgmt的度量標準和dashbords

Coverage DD：通過完整DD的關鍵提供商的百分比。
時間到紙板：從申請到合同的中位數（按風險類別）。
Open Gaps：按提供商（時間/所有者）進行主動重整。
SLA突破率：按時間/可用性劃分的SLA違規比例。
事件率：按供應商和嚴重程度分列的事件/12個月。
Audit Evidence Readiness：當前報告/證書的可用性。
Subprocessor Drift：無通知更改（目標-0）。

11）分類和驗證級別

12）支票單

啟動DD

• 需求卡和風險類服務。
• 屏幕前：制裁，許可證，基本配置文件。
• 問卷+文物（政策、報告、證書）。
• 集成時的安全/隱私評論+PoC。
• 與截止日期和所有者的差距列表。
• 合同：DPA/SLA/審計權/liability/exit。
• 提高認識和監測計劃（指標，Alerts）。

年度修訂

• 更新的證書和報告。
• 檢查子處理器/地點/司法管轄區。
• 重新融合的狀況、新的風險/事件。
• DR/BCP測試和結果。
• Dry-run審核：「通過按鈕」收集事件。

13）紅旗（紅旗）

拒絕提供SOC/ISO/PCI或重要報告部分。
加密/日誌/數據刪除的模糊響應。
沒有DR/BCP計劃或正在測試中。
沒有太平間和課程的封閉事件。
無限制地將數據傳輸到子處理器/國外而無需擔保。
PI泄漏的積極責任限制。

14）反模式

「紙質」DD，沒有PoC和techprovers。
不考慮風險/司法管轄區的通用支票清單。
沒有DPA/SLA/審計權和退出計劃的合同。
缺少提供商註冊和變更監控。
「Navechno」發行的訪問/令牌無需旋轉和重新認證。

15）相關維基文章

編譯和報告自動化

連續合規性監控（CCM）

法律保留和數據凍結

策略和過程生命周期

KYC/KYB和制裁篩查

數據存儲和刪除時間表

連續性計劃（BCP）和DRP

結果

面向風險的Due Diligence不是「打勾」，而是可管理的過程：正確的分類，對關鍵軸的深度檢查，明確的合同保證和持續的監控。因此，供應商成為您鏈條中可靠的一部分，並且您可以預見地滿足要求而不會阻礙業務。