# Kebijakan Manajemen Vendor
Vendor adalah salah satu sumber risiko terbesar, terutama vendor cloud, payment gateway, dan layanan SaaS.
## 1. Due Diligence
Vendor harus dievaluasi berdasarkan:
– keamanan teknis,
– sertifikasi (ISO27001, SOC2),
– lokasi data,
– catatan insiden keamanan.
## 2. Kontrak Pemrosesan Data (DPA)
Kontrak wajib mengatur:
– ruang lingkup pemrosesan,
– keamanan minimum,
– kewajiban notifikasi insiden,
– larangan transfer ke sub-vendor tanpa izin.
## 3. Monitoring Vendor
– audit berkala,
– evaluasi SLA,
– review insiden vendor lain.
## 4. Pemutusan Kontrak
Vendor wajib:
– menghapus data,
– memberikan bukti pemusnahan.
Manajemen vendor yang kuat mengurangi risiko kebocoran melalui pihak eksternal.
