O que é Diligência Prévia de Fornecedores em SaaS? 

Em SaaS, a diligência prévia de fornecedores é o processo de examinar cuidadosamente potenciais provedores de SaaS antes de colaborar com eles. Isso inclui analisar várias áreas, como:

• situação legal da empresa
• estabilidade financeira
• desempenho do produto
• tratamento de informações sensíveis do cliente

Essas verificações destinam-se a proteger as empresas contra eventos prejudiciais, como roubo de dados, interrupções de serviço e problemas de conformidade. 

Aqui estão as etapas do processo de diligência prévia de fornecedores: 

1. Considere a situação financeira do fornecedor, se é sólida o suficiente para fornecer serviços por um período prolongado. 
2. Concentre-se na sua eficiência operacional e eficácia técnica, incluindo controle de tempo, políticas de segurança e planos de recuperação de desastres. 
3. Analise as questões legais e a conformidade com as regulamentações para evitar quaisquer problemas jurídicos em potencial.

No caso de software tradicional, on-premise, a empresa possui a infraestrutura.

No caso de SaaS, o cliente abre mão do controle de dados, aplicativos e segurança da infraestrutura para o fornecedor. No entanto, o monitoramento de desvio de variação (VDD) é útil para garantir que haja responsabilidade por parte do fornecedor em relação à gestão dos ativos.

O processo de due diligence geralmente se concentra em quatro áreas críticas:

• Segurança & Técnica: Avaliando a proteção de dados, a criptografia, a segurança de rede, os controles de acesso e o plano de resposta a incidentes do fornecedor.
• Conformidade & Jurídico: Análise da adesão a regulamentações como GDPR, HIPAA, SOC 2, certificações ISO, e garantindo que os contratos incluam cláusulas apropriadas de responsabilidade e propriedade de dados.
• Financeiro & Operacional: Avaliação da estabilidade financeira do fornecedor (para evitar interrupção ou rescisão de serviço), tempo de atividade da infraestrutura, planos de recuperação de desastres e acordos de nível de serviço (SLAs).
• Gerenciamento de dados: Examinando onde e como os dados são armazenados, processados e potencialmente transferidos entre fronteiras, e a política para exclusão de dados após o término do contrato.

Um processo VDD robusto depende muito de evidências verificáveis. A documentação principal procurada inclui:

É aconselhável avaliar cuidadosamente os fornecedores que:

• decidem não compartilhar documentação de segurança (por exemplo, relatório SOC 2, resultados de teste de penetração) pode ser relevante.
• têm um plano insuficiente ou ausente Recuperação de Desastres (DR) plano que possa estar associado a métricas de RTO/RPO menos desejáveis.
• têm termos ambíguos ou excessivamente restritivos em relação à propriedade dos dados ou à portabilidade dos dados (recuperar seus dados).
• utilizam métodos de criptografia para dados, tanto quando armazenados quanto durante a transferência, que podem ser vulneráveis a comprometimento.
• pode enfrentar instabilidade financeira ou demonstrar um histórico de dificuldades em aderir a SLAs.

VDD é um esforço multifuncional que exige a contribuição de vários departamentos:

• Segurança da Informação/TI: Monitora controles técnicos, arquitetura e segurança de rede. 
• Jurídico/Conformidade: Revisa contratos, DPAs e aderência às regulamentações.
• Finanças/Compras: Avalia custo, estabilidade financeira e termos de contrato.
• Unidade de Negócios/Usuário: Verifica a adequação operacional e as capacidades funcionais da solução.