SaaS에서 벤더 실사(Vendor Due Diligence)란 무엇인가요? 

SaaS 분야에서 공급업체 실사는 잠재적 SaaS 공급업체와 협력하기 전에 이들을 신중하게 검토하는 과정입니다. 여기에는 다음과 같은 다양한 영역을 살펴보는 것이 포함됩니다:

• 회사의 법적 지위
• 재무 안정성
• 제품 성능
• 민감한 고객 정보 처리

이러한 검증은 데이터 도난, 서비스 중단, 규정 준수 문제와 같은 유해한 사건으로부터 기업을 보호하기 위한 것입니다. 

다음은 공급업체 실사 과정의 단계들입니다: 

1. 공급업체의 재정 상황이 장기간 서비스 제공에 충분히 견고한지 고려하십시오. 
2. 시간 관리, 보안 정책, 재해 복구 계획을 포함한 운영 효율성 및 기술적 효과성에 중점을 두십시오. 
3. 잠재적인 법적 문제를 피하기 위해 법적 문제와 규정 준수 여부를 분석하십시오.

기존의 온프레미스 소프트웨어의 경우, 회사가 인프라를 소유합니다.

SaaS의 경우, 고객은 데이터, 애플리케이션 및 인프라 보안에 대한 통제권을 벤더에게 넘겨줍니다. 하지만, 자산 관리에 대한 벤더의 책임성을 보장하는 데 있어 변동성 드리프트 모니터링(VDD)이 유용합니다.

실사 과정은 일반적으로 네 가지 주요 영역에 중점을 둡니다:

• 보안 & 기술: 벤더의 데이터 보호, 암호화, 네트워크 보안, 접근 제어 및 사고 대응 계획을 평가합니다.
• 규정 준수 & 법률: GDPR, HIPAA, SOC 2, ISO 인증 등과 같은 규정 준수 여부를 검토하고, 계약에 적절한 책임 및 데이터 소유권 조항이 포함되었는지 확인합니다.
• 재무 & 운영: 공급업체’의 재정적 안정성(서비스 중단 또는 종료 방지를 위해), 인프라 가동 시간, 재해 복구 계획 및 서비스 수준 협약(SLA)을 평가합니다.
• 데이터 관리: 데이터가 어디에, 어떻게 저장되고 처리되며, 국경을 넘어 잠재적으로 전송되는지, 그리고 계약 종료 시 데이터 삭제 정책을 면밀히 검토합니다.

강력한 VDD 프로세스는 검증 가능한 증거에 크게 의존합니다. 요청되는 주요 문서는 다음과 같습니다:

다음과 같은 공급업체를 신중하게 평가하는 것이 좋습니다:

• 보안 문서(예: SOC 2 보고서, 침투 테스트 결과) 공유를 거부하는 경우, 이는 (평가에) 관련될 수 있습니다.
• 불충분하거나 부재한 재해 복구 (DR) 덜 바람직한 RTO/RPO 지표와 관련될 수 있는 계획.
• 데이터 소유권 또는 데이터 이동성(데이터 회수)에 대해 모호하거나 지나치게 제한적인 조건을 가지고 있는
• 활용하는 암호화 방식 손상될 수 있는 저장 및 전송 중인 데이터 모두에 대해.
• 재정적 불안정을 겪거나 다음을 준수하는 데 어려움을 겪은 이력이 있을 수 있습니다. SLA.

VDD는 여러 부서의 의견이 필요한 교차 기능적 노력입니다.

• 정보 보안/IT: 모니터링 기술적 통제, 아키텍처 및 네트워크 보안. 
• 법률/규정 준수: 계약, DPA 및 검토 규정 준수.
• 재무/조달: 비용, 재정적 안정성 및 계약 조건을 평가합니다.
• 사업 부서/사용자: 솔루션의 운영 적합성과 기능적 역량을 검증합니다.