Was ist Vendor Due Diligence im SaaS-Bereich? 

Im SaaS-Bereich ist die Vendor Due Diligence der Prozess der sorgfältigen Prüfung potenzieller SaaS-Anbieter, bevor eine Zusammenarbeit mit ihnen eingegangen wird. Dies umfasst die Betrachtung verschiedener Bereiche wie:

• Rechtlicher Status des Unternehmens
• finanzielle Stabilität
• Produktleistung
• Umgang mit sensiblen Kundeninformationen

Diese Überprüfungen sollen Unternehmen vor schädlichen Ereignissen wie Datendiebstahl, Dienstunterbrechungen und Compliance-Problemen schützen. 

Hier sind die Schritte des Vendor-Due-Diligence-Prozesses: 

1. Berücksichtigen Sie die finanzielle Situation des Anbieters, ob diese stark genug ist, um Dienstleistungen über einen längeren Zeitraum hinweg zu erbringen. 
2. Konzentrieren Sie sich auf deren operative Effizienz und technische Effektivität, einschließlich Zeiterfassung, Sicherheitsrichtlinien und Notfallwiederherstellungspläne. 
3. Analysieren Sie die rechtlichen Aspekte und die Einhaltung von Vorschriften, um potenzielle rechtliche Probleme zu vermeiden.

Im Falle traditioneller On-Premise-Software besitzt das Unternehmen die Infrastruktur.

Im Falle von SaaS gibt der Kunde die Kontrolle über Daten, Anwendungen und die Sicherheit der Infrastruktur an den Anbieter ab. Die Überwachung der Variationsdrift (VDD) erweist sich jedoch als nützlich, um die Rechenschaftspflicht des Anbieters bezüglich der Verwaltung der Assets sicherzustellen.

Der Due-Diligence-Prozess konzentriert sich typischerweise auf vier kritische Bereiche:

• Sicherheit & Technik: Bewertung des Datenschutzes, der Verschlüsselung, der Netzwerksicherheit, der Zugriffskontrollen und des Incident-Response-Plans des Anbieters.
• Compliance & Rechtliches: Überprüfung der Einhaltung von Vorschriften wie DSGVO, HIPAA, SOC 2, ISO-Zertifizierungen und Sicherstellung, dass Verträge angemessene Haftungs- und Datenbesitzklauseln enthalten.
• Finanzielles & Operatives: Bewertung der finanziellen Stabilität des Anbieters (um Dienstunterbrechungen oder -beendigungen zu vermeiden), der Verfügbarkeit der Infrastruktur, der Notfallwiederherstellungspläne und der Service-Level-Agreements (SLAs).
• Datenmanagement: Die genaue Untersuchung, wo und wie Daten gespeichert, verarbeitet und potenziell grenzüberschreitend übertragen werden, sowie die Richtlinie zur Datenlöschung bei Vertragsbeendigung.

Ein solider VDD-Prozess stützt sich stark auf nachweisbare Belege. Zu den angeforderten Schlüsselunterlagen gehören:

Es ist ratsam, Anbieter sorgfältig zu prüfen, die:

• Sicherheitsdokumentationen (z.B. SOC 2 Bericht, Penetrationstestergebnisse) nicht teilen wollen (was relevant sein könnte).
• einen unzureichenden oder fehlenden Notfallwiederherstellung (DR) Plan haben, der mit weniger wünschenswerten RTO/RPO-Metriken verbunden sein könnte.
• uneindeutige oder übermäßig restriktive Bedingungen bezüglich Datenhoheit oder Datenportabilität (der Rückgabe Ihrer Daten) haben.
• nutzen Verschlüsselungsmethoden für Daten, sowohl bei der Speicherung als auch während der Übertragung, die anfällig für Kompromittierungen sein könnten.
• können finanzielle Instabilität aufweisen oder haben in der Vergangenheit Schwierigkeiten bei der Einhaltung von SLAs.

VDD ist ein funktionsübergreifender Aufwand, der den Input mehrerer Abteilungen erfordert:

• Informationssicherheit/IT: Überwacht technische Kontrollen, Architektur und Netzwerksicherheit. 
• Recht/Compliance: Prüft Verträge, DPAs und die Einhaltung von Vorschriften erfordern kann.
• Finanzen/Beschaffung: Bewertet Kosten, finanzielle Stabilität und Vertragsbedingungen.
• Geschäftsbereich/Nutzer: Überprüft die operationale Eignung und die funktionalen Fähigkeiten der Lösung.