Американський стартап Delve, який спеціалізується на автоматизації відповідності стандартам безпеки даних, опинився в центрі скандалу через звинувачення у введенні клієнтів в оману щодо реального рівня їхньої відповідності вимогам регуляторів.
Про це розповідає ProIT
Анонімні звинувачення та деталі розслідування
На цьому тижні на платформі Substack з’явилася анонімна публікація за авторством користувача під псевдонімом DeepDelver, який назвав себе співробітником колишнього клієнта Delve. У ній йдеться про те, що Delve «фальшиво переконав сотні клієнтів у тому, що вони відповідають» вимогам з приватності та безпеки, зокрема HIPAA та GDPR, що може спричинити для них кримінальну відповідальність і значні штрафи.
DeepDelver детально описав, як у грудні отримав повідомлення про витік конфіденційних звітів клієнтів. Хоча генеральний директор Delve Карун Каушік запевнив клієнтів, що їхні дані залишилися у безпеці, у багатьох виникли підозри щодо справжнього стану справ.
«Маючи схожий досвід розчарування у співпраці з Delve та відчуття, що щось відбувається не так, ми вирішили об’єднати ресурси та провести власне розслідування», — написав DeepDelver.
За результатами цього розслідування, стверджується, що Delve досягає заявленої швидкості платформи за рахунок створення фальшивих доказів та звітів аудиторських фірм, які «штампують» висновки без належної перевірки, а також пропускає ключові етапи відповідності, запевняючи клієнтів у 100% відповідності стандартам.
Відповідь Delve на звинувачення
У відповідь на звинувачення Delve опублікувала заяву на своєму блозі, у якій назвала публікацію DeepDelver «оманливою» і такою, що містить «низку неточних тверджень». Компанія заявила, що вона не видає звітів про відповідність, а є лише платформою автоматизації, що надає аудиторам доступ до інформації клієнтів для перевірки. Delve підкреслила, що остаточні висновки та звіти готують виключно незалежні ліцензовані аудитори, а не сама компанія.
Також Delve зазначила, що клієнти можуть обирати аудиторів самостійно або скористатися мережею незалежних аудиторських компаній, що співпрацюють із платформою. Щодо підозр у створенні фальшивих доказів, у компанії пояснили, що надають шаблони для документування процесів відповідно до вимог, як це роблять й інші платформи у сфері відповідності.
Delve додала, що наразі проводить внутрішнє розслідування щодо можливих витоків інформації та все ще аналізує згадану публікацію на Substack.