Due Diligence при виборі провайдерів

1) Навіщо потрібен Due Diligence провайдерів

• Ідентифікувати властивий ризик по продукту/країні/даним.
• Перевірити комплаєнс і безпеку до укладення договору.
• Зафіксувати SLA/SLO і права аудиту на етапі контракту.
• Налаштувати моніторинг і план виходу (offboarding) зі збереженням цілісності даних.

2) Коли проводиться і що охоплює

Моменти: попередній вибір, короткий список, перед контрактом, при значущих змінах, щорічний перегляд.
Охоплення: юридичний статус, фінансова стійкість, безпека, приватність, техзрілість, експлуатація/підтримка, комплаєнс (GDPR/PCI/AML/SOC 2 та ін.), географія та санкційні ризики, ESG/етика, субпідрядники.

3) Ролі та RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Карта критеріїв оцінки (що перевіряємо)

4. 1 Правовий та корпоративний профіль

Реєстрація, бенефіціари (KYB), судові спори, санкційні списки.
Ліцензії/сертифікати для регульованих послуг.

4. 2 Фінанси та стійкість

Аудована звітність, боргове навантаження, ключові інвестори/банки.
Залежність від одного клієнта/регіону, план безперервності (BCP).

4. 3 Безпека і приватність

ISMS (політики, RACI), результати зовнішніх тестів, управління вразливостями.
Шифрування At Rest/In Transit, KMS/HSM, управління секретами.
DLP/EDRM, журналювання, Legal Hold, ретенція і видалення.
Інцидент-менеджмент: SLA повідомлення, плейбуки, пост-мортеми.

4. 4 Відповідність та сертифікації

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (терміни і обсяг).
GDPR/локальні норми: роли (controller/processor), DPA, SCC/BCR, DPIA.
AML/санкційний контур (якщо застосовується).

4. 5 Технічна зрілість та інтеграції

Архітектура (багатотенантність, ізоляція, SLO, DR/HA, RTO/RPO).
API/SDK, версіонування, rate limits, observability (логи/метрики/трейси).
Управління змінами, релізи (blue-green/canary), зворотна сумісність.

4. 6 Операції та підтримка

24 × 7/Follow-the-sun, час реакції/відновлення, онколли.
Процедури онбордингу/оффбордингу, експорт даних без штрафів.

4. 7 Субпроцесори і ланцюжок поставок

Перелік субпідрядників, юрисдикції, їх контролі та повідомлення про зміни.

4. 8 Етичність/ESG

Політики проти корупції, кодекс поведінки, трудові практики, звітність.

5) Процес Due Diligence (SOP)

1. Ініціація: картка потреби (цілі, дані, юрисдикції, критичність).
2. Кваліфікація: коротка анкета (pre-screen) + санкційний/ліцензійний чек.
3. Глибока оцінка: опитувальник, артефакти (політики, звіти, сертифікати), інтерв'ю.
4. Техперевірка: security-огляд, демо оточення, читання логів/метрик, PoC.
5. Скоринг і ризики: притаманний ризик → контрольний профіль → залишковий ризик.
6. Ремедіація: умови/виправлення до контракту (gap-лист з дедлайнами).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Онбординг: доступи/SSO, каталоги даних, інтеграції, план моніторингу.
9. Безперервний моніторинг: щорічний перегляд/тригери (інцидент, зміна субпроцесора).
10. Оффбординг: експорт, видалення/анонімізація, відкликання доступів, підтвердження знищення.

6) Анкета провайдера (ядро питань)

Юр. особа, бенефіціари, санкційні перевірки, спори за 3 роки.
Сертифікації (SOC 2 тип/період, ISO, PCI), останні звіти/scope.
Політики безпеки, інвентар даних, класифікація, DLP/EDRM.
Технічна ізоляція: tenant-isolation, мережеві політики, шифрування, ключі.
Логи і аудит: зберігання, доступ, WORM/immutability, SIEM/SOAR.
Інциденти за 24 міс: типи, вплив, уроки.
Ретенція/видалення/Legal Hold/DSAR-потік.
Субпроцесори: список, країни, функції, договірні гарантії.
DR/BCP: RTO/RPO, результати останніх тестів.
Підтримка/SLA: часи реакції/рішення, ескалації, кредит-схема.
Exit-plan: експорт даних, формати, вартість.

7) Скоринг-модель (приклад)

Осі: Право/Фінанси/Безпека/Приватність/Техніка/Операції/Комплаенс/Ланцюжок/ESG.
Бали 1-5 по кожній осі; ваги по критичності послуги і типу даних.

• 'RR = Σ (вага _ i × бал _ i)'→ категорії: Low / Medium / High / Critical.

High/Critical: обов'язкова ремедіація до контракту, посилені умови SLA і моніторинг.
Low/Medium: стандартні вимоги + річний перегляд.

8) Обов'язкові положення договору (must-have)

DPA: ролі (controller/processor), мета, категорії даних, ретенція і видалення, Legal Hold, DSAR сприяння.
SCC/BCR для транскордонних передач (якщо застосовується).
Security Appendix: шифрування, логи, вразливості/патчинг, пентести, вразливості розкриття.
SLA/SLO: час реакції/усунення (sev-рівні), кредити/штрафи, доступність, RTO/RPO.
Audit Rights: право на аудит/опитувальник/докази; повідомлення про зміни контролів/субпроцесорів.
Breach Notification: терміни повідомлення (наприклад, ≤ 24-72 год), формат, співпраця в розслідуванні.
Subprocessor Clause: список, зміна за повідомленням/погодженням, відповідальність.
Exit & Data Return/Deletion: формат експорту, терміни, підтвердження знищення, підтримка міграції.
Liability/Indemnity: ліміти/виключення (витік PI, порушення ліцензій, штрафи регуляторів).
IP/License: права на розробки/конфігурації/дані/метадані.

9) Моніторинг і тригери перегляду

Закінчення/оновлення сертифікатів (SOC/ISO/PCI), зміни звітного статусу.
Зміна субпроцесорів/локацій зберігання даних/юрисдикцій.
Інциденти безпеки/істотні перебої SLA.
Злиття/поглинання, погіршення фінансових показників.
Релізи, що зачіпають ізоляцію/шифрування/доступ.
Регуляторні запити, Findings аудитів.

10) Метрики та дашборди Vendor Risk Mgmt

Coverage DD: % критичних провайдерів, що пройшли повноцінний DD.
Time-to-Onboard: медіана від заявки до контракту (за категоріями ризику).
Open Gaps: активні ремедіації по провайдерам (терміни/власники).
SLA Breach Rate: частка порушень SLA за часом/доступністю.
Incident Rate: інциденти/12 міс по провайдерам і серйозності.
Audit Evidence Readiness: наявність актуальних звітів/сертифікатів.
Subprocessor Drift: зміни без повідомлення (мета - 0).

11) Категоризація та рівні перевірки

12) Чек-листи

Запуск DD

• Картка потреби і ризик-клас послуги.
• Pre-screen: санкції, ліцензії, базовий профіль.
• Опитувальник + артефакти (політики, звіти, сертифікати).
• Security/Privacy review + PoC при інтеграціях.
• Gap-лист з дедлайнами і власниками.
• Контракт: DPA/SLA/audit rights/liability/exit.
• План онбордингу та моніторингу (метрики, алерти).

Щорічний перегляд

• Оновлені сертифікати та звіти.
• Перевірка субпроцесорів/локацій/юрисдикцій.
• Статус ремедіацій, нові ризики/інциденти.
• Тести DR/BCP і результати.
• Dry-run аудиту: збір evidence «по кнопці».

13) Червоні прапори (red flags)

Відмова надати SOC/ISO/PCI або істотні розділи звітів.
Нечіткі відповіді по шифруванню/логам/видаленню даних.
Немає планів DR/BCP або вони не тестуються.
Закриті інциденти без пост-мортема і уроків.
Необмежена передача даних субпроцесорам/за кордон без гарантій.
Агресивні обмеження відповідальності за витік PI.

14) Антипатерни

«Паперовий» DD без PoC і техперевірки.
Універсальний чек-лист без урахування ризику/юрисдикцій.
Договір без DPA/SLA/права аудиту та exit-плану.
Відсутність реєстру провайдерів та моніторингу змін.
«Навічно» видані доступи/токени без ротації та ре-атестацій.

15) Пов'язані статті wiki

Автоматизація комплаєнсу та звітності

Безперервний моніторинг відповідності (CCM)

Legal Hold і заморожування даних

Життєвий цикл політик і процедур

KYC/KYB і санкційний скринінг

Графіки зберігання та видалення даних

План безперервності (BCP) і DRP

Підсумок

Ризик-орієнтований Due Diligence - це не «галочка», а керований процес: коректна категоризація, глибока перевірка за ключовими осями, чіткі договірні гарантії та безперервний моніторинг. Так постачальники стають надійною частиною вашого ланцюжка, а ви - передбачувано відповідаєте вимогам, не гальмуючи бізнес.