Подрядчик с доступом к CRM, сайту или рекламе: что проверить до начала работы

Подрядчиков часто выбирают по портфолио, цене и скорости ответа. Это нормально для старта переговоров, но недостаточно для допуска к чувствительным системам. Как только исполнитель получает доступ к CRM, сайту, рекламному кабинету, почте, аналитике, документам или клиентской базе, он становится частью риск-контура компании.

Первое, что нужно проверить, - юридический и деловой след. Кто принимает деньги, совпадает ли исполнитель с договором, есть ли судебные споры, массовые компании, признаки номинальности, резкие смены реквизитов или странные посредники в платежах.

Второй блок - репутация и поведение. Важно смотреть не только отзывы, но и типичные конфликты: невозврат доступов, споры по рекламным кабинетам, удаление данных, давление через срочность, отказ фиксировать условия письменно, просьбы дать права администратора без объяснения.

Третий блок - режим доступа. Подрядчику редко нужны максимальные права. Лучше выдавать отдельную учетную запись, ограничивать роль, включать двухфакторную защиту, фиксировать перечень сервисов и заранее прописывать порядок отключения после завершения работ.

Отдельный риск - подрядчик, который работает через субподрядчиков. Бизнес думает, что доступ получил один человек, а фактически данные видит несколько неизвестных исполнителей. Это нужно обсуждать до старта, а не после инцидента.

HEIMDALL помогает проверить подрядчика и собрать безопасный сценарий допуска: какие факты настораживают, какие права можно дать, какие условия нужно прописать и что поставить на контроль.