Проблема багатьох покупок SaaS виникає не в момент підписання договору. Вона виникає через кілька місяців, коли постачальник перестає реагувати так, як обіцяв, змінює умови, ускладнює експорт даних або перекладає на вас відповідальність, яку ви вважали його обов’язком. У цей момент початкова низька ціна втрачає значення. Залишаються операційні перебої, юридичний ризик та витрати на вихід із системи.
Керівники малих та середніх підприємств це добре знають. Демонстраційна версія завжди виглядає ідеально, а от контракт — далеко не завжди. І коли постачальник має доступ до даних, критично важливих процесів або продажів, наслідки неправильного вибору не обмежуються лише ІТ-сферою. Вони поширюються на адміністрацію, дотримання нормативних вимог, обслуговування клієнтів та забезпечення безперебійної роботи.
Я говорю як підприємець, який стикався з реальними суперечками з постачальниками, які нечітко дотримувалися вимог GDPR, європейського білінгу, не надавали реальної підтримки та в односторонньому порядку змінювали умови співпраці. Висновок простий: перевірка постачальника — це не просто формальність у процесі закупівель. Це спосіб оцінити, чи може постачальник стати сильною стороною чи структурним ризиком.
Тут ви знайдете практичний підхід до оцінки провайдера так, ніби ви оцінюєте партнера. Не лише ціна та функціонал, а й умови договору, безпека, оперативність, можливість переходу до іншого провайдера та постійний моніторинг.
Сайт вийшов з ладу в найгірший із можливих днів. Замовлення зависають, команда з продажів пише в трьох різних каналах, служба підтримки не знає, що відповісти клієнтам. Ви створюєте «пріоритетний» запит у свого SaaS-провайдера й отримуєте автоматичну відповідь. Ні технічних фахівців, ні чіткої схеми ескалації, ні інформації про час вирішення проблеми в режимі реального часу.
Саме в цей момент ти розумієш, що насправді купив.
Ви придбали не просто послугу. Ви придбали той спосіб, у який цей постачальник вирішує питання щодо інцидентів, відповідальності, даних, контракту та припинення співпраці. Якщо ви раніше не перевірили ці аспекти, то накопичили операційний борг. Цього не видно в демо-версії, цього немає в прайс-листі, але все це випливає назовні, коли постачальник не витримує навантаження.
Коли провайдер виходить з ладу в критичний момент, проблема не обмежується лише технічними аспектами. Вона того ж дня набуває комерційного, юридичного та репутаційного характеру.
Багато підприємців ставляться до комплексної перевірки провайдера як до адміністративної процедури. Вони перевіряють ціну, дві функції, можливо, наявність сертифіката на головній сторінці, а потім підписують договір. Це поширена помилка. Вирішальні питання інші: хто несе відповідальність за дані, де вони зберігаються, як їх експортувати, хто насправді надає підтримку, що станеться, якщо провайдер змінить власника або зміниться умови договору.
Неприємним є те, що ці питання уповільнюють переговори. А корисним — те, що вони дозволяють уникнути місяців проблем у майбутньому.
Дю-ділігенс постачальника послуг допомагає зрозуміти, яку частину ризику ви берете на себе разом із послугою. Справа не в тому, щоб зібрати документи, щоб бути спокійним на етапі підписання договору. Справа в тому, щоб заздалегідь оцінити, скільки насправді коштуватиме вам цей постачальник, якщо щось піде не так, якщо зміниться корпоративна структура, якщо технічна підтримка не витримає або якщо завтра вам доведеться терміново розірвати договір.
Ті, хто вже стикався з вимушеною міграцією або інцидентом, що не був належним чином врегульований, добре це знають. Проблема рідко обмежується лише постачальником. Вона проникає у внутрішні процеси, гальмує комерційну діяльність, забирає час у технічної команди, породжує юридичні сумніви та перетворює, на перший погляд, вигідну абонентську плату на прихований операційний борг.
Саме тому серйозна комплексна перевірка (due diligence) здійснюється на чотирьох конкретних рівнях:
Практичне правило: якщо постачальник має доступ до даних, платежів, обслуговування клієнтів або критично важливого процесу, перевірку надійності слід розглядати як засіб забезпечення безперервності діяльності, а не як адміністративну процедуру.
В італійському контексті недооцінка обходиться ще дорожче, оскільки ланцюжок поставок значною мірою складається з малих та середніх підприємств, які часто значною мірою залежать від третіх сторін. Згідно з даними Міністерства підприємництва та «Made in Italy», МСП становлять 99,9 % діючих підприємств і забезпечують роботою близько 76,5 % працівників приватного сектору. У такій системі ризик постачальника швидко поширюється на замовника.
Крім того, існує типова помилка. Багато компаній оцінюють провайдера, не з’ясувавши попередньо, що саме вони насправді купують: інфраструктуру, платформу, прикладне програмне забезпечення чи поєднання цих трьох компонентів. Якщо ви хочете правильно підійти до цього аналізу на початковому етапі, варто почати з розбіжностей між хмарними сервісами.
Недооцінювати комплексну перевірку постачальника означає ставитися до ділового партнера як до статті витрат. Саме тут і виникають проблеми, про які ніхто не згадує під час презентації: внутрішні процеси, погано адаптовані до постачальника; технічні залежності, які важко усунути; відповідальність, про яку дізнаєшся лише після інциденту; та витрати на вихід із співпраці, які виникають тоді, коли у тебе залишається найменше простору для переговорів.
Правильно проведена оцінка дозволяє уникнути несподіванок. Неправильно проведена оцінка лише відкладає їх на потім.
Більшість серйозних проблем виникає не через технічну несправність. Вони виникають через пункт у договорі, який прочитали занадто пізно. У договорі зазначено, хто контролює ситуацію, коли щось виходить з ладу.
Оцінюючи постачальника послуг, ціна — це останнє, на що слід звертати увагу. На першому місці — юридичні рамки відносин.
Вирушайте з цих районів:
Багато підприємців розглядають договір як документ, що захищає інтереси постачальника. Це правильно. Саме тому його слід розглядати як карту його мотиваційних факторів.
На діловій зустрічі варто бути прямим. Немає сенсу говорити як юрист. Треба говорити як компанія, яка хоче уникнути прихованих витрат.
Спробуй задати такі питання:
Хороший договір — це не той, що обіцяє все. Це той, що залишає мало місця для двозначностей, коли відносини погіршуються.
Класичним «червоним прапорцем» є постачальник, який добре відповідає на комерційні запитання, але погано — на ті, що стосуються виходу з угоди. Іншим «червоним прапорцем» є наявність стандартної угоди про обробку даних (DPA), яка, однак, не дає чіткого уявлення про відповідальність, передачу даних та терміни. Якщо ви сьогодні працюєте з даними, автоматизацією або системами прийняття рішень, варто також ознайомитися з темою Європейського закону про штучний інтелект (European AI Act) для малих та середніх підприємств, оскільки він спонукає багато компаній більш ретельно формалізувати управління, простежуваність та роль постачальників.
Останній практичний критерій. Якщо постачальник вважає ваші запитання щодо даних, відповідальності та перенесення даних набридливими, це вже багато що говорить про те, якими будуть ваші стосунки після підписання договору.
Значок відповідності — це корисно. Але цього недостатньо. Сертифікація свідчить про наявність системи контролю. Сама по собі вона не дає відповіді на питання, чи підходить цей провайдер саме для ваших умов, ваших даних та ваших операційних ризиків.
Фреймворки з управління постачальниками рекомендують збирати анкети щодо ризиків, фінансові звіти, сертифікати, такі як ISO 27001 та SOC 2, а також класифікувати постачальників за рівнем критичності. Щодо постачальників з високим рівнем ризику додатково проводяться аудити на місці та аналіз зовнішньої поверхні атаки, як підсумовує компанія Mitratech у своєму посібнику з проведення комплексної перевірки постачальників.
Цей момент змінює підхід до оцінки постачальника. Питання не в тому, «чи має він сертифікат?». Питання в тому, «які докази ефективності роботи він може мені надати, окрім сертифіката?».
Наприклад, має сенс запитати:
Розділ Що слід запитати Чому це важливо Хостинг Регіон зберігання даних та інфраструктурних субпідрядників Впливає на юрисдикцію та дотримання вимог Резервне копіювання Політики, частота, перевірка відновленняНеперевірене резервне копіювання — це лише надіяДоступКонтроль привілейованих облікових записівЗменшує внутрішній ризик та зловживанняРеагування на інцидентиДокументований процес управління інцидентамиПоказує, хто що робить у стресовій ситуаціїВразливостіРезультати перевірки вразливої поверхніДопомагає зрозуміти, наскільки провайдер є видимим та вразливим до атак
Питання юрисдикції даних має більше значення, ніж багато хто вважає. Якщо провайдер розміщує або передає дані за межі того периметра, який ви вважали самоочевидним, змінюються зобов’язання, оцінки, а часто й спосіб, у який ви реагуєте на інциденти та офіційні запити.
А ще є менш гламурна, але більш практична частина — резервне копіювання та відновлення після збою. Не обмежуйтеся питанням, чи існують ці процеси. Запитайте, як їх перевіряють, як документують і хто втручається у разі пошкодження даних або недоступності сервісу.
Паралельно з цим звертайте увагу на репутацію суб’єкта, з яким ви маєте справу. У деяких галузях, де спостерігається високий рівень шуму, перевірка публічних сигналів про нагляд або тривогу є мінімальним заходом безпеки. Корисним прикладом є «чорний список» криптовалютних шахрайств, який наочно демонструє, чому перевірка репутації та зовнішня верифікація — це не просто примха, а базовий захист, коли постачальник послуг працює у чутливих або непрозорих сферах.
Якщо постачальник показує вам лише глянцеві PDF-файли й не надає жодних доказів того, як він справляється з інцидентами, резервним копіюванням, доступом та вразливостями, ви оцінюєте маркетингові матеріали, а не рівень безпеки.
Справжня якість провайдера проявляється тоді, коли у вас термінова ситуація і мало часу. Не в демо-версії. Не в комерційній пропозиції. Не на сторінці «для підприємств».
Перед тим, як стати клієнтом, слід перевірити якість підтримки. Це крок, який майже ніхто не робить.
Це зробити дуже просто:
Надійний провайдер не образиться, якщо ви задасте ці питання. Він вважає їх цілком нормальними.
Відмінна служба підтримки — це не та, яка швидко відповідає, коли все працює. Це та, яка бере на себе вирішення складної проблеми, вміє ескалувати її та залишає письмовий звіт про прийняті рішення.
Саме тут криється найбільш недооцінена складова комплексної перевірки провайдера — ефект «замкненості».
Ефективна технічна перевірка (due diligence) має включати сканування коду та залежностей для створення повного переліку стороннього програмного забезпечення, взаємозв’язків між залежностями та ліцензіями з відкритим кодом, а також перевірку архітектури, API та баз даних з метою оцінки ризику технічного боргу та залежності від постачальника, як пояснює FOSSA у своєму посібнику з технічної перевірки.
Якщо перекласти це на мову бізнесу, то вам потрібно зрозуміти три речі:
Якщо провайдер робить вхід легким, а вихід — складним, то це не партнерство. Це — залежність.
Що стосується безперебійності роботи, також варто з’ясувати, як постачальник підходить до питань відновлення та втрати даних. Якщо вам потрібна оперативна основа для оцінки таких сценаріїв, у матеріалі ELECTE про управління RTO та RPO ви знайдете хороший орієнтир.
Є один простий критерій, який дуже допомагає: перед підписанням попросіть надати письмову процедуру звільнення. Якщо її немає, витрати на звільнення майже напевно будуть вищими, ніж ви уявляєте.
Проблема контрольних списків полягає в тому, що вони фіксують стан постачальника на певний день. Натомість ризик постійно змінюється.
Саме в цьому полягає типова прогалина в процесі комплексної перевірки провайдера: майже всі пояснюють, про що слід запитати провайдера, але мало хто пояснює, як переоцінювати його ризик з плином часу. Проте ситуація цього вимагає. Звіт Clusit 2025 вказує, що у 2024 році кількість кібератак на італійські об’єкти становила 357, що є зростанням порівняно з 310 у 2023 році, причому 79% з них мали високий або критичний рівень серйозності. Крім того, порушення, пов’язані з третіми сторонами, обходяться в середньому на понад 370 000 доларів дорожче, ніж внутрішні, як повідомляє SecurityScorecard у своєму контрольному списку для постачальників послуг.
Це змінює логіку контролю. Недостатньо просто схвалити постачальника на вході. Потрібно вирішити, які постачальники вимагають більшої уваги, а які ознаки є приводом для повторної оцінки.
Підхід, орієнтований на ризики, ґрунтується на внутрішній класифікації. Не всі постачальники однакові. Принаймні слід враховувати:
На цій основі можна налагодити ефективний моніторинг, у тому числі за допомогою інструментів аналізу даних: інформаційні панелі щодо SLA, відстеження критичних запитів, сповіщення про зміни в документації, зміни у складі субпідрядників, відхилення у показниках ефективності або події, пов’язані з безпекою.
Постачальник стає ризикованим не лише тоді, коли з ним трапляється інцидент. Він стає ризикованим тоді, коли накопичуються слабкі сигнали, а ніхто не розглядає їх у сукупності.
Для малого та середнього бізнесу саме в цей момент дані перетворюються на практичне управління. Не для того, щоб покращити бюрократію, а щоб швидше реагувати.
Цей контрольний список служить лише одній меті: зрозуміти, чи обираєте ви постачальника, який підтримує ваш бізнес, чи такого, що залишить вам у спадок операційні борги, судові суперечки та дороге припинення співпраці. Якщо цей документ не допомагає вам сказати «ні», то це не корисний контрольний список.
Таким чином уникнути тих проблем, які виникають лише після підписання.
Тут важливі факти. Сертифікати допомагають, але не дають уявлення про те, як провайдер працює в умовах стресу.
Багато помилок виникають саме тут, а не в договорі.
Найпоширенішою помилкою є зупинка на етапі відбору. Справжній ризик виявляється пізніше, коли якість супроводу погіршується, змінюються субпідрядники, експортні поставки виявляються непридатними для використання або зміна політики перекладає на вас обов’язки, які, як ви вважали, вже були включені. Саме тоді з’являються витрати другого порядку.
Якщо хочете узагальнити все в одному практичному правилі, скористайтеся таким: оцінюйте провайдера так само, як ви оцінювали б ділового партнера. Він повинен витримати інцидент, судовий спір і впорядковане розірвання співпраці. Якщо ви не знаєте, як вийти з ситуації, значить, ви недостатньо все перевірили.
Якщо ви хочете перетворити дані про постачальників, угоди про рівень обслуговування (SLA), інциденти та показники ефективності на систему безперервного моніторингу, ELECTE — платформа аналізу даних на базі штучного інтелекту для малих та середніх підприємств — допоможе зібрати розрізнені сигнали та перетворити їх на корисні висновки, що дозволять приймати швидші та краще обґрунтовані рішення. Це реальний спосіб перейти від епізодичної перевірки до більш зрілого оперативного моніторингу.
.svg)
.svg)
.svg)
