"SOC 2, ISO 27001, dan GDPR: Apa yang Setiap Satu Sebenarnya Merangkumi bagi Pembeli"

Q: Apakah perbezaan antara SOC 2 Jenis 1 dan Jenis 2?

Jenis 1 adalah pengesahan pada satu titik masa bahawa kawalan vendor *direka* dengan sesuai pada tarikh tertentu, pada dasarnya gambar sekilas. Jenis 2 adalah pengesahan tempoh pemerhatian (biasanya 6 hingga 12 bulan) bahawa kawalan *direka dan beroperasi dengan berkesan* dari masa ke masa. Jenis 2 adalah lalai perolehan enterprise; Jenis 1 hanya boleh diterima sebagai laporan jambatan untuk vendor dalam tahun pertama audit mereka.

Q: Adakah saya memerlukan ISO 27001 jika saya sudah mempunyai SOC 2?

Bagi kebanyakan pembeli mid-market AS, tidak. SOC 2 Jenis 2 merangkumi landasan praktikal yang sama untuk perolehan AS. ISO 27001 menjadi bermakna jika anda menjual kepada enterprise Eropah atau Asia Pasifik, beroperasi dalam industri antarabangsa terkawal, atau perlu menunjukkan sistem pengurusan yang diformalkan (ISMS) berbanding kawalan pada satu titik masa. Banyak vendor mendapatkan kedua-duanya untuk liputan pasaran, tetapi satu SOC 2 Jenis 2 yang kukuh biasanya mencukupi untuk postur dalaman pembeli AS sahaja.

Q: Adakah pematuhan GDPR diperlukan untuk pembeli AS sahaja?

GDPR terpakai di mana sahaja anda memproses data peribadi pemastautin EU, tanpa mengira di mana syarikat anda berpangkalan. Perniagaan AS sahaja tanpa pelanggan EU, tiada pekerja EU, dan tiada pelawat laman web EU yang dijejak mempunyai pendedahan yang terhad. Tetapi jika anda mempunyai mana-mana pelanggan EU, pengguna produk anda yang berpangkalan di EU, atau pekerja EU yang datanya berada dalam alat SaaS, GDPR terpakai, dan anda memerlukan DPA dengan setiap vendor yang menyentuh data tersebut. Semak dengan penasihat undang-undang tentang kes sempadan skop wilayah seperti pemasaran kepada pemastautin EU dari pelayan AS.

Q: Bagaimana saya mengesahkan SOC 2 vendor adalah sah?

Minta laporan penuh di bawah NDA, bukan sekadar surat pengesahan satu muka surat. Sahkan empat perkara: (1) juruaudit adalah firma CPA berlesen (semak senarai AICPA PCPS firma tersebut), (2) laporan adalah Jenis 2 dengan tempoh audit yang berakhir dalam 12 bulan kelepasan, (3) bahagian skop secara eksplisit menamakan produk dan infrastruktur yang anda beli, dan (4) anda membaca bahagian "Pengecualian" atau "Keputusan Ujian". Laporan dengan pelbagai pengecualian kawalan dan tiada naratif pemulihan adalah bendera merah walaupun tajuknya menyebut "tiada kelemahan material."

Q: Apa yang perlu saya tanya tentang kediaman data?

Tanya tiga soalan khusus: (1) Di rantau geografi mana data pelanggan disimpan semasa rehat, dan bolehkah kami menghadkan secara kontrak kepada rantau tertentu (contohnya EU sahaja, AS sahaja)? (2) Di manakah sandaran disimpan, dan adakah sandaran melintasi sempadan rantau? (3) Mekanisme pemindahan mana (Standard Contractual Clauses, keputusan kecukupan, Data Privacy Framework) yang mengawal sebarang aliran rentas sempadan, dan adakah ia dalam DPA? Vendor yang tidak dapat menjawab soalan-soalan ini secara bertulis tidak sepatutnya menyentuh data terkawal.

Q: Bagaimana jika vendor SaaS saya menggunakan sub-pemproses?

Setiap sub-pemproses pada dasarnya adalah vendor lain dalam rantai bekalan anda dengan akses kepada data anda. Wajibkan tiga perkara dalam DPA: (1) senarai awam terkini yang diselenggara tentang sub-pemproses dengan perkhidmatan yang disediakan oleh setiap satu, (2) notis awal (idealnya 30 hari ke atas) apabila sub-pemproses ditambah atau diubah, memberikan anda peluang untuk membantah, dan (3) kewajipan aliran turun: vendor mesti mengenakan terma perlindungan data yang sama kepada sub-pemproses yang mereka terima dari anda. Beri perhatian khusus kepada sub-pemproses AI atau ML, yang sering muncul hanya selepas produk menambah ciri AI.

Q: Berapa lama laporan SOC 2 adalah sah?

Tiada tamat tempoh formal, tetapi pembeli enterprise umumnya menganggap laporan yang lebih dari 12 bulan sebagai lapuk. Tempoh audit vendor sepatutnya berakhir dalam tahun lepas dan audit baharu sepatutnya sama ada sedang berjalan atau dijadualkan. Minta "surat jambatan" (juga dipanggil surat jurang) jika anda menilai antara akhir tempoh audit terakhir dan pengeluaran laporan seterusnya. Ia adalah surat pengurusan vendor yang mengesahkan tiada perubahan material kepada kawalan dalam masa antara.

Q: Apakah DPA dan mengapa ia lebih penting daripada "mematuhi GDPR"?

DPA adalah kontrak yang ditandatangani yang mengubah vendor dari "syarikat dengan polisi privasi" menjadi "pemproses data yang terikat secara undang-undang yang bertindak mengikut arahan anda." Ia mentakrifkan data mana yang mereka proses, untuk tujuan apa, dengan keselamatan apa, dengan sub-pemproses apa, di bawah mekanisme pemindahan apa, dengan masa notis pelanggaran apa, dan apa yang berlaku semasa penamatan. Tanpa DPA yang ditandatangani, "mematuhi GDPR" adalah bahasa pemasaran tanpa kuasa undang-undang, dan dalam audit pengawal, *anda* (pengawal) menanggung liabiliti, bukan vendor.

Pengarah perolehan itu mempunyai senarai semak. Ia mempunyai dua item pada baris pematuhan: "mematuhi SOC 2" dan "mematuhi GDPR." Setiap vendor yang mereka nilai menanda kedua-dua kotak. Pengarah itu berasa yakin. Kemudian pihak undang-undang menandai bahawa pematuhan GDPR vendor itu merujuk kepada polisi privasi yang lapuk, bukan Perjanjian Pemprosesan Data yang ditandatangani. Dan sehingga IT menunjukkan bahawa SOC 2 itu merangkumi skop yang mengecualikan integrasi yang mereka beli.

Masalahnya bukan ketidakjujuran. Masalahnya adalah bahawa "mematuhi SOC 2" dan "mematuhi GDPR" adalah frasa yang boleh tepat secara teknikal sambil menyembunyikan jurang yang ketara. Vendor boleh mempunyai pensijilan SOC 2 untuk produk teras mereka tetapi tidak untuk modul AI yang anda gunakan. Vendor boleh mematuhi GDPR dalam erti kata mereka telah menerbitkan polisi privasi tanpa mematuhi GDPR dalam erti kata mereka telah menandatangani DPA yang mengikat secara undang-undang dengan anda.

Ketiga-tiga kerangka ini adalah pensijilan dan undang-undang dari jenis yang berbeza. Ia tidak menggantikan satu sama lain. Ia tidak bertindih seperti yang diimplikasikan oleh kotak semak. Dan vendor kerap menekankan yang mereka miliki sambil menutup jurang dalam yang mereka tidak miliki.

Panduan ini menjelaskan apa yang setiap kerangka sebenarnya merangkumi dan cara menggunakan pengetahuan itu dalam perbincangan dengan vendor.

Fakta Utama: Landskap Pematuhan untuk Pembeli Mid-Market

SOC 2 Jenis 1 berbanding Jenis 2: Jenis 1 adalah gambar sekilas pada satu titik masa tentang reka bentuk kawalan; Jenis 2 mengaudit operasi kawalan sepanjang tetingkap pemerhatian 6 hingga 12 bulan. Jenis 2 adalah lalai perolehan enterprise; laporan Jenis 1 paling biasa dilihat pada vendor dalam tempoh 12 bulan dari audit pertama mereka.

Penggunaan global ISO 27001: Tinjauan ISO melaporkan kira-kira 71,549 sijil ISO/IEC 27001 yang sah di seluruh dunia dalam edisi terbaru, dengan UK, Jepun, dan India memimpin bilangan sijil. Penembusan di kalangan vendor SaaS AS kekal lebih rendah daripada SOC 2.

Preseden denda GDPR: Denda Meta sebanyak 1.2 bilion Euro pada Mei 2023 (DPC Ireland) untuk pemindahan data EU-AS yang menyalahi undang-undang kekal sebagai rekod. Amazon (746 juta Euro, 2021), Instagram (405 juta Euro, 2022), dan TikTok (345 juta Euro, 2023) semuanya telah melebihi sembilan angka. GDPR adalah satu-satunya daripada tiga kerangka yang mempunyai gigi kewangan langsung.

Permintaan pembeli: RFP industri terkawal (perkhidmatan kewangan, penjagaan kesihatan, kerajaan) menganggap SOC 2 Jenis 2 sebagai wajib; bahagian yang bermakna pembeli enterprise juga menuntut ISO 27001 bersamanya. DPA GDPR adalah keperluan asas untuk mana-mana vendor yang memproses data pemastautin EU.

Jurang notis pelanggaran: GDPR mewajibkan notis pengawal selia dalam 72 jam. SOC 2 dan ISO 27001 memerlukan proses tindak balas insiden tetapi tidak menetapkan jam notis pelanggan yang tetap. DPA adalah tempat anda merundingkan jadual itu.

Gambaran Keseluruhan Kerangka: Apa yang Sebenarnya Anda Bandingkan

Kerangka	Jenis	Apa Ia	Siapa yang Mengeluarkannya	Skop
SOC 2	Piawaian audit	Pengesahan kawalan pada satu titik masa	Juruaudit pihak ketiga (firma CPA)	Ditakrifkan oleh pernyataan skop vendor
ISO 27001	Piawaian pengurusan	Pensijilan sistem pengurusan keselamatan maklumat	Badan pensijilan (terakreditasi)	Ditakrifkan oleh skop ISMS
GDPR	Undang-undang	Keperluan undang-undang untuk memproses data peribadi EU	Peraturan EU (dikuatkuasakan oleh DPA)	Terpakai kepada semua data peribadi pemastautin EU

Perbezaan utama: SOC 2 dan ISO 27001 adalah pensijilan sukarela yang vendor peroleh melalui audit atau penilaian pihak ketiga. GDPR adalah keperluan undang-undang. Tidak kira sama ada vendor telah mendapatkan pensijilan: jika mereka memproses data peribadi EU, mereka tertakluk kepadanya.

Peta Liputan Pematuhan

Peta Liputan Pematuhan adalah model mental sisi pembeli yang menetapkan setiap kerangka kepada permukaan risiko khusus yang sebenarnya ditangani: SOC 2 merangkumi kawalan keselamatan operasi AS dan merupakan garis asas untuk perolehan Amerika Utara; ISO 27001 merangkumi postur pengurusan keselamatan maklumat antarabangsa dan memberi isyarat kematangan kepada pembeli Eropah dan Asia Pasifik; sementara GDPR (melalui DPA yang ditandatangani) merangkumi pemprosesan data peribadi EU dan merupakan satu-satunya kerangka yang merangkumi keperluan kediaman data, pemindahan yang sah, dan hak subjek data. Gunakan peta untuk mengenal pasti jurang: vendor dengan SOC 2 Jenis 2 tetapi tanpa DPA tidak dilindungi untuk data EU; vendor dengan ISO 27001 tetapi tanpa SOC 2 mungkin tertahan dalam semakan enterprise AS; vendor dengan DPA tetapi tanpa pengesahan keselamatan mempunyai dokumentasi undang-undang tanpa kawalan yang disahkan. Anda memerlukan kombinasi yang sepadan dengan aliran data anda, bukan yang vendor pasarkan.

SOC 2: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya SOC 2

SOC 2 (System and Organization Controls 2) adalah piawaian pengauditan yang dibangunkan oleh American Institute of CPAs (AICPA). Laporan SOC 2 dihasilkan oleh firma CPA bebas yang telah mengkaji semula kawalan vendor terhadap Kriteria Perkhidmatan Amanah.

Terdapat dua jenis laporan SOC 2:

Jenis I: Penilaian pada satu titik masa. Juruaudit mengesahkan bahawa kawalan vendor direka dengan sesuai pada tarikh tertentu. Ini adalah gambar sekilas. Ia memberitahu anda kawalan itu wujud pada hari itu.

Jenis II: Penilaian tempoh merangkumi 6 hingga 12 bulan. Juruaudit mengesahkan bahawa kawalan bukan sahaja direka dengan sesuai tetapi beroperasi dengan berkesan dari masa ke masa. Ini adalah piawaian yang perlu anda wajibkan.

Lima Kriteria Perkhidmatan Amanah

Laporan SOC 2 boleh merangkumi satu atau lebih kriteria berikut:

Kriteria	Apa yang Diliputi
Keselamatan (CC)	Kawalan akses, penyulitan, pengurusan kerentanan, tindak balas insiden
Ketersediaan (A)	Masa aktif sistem, pemantauan prestasi, pemulihan bencana
Integriti Pemprosesan (PI)	Kelengkapan dan ketepatan pemprosesan data
Kerahsiaan (C)	Perlindungan maklumat sulit mengikut komitmen vendor
Privasi (P)	Pengumpulan, penggunaan, pengekalan, dan pelupusan maklumat peribadi

Kebanyakan vendor hanya merangkumi Keselamatan dan Ketersediaan. Ini penting kerana kriteria Kerahsiaan dan Privasi adalah yang mengawal cara vendor mengendalikan data anda melampaui kawalan akses asas. Jika anda memasukkan data pelanggan sensitif, data kewangan, atau data HR ke dalam alat, tanya secara khusus sama ada kriteria Kerahsiaan dan Privasi termasuk dalam skop. Proses semakan keselamatan penuh merangkumi cara mentafsirkan bahagian skop SOC 2 dan apa yang perlu dilakukan apabila laporan mengandungi pengecualian.

Apa yang TIDAK Diliputi SOC 2

Integrasi pihak ketiga tertentu. Jika vendor menggunakan penyedia AI pihak ketiga, gudang data, atau alat analitik, komponen tersebut mungkin dikecualikan secara eksplisit dari skop SOC 2. Baca bahagian skop.
Penggunaan anda terhadap produk. SOC 2 mengaudit kawalan vendor, bukan cara anda mengkonfigurasi produk. Jika anda telah menetapkan kebenaran atau tetapan perkongsian yang lemah, itu berada di luar skop.
Postur hari ini. SOC 2 dari 14 bulan lalu mencerminkan keadaan vendor 14 bulan lalu. Perubahan kakitangan, perubahan infrastruktur, dan ciri produk baharu sejak itu tidak dilindungi.

Soalan yang Perlu Ditanya Berdasarkan SOC 2

Adakah laporan SOC 2 semasa anda Jenis I atau Jenis II?
Kriteria perkhidmatan amanah mana yang diliputi? Adakah ia merangkumi Kerahsiaan dan Privasi?
Apakah tempoh audit? Adakah laporan tahun semasa sedang dijalankan?
Bolehkah saya mengkaji bahagian skop laporan? Infrastruktur dan produk mana yang dikecualikan secara eksplisit?
Adakah terdapat sebarang pengecualian atau pendapat yang layak dalam laporan?
Sub-pemproses pihak ketiga mana yang termasuk dalam skop berbanding dikecualikan?

Bendera merah:

Laporan Jenis I yang dibentangkan sebagai setara dengan Jenis II
Laporan yang lebih dari 12 bulan tanpa audit semasa sedang dijalankan
Skop yang mengecualikan produk atau modul khusus yang anda beli
Enggan berkongsi laporan di bawah NDA

ISO 27001: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya ISO 27001

ISO 27001 adalah piawaian antarabangsa untuk Sistem Pengurusan Keselamatan Maklumat (ISMS), yang diterbitkan dan diselenggara oleh Pertubuhan Piawaian Antarabangsa (ISO). Pensijilan bermaksud vendor telah melaksanakan pendekatan berstruktur yang didokumenkan untuk mengurus risiko keselamatan maklumat, merangkumi polisi, proses, orang, dan teknologi.

Tidak seperti SOC 2 yang mengaudit kawalan khusus terhadap kriteria yang ditetapkan, ISO 27001 mengesahkan kewujudan dan operasi sebuah sistem pengurusan untuk keselamatan maklumat. Piawaian ini mempunyai dua komponen utama:

Klausa utama: Keperluan untuk ISMS (penilaian risiko, komitmen kepimpinan, perancangan, operasi, penilaian, penambahbaikan)
Kawalan Lampiran A: 93 kategori kawalan merangkumi keselamatan fizikal, pengurusan akses, kriptografi, hubungan pembekal, pengurusan insiden, dan banyak lagi

Apa yang TIDAK Diliputi ISO 27001

Privasi data. ISO 27001 adalah piawaian keselamatan, bukan piawaian privasi. Ia tidak menangani secara khusus hak subjek data, had pengekalan data, atau keperluan persetujuan untuk memproses data peribadi. Untuk privasi, anda memerlukan GDPR atau setaraf.
Hasil teknikal khusus. Pensijilan ISO 27001 bermaksud sistem pengurusan wujud. Ia tidak mengesahkan kawalan teknikal khusus dilaksanakan. Vendor boleh mendapat pensijilan ISO 27001 dengan kawalan teknikal yang agak lemah jika kawalan tersebut didokumenkan dan diurus dalam ISMS.
Seni bina produk. Skop ISMS mungkin sempit, merangkumi sistem IT korporat tetapi bukan infrastruktur produk. Semak sama ada skop merangkumi sistem khusus yang anda gunakan.

Soalan yang Perlu Ditanya Berdasarkan ISO 27001

Apakah skop pensijilan ISO 27001 anda? Adakah ia merangkumi persekitaran produk produksi?
Badan pensijilan mana yang mengeluarkan sijil dan bila?
Bilakah audit pengawasan seterusnya anda?
Adakah ISMS anda merangkumi kawalan Lampiran A yang berkaitan dengan kes penggunaan kami, khususnya pengurusan akses, kriptografi, dan hubungan pembekal?
Bagaimana anda mengurus risiko keselamatan maklumat pembekal untuk sub-pemproses pihak ketiga?

Hubungan ISO 27001 dan SOC 2: Banyak vendor mendapatkan kedua-duanya. ISO 27001 mempunyai pengiktirafan antarabangsa yang lebih kukuh; SOC 2 mempunyai penembusan pasaran AS yang lebih kukuh. Vendor dengan ISO 27001 tetapi tanpa SOC 2 mungkin sesuai bergantung pada geografi dan industri anda. Vendor dengan SOC 2 tetapi tanpa ISO 27001 adalah profil mid-market AS yang standard. Untuk alat berkuasa AI, tiada piawaian merangkumi sepenuhnya soalan pengendalian data tambahan tentang latihan model, itulah sebabnya menilai SaaS berkuasa AI menambah lapisan berasingan kepada semakan ini.

General Data Protection Regulation adalah undang-undang EU yang mengawal pengumpulan, pemprosesan, dan penyimpanan data peribadi pemastautin EU. Teks peraturan GDPR penuh diterbitkan di EUR-Lex dan terpakai kepada mana-mana organisasi yang memproses data peribadi EU, tanpa mengira di mana organisasi itu berpangkalan.

Bagi pembeli SaaS, kaitan GDPR datang dalam dua bentuk:

Anda adalah pengawal data. Anda memutuskan data peribadi mana yang dikumpulkan dan mengapa. Jika alat SaaS anda mengumpulkan atau memproses data peribadi pemastautin EU bagi pihak anda, anda memerlukan DPA dengan vendor.
Vendor adalah pemproses data. Mereka memproses data peribadi mengikut arahan anda. DPA mengawal terma di mana mereka memproses data tersebut.

DPA: Dokumen yang Sebenarnya Penting

"Mematuhi GDPR" tanpa DPA yang ditandatangani adalah tidak bermakna dari segi undang-undang. DPA adalah kontrak yang menetapkan:

Data peribadi mana yang vendor proses bagi pihak anda
Tujuan dan cara pemprosesan
Kewajipan vendor tentang keselamatan data, notis pelanggaran, dan pengurusan sub-pemproses
Mekanisme untuk pemindahan data rentas sempadan (Standard Contractual Clauses atau setara)
Hak subjek data dan cara vendor menyokongnya
Pemadaman dan pemulangan data semasa penamatan kontrak

Senarai Semak DPA (15 perkara):

Subjek data bukan EU. GDPR tidak melindungi data individu dari AS, Australia, atau bukan EU yang lain. Peraturan lain mungkin terpakai (CCPA untuk California, LGPD untuk Brazil, dan lain-lain), tetapi GDPR khusus merangkumi pemastautin EU. Panduan Lembaga Perlindungan Data Eropah menyediakan tafsiran berautoriti tentang skop wilayah untuk organisasi yang tidak pasti sama ada GDPR terpakai kepada aliran data khusus mereka.
Data yang tidak diperibadikan. Data yang benar-benar tidak diperibadikan (di mana pengenalan semula tidak mungkin) berada di luar skop GDPR. Data pseudonim (di mana pengenalan semula mungkin dengan kunci) masih dalam skop.
Data kenalan B2B. Dalam banyak bidang kuasa, maklumat kenalan perniagaan syarikat (bukan pengguna individu) berada di luar definisi data peribadi GDPR. Ini adalah perkara yang dipertikaikan dan berbeza mengikut bidang kuasa.

Bolehkah saya menerima salinan DPA standard anda sebelum menandatangani kontrak utama?
Adakah anda mempunyai senarai sub-pemproses terkini, dan bagaimana notis disediakan apabila sub-pemproses berubah?
Mekanisme mana yang anda gunakan untuk pemindahan data rentas sempadan (SCC, keputusan kecukupan)?
Apakah proses anda untuk menjawab permintaan hak subjek data (pemadaman, akses, kebolehpindahan)?
Apakah komitmen notis pelanggaran anda dan bagaimana ia dibandingkan dengan piawaian 72 jam GDPR?
Jika ciri AI termasuk dalam skop, adakah data pelanggan digunakan untuk latihan? Adakah terdapat pilihan untuk tidak terlibat, dan adakah ia ada dalam DPA?
Data peribadi mana yang diproses jika kami menggunakan hanya [modul produk tertentu]?

Bendera merah:

Vendor membentangkan polisi privasi mereka sebagai DPA
DPA merangkumi hak untuk menggunakan data pelanggan bagi latihan model tanpa pilihan untuk tidak terlibat
Senarai sub-pemproses tidak diselenggara atau lebih dari 6 bulan
Komitmen notis pelanggaran melebihi 72 jam
Tiada mekanisme dinyatakan untuk pemindahan rentas sempadan

Jadual Perbandingan Kerangka

Soalan	SOC 2 Menjawab	ISO 27001 Menjawab	GDPR Menjawab
Adakah vendor mempunyai kawalan keselamatan?	Ya (jika Jenis II, kriteria Keselamatan)	Ya (kerangka kawalan Lampiran A)	Tidak (keselamatan adalah keperluan, tidak diaudit)
Adakah data saya dikendalikan dengan kerahsiaan yang sewajarnya?	Sebahagian (jika kriteria Kerahsiaan dalam skop)	Sebahagian (kawalan Lampiran A)	Ya (DPA mengawal ini)
Adakah hak privasi saya dilindungi?	Sebahagian (jika kriteria Privasi dalam skop)	Tidak	Ya (hak subjek data)
Adakah ini terpakai kepada data peribadi EU?	Tidak (sukarela, neutral geografi)	Tidak (sukarela, neutral geografi)	Ya (wajib untuk data EU)
Adakah skop boleh disahkan?	Ya (dalam laporan)	Ya (skop sijil)	Ya (dalam DPA)
Adakah ia menangani notis pelanggaran?	Sebahagian (kawalan tindak balas insiden)	Sebahagian (pengurusan insiden)	Ya (notis 72 jam)

Cara Menggunakan Ini dalam Perbincangan Vendor

Jangan tanya: "Adakah anda mematuhi SOC 2 dan GDPR?"

Sebaliknya, tanya:

"Bolehkah saya melihat bahagian skop dan kriteria perkhidmatan amanah dalam laporan SOC 2 Jenis II semasa anda?"
"Adakah skop ISO 27001 anda merangkumi persekitaran produk produksi?"
"Bolehkah saya menerima DPA anda sebelum kami menandatangani? Sub-pemproses mana yang disenaraikan dan adakah ada yang merupakan penyedia AI?"

Soalan-soalan ini mendedahkan maklumat yang pematuhan palsu sembunyikan. Vendor dengan pematuhan tulen menjawabnya secara langsung. Vendor dengan pematuhan palsu menjawabnya dengan bahasa pemasaran. Setelah anda mengumpulkan maklumat ini, senarai semak usaha wajar vendor menunjukkan cara mengintegrasikan penemuan pematuhan ke dalam penilaian risiko lengkap sebelum mana-mana kontrak ditandatangani. Dan apabila tiba masa untuk merundingkan, bendera merah kontrak SaaS merangkumi klausa DPA dan liabiliti yang melindungi hak data anda selepas tanda tangan.

Cara Rework Mendekati Pematuhan, untuk Postur Sendiri dan untuk Menjejak Milik Anda

Rework menganggap pematuhan sebagai artifak yang didedahkan, bukan dakwaan pemasaran. Kami menerbitkan skop postur keselamatan kami di rework.com/pricing dan menyediakan pengesahan semasa, DPA, dan senarai sub-pemproses kepada bakal pelanggan di bawah NDA sebelum penandatanganan kontrak, bukan selepas. Data pelanggan tidak digunakan untuk melatih ciri AI, dan komitmen itu ditulis dalam DPA berbanding tertanam dalam polisi privasi. Bagi pembeli yang memproses data peribadi EU, kami menandatangani Standard Contractual Clauses sebagai mekanisme pemindahan dan berkomit untuk notis perubahan sub-pemproses.

Berasingan, Rework Work Ops (dari $6/pengguna/bulan) adalah alat yang banyak pelanggan mid-market kami gunakan untuk menjejak inventori pematuhan vendor mereka sendiri, iaitu daftar ringkas tarikh laporan SOC 2, tetingkap pembaharuan ISO 27001, versi DPA, senarai sub-pemproses, dan audit pengawasan seterusnya untuk setiap SaaS dalam timbunan mereka. Berbanding mengurusnya dalam hamparan yang bertaburan, ketua perolehan dan IT menggunakan papan Work Ops dengan tarikh semakan automatik supaya laporan SOC 2 yang semakin lama atau perubahan sub-pemproses muncul sebagai tugasan, bukan kejutan yang ditemui semasa pembaharuan seterusnya.

Soalan Lazim

Ketahui Lebih Lanjut

Semakan Keselamatan dan Pematuhan: Apa yang Sebenarnya Perlu Diperiksa oleh Pembeli Mid-Market: proses semakan lima lapisan yang dibolehkan oleh konteks kerangka ini
Senarai Semak Usaha Wajar Vendor Pra-Pembelian untuk Pembeli Mid-Market: di mana semakan pematuhan sesuai dalam kerangka usaha wajar yang lebih luas
Bendera Merah Kontrak SaaS: Klausa Auto-Renewal, Had Penggunaan, dan Penamatan yang Perlu Diberi Perhatian: terma kontrak yang mempengaruhi hak data anda selepas tanda tangan
Menilai SaaS Berkuasa AI: Apa yang Nyata, Apa yang Pemasaran: cara ciri AI memperluaskan soalan GDPR dan pengendalian data
Polisi tadbir urus AI untuk jabatan: polisi dalaman yang melengkapi keperluan pematuhan sisi vendor
Templat penilaian kesediaan AI: cara menilai kesediaan pengendalian data organisasi anda sendiri sebelum menggunakan SaaS AI

Rangka Kerja Pembelian SaaS untuk Pengendali Operasi

Gambaran Keseluruhan Kerangka: Apa yang Sebenarnya Anda Bandingkan

Peta Liputan Pematuhan

SOC 2: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya SOC 2

Lima Kriteria Perkhidmatan Amanah

Apa yang TIDAK Diliputi SOC 2

Soalan yang Perlu Ditanya Berdasarkan SOC 2

ISO 27001: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya ISO 27001

Apa yang TIDAK Diliputi ISO 27001

Soalan yang Perlu Ditanya Berdasarkan ISO 27001

DPA: Dokumen yang Sebenarnya Penting

Jadual Perbandingan Kerangka

Cara Menggunakan Ini dalam Perbincangan Vendor

Cara Rework Mendekati Pematuhan, untuk Postur Sendiri dan untuk Menjejak Milik Anda

Soalan Lazim

Ketahui Lebih Lanjut

On this page

Rangka Kerja Pembelian SaaS untuk Pengendali Operasi

SOC 2, ISO 27001, dan GDPR: Apa yang Setiap Satu Sebenarnya Merangkumi bagi Pembeli

Gambaran Keseluruhan Kerangka: Apa yang Sebenarnya Anda Bandingkan

Peta Liputan Pematuhan

SOC 2: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya SOC 2

Lima Kriteria Perkhidmatan Amanah

Apa yang TIDAK Diliputi SOC 2

Soalan yang Perlu Ditanya Berdasarkan SOC 2

ISO 27001: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya ISO 27001

Apa yang TIDAK Diliputi ISO 27001

Soalan yang Perlu Ditanya Berdasarkan ISO 27001

GDPR: Apa yang Diliputi dan Apa yang Tidak

Apa Sebenarnya GDPR

DPA: Dokumen yang Sebenarnya Penting

Apa yang TIDAK Diliputi GDPR

Soalan yang Perlu Ditanya Berdasarkan GDPR

Jadual Perbandingan Kerangka

Cara Menggunakan Ini dalam Perbincangan Vendor

Cara Rework Mendekati Pematuhan, untuk Postur Sendiri dan untuk Menjejak Milik Anda

Soalan Lazim

Ketahui Lebih Lanjut

On this page