第三方供應商風險和合作夥伴審計
1)為什麼和為誰
目標:減少通過外部供應商和合作夥伴出現的故障、泄漏和監管違規的可能性。
覆蓋範圍包括:PSP/支付網關,KUS/制裁/RER,antifrod,遊戲和工作室提供商,關聯網絡和跟蹤,雲/CDN/托管,BI/分析,重建工具/市場營銷SDK,呼叫中心以及供應商的子處理器。
2)風險類別(域名卡)
信息生成和隱私:PII/KYC/支付令牌泄漏,TOM薄弱,缺少WORM/審計。
合規性:GDPR/UK GDPR/ePrivacy,AML/KYC,PCI區域,司法管轄區的廣告/遊戲要求。
操作:可用性/SLA,單供應商依賴性(concentration), BCP/DR弱。
金融:供應商的可持續性,信貸風險,「chargeback沖擊」。
制裁/地緣政治:對進出口的限制,數據中心的位置,所有權結構中的發展/制裁。
聲譽和法律: 違反廣告/負責任的遊戲,IP權利.
技術:SDK/API漏洞,缺乏驗證和測試環境。
3)供應鏈映射
1.Inventory:所有供應商/合作夥伴/子處理器與所有者(業務所有者)的統一註冊表。
2.數據地圖:哪些數據/司法管轄區/卷通過誰;PII/財務/特殊類別的旗幟。
3.Criticality:按金錢/PII/藥房影響分類。
4)供應商的暴躁(標準示例)
5)風險篩選和計分
因素:安全(政策,認證),隱私(DPA/SCCs/DTIA),合規性(AML/PCI/ISO),操作可持續性(SLA/BCP/DR),財務(審計/報告),管轄權/制裁,事件歷史,技術成熟(SDLC/DevSecOps)。
得分(示例):每個因素為0-5 →加權總數(W)→區域:綠色/黃色/紅色。
- 綠色:標準合同。
- 琥珀色:對Go-Live的控制/重制。
- 紅色:失效或飛行員使用多余的措施(segmentation,throttling,read-only,escrow,降低限制)。
6)盡職調查(入口處需要什麼)
工件/控制(1-2級的最低限度):- 安全/隱私政策,RoPA,子處理器註冊表。
- 審核報告/認證(ISO 27001/SOC 2 type II/PCI,如果適用)、最新五重測試。
- BCP/DR和測試結果,RPO/RTO。
- 事件程序(72小時通知),12至24個月的事件日誌。
- DPA/跨境機制(SCCs/IDTA)+DTIA,數據/密鑰本地化。
- 集成安全性:mTLS/OIDC,簽名網絡手冊,密鑰輪換,allow-list IP。
- 訪問/導出日誌、WORM副本、hash鏈。
- 重整和刪除政策,確認在離岸時銷毀後備箱。
- Finstability(公開報告/參考),所有權結構(制裁/RER檢查)。
Tier 2-3的輕量級問卷:sSIG/CAIQ級別(20-60個問題)。
7)合同要求(關鍵項目)
SLA/SLO:藥房(同上,第99頁。9%),P95潛伏期,事件響應時間,服務信用。
Security/Privacy addendum:加密at rest/in transit、密鑰/地理、日誌、掩碼、禁止二次數據使用。
DPA+子處理器:通知鏈擴展的職責;異議/審計權。
事件和通知:通知窗口≤ 72小時;訪問記錄/文物;聯合戰爭室。
BCP/DR:每年N次強制性測試,RPO/RTO。
Pen-test/Audit權限:每年至少一次(遠程/站點),訪問報告。
更改控制:主要更改通知(SDK/API/體系結構/地理)。
Termination&Exit:導出數據(格式),刪除/退回,escrow用於關鍵集成,支持遷移到X天。
Liability/Indemnity: cap/cublimits, IP保修,對SLA違規行為/泄漏的處罰。
8)登船→監視→離開(生命周期)
8.1 Onboarding
1.商業案例和所有者→ tiring →問卷/文物。
2.Risk review (Security/Privacy/Compliance/Legal/Finance).
3.控制到Go-Live:分段(VPC/tenant),負載/限制,掩蔽/標記,功能橫幅,測試沙盒。
4.合同/整合→飛行員→ Go/No-Go。
8.2 Continuous Monitoring
技術咨詢:藥房,錯誤,潛伏期,風險預算。
安全性:SIEM Alertes(不帶有「目標」的異常出口/訪問),供應商報告,SDK漏洞。
隱私/合規性:子處理器,位置,還原的變化;DSAR兼容性。
財務:轉換為KPI/refund/chargeback,SLA罰款。
1-2級季度回顧和年度re-due-diligence。
8.3 Offboarding
撤消密鑰/訪問,銷毀/退回數據和備份,行為,關閉字幕,更新註冊表和數據地圖。
9)合作夥伴審核程序
9.1計劃和領域
重點:訪問管理、加密/密鑰、日誌、事件、BCP/DR、DSAR進程、子處理器。
9.2種方法
訪談,文件/日誌審查,抽查,技術測試(api-rate-limit/mTLS/簽名),tabletop教學。
9.3報告和CAPA
發現分類(Critical/High/Medium/Low),重整時間,關閉控制和重新檢查。
10)供應商發生的事件: 劇本
1.產品:供應商信號/我們的監控/社區。
2.War-room: owners + Security + DPO + Legal + Product.
3.容納:流量限制/SDK/密鑰關閉,時間限制/金絲雀池。
4.Forenzika:呼叫日誌,webhook簽名,WORM確認,受影響的記錄範圍。
5.通知:監管機構/用戶/銀行(如果需要),聯合文本。
6.CAPA:虛構,時限,績效檢查;審查評分和合同條款。
11) RACI(簡稱)
12)度量(KPI/KRI)
Coverage:註冊表中活躍供應商的百分比,最新評級≥ 100%。
評估TTM: 1級盡職調查時間中位數≤ 15個工作日。
Remediation SLA:關鍵發現關閉≤ 30天(≥ 95%)。
事件通知:72小時至100%窗口中的通知比例。
DPA/SCCs/DTIA Coverage:Tier 1-2-100%相關。
概括風險:每1個PSP/提供商的流量/收入份額 ≤ X%(閾值)。
BCP/DR Evidence:12個月內確認測試的Tier 1%-100%。
出口記錄:100%的出口簽名和點燃。
13)模板和片段
13.1迷你問卷(Tier 1-2,摘錄)
認證/審計(ISO/SOC2/PCI),到期日期。
數據體系結構:地理,子處理器,密鑰/KMS,加密。
24個月內的事件(類型/日期/措施)。
訪問和日誌(RBAC/ABAC,斷玻璃,JIT,WORM)。
BCP/DR(測試日期,RPO/RTO)。
DSAR/重建,RoPA,CMP/SDK。
API技術控制: mTLS/OIDC, webhook簽名,鍵輪換,rate-limit.
13.2個SLA(片段)
13.3安全和隱私附加條件(摘錄)
"禁止二次使用數據;嚴格按需要到知道的方式進行;只出口到經批準的登記冊"
"帶有哈希簽名的不可更改期刊(WORM);每年按需審計一次"
「替換子處理器時,通知≥ 30天,反對權,替代計劃。」
"DTIA在適當司法管轄區以外的任何跨境轉移;鑰匙-在EC/UK(按安排)中"
14)支票單
在與供應商的Go-Live之前
- Owner已指定,射程已定義
- 已收到並驗證問卷/文物
- DPA/SLA/編輯簽名,子處理器聲明
- 分段/限制/掩碼包括在內,密鑰是分開的
- 事件測試沙箱/藥丸通過
- 退出/遷移計劃和escrow已完成
季度(Tier 1-2)
- 監視SLA/事件/SDK漏洞
- 更新證書/報告,子處理器註冊表
- DR/BCP測試已確認
- Fin篩查(可持續性)、制裁檢查
- 重新審視集中風險和替代品
Offboarding
- 鑰匙/訪問被召回
- 數據導出完成,刪除確認/備份
- 關閉行為,更新了Data Mar/Registries
15)示範情景和措施
A) SDK營銷中的漏洞
立即關閉,PII收集塊,必要時通知DPO/監管機構,供應商處的CAPA,請退貨。
B) PSP通過SLA降解
將流量自動路由到備用PSP,降低限制,激活服務信貸,修訂合同/退出計劃。
C) KYC提供商泄漏
集成隔離、令牌重印、受影響的記錄映射、通知、手動KYC高風險、供應商審核、最終更換。
16) TPRM實施路線圖
1-2周:供應商庫存,數據地圖,暴風雨,基本問卷和註冊表。
第3至第4周:SLA/DPA/補充模板,boarding/monitoring/離岸流程,與SIEM/CMDB/IDP集成。
第2個月:Tier 1-2飛行員,啟動季度審查,自動化證書/截止日期檢查。
月3+:縮放,計分/dashbords,BCP/DR壓力測試,集中風險優化和其他途徑。
TL;DR
強大TPRM=完整的供應商地圖→ tiring和評分→硬合同(SLA/DPA/BCP/DTIA)→細分和安全集成→持續監控和審計→快速退出/重整。這保護了資金、數據和許可證-即使在合作夥伴崩潰的情況下也能保持業務的可持續性。