Một hồ sơ bằng chứng mua sắm cổng AI nên giúp việc phê duyệt có thể lặp lại. Đây không phải là một thư mục chứa các tuyên bố của nhà cung cấp. Đây là bằng chứng do người mua sở hữu cho thấy các bộ phận bảo mật, pháp lý, kỹ thuật nền tảng, tài chính và chủ sở hữu kinh doanh đã xem xét cùng một hành vi của cổng trước khi lưu lượng truy cập đi qua nó.
Điều đó quan trọng vì một cổng AI nằm giữa các ứng dụng của bạn và các nhà cung cấp mô hình. Nó có thể ảnh hưởng đến khóa, tuyến đường, quyền truy cập nhà cung cấp, thanh toán, xử lý prompt và phản hồi, nhật ký, hạn ngạch, hành vi dự phòng và phản ứng sự cố. Nếu hồ sơ phê duyệt chỉ ghi "đã xem xét trang tin cậy," lần gia hạn, kiểm toán, sự cố ngừng hoạt động hoặc câu hỏi về dữ liệu tiếp theo sẽ phải bắt đầu lại từ đầu.
Flatkey được xây dựng cho các đội ngũ muốn có một bề mặt cổng API AI duy nhất để truy cập mô hình, định tuyến, thanh toán, phân tích sử dụng và kiểm soát vận hành. Trước khi phê duyệt bất kỳ cổng nào, bao gồm cả Flatkey, hãy lưu lại bằng chứng có ghi ngày tháng cho thấy những gì đã được xem xét, ai đã chấp nhận nó, những giả định nào vẫn cần bằng chứng ở cấp độ tài khoản và điều gì sẽ kích hoạt việc xem xét gia hạn.
Sơ lược về hồ sơ bằng chứng mua sắm cổng AI
Sử dụng bảng này làm trang đầu tiên của hồ sơ. Tên tệp nên bao gồm nhà cung cấp, môi trường, chủ sở hữu kinh doanh, ngày phê duyệt và ngày gia hạn.
| Tệp bằng chứng | Lưu trước khi phê duyệt | Chủ sở hữu | Tác nhân kích hoạt gia hạn |
|---|---|---|---|
| Danh tính nhà cung cấp | Pháp nhân, liên hệ hỗ trợ, đối tác hợp đồng, điều khoản hiện tại, chính sách bảo mật, chính sách hoàn tiền và các trang SLA | Mua sắm và pháp lý | Thay đổi về pháp nhân, điều khoản, quyền riêng tư, thanh toán hoặc SLA |
| Phạm vi cổng | Cổng sẽ đứng trước những gì: các họ endpoint, ứng dụng, môi trường, nhà cung cấp mô hình, bí danh mô hình và các lớp dữ liệu | Kỹ thuật nền tảng | Ứng dụng mới, họ endpoint mới, nhà cung cấp mới, khối lượng công việc được quản lý |
| Xử lý dữ liệu | Chính sách bảo mật, DPA hoặc điều khoản dữ liệu, cài đặt lưu giữ, chính sách tải trọng nhật ký, điều khoản chuyển tiếp của nhà cung cấp và các kiểm soát biên tập | Bảo mật và pháp lý | Thay đổi ghi nhật ký prompt/phản hồi, yêu cầu ZDR, danh mục dữ liệu mới |
| Kiểm soát truy cập | Chủ sở hữu khóa, quy trình tạo khóa, lịch xoay vòng, quy trình thôi việc, tài khoản dịch vụ và các ranh giới đặc quyền tối thiểu | Bảo mật và nền tảng | Đội ngũ mới, tìm thấy khóa chia sẻ, chủ sở hữu rời đi, khóa sản xuất được xoay vòng |
| Kiểm toán và nhật ký | Các trường ID yêu cầu, xuất dữ liệu sử dụng, phân bổ chủ sở hữu, các trường thanh toán, bản ghi lỗi và giới hạn lưu giữ | Bảo mật và tài chính | Yêu cầu kiểm toán, sự cố, thiếu chủ sở hữu chi phí, thay đổi trường nhật ký |
| Thanh toán và hạn ngạch | Trang giá hiện tại, điều khoản trả trước hoặc hóa đơn, giới hạn hạn ngạch, chính sách nạp tiền, quy trình hoàn tiền và chủ sở hữu ngân sách | Tài chính và vận hành | Thay đổi giá, loại mô hình mới, hết tín dụng, vấn đề hóa đơn |
| Độ tin cậy | Trang trạng thái hoặc quy trình sự cố, SLA, ngôn ngữ bảo trì, chính sách dự phòng, kiểm tra tình trạng tuyến và chủ sở hữu khôi phục | Kỹ thuật nền tảng | Sự cố ngừng hoạt động, thay đổi tuyến của nhà cung cấp, độ trễ giảm, kiểm tra sơ bộ thất bại |
| Phê duyệt cuối cùng | Biên bản phê duyệt, các rủi ro còn tồn tại, các ngoại lệ, bản ghi kiểm tra, các trường hợp sử dụng được chấp nhận và ngày xem xét | Chủ sở hữu kinh doanh | Bất kỳ thay đổi quan trọng nào về phạm vi, chính sách, giá cả hoặc kiến trúc |
Quy tắc thực tế là: nếu người xem xét cần cùng một tài liệu trong quá trình gia hạn, sự cố, bảng câu hỏi bảo mật hoặc tranh chấp tài chính, thì nó thuộc về hồ sơ bằng chứng mua sắm cổng AI.
Bắt đầu với danh tính, thẩm quyền và phạm vi
Bộ phận mua sắm phải có thể trả lời ba câu hỏi mà không cần mở một cuộc trò chuyện: đối tác là ai, chúng ta đang mua gì và ai đã phê duyệt phạm vi?
Đối với Flatkey, hãy lưu các bản sao có ghi ngày tháng của các trang công khai quan trọng đối với hợp đồng và hồ sơ hoạt động: trang chủ, giá cả, điều khoản, chính sách bảo mật, thỏa thuận cấp độ dịch vụ và chính sách hoàn tiền. Trang giá của Flatkey hiện tại mô tả việc nạp tiền trả trước tự phục vụ, hỗ trợ mua sắm doanh nghiệp, một số dư duy nhất cho các mô hình GPT, Claude, Gemini, DeepSeek, hình ảnh, âm thanh và video, và đo lường sử dụng theo mô hình, loại token và nhật ký yêu cầu. Hãy lưu trang bạn đã xem xét thay vì dựa vào giá hoặc danh sách mô hình đã nhớ.
Sau đó, xác định phạm vi bằng ngôn ngữ của người mua:
| Câu hỏi về phạm vi | Bằng chứng cần lưu | Tại sao nó quan trọng |
|---|---|---|
| Những môi trường nào sẽ sử dụng cổng? | Danh sách dev, staging, production, batch và evaluation | Ngăn chặn lưu lượng sản xuất kế thừa một ngoại lệ kiểm thử chưa được xem xét |
| Những ứng dụng nào nằm trong phạm vi? | Tên ứng dụng, chủ sở hữu và phân loại dữ liệu | Cho phép bộ phận bảo mật ánh xạ việc sử dụng cổng với các hệ thống thực |
| Những họ endpoint nào được yêu cầu? | Các tuyến Chat, Responses, Messages, hình ảnh, video hoặc các tuyến dành riêng cho nhà cung cấp | Tránh việc phê duyệt một tuyến và vô tình sử dụng một tuyến khác |
| Những nhà cung cấp và mô hình nào được phép? | Danh sách nhà cung cấp, bí danh mô hình, các ứng viên dự phòng và các mô hình không được phép | Giữ cho việc định tuyến phù hợp với mua sắm và chính sách |
| Những lớp dữ liệu nào có thể đi qua? | Trạng thái công khai, nội bộ, khách hàng, được quản lý, bí mật, thông tin xác thực hoặc PHI | Xác định xem bằng chứng về DPA, lưu giữ và biên tập có đủ hay không |
Đừng coi việc phê duyệt cổng một cách rộng rãi là sự phê duyệt cho mọi mô hình, nhà cung cấp hoặc lớp dữ liệu trong tương lai. Hồ sơ nên nêu rõ những gì được phê duyệt và những gì cần xem xét lại.
Lưu bằng chứng về quyền riêng tư, DPA và lưu giữ dưới dạng bằng chứng có ghi ngày tháng
Sai lầm rủi ro nhất trong bằng chứng mua sắm cổng AI là nhầm lẫn ngôn ngữ tiếp thị công khai với việc xử lý dữ liệu cụ thể của tài khoản. Các tài liệu công khai là bằng chứng sàng lọc hữu ích. Việc phê duyệt cuối cùng vẫn cần hợp đồng đã ký, DPA, cài đặt tài khoản và bất kỳ điều khoản nào của nhà cung cấp áp dụng cho lưu lượng truy cập của bạn.
Lưu các tệp này trước khi phê duyệt:
| Hiện vật dữ liệu | Nội dung cần ghi lại | Ghi chú xem xét |
|---|---|---|
| Chính sách quyền riêng tư của nhà cung cấp | Ngày hiệu lực, các loại dữ liệu được bảo vệ, dữ liệu tài khoản, dữ liệu sử dụng API, dữ liệu hỗ trợ, ngôn ngữ lưu giữ | Chính sách công khai không thể thay thế cho DPA |
| DPA hoặc các điều khoản dữ liệu | Pháp nhân, các nhà xử lý phụ, ngôn ngữ chuyển giao, quyền kiểm toán, quy trình xử lý vi phạm | Xác nhận nó khớp với pháp nhân ký hợp đồng của bạn |
| Lưu giữ prompt và phản hồi | Liệu các prompt, đầu ra, tệp, embedding, hình ảnh hoặc log có được lưu trữ không; TTL mặc định và có thể cấu hình | Tách biệt việc lưu giữ của cổng với việc lưu giữ của nhà cung cấp |
| Chuyển tiếp qua nhà cung cấp | Điều khoản của nhà cung cấp thượng nguồn nào được áp dụng khi cổng định tuyến đến nhà cung cấp đó | Một cổng có thể đơn giản hóa quyền truy cập mà không loại bỏ các nghĩa vụ hạ nguồn |
| Kiểm soát biên tập và bỏ sót | Những trường nào có thể được che, bỏ qua hoặc loại trừ khỏi log | Cần thiết trước khi xử lý các khối lượng công việc nhạy cảm hoặc payload của khách hàng |
| Nơi lưu trữ dữ liệu | Khu vực, sao lưu, quyền truy cập hỗ trợ và các tuyên bố về xử lý xuyên biên giới | Phải khớp với các cam kết pháp lý và cam kết với khách hàng |
Tài liệu của nhà cung cấp cho thấy lý do tại sao điều này cần phải rõ ràng. Tài liệu về lưu giữ dữ liệu API của Anthropic phân biệt giữa Lưu giữ Dữ liệu Zero (Zero Data Retention) và các thỏa thuận khác và lưu ý rằng một số tính năng hoặc mô hình yêu cầu lưu trữ trong các khoảng thời gian cụ thể. Tài liệu về Gemini Enterprise Agent Platform của Google Cloud cũng định hình việc không lưu giữ dữ liệu như một điều mà khách hàng đạt được bằng cách đáp ứng các điều kiện và cài đặt cụ thể. Khung Quản lý Rủi ro AI của NIST là hướng dẫn tự nguyện, nhưng rõ ràng việc sử dụng AI đáng tin cậy phụ thuộc vào việc quản lý rủi ro trong suốt quá trình thiết kế, sử dụng và đánh giá, chứ không phải chỉ chấp nhận một tuyên bố duy nhất từ nhà cung cấp.
Do đó, hồ sơ do người mua sở hữu nên bao gồm cả tài liệu công khai của nhà cung cấp và bằng chứng cụ thể của tài khoản của bạn: ảnh chụp màn hình cài đặt, các phụ lục đã ký, xác nhận hỗ trợ và một tuyên bố ngắn gọn về những gì vẫn đang được giả định.
Chứng minh quyền kiểm soát truy cập trước khi chia sẻ khóa sản xuất
Phê duyệt quyền truy cập không chỉ là "ai có thể đăng nhập". Đối với một cổng AI, nó có nghĩa là ai có thể tạo khóa, xoay vòng khóa, xem mức sử dụng, thay đổi định tuyến, phê duyệt mô hình, nạp tiền, xuất log và vô hiệu hóa lưu lượng truy cập.
Lưu một trang kiểm soát khóa trong hồ sơ:
| Kiểm soát | Bằng chứng cần giữ | Lỗi cần tránh |
|---|---|---|
| Chủ sở hữu khóa | Chủ sở hữu là người cụ thể và chủ sở hữu dự phòng cho mọi khóa sản xuất | Khóa mồ côi sau khi thay đổi đội ngũ |
| Phạm vi khóa | Môi trường, ứng dụng, định tuyến, bộ nhà cung cấp và bộ mô hình | Khóa dùng chung được sử dụng cho các khối lượng công việc không liên quan |
| Xoay vòng | Ngày xoay vòng cuối cùng, ngày xoay vòng tiếp theo và sổ tay hướng dẫn xoay vòng khẩn cấp | Khóa tồn tại lâu dài không có chủ sở hữu |
| Quy trình nghỉ việc | Cách xóa quyền truy cập khi một kỹ sư hoặc nhà cung cấp rời đi | Người dùng cũ vẫn giữ quyền truy cập vào định tuyến hoặc bảng điều khiển |
| Sử dụng tài khoản dịch vụ | Liệu tự động hóa có sử dụng thông tin đăng nhập người dùng chung, thông tin đăng nhập tài khoản dịch vụ hay danh tính khối lượng công việc | Các thay đổi tự động hóa không thể truy vết |
| Lưu trữ bí mật | Đường dẫn trình quản lý bí mật, tham chiếu CI/CD và ảnh chụp màn hình không chứa bí mật | Khóa API xuất hiện trong ticket, tài liệu hoặc log |
Định vị công khai của Flatkey xoay quanh một khóa và một bảng điều khiển rất hữu ích để giảm sự bành trướng của tài khoản nhà cung cấp. Bộ phận mua sắm vẫn cần bằng chứng về cách đội ngũ của bạn sẽ ngăn chặn khóa cổng đó trở thành một siêu khóa dùng chung. Kết hợp bài viết này với đánh giá quyền truy cập AI API và log kiểm toán cho việc sử dụng AI API khi xây dựng quy trình đánh giá nội bộ.
Biến các tuyên bố ghi log thành tệp kiểm toán
Một hồ sơ bằng chứng mua sắm cổng AI nên trả lời được điều gì đã xảy ra, ai sở hữu nó, chi phí là bao nhiêu và điều gì đã thay đổi. Lưu các tệp xuất mẫu, không chỉ là ảnh chụp màn hình của các biểu đồ trên bảng điều khiển.
Các trường kiểm toán tối thiểu cần kiểm tra:
| Trường kiểm toán | Tại sao người đánh giá cần nó |
|---|---|
| ID yêu cầu và dấu thời gian | Hỗ trợ tái tạo sự cố và các ticket hỗ trợ |
| Nhãn khóa hoặc chủ sở hữu | Liên kết lưu lượng truy cập với một đội ngũ hoặc dịch vụ chịu trách nhiệm |
| Họ endpoint và định tuyến | Cho biết liệu lưu lượng truy cập có sử dụng đường dẫn cổng đã được phê duyệt hay không |
| Mô hình được yêu cầu và mô hình đã phục vụ | Tiết lộ hành vi định tuyến, dự phòng và bí danh |
| Nhà cung cấp hoặc tài khoản thượng nguồn | Tách biệt bằng chứng của cổng với bằng chứng của nhà cung cấp hạ nguồn |
| Đơn vị sử dụng | Token, hình ảnh, giây, đơn vị bộ nhớ đệm hoặc các chiều thanh toán khác |
| Chi phí ước tính và thực tế | Cho phép bộ phận tài chính xem xét chi tiêu và sự gia tăng do thử lại |
| Loại lỗi và số lần thử lại | Cho biết liệu các lỗi có gây ra chi tiêu bổ sung hay không |
| Trạng thái biên tập | Xác nhận liệu các prompt/phản hồi có được ghi log, che hoặc bỏ qua hay không |
Giữ một bài kiểm tra dương tính và một bài kiểm tra âm tính. Bài kiểm tra dương tính chứng minh một yêu cầu bình thường có thể nhìn thấy với các trường chủ sở hữu, mô hình, chi phí và định tuyến dự kiến. Bài kiểm tra âm tính chứng minh một khóa không hợp lệ, định tuyến bị chặn, sự kiện hạn ngạch hoặc mô hình không hợp lệ được ghi lại mà không làm lộ bí mật.
Để xem xét rủi ro nhà cung cấp, hãy kết nối bằng chứng này với đánh giá rủi ro nhà cung cấp AI API. Đối với hoạt động vận hành, hãy kết nối nó với các sổ tay hướng dẫn về hạn ngạch, thử lại và sự cố để nhật ký hữu ích khi có sự cố xảy ra.
Lưu giữ bằng chứng về giá cả, thanh toán và hạn ngạch
Bộ phận tài chính không nên phê duyệt một cổng AI chỉ dựa trên tiêu đề giá. Hồ sơ cần chỉ ra cách đội ngũ sẽ hiểu chi phí đơn vị, số dư trả trước, hồ sơ nạp tiền, xử lý hóa đơn, hoàn tiền và giới hạn ngân sách sau khi lưu lượng truy cập bắt đầu.
Lưu lại các tài liệu tài chính sau:
| Tài liệu tài chính | Nội dung cần lưu |
|---|---|
| Trang giá hiện tại | PDF hoặc ảnh chụp màn hình có ghi ngày tháng với các loại mô hình, đơn vị và ngôn ngữ gói doanh nghiệp |
| Chi phí yêu cầu thử nghiệm | ID yêu cầu, mô hình, đơn vị đầu vào/đầu ra và chi phí hiển thị trên bảng điều khiển |
| Luồng số dư hoặc hóa đơn | Hồ sơ nạp tiền, mẫu hóa đơn, xử lý thuế, đơn vị xử lý thanh toán hoặc liên hệ thanh toán doanh nghiệp |
| Cài đặt hạn ngạch | Ảnh chụp màn hình hạn ngạch theo khóa, theo nhóm hoặc cấp tài khoản và người sở hữu |
| Chính sách hoàn tiền hoặc tranh chấp | Quy trình xử lý các khoản phí trùng lặp, khấu trừ không chính xác, lỗi giao hàng, lỗi hóa đơn và bằng chứng hỗ trợ |
| Các giả định gia hạn | Mức sử dụng hàng tháng dự kiến, cơ cấu mô hình, phạm vi tăng trưởng và người sở hữu để xem xét thay đổi giá |
Điểm kiểm soát chính không phải là liệu mức giá hiện tại có chấp nhận được hay không. Mà là liệu bộ phận tài chính có thể tái tạo lại dấu vết chi phí sau này hay không. Bảng giá và danh mục nhà cung cấp thay đổi, đặc biệt là đối với các mô hình văn bản, hình ảnh, âm thanh và video. Lưu lại bằng chứng có ghi ngày tháng và yêu cầu một trình kích hoạt gia hạn khi một loại mô hình hoặc tuyến nhà cung cấp mới được thêm vào.
Chạy kiểm thử sơ bộ (smoke test) để phê duyệt
Trước khi phê duyệt, hãy chạy một bài kiểm thử có kiểm soát thông qua đường dẫn cổng được đề xuất. Nếu chưa có khóa sản phẩm (production key), hãy chạy nó trong môi trường thử nghiệm (sandbox) với các cài đặt đại diện và dán nhãn bằng chứng là tiền sản xuất (pre-production).
Sử dụng bài kiểm thử phê duyệt này:
- Tạo hoặc chọn khóa kiểm thử đã được phê duyệt.
- Gửi một yêu cầu rủi ro thấp thông qua URL cơ sở và nhóm điểm cuối đã được phê duyệt.
- Ghi lại ID yêu cầu, bí danh mô hình, mô hình đã phục vụ nếu có, tuyến, nhà cung cấp, độ trễ, đơn vị sử dụng và chi phí ước tính.
- Xác nhận yêu cầu xuất hiện trên bảng điều khiển hoặc tệp xuất dưới quyền sở hữu chính xác.
- Kích hoạt một lỗi dự kiến, chẳng hạn như mô hình không hợp lệ, khóa không hợp lệ, đạt giới hạn hạn ngạch hoặc tuyến bị chặn.
- Xác nhận bản ghi lỗi không tiết lộ bí mật hoặc tải trọng nhạy cảm.
- Lưu lại đường dẫn khôi phục: cách vô hiệu hóa khóa, chuyển hướng lưu lượng truy cập hoặc quay lại truy cập trực tiếp nhà cung cấp.
Trang web công khai hiện tại của Flatkey hướng người dùng đến bảng điều khiển, trang giá, trang mô hình và luồng đăng ký, đồng thời định vị nền tảng xoay quanh quyền truy cập cổng, định tuyến, thanh toán, phân tích sử dụng và kiểm soát vận hành. Điều đó đủ để xây dựng một kế hoạch kiểm thử mua sắm. Nhưng không đủ để bỏ qua bằng chứng cụ thể của tài khoản.
Phê duyệt cuối cùng nên bao gồm các rủi ro còn tồn đọng
Trang cuối cùng của hồ sơ bằng chứng mua sắm cổng AI phải là một biên bản quyết định, không phải là một danh sách kiểm tra mang tính hình thức.
Bao gồm:
| Trường quyết định | Ví dụ |
|---|---|
| Trường hợp sử dụng được phê duyệt | Trợ lý hỗ trợ sản xuất, tóm tắt hàng loạt nội bộ, đánh giá mô hình hoặc công cụ dành cho nhà phát triển |
| Tuyến được phê duyệt | URL cơ sở, nhóm điểm cuối, bộ nhà cung cấp, bí danh mô hình và chính sách dự phòng |
| Dữ liệu được phê duyệt | Chỉ công khai, chỉ nội bộ, cho phép dữ liệu khách hàng, loại trừ dữ liệu được quản lý hoặc PHI chỉ được phép sau khi có BAA |
| Các biện pháp kiểm soát bắt buộc | Chủ sở hữu khóa, giới hạn hạn ngạch, biên tập nhật ký, xem xét hàng tháng, chủ sở hữu sự cố |
| Các rủi ro còn tồn đọng | DPA đang chờ xử lý, ZDR chưa được bật, chuyển tiếp nhà cung cấp chưa được xác nhận, dự phòng chưa được phê duyệt |
| Ngày xem xét | Lần gia hạn tiếp theo, tháng sản xuất đầu tiên hoặc trước khi có bất kỳ nhà cung cấp/loại mô hình mới nào |
| Người phê duyệt | Bộ phận mua sắm, pháp lý, bảo mật, nền tảng, tài chính và chủ sở hữu kinh doanh |
Biên bản này giữ cho việc phê duyệt được minh bạch. Nếu một rủi ro được chấp nhận, hãy nêu rõ ai đã chấp nhận nó và khi nào nó hết hạn. Nếu một tuyên bố vẫn cần bằng chứng, đừng chôn vùi nó trong một cuộc trò chuyện.
Điểm mấu chốt
Bằng chứng mua sắm cổng AI tốt sẽ biến các tuyên bố của nhà cung cấp thành các tệp mà người mua kiểm soát: các trang chính sách có ghi ngày tháng, điều khoản hợp đồng, cài đặt tài khoản, chủ sở hữu quyền truy cập, tệp xuất kiểm toán, kiểm tra chi phí, bản ghi kiểm thử sơ bộ và trình kích hoạt gia hạn.
Đối với Flatkey, hãy bắt đầu bằng cách lưu các trang sản phẩm, giá cả, điều khoản, quyền riêng tư, SLA và hoàn tiền hiện tại; xác định chính xác các ứng dụng, tuyến, mô hình, nhà cung cấp, loại dữ liệu và chủ sở hữu trong phạm vi; sau đó chạy một bài kiểm thử cổng nhỏ trước khi phê duyệt cho môi trường sản xuất. Sử dụng danh sách kiểm tra cổng AI API doanh nghiệp làm bản xem xét kiểm soát rộng hơn, sau đó lấy khóa và giữ biên bản phê duyệt đính kèm với đội ngũ sẽ sở hữu lưu lượng truy cập.
Câu hỏi thường gặp
Bằng chứng mua sắm cổng AI là gì?
Bằng chứng mua sắm cổng AI là gói bằng chứng do người mua sở hữu để hỗ trợ việc phê duyệt một cổng AI API. Nó bao gồm các trang của nhà cung cấp có ghi ngày tháng, các điều khoản đã ký, bằng chứng về quyền riêng tư và lưu giữ, bằng chứng kiểm soát truy cập, mẫu kiểm toán, hồ sơ giá cả, kiểm thử sơ bộ và phê duyệt cuối cùng.
Một trang tin cậy (trust page) có đủ để phê duyệt cổng AI không?
Không. Một trang tin cậy là bằng chứng sàng lọc, không phải là một hồ sơ phê duyệt hoàn chỉnh. Người mua nên lưu lại trang tin cậy, nhưng họ cũng cần phạm vi hợp đồng, trạng thái DPA, cài đặt tài khoản, quyền sở hữu truy cập, mẫu ghi nhật ký, bằng chứng giá cả và kết quả kiểm thử.
Ai nên sở hữu hồ sơ bằng chứng mua sắm cổng AI?
Bộ phận mua sắm hoặc pháp lý có thể sở hữu thư mục hợp đồng, nhưng bộ phận kỹ thuật nền tảng nên sở hữu phạm vi kỹ thuật và bằng chứng kiểm tra sơ bộ (smoke-test). Bộ phận bảo mật nên sở hữu bằng chứng về dữ liệu, quyền truy cập và kiểm toán. Bộ phận tài chính nên sở hữu bằng chứng về giá cả, mức sử dụng, hạn ngạch và hóa đơn.
Nên làm mới hồ sơ bằng chứng với tần suất như thế nào?
Hãy làm mới hồ sơ khi gia hạn, sau những thay đổi quan trọng về chính sách hoặc giá cả, trước khi thêm nhà cung cấp hoặc lớp mô hình mới, trước khi định tuyến dữ liệu được quản lý, và sau bất kỳ sự cố nào làm thay đổi các giả định vận hành của gateway.
Người mua Flatkey nên lưu lại những gì trước khi phê duyệt?
Người mua Flatkey nên lưu các bản sao có ghi ngày tháng của trang chủ, trang giá, điều khoản, chính sách bảo mật, SLA, chính sách hoàn tiền, phạm vi mô hình và định tuyến, kế hoạch chủ sở hữu khóa, cài đặt hạn ngạch, mẫu kiểm toán/nhật ký, bằng chứng thanh toán và kết quả kiểm tra sơ bộ (smoke test) gateway thành công đầu tiên.



