Посібник з комплаєнсу для партнерів
1) Призначення та область дії
Цей посібник визначає вимоги до комплаєнсу для партнерів/підрядників/афіліатів/провайдерів (включаючи платіжні та хостинг-платформи, студії контенту, антифрод-сервіси, кол-центри, маркетингові агентства).
Цілі:- Єдині стандарти безпеки, приватності, регуляторики та відповідальної комунікації.
- Зниження операційних/правових ризиків у ланцюжку поставок.
- «Audit-ready» - доказова база і взаємна перевірність.
2) Терміни
Партнер - будь-яка третя сторона, що обробляє дані або надає послуги.
Критичний партнер - впливає на безпеку, платежі, персональні дані або регуляторні процеси.
Субпроцесор - контрагент партнера, залучений в обробку даних.
3) Принципи («design tenets»)
Compliance-by-design: вимоги вбудовані в процеси і архітектуру.
Мінімізація даних і юрисдикційний облік (data residency).
Трассируемость і незмінюваність: логи, WORM-архів, хеш-квитанції.
Proportionality: глибина перевірок залежить від ризику.
«Одна версія істини»: підтверджені артефакти, зрозумілі SLA і RACI.
4) Ролі та RACI
(R — Responsible; A — Accountable; C — Consulted; I — Informed)
5) Класифікація партнерів по ризику
Критерії: тип даних (PII/платіжні), обсяг транзакцій, доступ до прод-систем, юрисдикції, роль в ланцюжку (процесор/контролер), історія інцидентів, сертифікати/аудити.
Рівні: Low/Medium/High/Critical → визначають глибину Due Diligence і частоту ревізій.
6) Онбординг і Due Diligence (DD)
Кроки:1. Анкета DD (власники, субпроцесори, локації даних, сертифікати, контролі).
2. Перевірка санкцій/репутації/бенефіціарів (screening).
3. Оцінка безпеки/приватності: SOC/ISO/PCI/пентест, політика ретенції, DSAR-процеси.
4. Технічна перевірка: SSO/OAuth, шифрування, секрет-менеджмент, логування.
5. Платіжні/AML-аспекти (якщо застосовується): chargeback-процеси, антифрод, ліміти.
6. Risk Report і рішення: допуск/умовно/відмова + САРА/компенсуючі заходи.
7. Договори: MSA, SLA/OLA, DPA, право аудиту, дзеркальна ретенція, повідомлення про інциденти, off-ramp.
7) Обов'язкові вимоги партнеру (мінімум)
7. 1 Безпека і приватність
Шифрування in transit/at rest, управління ключами (KMS/HSM).
RBAC/ABAC, MFA, журнал адмін-дій, re-cert доступів.
Логи і WORM-архів з хеш-підписом; синхронізований час.
Політики ретенції, Legal Hold, DSAR-процедури; маскування/токенізація PI.
Звіти вразливостей/пентести; політика керованих оновлень.
7. 2 Регуляторика та маркетинг
Заборона недостовірних/агресивних офферів, обов'язкові дисклеймери.
Дотримання правил відповідальної гри та вікової верифікації (якщо застосовується).
Гео-таргетинг відповідно до ліцензій та локальних обмежень.
Документовані згоди/відписки для комунікацій, зберігання пруфів.
7. 3 Платежі/AML/KYC (за роллю)
Процедури KYC/KYB, санкційний/РЕР-скринінг, моніторинг транзакцій.
Логи авторизацій/3DS, chargeback-процеси, ліміти ризику.
Узгоджені сценарії блокувань/розслідувань і повернень.
8) Технічна інтеграція
SSO/SAML/OIDC, SCIM-провіжінінг (по можливості).
Структуроване логування (JSON/OTel), трасування (trace_id).
Вебхукі - з підписом і ретраями; гарантія доставки/ідемпотентність.
API-ліміти, контракт-тести, backward compatibility, версіонування.
Ізольовані середовища, ключі і секрети - в секрет-сховищах.
9) Договірні зобов'язання
SLA/OLA: аптайм, TTR/MTTR, затримки, RPO/RTO для критичних сервісів.
Evidence & Audit: право аудиту, PBC-формати, терміни відповіді, доступ до Data Room.
Інциденти: повідомлення ≤ X годин, формат звіту і таймлайну, CAPA.
Ретенція та видалення: TTL, підтвердження знищення, дзеркальна ретенція у субпроцесорів.
Конфіденційність/НДА та обмеження на субпідряд.
10) Управління інцидентами (спільно)
Єдиний канал оповіщення і battle-rhythm апдейтів.
Негайний Legal Hold релевантних даних.
Спільний таймлайн (хто/що/коли), артефакти з хеш-квитанціями.
Повідомлення регуляторам/клієнтам - через узгоджений процес.
Пост-мортем, CAPA, re-audit через 30-90 днів.
11) Звітність та моніторинг
Щоквартальні звіти: сертифікати, інциденти, SLA, субпроцесори, зміни локацій даних.
Метрики privacy/DSAR, скарги клієнтів, маркетингові порушення.
Фінансові/платіжні: chargeback ratio, антифрод-ефективність, win-rate апеляцій.
12) Контроль і право аудиту
Планові ревізії за класами ризику; позапланові - щодо інцидентів/критичних змін.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Результати → CAPA, терміни і верифікація закриття (evidence в WORM).
13) Оффбординг партнера
План міграції/заміни, передача артефактів і ключів.
Підтвердження знищення даних у партнера і субпроцесорів.
Відгук доступів/секретів, закриття каналів інтеграції.
Фінальний аудит/звіт та архівування доказів.
14) Метрики та KRI
Onboarding Lead Time (за ризиковими класами).
Vendor Certificate Freshness (цель: 100% критичних партнерів).
SLA Compliance і Incident Rate по партнерах.
Privacy/DSAR SLA і скарги клієнтів.
Chargeback Ratio/Fraud Loss% (для платіжних ролей).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (неузгоджені зміни локацій/субпроцесорів).
15) Дашборди
Vendor Risk Heatmap: ризик-скор, сертифікати, інциденти, країни.
Compliance Coverage: наявність DPA/SLA, право аудиту, ретенція/Legal Hold.
SLA & Incidents: аптайм, TTR/MTTR, незакриті інциденти.
Privacy & DSAR: терміни, обсяги, скарги, тренди.
Payments/Fraud: chargeback ratio, причини, win-rate апеляцій.
CAPA & Re-audit: статуси, прострочення, повторні зауваження.
16) SOP (стандартні процедури)
SOP-1: Онбординг партнера
Анкета DD → скринінги → тех/приватність/безпека-оцінка → Risk Report → договори (MSA/DPA/SLA) → налаштування інтеграції та логування → пілот → go-live.
SOP-2: Зміни у партнера
Нотифікація про зміни (субпроцесори/локації/архітектура) → оцінка ризику → апдейт договорів/політик → тести → прод.
SOP-3: Інцидент
Єдиний канал → Legal Hold → спільний таймлайн/артефакти → повідомлення → CAPA → re-audit.
SOP-4: Періодична ревізія
Річний/квартальний цикл по ризику → PBC → вибірки ToD/ToE → звіт/САРА → публікація метрик.
SOP-5: Оффбординг
План міграції → експорт/передача → підтвердження знищення → відкликання доступів → фінальний звіт.
17) Шаблони артефактів
17. 1 Vendor DD Checklist (фрагмент)
Юр. дані/бенефіціари; санкційний скринінг
Сертифікати/аудити, політика безпеки/приватності
Локації даних/субпроцесори/ретенція
Інциденти за 24 міс, CAPA
Тих. інтеграція: SSO, логування, шифрування, вебхуки
17. 2 DPA/SLA - обов'язкові пункти
Обробка даних, цілі, правові підстави
Терміни повідомлення про інциденти, формат звітів
Право аудиту, PBC-формати, Data Room
TTL/видалення, Legal Hold, підтвердження знищення
Субпроцесори та порядок узгоджень
17. 3 Пакет доказів (evidence pack)
Логи доступу/адмін-дій (структуровані, хеш-квитанції)
Звіти вразливостей/пентестів/сканів
DSAR-реєстр/видалення/ретенція
SLA/інциденти/відновлення (RTO/RPO)
Підписані версії договорів/аддендумів
18) Антипатерни
Непрозорі субпроцесори/локації даних.
«Наскрізні» доступи без re-cert і журналів.
Ручні вивантаження без незмінюваності і хеш-підтверджень.
Маркетинг з недостовірними/забороненими обіцянками.
Відсутність підтверджень знищення даних при офбордингу.
Вічні waivers без термінів і компенсуючих заходів.
19) Модель зрілості (M0-M4)
M0 Ад-hoc: разові перевірки, немає реєстру ризиків по партнерах.
M1 Каталог: список партнерів, базові DD/договори.
M2 Керований: ризик-класи, SLA/DPA, дашборди, планові ревізії.
M3 Інтегрований: логування/evidence-шина, re-audit, CAPA-лінковка, «audit-ready».
M4 Continuous Assurance: моніторинг в реальному часі, рекомендаційні перевірки, автогенерація PBC/evidence-пакетів.
20) Пов'язані статті wiki
Due Diligence при виборі провайдерів
Ризики аутсорсингу та контроль підрядників
Зовнішні перевірки сторонніми аудиторами
Зберігання доказів та документації
Ведення журналів і Audit Trail
Плани усунення порушень (CAPA)
Повторні аудити та контроль виконання
Репозиторій політик і нормативів
Комунікація комплаєнс-рішень в командах
Підсумок
«Керівництво з комплаєнсу для партнерів» перетворює ланцюжок поставок в керовану екосистему: єдині вимоги, передбачувані перевірки, незмінні докази і прозорі домовленості. Це знижує ризики, прискорює інтеграції і робить співпрацю масштабованою і такою, що перевіряється.