Learning Platform
Глоссарий Troubleshooting
Урок 09.05 · 30 мин
Продвинутый
Vendor RiskDPASOC1SOC2SOC3CUECDORA RoICTPPExit StrategyThird-Party Risk

Введение

SwiftRide T+14M. Партнёр аудита Big 4 Daria запрашивает: «Проведите меня через ваше обращение с риском вендора для топ-5 CDE-поддерживающих вендоров. Покажите контракты, SOC 2-отчёты, записи DORA Register of Information, exit-стратегии и доказательства мониторинга за Q3 2026». Офис CDO формирует таблицу:

VendorDPA?SOC 1?SOC 2 Type 2?Запись в DORA RoI?Назначен CTPP?Exit-стратегия?
SnowflakeДа (подписан 2024-04)Нет (не в применимом периметре)Да (аудит 2025, датирован 2026-01)ДаНет (первоначальный список 18 Nov 2025)Черновик (60% готов)
AWSДа (подписан 2023-10)НетДа (аудит 2025)ДаДА — назначен 18 Nov 2025Конкретная (мульти-регион протестирован)
ConfluentДа (подписан 2024-06)НетДа (аудит 2025)ДаНетТолько outline (разрыв, finding T+12M)
DatabricksДа (подписан 2025-01)НетДа (последний аудит 2024-04; новый ожидается)ДаНетТолько outline (разрыв, finding T+12M)
OktaДа (подписан 2022)НетДаДа (в периметре как identity-сервис)НетЗрелая (legacy-провайдер; сценарии миграции задокументированы)

Daria проверяет SOC 2-отчёты… «Я вижу, Snowflake SOC 2 Type 2 покрывает период январь-декабрь 2025; аудит-фирма = Deloitte; opinion unqualified opinion; секция IV (CUEC — Complementary User Entity Controls) — там 14 контролей, ожидаемых от клиентов. Покажите, как SwiftRide реализует эти 14 CUEC. В частности — “Customer is responsible for monitoring authentication failures” — у вас есть дашборд Snowflake SecOps?». Офис CDO: «…мы открываем дашборд аккаунта Snowflake, но не систематически ревьюим». Daria: «Это SOC 2-finding на стороне SwiftRide; vendor SOC 2 не защищает вас, если CUEC не реализованы».

Этот диалог захватывает суть управления поставщиками: SOC-отчёты вендора — не plug-and-play assurance; они требуют активной реализации CUEC. M8.5 — полный жизненный цикл vendor risk для CDE-поддерживающих провайдеров.

Жизненный цикл vendor risk — 5 этапов

1. Identification → 2. Due Diligence → 3. Contracting → 4. Monitoring → 5. Exit

Этап 1: Identification.

  • Запрос на нового вендора от бизнес-команды (PR-шаблон в scaffolder Backstage).
  • Классификация вендора — касается ли CDE? Tier? Контекст регулятора?
  • Требуется: бизнес-кейс, рассмотрение альтернатив, оценка концентрации.
  • Результат: запись кандидата вендора в ServiceNow vendor master.

Этап 2: Due Diligence.

  • Опросник по безопасности (CAIQ или кастомный).
  • Опросник по privacy (соответствие GDPR / state privacy).
  • Проверка финансовой стабильности.
  • Ревью SOC 1 / SOC 2 / SOC 3-отчёта (если применимо).
  • Звонки с reference-клиентами.
  • Pen-тест или ревью раскрытия вендора.
  • Результат: due diligence-отчёт → подписание CDO + Risk Function + CISO + General Counsel + Procurement.

Этап 3: Contracting.

  • DPA (Data Processing Agreement) по GDPR Art. 28.
  • MSA / Service Agreement с контрактными минимумами DORA Arts. 28-30.
  • Раскрытие субподрядчиков (DORA Art. 30).
  • SLA, согласованные с внутренними RTO / RPO (ссылки M6 BIA).
  • Условия прекращения + контрактно обеспеченная exit-стратегия.
  • Результат: подписанный контракт в Workiva CLM + модуле контрактов ServiceNow.

Этап 4: Monitoring.

  • Ежегодное обновление SOC 2 Type 2.
  • Триггер обновления DPA (изменение субпроцессора, новая цель обработки, изменение регулирования).
  • Поддержка записи в DORA RoI.
  • Трекинг SLA производительности вендора.
  • Мониторинг цепочки субподрядчиков.
  • Ежеквартальная оценка concentration risk.
  • Результат: ежеквартальная vendor scorecard; обновлён реестр рисков.

Этап 5: Exit.

  • Exit-стратегия задокументирована + протестирована.
  • Процесс возврата / уничтожения данных по DPA.
  • Размотка цепочки субподрядчиков.
  • План миграции + период dual-running.
  • Результат: запись об offboarding вендора + финальный сертификат уничтожения данных.

DPA (Data Processing Agreement) — обязательные поля GDPR Art. 28

GDPR Art. 28(3) требует, чтобы DPA минимум содержал:

  1. Subject matter — какая обработка касается.
  2. Duration — начало + конец обработки.
  3. Nature и purpose — какие операции выполняются.
  4. Type personal data — категории.
  5. Categories of data subjects — кто затронут.
  6. Obligations + rights of controller — что делает controller + к чему обязуется processor.
  7. Processor only on documented instructions — Art. 28(3)(a).
  8. Confidentiality — Art. 28(3)(b).
  9. Security measures Art. 32 — TOMs.
  10. Sub-processor restrictions — Art. 28(3)(d) — предварительная конкретная/общая авторизация.
  11. Assistance с data subject rights — Art. 28(3)(e).
  12. Assistance с Art. 32-36 obligations — security + breach + DPIA.
  13. Deletion / return at end — Art. 28(3)(g).
  14. Audit + inspection rights — Art. 28(3)(h).

Шаблон DPA SwiftRide поддерживается General Counsel; ~32 страницы; вариативные секции:

  • Секция TOMs (Art. 32) — vendor-специфична (Snowflake security defaults vs Confluent SASL/SCRAM specifics).
  • Расписание sub-processor (annex с именованными субпроцессорами + локациями + ролями).
  • TIA (Transfer Impact Assessment) — для non-EU вендора; на основе CNIL Practical Guide Jan 2025.
  • SLA уведомления о breach — vendor-специфичный (стандарт SwiftRide: 24ч окно vendor → SwiftRide notification).

Антипаттерн: стандартный DPA вендора принят без ревью. Стандартные DPA от крупных вендоров обычно перекошены в пользу вендора; General Counsel SwiftRide настаивает на двусторонних переговорах для tier-1 CDE-затрагивающих вендоров.

SOC-отчёты — глубокое чтение

SOC-отчёты = определённые AICPA attestation-отчёты на контроли service organization. Три типа:

ТипАудиторияСтандартПериметрUse case
SOC 1Аудиторы user entitiesAT-C 320Контроли, релевантные ICFR пользователяPayroll / custody / transaction processing вендоры — finance-system релевантные
SOC 2Ограниченная (user entities + их аудиторы / регуляторы)AT-C 105 + 205Trust Services Criteria (security обязателен + availability / processing integrity / confidentiality / privacy опциональны)SaaS / data platform вендоры — операционное + privacy assurance
SOC 3Публичная общего пользованияAT-C 105 + 205Summary-версия SOC 2Маркетинг / press use; недостаточно детальный для аудита

Type 1 vs Type 2:

  • Type 1: design effectiveness на точку во времени. Полезно при онбординге вендора; недостаточно для ongoing assurance.
  • Type 2: design + operating effectiveness за период (обычно 12 месяцев). Требуется для ongoing-мониторинга вендора.

Trust Services Criteria SOC 2:

  • Security (Common Criteria) — обязательны для всех SOC 2-отчётов.
  • Availability — uptime + производительность.
  • Processing Integrity — точность + полнота + своевременность.
  • Confidentiality — защита конфиденциальной информации.
  • Privacy — сбор / использование / retention / раскрытие персональной информации по принципам.

Глубокое чтение SOC 2 — 4 секции:

  1. Section I — Management Assertion — заявление вендора о scope.
  2. Section II — Independent Auditor’s Report — opinion (unqualified / qualified / adverse / disclaimer); период даты.
  3. Section III — Service Organization Description — система + процессы + контроли.
  4. Section IV — CUEC (Complementary User Entity Controls) — контроли, ожидаемые от клиента для общего control framework функции.

Реализация CUEC — не подлежит обсуждению. Section IV обычно перечисляет 10-30 контролей, которые клиент должен реализовать. Vendor SOC 2 unqualified opinion предполагает, что CUEC реализованы. Ответственность SwiftRide:

  • Маппить CUEC-контроли на контроли SwiftRide (CTL-CDE-*).
  • Реализовывать + тестировать ежегодно.
  • Доказательства хранятся в пайплайне S3 параллельно основным CDE-контролям.
  • Квартальная аттестация включает статус реализации CUEC по вендору.

Примеры CUEC SwiftRide (Snowflake SOC 2 Type 2 — 14 CUEC):

CUEC IDОжидание SnowflakeРеализация SwiftRide
1.1Клиент мониторит authentication failuresSnowflake SecOps Looker-дашборд обновляется ежедневно; алерт > 50 провалов/час; ревью on-call
1.2Клиент принуждает MFA для privileged usersOkta MFA принуждена для ролей AccountAdmin + SecurityAdmin
2.1Клиент управляет ротацией ключей для key-pair authРотация ключей 90-дневный цикл; управляется Terraform; эмитит доказательства
2.2Клиент ревьюит access reviews ежеквартальноКвартальное ревью аттестовано; цикл аттестации M7.5 включает
3.1Клиент реализует masking policies для чувствительных данныхColumn masking policies Snowflake привязаны к тегам cde:sensitivity
… (ещё 9)

Антипаттерн: SOC 2-отчёт получен и забыт. Вендор присылает SOC 2 PDF ежегодно; SwiftRide подшивает в репозиторий документов; никто не извлекает список CUEC; первый audit walkthrough находит разрыв.

Исправление: процесс ревью SOC 2 — Risk Function ежегодно извлекает CUEC; маппит на контроли SwiftRide; разрывы приоритизированы; квартальная аттестация включает % покрытия.

DORA Register of Information — Arts. 28-44

DORA Art. 28 требует регистр ежегодно. Первая подача 30 апреля 2025 — выводы:

  • ESMA / EBA / EIOPA опубликовали общие технические спецификации; финансовые сущности отчитались о значительных усилиях при первой подаче.
  • ~30% первых подач имели проблемы с качеством данных по фидбэку ESA (разрывы идентификации ICT third-party, вариативность категоризации функций).
  • Подача 2026 (30 апреля 2026) — улучшенные шаблоны + автоматическая валидация.
  • Подача 2027 — ожидается полная операционная зрелость.

Поля RoI — полный инвентарь по шаблону ESA:

  • Идентификация сущности (LEI, дерево организации).
  • Идентификация ICT third-party провайдера (LEI, страна, родитель).
  • Характеристики контракта (начало, конец, периметр, критичность).
  • Категории функций (по таксономии RTS).
  • Получаемые ICT-сервисы (по таксономии RTS).
  • Поддержка критической или важной функции (да/нет по функции).
  • Цепочка субподрядчиков (дерево LEI).
  • Substitutability провайдера (доступность exit-стратегии).
  • Трансграничные потоки данных.
  • Маркеры concentration risk.

Процесс RoI SwiftRide (T+13M):

  1. CMDB → автоматический скрипт извлечения (см. M8.3) генерирует сырой экспорт RoI ежеквартально.
  2. Офис CDO + Risk Function + General Counsel ревьюит перед подачей.
  3. Записи vendor master перекрёстно сверяются по точности LEI / родителя / цепочки субпроцессоров.
  4. Анализ substitutability — зрелость exit-стратегии скорится; задокументированные разрывы отчитываются.
  5. Финальная подача в портал ESA ежегодно (следующая: 30 апреля 2027).
  6. Подача архивируется в S3 Object Lock на 7 лет.

CTPP (Critical Third-Party Provider) — 19 назначены 18 ноября 2025

DORA Art. 31 — назначение CTPP триггерится:

  • Скор критичности (на основе сервисов + концентрации + substitutability).
  • Усмотрение ESA.

18 ноября 2025 — первые 19 CTPPs назначены EBA / EIOPA / ESMA совместно:

  • Hyperscale cloud-провайдеры: AWS, GCP, Microsoft Azure.
  • Провайдеры дата-центров / colocation.
  • Технологические провайдеры специфичные для финансовых сервисов.

Импликации для назначенного CTPP:

  • Назначить юр. лицо EU (если non-EU origin).
  • Платить ежегодные надзорные сборы (пропорционально масштабу).
  • Принять inspection rights ESA.
  • Соответствовать CTPP-специфичным обязательствам (участие в TLPT, отчётность об инцидентах ESA).

Импликации для SwiftRide (финансовая сущность, использующая CTPP):

  • AWS назначен CTPP → дополнительный due diligence субподрядчика по Art. 30.
  • Накладные документации — AWS-специфичные маппинги контролей + exit-стратегии под большим scrutiny.
  • Периметр TLPT (threat-led penetration testing) может расшириться на AWS-зависимые сервисы.
  • Контрактные минимумы повышены по DORA Arts. 30-34.

Ответ SwiftRide T+14M:

  • Контрактное ревью AWS Q1 2027 — привести DPA + MSA в полное соответствие DORA Art. 30.
  • Exit-стратегия для AWS — мульти-регион тестирование + анализ feasibility альтернативного cloud-провайдера.
  • Concentration risk признан — AWS = основной cloud, GCP минимально (только Vertex AI), нет Azure; concentration HIGH; митигация = мульти-регион внутри AWS + протестированный DR.

Exit-стратегия — DORA Art. 28(3)(g) + GDPR Art. 28

Exit-стратегия = задокументированный + протестированный план миграции от вендора, если необходимо. Требуется:

  • DORA Art. 28(3)(g) для ICT third-party договорённостей.
  • GDPR Art. 28(3)(g) для возврата / уничтожения данных в конце контракта.

5 элементов зрелой exit-стратегии:

  1. Оценка lock-in субпроцессора / вендора.

    • Форматы данных портируемые vs проприетарные?
    • API стандартизованы vs кастомные?
    • Передаваемость навыков?

  2. План миграции — конкретные шаги.

    • Целевой альтернативный провайдер идентифицирован.
    • Подход к экспорту данных + формат.
    • Охват рефакторинга приложения.
    • Timeline + оценка ресурсов.
    • Оценка стоимости.

  3. Период dual-running.

    • Запуск обоих вендоров параллельно во время миграции.
    • Проверки сверки подтверждают паритет.
    • Критерии cutover задокументированы.

  4. Возврат / уничтожение данных.

    • По DPA — вендор возвращает или уничтожает данные в конце контракта.
    • Получен сертификат уничтожения.
    • Верификация на стороне SwiftRide (проверки бэкапов).

  5. Периодическое тестирование.

    • Ежегодное tabletop-упражнение, симулирующее триггер exit.
    • Ежеквартальное ревью свежести плана.
    • Lessons learned инкорпорированы.

Зрелость exit-стратегии SwiftRide T+13M:

VendorЗрелостьПоследний тестРазрыв
AWSКонкретнаяQ2 2026 (мульти-регион failover)Анализ мульти-cloud альтернативы в ожидании
SnowflakeЧерновик 60%Q1 2026 (экспорт протестирован)Охват рефакторинга приложения неясен
ConfluentOutlineНикогда не тестироваласьКонкретный план нужен Q4 2026 (разрыв, finding T+12M)
DatabricksOutlineНикогда не тестироваласьКонкретный план нужен Q4 2026 (разрыв, finding T+12M)
OktaЗрелаяQ3 2025 (полный сценарий миграции)Поддерживается

Готовность pre-IPO листинга — аудитор Big 4 ожидает зрелые exit-стратегии минимум для топ-3 вендоров. Deliverable Q4 2026.

OneTrust GRC + ServiceNow Vendor ManagementvOneTrust 2026 release + ServiceNow Yokohama2026-05

SwiftRide использует OneTrust GRC для управления DPA + privacy assessments (scope CCPA / GDPR / state laws); ServiceNow Vendor Management для workflows контрактов / SLA / мониторинга; интеграция через API ServiceNow. Оценка Q4 2026: консолидация в одного вендора (расширение OneTrust vs ServiceNow native) — решение в ожидании ревью pre-IPO.

Проверка знанийKnowledge check
Партнёр аудита Big 4 Daria ревьюит vendor governance SwiftRide; находит 4 issues: (1) exit-стратегии Confluent + Databricks только outline (никогда не тестировались); (2) Snowflake SOC 2 CUEC #1.1 (мониторинг auth failures) реализован, но непоследовательно — дашборд существует, но ежедневное ревью не задокументировано; (3) назначение AWS CTPP 18 ноября 2025 ещё не отражено в контрактных условиях; (4) подача DORA RoI 30 апреля 2026 — колонка substitutability для 5 вендоров помечена 'TBD'. Какие 4 корректирующих действия + timeline + импликации защищаемости при аудите?
ОтветAnswer
Детально 4 корректирующих действия для разрывов vendor governance SwiftRide: (1) Exit-стратегия Confluent + Databricks — конкретный план + первоначальный тест Q4 2026: (a) Confluent — анализ альтернативного провайдера (Redpanda + AWS MSK + self-hosted Kafka-кластеры); подход экспорта данных (Confluent Cloud → S3-архив parquet-формат + возможность replay через альтернативного провайдера); scope рефакторинга приложения (изменения Java/Python consumer SDK — оценено 6-8 инженер-недель); оценка стоимости (~$200k начальная миграция + $50k/месяц dual-running на 3 месяца); tabletop-тест Q4 2026, симулирующий сбой Confluent > 48ч, триггерящий exit; документация в модуле exit strategy Workiva CLM; совместное подписание CDO + Platform Engineering Lead + Vendor Manager Q1 2027. (b) Databricks — анализ альтернатив (Snowflake Spark + AWS EMR + self-managed Databricks Community Edition + Microsoft Fabric); экспорт данных через Delta Lake → конвертацию Iceberg + портируемость артефактов ML-моделей (MLflow → standalone); scope рефакторинга (Spark jobs портируемы; компоненты ML-платформы Databricks СПЕЦИФИЧНЫ — нетривиально); оценка стоимости (~$300k начальная + $80k/месяц dual-running); тест Q1 2027; тот же паттерн подписания. Импликация защищаемости при аудите: без конкретных протестированных exit-стратегий, соответствие DORA Art. 28(3)(g) под вопросом; supervisory finding вероятен; риск vendor management deficiency по PCAOB AS 2201; рейтинг готовности pre-IPO листинга падает до yellow. (2) Snowflake SOC 2 CUEC #1.1 monitor auth failures — формальная реализация Q4 2026: (a) Задокументированный workflow ежедневного ревью — runbook обновлён; Snowflake SecOps Looker-дашборд ревьюится on-call data steward ежедневно 09:00 UTC; лог ревью захвачен (timestamp + ревьюер + наблюдения + решения эскалации) в JSON-файле, эмитированном в S3 Object Lock 7 лет; порог алерта > 50 провалов/час эскалирует в Risk Function. (b) Квартальная аттестация включает статус реализации CUEC — подпись Business Owner Carlos подтверждает, что все 14 CUEC замаппированы + протестированы + доказаны. (c) Internal Audit выборка 5% логов ежедневного ревью ежеквартально для качества. (d) Маппинг обновлён в документе SOC 2-реестра; все 14 CUEC-контролей перекрёстно ссылаются на CTL-CDE-* ID; Workiva отслеживает. Импликация защищаемости при аудите: SOC 2 vendor opinion предполагает реализованные CUEC; разрыв = SOC 2-reliance скомпрометирован; потенциал control deficiency AS 1305. (3) Контрактное отражение назначения AWS CTPP: (a) Контрактное ревью Q1 2027 — перезаключение DPA + MSA с AWS для отражения CTPP-специфичных условий по DORA Art. 30; ожидаются двусторонние переговоры (AWS как CTPP имеет стандартизированный CTPP-специфичный addendum). (b) Контрактные минимумы DORA Art. 30 верифицированы: описание scope, локации обработки, раскрытие субподрядчиков, технические/организационные меры, audit rights, уведомление о security-инцидентах, права тестирования business continuity, положения exit-стратегии, применимое право/юрисдикция, indemnification. (c) Scope TLPT (threat-led penetration testing) проревьюен — цикл TLPT SwiftRide включает AWS-зависимые сервисы по порогам Art. 26-27. (d) Накладные документации — обновление каталога AWS-специфичных контролей; scorecards Backstage наследуют CTPP-флаг → дополнительная частота мониторинга. (e) Квартальный брифинг офиса CDO в Audit Committee покрывает статус AWS CTPP. Импликация защищаемости при аудите: назначение CTPP = повышенное scrutiny надзора; разрыв = supervisory finding вероятен; митигируется через своевременное контрактное отражение. (4) Колонка substitutability 'TBD' в DORA RoI для 5 вендоров: (a) Deliverable Q4 2026 — конкретная оценка substitutability по вендору на основе зрелости exit-стратегии; закодированная шкала ESA (скор substitutability 1-5). (b) Substitutability Confluent + Databricks = 2/5 (ограниченная альтернатива; сложная миграция) в ожидании завершения exit-стратегии Q4 2026. (c) Substitutability Snowflake = 3/5 (альтернативы существуют — BigQuery / Redshift; миграция нетривиальна; SwiftRide-специфичные зависимости платформы). (d) Substitutability AWS = 2/5 (CTPP + концентрация; анализ мульти-cloud альтернативы в ожидании). (e) Substitutability Okta = 4/5 (несколько альтернатив; миграция умеренная). (f) Задокументировано в поле substitutability_score CMDB; авто-вытягивается в годовой генерации RoI; совместное ревью CDO + Risk Function + General Counsel перед подачей. (g) Следующая подача 30 апреля 2027 — колонка substitutability полностью заполнена. Импликация защищаемости при аудите: TBD = data quality-флаг по фидбэку ESA; подача с TBD приемлема в первый год (2025), но в 2026 ожидается прогресс; ремедиация разрыва Q4 2026 → подача 30 апреля 2027. Свёртка timeline: Q4 2026 — exit-стратегии Confluent + Databricks + формализация Snowflake CUEC + скоринг substitutability DORA RoI + подготовка контрактного ревью AWS CTPP. Q1 2027 — исполнение контрактного ревью AWS CTPP + Q4 аттестация включает зрелость vendor governance. Цель pre-IPO T+15M: все 4 разрыва закрыты; обход Big 4 Q1 2027 находит vendor governance audit-defensible; ICFR opinion unqualified; рейтинг готовности pre-IPO листинга green. Стоимость: ~$800k всего (время инженеров + контрактное ревью + tooling + внешний консалтинг); оправдано против альтернативной стоимости (отложенный IPO на 6-12 месяцев × $50M ежемесячного burn = $300-600M tail risk).

Антипаттерны

”Большой вендор должен быть безопасным”

Паттерн: Snowflake / AWS / Databricks предполагаются безопасными по репутации; due diligence light-touch; SOC 2 подшит без маппинга CUEC.

Почему плохо: vendor SOC 2 защищает контроли вендора; не ваше приложение; CUEC на стороне SwiftRide важны.

Исправление: маппинг SOC 2 CUEC обязателен по вендору; ежегодное ревью; квартальная аттестация включает % покрытия.

Статический DPA

Паттерн: DPA подписан при онбординге; никогда не обновлялся; изменения субпроцессоров не отражены; новые цели обработки добавлены без поправки DPA.

Почему плохо: нарушение GDPR Art. 28; supervisory finding; ответственность processor смещена.

Исправление: триггеры обновления DPA — изменение субпроцессора вендора, новая цель обработки, изменение регулирования; CLM-процесс автоматизирует продление; квартальная scorecard свежести DPA.

Театр exit-стратегии

Паттерн: документ exit-стратегии существует; никогда не тестировался; написан без практического знания; “мы мигрируем за 6 месяцев” — на самом деле невозможно.

Почему плохо: DORA Art. 28(3)(g) требует тестируемого exit; театр = supervisory finding + реальная outage-экспозиция.

Исправление: ежегодное tabletop-упражнение; lessons learned инкорпорированы; квартальная проверка свежести плана; ротация ключевого персонала включает walkthrough exit-стратегии.

”TBD” застрял в RoI

Паттерн: подача DORA RoI 2025 имела TBD-записи; подача 2026 наследует те же TBD; “исправим в следующем году” — никогда не исправлено.

Почему плохо: фидбэк ESA явный по качеству данных 2025; 2026 — ожидается прогресс; наследование TBD = риск supervisory эскалации.

Исправление: поддержка RoI — ongoing-процесс, не ежегодная гонка; ежеквартальное ревью; совместная ответственность CDO + Risk Function.

Резюме

  • Жизненный цикл vendor risk — 5 этапов: identification → due diligence → contracting → monitoring → exit.
  • GDPR Art. 28 DPA — 14 обязательных полей; двусторонние переговоры для CDE-затрагивающих вендоров; TIA для non-EU вендоров по гайденсу CNIL Jan 2025.
  • SOC-отчёты: SOC 1 (ICFR-релевантный), SOC 2 (TSC — security обязательны + 4 опциональных), SOC 3 (публичное саммари); Type 1 (design POI) vs Type 2 (design + operating effectiveness 12мес).
  • CUEC (Section IV SOC 2) — 10-30 контролей, которые клиент должен реализовать; маппинг обязателен; % покрытия в квартальной аттестации.
  • DORA Register of Information (Arts. 28-44) — первая подача 30 апреля 2025; автоматическая CMDB-driven генерация; совместное подписание CDO + Risk Function + General Counsel.
  • Назначение CTPP 18 ноября 2025 — 19 CTPPs (AWS / GCP / Azure + другие); контрактные минимумы повышены по Art. 30; периметр TLPT расширяется.
  • Exit-стратегия — 5 элементов: оценка lock-in + план миграции + dual-running + возврат/уничтожение данных + периодическое тестирование; зрелая для топ-3 вендоров перед IPO-листингом.
  • SwiftRide T+14M: 4 разрыва остались — exit-стратегии Confluent/Databricks + формализация Snowflake CUEC + контрактное отражение AWS CTPP + скоринг substitutability RoI; deliverables Q4 2026.

В M8.6 разберём AI / ML-оверлей — обучение моделей на CDE + EU AI Act Art. 10 + Annex IV + маппинг model risk management.

Third-party Data Governance — GDPR DPA и vendor contracts Data Classification — sensitivity tiers для vendor contracts

Проверьте понимание

Результат: 0 из 0
Аналитический
Вопрос 1 из 4. Big 4 audit partner Daria identifies 4 SwiftRide vendor governance gaps T+14M: (1) Confluent + Databricks exit strategies outline only never tested; (2) Snowflake SOC 2 CUEC #1.1 monitor auth failures implemented inconsistent; (3) AWS CTPP designation 18 Nov 2025 not reflected contractually; (4) DORA RoI substitutability column TBD для 5 vendors. Detail 4 corrective actions + timeline + audit defensibility.

Закончили урок?

Отметьте его как пройденный, чтобы отслеживать свой прогресс

Войдите чтобы оценить урок
Вернуться к курсу
Прогресс модуля
0 из 8