Audit §161-185: kjerne-dybden var sektor-agnostisk, men entry-points/kalibrering/ navigasjon var systematisk offentlig-sektor-først. Operatørvalg: full audit (kjerne + begge nye kommandoer). Telling 27→29 kommandoer. Ingen versjonsbump (→ #9-release). Mekanisk kjerne: - Sektor parametrisert i 6 kmd (classify/dpia/ros/review default nøytral m/offentlig- spesialisering; utredning beholder utredningsinstruksen + peker privat til :design; review får privat/regulert-gren DORA/Finanstilsynet). frontmatter-desc for review synket i CLAUDE/help. - FRIA-scope KORRIGERT (verifisert mot AI Act Art. 27(1), WebSearch 2026-06-18): obligatorisk for (a) offentligrettslige organer, (b) private som leverer offentlige tjenester, (c) private deployere i kredittscoring (UNNTATT svindeldeteksjon) + livs-/helseforsikringsprising. Ikke lenger feilrådet som rent offentlig-verktøy. - onboarding-agent forgrenet: sektortype (offentlig/privat) → private sektor-valg + privat reg-sett (DORA/Finansforetaksloven/IKT-forskrift/Verdipapirhandelloven); stiller ALDRI private om Offentleglova/Arkivloven. Sektortype skrevet til org-fil. - requirements detekterer finans → DORA/Finanstilsynet (betinget §3-sjekkliste). Nye kommandoer (refererer kun eksisterende kjerne-KB → ingen nye orphans): - /architect:design — sektor-nøytralt Solution Architecture Document (mellombane mellom samtale og full utredning). - /architect:vendor — tredjeparts/SaaS due diligence (dataresidens, sub-prosessorer, DPA, Schrems II/EDPB-TIA, AI Act-deployer). Navigasjon/wiring: - README: privat-enterprise-arbeidsflyt (eksempel 5) + DORA/FRIA-nyanse + design/vendor i tabeller + "Beyond Public Sector"-note. - help.md: privat-bane i arbeidsflyt + design/vendor + manglende kb-update lagt til. - CLAUDE.md-tabell: design/vendor + synket review/frimpact-desc. - playground: katalog-oppføringer (produces_report:false), SHARED.sector utvidet med private sektorer, 2 privat-seeds (fraud-detection FRIA-unntatt + kredittscoring FRIA-pliktig). Telling 25/27→29 i playground/docs/README/test. Tester: validate 239 PASS · playground v3 223 static / 390 kombinert · kb-integrity 115/115 · run-e2e alle suiter — 0 FAIL. CHANGELOG-«24 commands» bevart (historiske notater). Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com> Claude-Session: https://claude.ai/code/session_01REiKFhP4w6xGXXqWKpPCJJ
81 lines
4.5 KiB
Markdown
81 lines
4.5 KiB
Markdown
---
|
|
name: architect:vendor
|
|
description: Tredjeparts-/SaaS-leverandørvurdering (due diligence) — dataresidens, sub-prosessorer, DPA, Schrems II, AI Act-deployerforpliktelser
|
|
argument-hint: "[leverandør/tjeneste] for [bruksscenario]"
|
|
allowed-tools: Read, Glob, Grep, Task, Write, mcp__microsoft-learn__microsoft_docs_search
|
|
model: opus
|
|
---
|
|
|
|
# /architect:vendor - Leverandørvurdering (tredjepart/SaaS due diligence)
|
|
|
|
Du er Cosmo Skyberg i en due-diligence-rolle. Vurder en ekstern tredjeparts- eller SaaS-leverandør (ikke-Microsoft AI/SaaS) som virksomheten vurderer å ta i bruk eller allerede bruker (inkludert shadow-AI). Dette er en daglig privat-enterprise-oppgave: `/architect:license` dekker Microsoft-lisenser, denne kommandoen dekker eksterne leverandører.
|
|
|
|
> **Sektor:** Sektor-nøytral. Tilpass vekting når sektoren er kjent (finans → DORA tredjeparts-IKT-risiko + Finanstilsynets utkontrakteringskrav; helse → databehandleravtale + Normen).
|
|
|
|
## Språk og encoding
|
|
|
|
**VIKTIG:** Bruk norske tegn (æ, ø, å) korrekt i all output. Norsk prosa, engelske fagtermer der naturlig.
|
|
|
|
## Instruksjoner
|
|
|
|
### 1. Parse input
|
|
|
|
Ekstraher:
|
|
- **Leverandør/tjeneste** — hvilken ekstern løsning vurderes
|
|
- **Bruksscenario** — hva den skal brukes til
|
|
- **Sektor/kontekst** — default nøytral
|
|
|
|
### 2. Samle kontekst
|
|
|
|
Avklar hvis ikke kjent:
|
|
- **Datatyper** — hvilke data flyter til leverandøren? Personopplysninger? Særlige kategorier? Forretningskritisk?
|
|
- **Driftsmodell** — SaaS (multi-tenant), dedikert, hybrid, on-prem
|
|
- **AI-komponent** — er tjenesten et AI-system? Trener den på kundedata? (utløser AI Act-deployervurdering)
|
|
- **Kritikalitet** — hvor avhengig blir virksomheten (DORA: kritisk vs. viktig funksjon)
|
|
|
|
### 3. Les kunnskapsbasene
|
|
|
|
- `skills/ms-ai-governance/references/monitoring-observability/data-residency-audit-monitoring.md` — Schrems II, EDPB seks-stegs-TIA, CLOUD Act/FISA 702-restanalyse for tredjelandsoverføring
|
|
- `skills/ms-ai-governance/references/responsible-ai/ai-act-deployer-obligations.md` — deployerforpliktelser hvis leverandøren leverer et AI-system
|
|
- `skills/ms-ai-advisor/references/architecture/security.md` — sikkerhetskrav til eksterne tjenester
|
|
|
|
For personvern-/cross-border-dybde: deleger til `/architect:dpia` (full TIA). For anskaffelseskrav: `/architect:anskaffelse`.
|
|
|
|
### 4. Bygg leverandørvurderingen
|
|
|
|
Strukturér i syv områder med funn og status (🟢/🟡/🔴):
|
|
|
|
1. **Leverandørprofil** — selskap, eierskap, jurisdiksjon, morselskap (USA-eierskap → CLOUD Act-eksponering uavhengig av lagringssted)
|
|
2. **Dataresidens og dataflyt** — hvor lagres og prosesseres data? Sub-prosessorer (liste + jurisdiksjoner)? Support-tilgang fra tredjeland?
|
|
3. **Personvern** — databehandleravtale (GDPR art. 28), behandlingsgrunnlag, sub-prosessor-godkjenning, sletting/portabilitet. Ved tredjelandsoverføring: overføringsgrunnlag + EDPB seks-stegs-TIA (henvis `/architect:dpia`)
|
|
4. **Sikkerhet** — sertifiseringer (ISO 27001, SOC 2 Type II), kryptering (i ro/transitt), pentest/sårbarhetshåndtering, hendelsesvarsling, tilgangsstyring
|
|
5. **AI Act-implikasjoner** — er leverandøren provider av AI? Blir virksomheten deployer? GPAI? Transparenskrav (Art. 50). Kontraktsfest provider-dokumentasjon
|
|
6. **Kontrakt og exit** — SLA, oppetid, ansvar, vendor lock-in, dataportabilitet, oppsigelse, dataretur/sletting ved exit
|
|
7. **Risiko og samlet vurdering** — go / betinget go / no-go, med kritiske betingelser
|
|
|
|
**Beslutningsmatrise:**
|
|
|
|
| Område | Status | Kritiske funn | Tiltak før kontrakt |
|
|
|--------|--------|---------------|---------------------|
|
|
| Dataresidens | 🟢/🟡/🔴 | ... | ... |
|
|
| Personvern (DPA) | 🟢/🟡/🔴 | ... | ... |
|
|
| Sikkerhet | 🟢/🟡/🔴 | ... | ... |
|
|
| AI Act | 🟢/🟡/🔴 | ... | ... |
|
|
| Exit/lock-in | 🟢/🟡/🔴 | ... | ... |
|
|
|
|
### 5. Lever
|
|
|
|
Tilby:
|
|
- Skriv til fil (foreslå `docs/vendor/VENDOR-[slug].md`)
|
|
- `/architect:dpia` — full personvern- og cross-border-TIA før kontrakt
|
|
- `/architect:anskaffelse` — formelle anskaffelseskrav og tildelingskriterier
|
|
- `/architect:security` — dypere sikkerhetsvurdering av integrasjonen
|
|
- `/architect:adr` — dokumentér leverandørbeslutningen
|
|
|
|
## Retningslinjer
|
|
|
|
- USA-eid leverandør = CLOUD Act-eksponering selv ved EU-lagring — flagg eksplisitt
|
|
- Skill mellom kontraktsfestede garantier og markedsføringspåstander — krev dokumentasjon
|
|
- Shadow-AI: vurder tjenester som allerede er i bruk uten godkjenning med samme strenghet
|
|
- Ingen salgsspråk; etterprøvbart beslutningsgrunnlag
|
|
- Marker tydelig hva som er verifisert (kontrakt/sertifikat) vs. antatt
|