Ανώνυμη καταγγελία κατηγορεί την Delve ότι παρείχε «ψευδή συμμόρφωση» σε εκατοντάδες πελάτες για ρυθμίσεις απορρήτου και ασφάλειας. Η εταιρεία απορρίπτει τις αιτιάσεις και μιλά για παρανόηση του ρόλου της.
Στο επίκεντρο σφοδρής διαμάχης βρίσκεται η Delve, νεοφυής εταιρεία κανονιστικής συμμόρφωσης με έδρα τις ΗΠΑ, μετά από ανώνυμη καταγγελία σε Substack που την κατηγορεί ότι παραπλάνησε «εκατοντάδες πελάτες» προσφέροντας ουσιαστικά «ψευδή συμμόρφωση» σε κρίσιμα πλαίσια προστασίας προσωπικών δεδομένων και ασφάλειας, όπως το HIPAA και ο GDPR.
Η Delve, που υποστηρίζεται από το Y Combinator και πέρυσι άντλησε 32 εκατ. δολάρια σε γύρο Series A με αποτίμηση 300 εκατ. δολαρίων υπό την ηγεσία της Insight Partners, απορρίπτει τις κατηγορίες ως «παραπλανητικές» και κάνει λόγο για ανακρίβειες.
Οι καταγγελίες για «κατασκευασμένα στοιχεία» και ρόλο των ελεγκτών
Ο ανώνυμος συντάκτης, με το ψευδώνυμο «DeepDelver» και φερόμενος ως εργαζόμενος σε πρώην πελάτη της Delve, περιγράφει μια αλυσίδα γεγονότων που ξεκίνησε από email τον Δεκέμβριο, όπου γινόταν λόγος για διαρροή υποτιθέμενου υπολογιστικού φύλλου με εμπιστευτικές αναφορές πελατών.
Παρότι, σύμφωνα με την καταγγελία, ο διευθύνων σύμβουλος της Delve Karun Kaushik διαβεβαίωσε τους πελάτες ότι δεν υπήρξε μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα και ότι αυτοί παραμένουν συμμορφωμένοι, ο DeepDelver αναφέρει πως αρκετοί πελάτες άρχισαν να αμφισβητούν τη συνολική λειτουργία της πλατφόρμας.
Μετά από κοινή διερεύνηση, ο καταγγέλλων υποστηρίζει ότι η Delve επιτυγχάνει την υπόσχεση για «ταχύτερη πλατφόρμα συμμόρφωσης» μέσω δημιουργίας «ψευδών αποδεικτικών στοιχείων», παραγωγής συμπερασμάτων ελεγκτών εκ μέρους «εργοστασίων πιστοποίησης» που απλώς σφραγίζουν αναφορές, και παράκαμψης σημαντικών απαιτήσεων πλαισίων, ενώ εμφανίζει στους πελάτες ποσοστό συμμόρφωσης 100%.
Στο στόχαστρο τίθενται ειδικά δύο ελεγκτικές εταιρείες, Accorp και Gradient, οι οποίες, κατά τον DeepDelver, λειτουργούν ως μέρος ενιαίας δομής με κύρια δραστηριότητα στην Ινδία και τυπική μόνο παρουσία στις ΗΠΑ. Οι εταιρείες αυτές φέρονται να «σφραγίζουν» αναφορές που έχει ουσιαστικά συντάξει η Delve, γεγονός που –σύμφωνα με την καταγγελία– «αντιστρέφει» τη λογική της ανεξάρτητης συμμόρφωσης: ο πάροχος λογισμικού εμφανίζεται ταυτόχρονα ως υλοποιητής και ως εξεταστής.
Απάντηση της Delve και νέοι ισχυρισμοί για κενά ασφαλείας
Η Delve, σε ανάρτηση στο εταιρικό της ιστολόγιο, υποστηρίζει ότι δεν εκδίδει η ίδια αναφορές συμμόρφωσης, αλλά λειτουργεί ως πλατφόρμα αυτοματοποίησης που συγκεντρώνει δεδομένα και τα θέτει στη διάθεση ανεξάρτητων, αδειοδοτημένων ελεγκτών. Τονίζει ότι οι τελικές γνώμες εκδίδονται αποκλειστικά από τρίτους ελεγκτές και ότι οι πελάτες μπορούν είτε να επιλέξουν δικό τους ελεγκτή είτε κάποιον από το δίκτυο συνεργαζόμενων εταιρειών.
Απαντώντας ειδικά στην κατηγορία περί «ψευδών αποδεικτικών στοιχείων», η εταιρεία αναφέρει ότι παρέχει πρότυπα εγγράφων (templates) για να βοηθά τις ομάδες να τεκμηριώνουν διαδικασίες σύμφωνα με τις απαιτήσεις συμμόρφωσης, πρακτική που –όπως σημειώνει– ακολουθούν και άλλες πλατφόρμες του κλάδου. «Τα πρότυπα προσχεδίων δεν είναι το ίδιο με προ-συμπληρωμένα αποδεικτικά στοιχεία», υπογραμμίζει.
Παράλληλα, η Delve δηλώνει ότι διερευνά ενεργά τυχόν διαρροές δεδομένων και εξακολουθεί να εξετάζει το περιεχόμενο της ανώνυμης καταγγελίας.
Την υπόθεση περιπλέκουν περαιτέρω νέοι ισχυρισμοί για σοβαρά κενά ασφαλείας. Χρήστης στην πλατφόρμα X, ο James Zhou, ανέφερε ότι κατάφερε να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες της Delve, όπως ελέγχους ιστορικού εργαζομένων και προγράμματα κατοχύρωσης μετοχών. Ο ιδρυτής της Dvuln, Jamieson O’Reilly, δημοσίευσε επιπλέον τεχνικές λεπτομέρειες, κάνοντας λόγο για «πολλαπλές χαίνουσες τρύπες» στην εξωτερική επιφάνεια επίθεσης της πλατφόρμας.
Κίνδυνοι για πελάτες και αγορά συμμόρφωσης
Εάν οι καταγγελίες ευσταθούν, οι πελάτες της Delve ενδέχεται να εκτίθενται σε ποινική και διοικητική ευθύνη, ιδίως σε τομείς υγείας (HIPAA) και προστασίας δεδομένων στην ΕΕ (GDPR), καθώς θα έχουν παρουσιάσει σε ρυθμιστικές αρχές και στο κοινό επίπεδα ασφάλειας που στην πράξη δεν υφίστανται. Ο DeepDelver αναφέρει μάλιστα ότι η εταιρεία του απέσυρε δημόσια τη σελίδα «trust» και σταμάτησε να βασίζεται στη Delve για συμμόρφωση, παρά –όπως σημειώνει σκωπτικά– τα «κουτιά με ντόνατς» που έστελνε η startup για να κατευνάσει τις ανησυχίες.
Η υπόθεση αναδεικνύει τους συστημικούς κινδύνους από την υπερεξάρτηση σε αυτοματοποιημένες πλατφόρμες συμμόρφωσης, σε μια αγορά όπου οι πιέσεις για ταχύτητα και μείωση κόστους μπορούν να συγκρουστούν με την ανάγκη ουσιαστικού, ανεξάρτητου ελέγχου.
Σχόλιο 
: Η υπόθεση Delve λειτουργεί ως καμπανάκι για επιχειρήσεις που «αγοράζουν» συμμόρφωση με ένα κλικ. Η πραγματική διακυβέρνηση δεδομένων δεν μπορεί να υποκατασταθεί από templates και υποσχέσεις αυτοματισμού: απαιτεί διαφάνεια, ανεξάρτητο έλεγχο και ουσιαστική κατανόηση των ρίσκων, ειδικά σε κλάδους υγείας και χρηματοοικονομικών.
#Delve #GDPR #ΑσφάλειαΔεδομένων #Startups #Regtech
