Kwestie prawne i zgodność

Czym jest Vendor Due Diligence w SaaS? 

Autor: Ioana Grigorescu, Content Manager

Sprawdzono przez: George Ploaie, Dyrektor Operacyjny (COO)

Czym jest Due Diligence dostawcy w SaaS

Czym jest Vendor Due Diligence w SaaS?

W SaaS, należyta staranność dostawcy to proces dokładnego badania potencjalnych dostawców SaaS przed nawiązaniem z nimi współpracy. Obejmuje to analizę różnych obszarów, takich jak:

  • status prawny firmy
  • stabilność finansowa
  • wydajność produktu
  • sposób postępowania z wrażliwymi informacjami klientów

Te weryfikacje mają na celu ochronę firm przed szkodliwymi zdarzeniami, takimi jak kradzież danych, przerwy w świadczeniu usług oraz kwestie zgodności. 

Jak wygląda proces należytej staranności dostawcy w SaaS?

Oto kroki procesu należytej staranności dostawcy: 

  1. Rozważ sytuację finansową dostawcy, czy jest wystarczająco stabilna, aby świadczyć usługi przez dłuższy okres czasu. 
  2. Skup się na ich efektywności operacyjnej i skuteczności technicznej, w tym terminowości, politykach bezpieczeństwa i planach odzyskiwania danych po awarii. 
  3. Przeanalizuj kwestie prawne i zgodność z regulacjami, aby uniknąć wszelkich potencjalnych problemów prawnych.
Praktyczna wskazówka

Formalna lista kontrolna należytej staranności SaaS może zapewnić strukturę dla tych zadań. W szczególności, zarządzanie ryzykiem dostawcy powinno być przeprowadzane regularnie, aby zidentyfikować wszelkie słabe punkty lub problemy z zgodnością związane z ochroną danych i ciągłością działania. 

Dlaczego VDD jest szczególnie ważne dla SaaS w porównaniu do tradycyjnego oprogramowania?

W przypadku tradycyjnego oprogramowania on-premise, firma jest właścicielem infrastruktury.

W przypadku SaaS klient zrzeka się kontroli nad danymi, aplikacjami i bezpieczeństwem infrastruktury na rzecz dostawcy. Jednak monitorowanie dryfu wariacji (VDD) przydaje się w zapewnieniu odpowiedzialności dostawcy w zakresie zarządzania aktywami.

Jakie są kluczowe obszary ryzyka oceniane podczas SaaS VDD?

Proces due diligence zazwyczaj koncentruje się na czterech kluczowych obszarach:

  • Bezpieczeństwo & Techniczne: Ocena ochrony danych dostawcy, szyfrowania, bezpieczeństwa sieci, kontroli dostępu oraz planu reagowania na incydenty.
  • Zgodność & Kwestie Prawne: Weryfikacja przestrzegania przepisów, takich jak RODO, HIPAA, SOC 2, certyfikaty ISO, oraz zapewnienie, że umowy zawierają odpowiednie klauzule dotyczące odpowiedzialności i własności danych.
  • Finansowe & Operacyjne: Ocena stabilności finansowej dostawcy (aby uniknąć zakłóceń lub zakończenia świadczenia usług), czasu pracy infrastruktury, planów odzyskiwania po awarii oraz umów o poziomie usług (SLA).
  • Zarządzanie danymi: Dokładne badanie, gdzie i jak dane są przechowywane, przetwarzane oraz potencjalnie przekazywane poza granice, a także polityki usuwania danych po zakończeniu umowy.

Jakie standardowe raporty lub certyfikaty powinien dostarczyć dostawca SaaS?

Solidny proces VDD w dużej mierze opiera się na weryfikowalnych dowodach. Wymagana kluczowa dokumentacja obejmuje:

 

Dokument/Certyfikat

Cel

Raport SOC 2

ocenia kontrole firmy dotyczące sposobu przetwarzania poufnych informacji. 

Certyfikat ISO 27001

stanowi dowód dla świata, że informacje dostawcy są dobrze chronione, ponieważ jest zgodny z zasadami i praktykami systemu zarządzania bezpieczeństwem informacji.

Podsumowania Testów Penetracyjnych

to dokumenty tworzone przez niezależne firmy zajmujące się bezpieczeństwem, które zawierają informacje o znalezionych lukach w zabezpieczeniach aplikacji SaaS oraz podjętych działaniach naprawczych. 

Aneks o Przetwarzaniu Danych (DPA)

jest dokumentem, który określa, w jaki sposób dostawca będzie przetwarzać dane osobowe zgodnie z obowiązującymi przepisami prawa, takimi jak RODO. 

Jakie są częste czerwone flagi w VDD SaaS?

Zaleca się uważne ocenianie dostawców, którzy:

  • decydują się nie udostępniać dokumentacji bezpieczeństwa (np. raportu SOC 2, wyników testów penetracyjnych) może być istotne.
  • mają niewystarczający lub brakujący Odzyskiwanie po awarii (DR) plan, co może wiązać się z mniej pożądanymi wskaźnikami RTO/RPO.
  • mają niejasne lub nadmiernie restrykcyjne warunki dotyczące własności danych lub przenoszenia danych (odzyskiwania danych).
  • wykorzystują metody szyfrowania dla danych, zarówno przechowywanych, jak i przesyłanych, które mogą być podatne na naruszenia.
  • może doświadczać niestabilności finansowej lub wykazywać historię trudności w przestrzeganiu SLA.

Kto jest odpowiedzialny za przeprowadzenie VDD w organizacji klienta?

VDD to międzyfunkcyjny wysiłek, który wymaga wkładu z kilku działów:

  • Bezpieczeństwo Informacji/IT: Monitoruje kontrole techniczne, architekturę i bezpieczeństwo sieci. 
  • Dział Prawny/Zgodność: Przegląda umowy, DPA i przestrzegania przepisów.
  • Finanse/Zaopatrzenie: Ocenia koszt, stabilność finansową i warunki umowy.
  • Jednostka biznesowa/Użytkownik: Weryfikuje dopasowanie operacyjne i możliwości funkcjonalne rozwiązania.

Wniosek

W SaaS, techniczna należyta staranność jest szczególnie ważna i istotna, ponieważ wiąże się z oceną możliwości technicznych i infrastruktury firmy. Obejmuje to ocenę stabilności bazowego oprogramowania i sprzętu, a także analizę wszelkich wdrożeń chmurowych lub rozwiązań infrastruktury jako usługi (IaaS). Dzięki tym informacjom firmy mogą podejmować świadome decyzje dotyczące najlepszego sposobu dostarczania swoich produktów i usług, zapewniając ich niezawodność i stabilność. 

Gotowy do rozpoczęcia?

Byliśmy na Twoim miejscu. Podziel się z nami swoimi globalnymi marzeniami, a my wykorzystamy nasze 18-letnie doświadczenie, aby stały się rzeczywistością.
Porozmawiaj z ekspertem
Obraz mozaikowy
pl_PLPolski
en_USEnglish es_ESEspañol pt_PTPortuguês pt_BRPortuguês do Brasil fr_FRFrançais it_ITItaliano de_DEDeutsch nl_NLNederlands ro_RORomână ukУкраїнська zh_CN简体中文 ja日本語 ko_KR한국어 pl_PLPolski