ამ კვირაში გამოქვეყნებული ანონიმური Substack პოსტი compliance startup Delve-ს ადანაშაულებს ასობით მომხმარებლის "მცდარად" დარწმუნებაში, თითქოს ისინი აკმაყოფილებდნენ კონფიდენციალურობისა და უსაფრთხოების რეგულაციებს. ამან შესაძლოა აღნიშნული კლიენტები "HIPAA-ს ფარგლებში სისხლისსამართლებრივი პასუხისმგებლობისა და GDPR-ის მიხედვით უზარმაზარი ჯარიმების" საფრთხის წინაშე დააყენოს.
Delve არის Y Combinator-ის მიერ მხარდაჭერილი startup, რომელმაც გასულ წელს 300 მილიონი დოლარის შეფასებით 32 მილიონი დოლარის Series A რაუნდის მოზიდვა დააანონსა (რაუნდს ლიდერობდა Insight Partners). პარასკევს, startup-მა საკუთარ ბლოგზე ბრალდებების უარყოფა სცადა და Substack-ის პოსტს უწოდა "შემცდომაში შემყვანი", რომელიც "მთელ რიგ არაზუსტ მტკიცებულებებს შეიცავს".
Substack-ის პოსტის ავტორად მითითებულია ფსევდონიმი DeepDelver, რომელიც თავის თავს Delve-ის (ამჟამად ყოფილი) კლიენტი კომპანიის თანამშრომლად ასახელებს.
DeepDelver-ის თქმით, დეკემბერში მიიღეს ელ.წერილი, სადაც ნათქვამი იყო, რომ startup-მა "კლიენტების კონფიდენციალური რეპორტების შემცველი ცხრილი გაჟონა". მიუხედავად იმისა, რომ Delve-ის CEO-მ, Karun Kaushik-მა, მომდევნო წერილში დაარწმუნა მომხმარებლები, რომ ყველაფერი რიგზე იყო და გარეშე პირებს სენსიტიურ მონაცემებზე წვდომა არ მიუღიათ, კლიენტებს ეჭვები მაინც გაუჩნდათ.
„Delve-ის სერვისით უკმაყოფილების საერთო გამოცდილებიდან და იმ შეგრძნებიდან გამომდინარე, რომ რაღაც საეჭვო ხდებოდა, გადავწყვიტეთ რესურსები გაგვეერთიანებინა და სიტუაცია ერთად გამოგვეკვლია,“ - წერს ავტორი.
რა დასკვნამდე მივიდნენ ისინი?
მათი მტკიცებით, Delve "ყველაზე სწრაფი პლატფორმის სტატუსს აღწევს ყალბი მტკიცებულებების შექმნით, სერტიფიცირების ქარხნების სახელით აუდიტორული დასკვნების გენერირებით და ძირითადი მოთხოვნების გამოტოვებით, მაშინ როცა კლიენტებს ეუბნებიან, რომ 100%-იან შესაბამისობას მიაღწიეს."
DeepDelver-მა დაადანაშაულა startup მომხმარებლებისთვის "დირექტორთა საბჭოს შეხვედრების, ტესტებისა და პროცესების ფაბრიცირებული მტკიცებულებების" მიწოდებაში, რის შემდეგაც აიძულებდა მათ "აერჩიათ ყალბი მტკიცებულებების მიღებასა და რეალური ავტომატიზაციის ან AI-ის გარეშე, ძირითადად მექანიკური სამუშაოს შესრულებას შორის."
DeepDelver ასევე ამტკიცებს, რომ Delve-ის პრაქტიკულად ყველა კლიენტმა გაიარა ორი სერტიფიცირებული აუდიტორული ფირმა - Accorp და Gradient, რომლებსაც იგი აღწერს როგორც "ერთი და იმავე ოპერაციის ნაწილს", რომელიც ძირითადად ინდოეთში ფუნქციონირებს.
ამ ფირმების როლი, მისი თქმით, მხოლოდ Delve-ის მიერ გენერირებული რეპორტების ავტომატური დადასტურებაა. შედეგად, "აუდიტორის დასკვნების, სატესტო პროცედურებისა და საბოლოო რეპორტების დამოუკიდებელ შემოწმებამდე გენერირებით, Delve ერთდროულად შემსრულებლისა და შემმოწმებლის როლს ირგებს. ეს სტრუქტურული თაღლითობაა."
Delve-ის პასუხი ბრალდებებზე
Delve-მა განაცხადა, რომ ის საერთოდ არ გასცემს compliance რეპორტებს. სამაგიეროდ, ის არის "ავტომატიზაციის პლატფორმა", რომელიც აგროვებს ინფორმაციას შესაბამისობის შესახებ და შემდეგ აუდიტორებს აძლევს მასზე წვდომას.
- „საბოლოო რეპორტებსა და დასკვნებს გასცემენ მხოლოდ დამოუკიდებელი, ლიცენზირებული აუდიტორები და არა Delve,“ - აცხადებს კომპანია.
- კომპანია ასევე უარყოფს ყალბი მტკიცებულებების შექმნას და ამბობს, რომ კლიენტებს მხოლოდ ტემპლეიტებს (templates) სთავაზობს პროცესების დოკუმენტირებისთვის.
გარდა compliance პრობლემებისა, კიბერუსაფრთხოების სპეციალისტებმა (James Zhou და Jamieson O’Reilly) დაადასტურეს, რომ Delve-ის სისტემაში არსებობს "უსაფრთხოების სერიოზული ხარვეზები", რამაც სენსიტიური ინფორმაციის (მათ შორის background checks) გაჟონვა გამოიწვია. Delve ამჟამად იძიებს გაჟონვის ფაქტებს და განიხილავს წამოყენებულ ბრალდებებს.
წყარო: techcrunch.com
