{ Banner Image }

尽职调查中的网络安全和数据隐私注意事项

数据隐私和网络安全问题正在改变潜在投资者和收购方通过尽职调查评估目标公司的方式。与数据和安全性相关的风险可能会非常昂贵–尤其是那些未在尽职调查中发现的问题。

例如,控制不力或不遵守相关数据保护法律的历史记录可能导致大量的关闭后监管罚款。此外,在尽职调查中,以前未公开或未发现的数据泄露可能并不明显,但可能会在交易完成很长时间后将大量资金置于风险之中。这些风险可能会使收购方承担重大责任。例如,在Verizon购买Yahoo之后,它了解到Yahoo的范围’2014年的数据泄露事件被大大低估了,导致重新谈判使雅虎放弃了’的价值将近3.5亿美元。

鉴于网络安全和数据隐私尽职调查的重要性,更新的尽职调查策略应:

  1. 确定目标’s 数字资产;
  2. 评估目标’内部和外部网络安全与数据隐私计划;
  3. 识别正在进行或过去的事件和违规行为;
  4. 评估合规性;和
  5. 评估潜在责任。

 1. Identify the Target’s 数字资产

收购方必须盘点目标拥有的数字资产。虽然某些数字资产可能很明显,但其他数字资产却不明显。数字资产包括从客户列表到源代码再到客户数据的所有内容。清单应包括这些资产的位置,并标识它们是在内部存储还是与第三方供应商存储。

最后,清单还应该评估每种资产的风险水平。例如,包含受访问限制保护的敏感信息的本地存储数据库可能比第三方在云服务器上拥有的相同数据的风险要小。

2. Evaluate the Target’内部和外部网络安全与数据隐私计划

完成清单后,收购方应集中精力调查目标公司是否制定了保护这些资产和应对安全威胁的政策和程序。审查目标的网络安全协议是一个良好的开端,但确认员工是否遵守这些协议也很重要。例如,一些公司定期发送带有外部链接的垃圾邮件,以测试员工是否打开了可疑链接,从而使公司容易受到网络钓鱼攻击。更复杂的IT工作包括跟进从事不安全行为的员工,以进行进一步培训。安全协议松散的目标很可能没有意识到之前或正在进行的安全事件,而这可能会在将来成为一大笔费用。

收购方还必须考虑目标的外部供应商,包括与共享给他们的数据相关的供应商的权利和责任。例如,一些供应商合同允许供应商与广告商共享电子邮件地址和其他数据。一些合同要求供应商将事件或违规行为通知公司,而其他合同则对此问题保持沉默。知道数据离开公司后会发生什么与知道公司内部数据会发生什么一样重要。

3. 识别正在进行的或先前的网络安全违规行为

调查过去的违规行为有两个方面的帮助。首先,通过分析目标’对违规的回应,收购方可以洞悉目标’的内部控制和协议有效。其次,收购方可以在应对违规行为时确定目标公司是否按照适用的法律,法规和标准行事。如果目标没有遵循自己的隐私政策或违反法律,则该风险可能会对目标的估值产生负面影响。

尽管不常见,但尽职调查有时会发现持续的违规情况。这些情况可以使收购方实时查看目标’的响应,判断其内部控制的有效性,并评估因违反而可能产生的未来成本。

4. 评估合规性

识别过去的违规行为是了解目标在过去几年中是否达到要求的好方法。但是,收购方还应考虑目标是否满足即将出现的任何新规定。例如,与欧盟’的《通用数据保护条例》(GDPR)将于2018年生效,尽职调查应确定目标是否受该条例的约束,如果是,则其合规状况是否会对目标产生重大影响’s valuation.

5. 评估与传统尽职调查有关的潜在责任

收单行不应该凭空考虑上述问题。相反,我们建议使用上述发现来评估目标的数据隐私以及与目标相关的网络安全风险和责任’对更传统的尽职调查请求的回应。与其他形式的尽职调查类似,公司可以决定过去的事件和当前的做法是否使目标遭受了重大风险,并可以利用这些风险来协商较低的购买价格。

如果不仔细考虑,目标公司的数据隐私和安全风险可能会导致交易完成后数年,对收购方征收令人惊讶且巨大的成本。

如果您对当前的数字尽职调查策略有任何疑问,请联系 福斯特·斯威夫特’的网络安全团队。

分类: 网络安全, 你知道吗?, 数字资产, 隐私

作为福斯特·斯威夫特(Foster Swift)的业务和税务业务团队的成员,泰勒(Taylor)帮助企业和企业主解决和预防问题。他处理业务组建和交易,税务争议,员工福利以及与技术相关的问题。

查看作者的所有帖子›

Type the following characters: november, mike, sierra, six

* 表示必填字段。