是否存在地理围栏、是否限制跨境路径、是否可指定仅境内;
4)请说明edgerelay节点+0900时区与“tok”主机名的含义:对应区域、用途;
5)请提供第三方日志可得性说明:由谁持有、如何调取、最小可提供字段;
6)请提供贵方内部合规评估编号或报告摘要:对第三方服务的安全评估与跨境评估(如有);
7)请提供等保/安全测评材料中关于第三方节点/加速网络披露情况(页码或章节索引即可)。
梁组长把问询要点发给林昼,并说:“监管这次很强硬,明确写了‘若拒绝提供,将视为重大风险点并建议采取进一步监管措施’。”
林昼回:“很好。现在我们不争辩‘是否敏感’,只核对‘可审计与合规披露’。对方如果给不出协议摘要,就等于承认其审计链断。”
梁组长回:“供应商已经开始打预防针,说协议含保密条款。”
林昼回:“保密条款不能对抗监管。可脱敏,但不得空白。至少提供条款框架与责任边界:谁处理数据、谁留存日志、谁响应审计、跨境条款是否存在。框架不是商业秘密,是合规底线。”
梁组长回:“明白。”
---
上午十一点,供应商先回了一封邮件,内容像模板:“正在协调第三方平台提供资料,预计两日内提交托管协议摘要。因涉及商业秘密,将按最小必要原则提供。”
两日内——这是拖延,也是争取时间做“最小必要删减”。
林昼没有被时间牵着走。他给梁组长发:“要求他们今天至少提供第三方平台名称与服务类型。名称是事实,不该拖两天。没有名称,就无法评估跨境与审计可得性。监管可以在时限内先要求最小信息:Who/What。”
梁组长回:“监管会追。”
下午一点四十,供应商终于松口,给出第三方平台的“类型与代号”,但仍不直接写公司全名,只写“GlobalEdgeMailRelayService(第三方边缘邮件中继服务)”,并在附注里写“第三方名称受限于协议保密”。
监管当场回函:“请提供第三方名称。若无法提供名称,请提供可唯一识别的主体信息(如统一社会信用代码/注册地/合同编号/服务采购编号)。
本章未完,请点击下一页继续阅读!