Enterprise Controls and Trust4 tháng 7, 2026Big Y

Hồ sơ Bằng chứng Mua sắm AI Gateway: Cần lưu lại những gì trước khi phê duyệt

Xây dựng một hồ sơ bằng chứng mua sắm AI gateway thuộc sở hữu của người mua với danh tính nhà cung cấp, xử lý dữ liệu, kiểm soát truy cập, nhật ký, bằng chứng thanh toán, smoke tests và các yếu tố kích hoạt ký duyệt.

Hồ sơ Bằng chứng Mua sắm AI Gateway: Cần lưu lại những gì trước khi phê duyệt

Một hồ sơ bằng chứng mua sắm cổng AI nên giúp việc phê duyệt có thể lặp lại. Đây không phải là một thư mục chứa các tuyên bố của nhà cung cấp. Đây là bằng chứng do người mua sở hữu cho thấy các bộ phận bảo mật, pháp lý, kỹ thuật nền tảng, tài chính và chủ sở hữu kinh doanh đã xem xét cùng một hành vi của cổng trước khi lưu lượng truy cập đi qua nó.

Điều đó quan trọng vì một cổng AI nằm giữa các ứng dụng của bạn và các nhà cung cấp mô hình. Nó có thể ảnh hưởng đến khóa, tuyến đường, quyền truy cập nhà cung cấp, thanh toán, xử lý prompt và phản hồi, nhật ký, hạn ngạch, hành vi dự phòng và phản ứng sự cố. Nếu hồ sơ phê duyệt chỉ ghi "đã xem xét trang tin cậy," lần gia hạn, kiểm toán, sự cố ngừng hoạt động hoặc câu hỏi về dữ liệu tiếp theo sẽ phải bắt đầu lại từ đầu.

Flatkey được xây dựng cho các đội ngũ muốn có một bề mặt cổng API AI duy nhất để truy cập mô hình, định tuyến, thanh toán, phân tích sử dụng và kiểm soát vận hành. Trước khi phê duyệt bất kỳ cổng nào, bao gồm cả Flatkey, hãy lưu lại bằng chứng có ghi ngày tháng cho thấy những gì đã được xem xét, ai đã chấp nhận nó, những giả định nào vẫn cần bằng chứng ở cấp độ tài khoản và điều gì sẽ kích hoạt việc xem xét gia hạn.

Sơ lược về hồ sơ bằng chứng mua sắm cổng AI

Sử dụng bảng này làm trang đầu tiên của hồ sơ. Tên tệp nên bao gồm nhà cung cấp, môi trường, chủ sở hữu kinh doanh, ngày phê duyệt và ngày gia hạn.

Tệp bằng chứngLưu trước khi phê duyệtChủ sở hữuTác nhân kích hoạt gia hạn
Danh tính nhà cung cấpPháp nhân, liên hệ hỗ trợ, đối tác hợp đồng, điều khoản hiện tại, chính sách bảo mật, chính sách hoàn tiền và các trang SLAMua sắm và pháp lýThay đổi về pháp nhân, điều khoản, quyền riêng tư, thanh toán hoặc SLA
Phạm vi cổngCổng sẽ đứng trước những gì: các họ endpoint, ứng dụng, môi trường, nhà cung cấp mô hình, bí danh mô hình và các lớp dữ liệuKỹ thuật nền tảngỨng dụng mới, họ endpoint mới, nhà cung cấp mới, khối lượng công việc được quản lý
Xử lý dữ liệuChính sách bảo mật, DPA hoặc điều khoản dữ liệu, cài đặt lưu giữ, chính sách tải trọng nhật ký, điều khoản chuyển tiếp của nhà cung cấp và các kiểm soát biên tậpBảo mật và pháp lýThay đổi ghi nhật ký prompt/phản hồi, yêu cầu ZDR, danh mục dữ liệu mới
Kiểm soát truy cậpChủ sở hữu khóa, quy trình tạo khóa, lịch xoay vòng, quy trình thôi việc, tài khoản dịch vụ và các ranh giới đặc quyền tối thiểuBảo mật và nền tảngĐội ngũ mới, tìm thấy khóa chia sẻ, chủ sở hữu rời đi, khóa sản xuất được xoay vòng
Kiểm toán và nhật kýCác trường ID yêu cầu, xuất dữ liệu sử dụng, phân bổ chủ sở hữu, các trường thanh toán, bản ghi lỗi và giới hạn lưu giữBảo mật và tài chínhYêu cầu kiểm toán, sự cố, thiếu chủ sở hữu chi phí, thay đổi trường nhật ký
Thanh toán và hạn ngạchTrang giá hiện tại, điều khoản trả trước hoặc hóa đơn, giới hạn hạn ngạch, chính sách nạp tiền, quy trình hoàn tiền và chủ sở hữu ngân sáchTài chính và vận hànhThay đổi giá, loại mô hình mới, hết tín dụng, vấn đề hóa đơn
Độ tin cậyTrang trạng thái hoặc quy trình sự cố, SLA, ngôn ngữ bảo trì, chính sách dự phòng, kiểm tra tình trạng tuyến và chủ sở hữu khôi phụcKỹ thuật nền tảngSự cố ngừng hoạt động, thay đổi tuyến của nhà cung cấp, độ trễ giảm, kiểm tra sơ bộ thất bại
Phê duyệt cuối cùngBiên bản phê duyệt, các rủi ro còn tồn tại, các ngoại lệ, bản ghi kiểm tra, các trường hợp sử dụng được chấp nhận và ngày xem xétChủ sở hữu kinh doanhBất kỳ thay đổi quan trọng nào về phạm vi, chính sách, giá cả hoặc kiến trúc

Quy tắc thực tế là: nếu người xem xét cần cùng một tài liệu trong quá trình gia hạn, sự cố, bảng câu hỏi bảo mật hoặc tranh chấp tài chính, thì nó thuộc về hồ sơ bằng chứng mua sắm cổng AI.

Bắt đầu với danh tính, thẩm quyền và phạm vi

Bộ phận mua sắm phải có thể trả lời ba câu hỏi mà không cần mở một cuộc trò chuyện: đối tác là ai, chúng ta đang mua gì và ai đã phê duyệt phạm vi?

Đối với Flatkey, hãy lưu các bản sao có ghi ngày tháng của các trang công khai quan trọng đối với hợp đồng và hồ sơ hoạt động: trang chủ, giá cả, điều khoản, chính sách bảo mật, thỏa thuận cấp độ dịch vụchính sách hoàn tiền. Trang giá của Flatkey hiện tại mô tả việc nạp tiền trả trước tự phục vụ, hỗ trợ mua sắm doanh nghiệp, một số dư duy nhất cho các mô hình GPT, Claude, Gemini, DeepSeek, hình ảnh, âm thanh và video, và đo lường sử dụng theo mô hình, loại token và nhật ký yêu cầu. Hãy lưu trang bạn đã xem xét thay vì dựa vào giá hoặc danh sách mô hình đã nhớ.

Sau đó, xác định phạm vi bằng ngôn ngữ của người mua:

Câu hỏi về phạm viBằng chứng cần lưuTại sao nó quan trọng
Những môi trường nào sẽ sử dụng cổng?Danh sách dev, staging, production, batch và evaluationNgăn chặn lưu lượng sản xuất kế thừa một ngoại lệ kiểm thử chưa được xem xét
Những ứng dụng nào nằm trong phạm vi?Tên ứng dụng, chủ sở hữu và phân loại dữ liệuCho phép bộ phận bảo mật ánh xạ việc sử dụng cổng với các hệ thống thực
Những họ endpoint nào được yêu cầu?Các tuyến Chat, Responses, Messages, hình ảnh, video hoặc các tuyến dành riêng cho nhà cung cấpTránh việc phê duyệt một tuyến và vô tình sử dụng một tuyến khác
Những nhà cung cấp và mô hình nào được phép?Danh sách nhà cung cấp, bí danh mô hình, các ứng viên dự phòng và các mô hình không được phépGiữ cho việc định tuyến phù hợp với mua sắm và chính sách
Những lớp dữ liệu nào có thể đi qua?Trạng thái công khai, nội bộ, khách hàng, được quản lý, bí mật, thông tin xác thực hoặc PHIXác định xem bằng chứng về DPA, lưu giữ và biên tập có đủ hay không

Đừng coi việc phê duyệt cổng một cách rộng rãi là sự phê duyệt cho mọi mô hình, nhà cung cấp hoặc lớp dữ liệu trong tương lai. Hồ sơ nên nêu rõ những gì được phê duyệt và những gì cần xem xét lại.

Lưu bằng chứng về quyền riêng tư, DPA và lưu giữ dưới dạng bằng chứng có ghi ngày tháng

Sai lầm rủi ro nhất trong bằng chứng mua sắm cổng AI là nhầm lẫn ngôn ngữ tiếp thị công khai với việc xử lý dữ liệu cụ thể của tài khoản. Các tài liệu công khai là bằng chứng sàng lọc hữu ích. Việc phê duyệt cuối cùng vẫn cần hợp đồng đã ký, DPA, cài đặt tài khoản và bất kỳ điều khoản nào của nhà cung cấp áp dụng cho lưu lượng truy cập của bạn.

Lưu các tệp này trước khi phê duyệt:

Hiện vật dữ liệuNội dung cần ghi lạiGhi chú xem xét
Chính sách quyền riêng tư của nhà cung cấpNgày hiệu lực, các loại dữ liệu được bảo vệ, dữ liệu tài khoản, dữ liệu sử dụng API, dữ liệu hỗ trợ, ngôn ngữ lưu giữChính sách công khai không thể thay thế cho DPA
DPA hoặc các điều khoản dữ liệuPháp nhân, các nhà xử lý phụ, ngôn ngữ chuyển giao, quyền kiểm toán, quy trình xử lý vi phạmXác nhận nó khớp với pháp nhân ký hợp đồng của bạn
Lưu giữ prompt và phản hồiLiệu các prompt, đầu ra, tệp, embedding, hình ảnh hoặc log có được lưu trữ không; TTL mặc định và có thể cấu hìnhTách biệt việc lưu giữ của cổng với việc lưu giữ của nhà cung cấp
Chuyển tiếp qua nhà cung cấpĐiều khoản của nhà cung cấp thượng nguồn nào được áp dụng khi cổng định tuyến đến nhà cung cấp đóMột cổng có thể đơn giản hóa quyền truy cập mà không loại bỏ các nghĩa vụ hạ nguồn
Kiểm soát biên tập và bỏ sótNhững trường nào có thể được che, bỏ qua hoặc loại trừ khỏi logCần thiết trước khi xử lý các khối lượng công việc nhạy cảm hoặc payload của khách hàng
Nơi lưu trữ dữ liệuKhu vực, sao lưu, quyền truy cập hỗ trợ và các tuyên bố về xử lý xuyên biên giớiPhải khớp với các cam kết pháp lý và cam kết với khách hàng

Tài liệu của nhà cung cấp cho thấy lý do tại sao điều này cần phải rõ ràng. Tài liệu về lưu giữ dữ liệu API của Anthropic phân biệt giữa Lưu giữ Dữ liệu Zero (Zero Data Retention) và các thỏa thuận khác và lưu ý rằng một số tính năng hoặc mô hình yêu cầu lưu trữ trong các khoảng thời gian cụ thể. Tài liệu về Gemini Enterprise Agent Platform của Google Cloud cũng định hình việc không lưu giữ dữ liệu như một điều mà khách hàng đạt được bằng cách đáp ứng các điều kiện và cài đặt cụ thể. Khung Quản lý Rủi ro AI của NIST là hướng dẫn tự nguyện, nhưng rõ ràng việc sử dụng AI đáng tin cậy phụ thuộc vào việc quản lý rủi ro trong suốt quá trình thiết kế, sử dụng và đánh giá, chứ không phải chỉ chấp nhận một tuyên bố duy nhất từ nhà cung cấp.

Do đó, hồ sơ do người mua sở hữu nên bao gồm cả tài liệu công khai của nhà cung cấp và bằng chứng cụ thể của tài khoản của bạn: ảnh chụp màn hình cài đặt, các phụ lục đã ký, xác nhận hỗ trợ và một tuyên bố ngắn gọn về những gì vẫn đang được giả định.

Chứng minh quyền kiểm soát truy cập trước khi chia sẻ khóa sản xuất

Phê duyệt quyền truy cập không chỉ là "ai có thể đăng nhập". Đối với một cổng AI, nó có nghĩa là ai có thể tạo khóa, xoay vòng khóa, xem mức sử dụng, thay đổi định tuyến, phê duyệt mô hình, nạp tiền, xuất log và vô hiệu hóa lưu lượng truy cập.

Lưu một trang kiểm soát khóa trong hồ sơ:

Kiểm soátBằng chứng cần giữLỗi cần tránh
Chủ sở hữu khóaChủ sở hữu là người cụ thể và chủ sở hữu dự phòng cho mọi khóa sản xuấtKhóa mồ côi sau khi thay đổi đội ngũ
Phạm vi khóaMôi trường, ứng dụng, định tuyến, bộ nhà cung cấp và bộ mô hìnhKhóa dùng chung được sử dụng cho các khối lượng công việc không liên quan
Xoay vòngNgày xoay vòng cuối cùng, ngày xoay vòng tiếp theo và sổ tay hướng dẫn xoay vòng khẩn cấpKhóa tồn tại lâu dài không có chủ sở hữu
Quy trình nghỉ việcCách xóa quyền truy cập khi một kỹ sư hoặc nhà cung cấp rời điNgười dùng cũ vẫn giữ quyền truy cập vào định tuyến hoặc bảng điều khiển
Sử dụng tài khoản dịch vụLiệu tự động hóa có sử dụng thông tin đăng nhập người dùng chung, thông tin đăng nhập tài khoản dịch vụ hay danh tính khối lượng công việcCác thay đổi tự động hóa không thể truy vết
Lưu trữ bí mậtĐường dẫn trình quản lý bí mật, tham chiếu CI/CD và ảnh chụp màn hình không chứa bí mậtKhóa API xuất hiện trong ticket, tài liệu hoặc log

Định vị công khai của Flatkey xoay quanh một khóa và một bảng điều khiển rất hữu ích để giảm sự bành trướng của tài khoản nhà cung cấp. Bộ phận mua sắm vẫn cần bằng chứng về cách đội ngũ của bạn sẽ ngăn chặn khóa cổng đó trở thành một siêu khóa dùng chung. Kết hợp bài viết này với đánh giá quyền truy cập AI APIlog kiểm toán cho việc sử dụng AI API khi xây dựng quy trình đánh giá nội bộ.

Biến các tuyên bố ghi log thành tệp kiểm toán

Một hồ sơ bằng chứng mua sắm cổng AI nên trả lời được điều gì đã xảy ra, ai sở hữu nó, chi phí là bao nhiêu và điều gì đã thay đổi. Lưu các tệp xuất mẫu, không chỉ là ảnh chụp màn hình của các biểu đồ trên bảng điều khiển.

Các trường kiểm toán tối thiểu cần kiểm tra:

Trường kiểm toánTại sao người đánh giá cần nó
ID yêu cầu và dấu thời gianHỗ trợ tái tạo sự cố và các ticket hỗ trợ
Nhãn khóa hoặc chủ sở hữuLiên kết lưu lượng truy cập với một đội ngũ hoặc dịch vụ chịu trách nhiệm
Họ endpoint và định tuyếnCho biết liệu lưu lượng truy cập có sử dụng đường dẫn cổng đã được phê duyệt hay không
Mô hình được yêu cầu và mô hình đã phục vụTiết lộ hành vi định tuyến, dự phòng và bí danh
Nhà cung cấp hoặc tài khoản thượng nguồnTách biệt bằng chứng của cổng với bằng chứng của nhà cung cấp hạ nguồn
Đơn vị sử dụngToken, hình ảnh, giây, đơn vị bộ nhớ đệm hoặc các chiều thanh toán khác
Chi phí ước tính và thực tếCho phép bộ phận tài chính xem xét chi tiêu và sự gia tăng do thử lại
Loại lỗi và số lần thử lạiCho biết liệu các lỗi có gây ra chi tiêu bổ sung hay không
Trạng thái biên tậpXác nhận liệu các prompt/phản hồi có được ghi log, che hoặc bỏ qua hay không

Giữ một bài kiểm tra dương tính và một bài kiểm tra âm tính. Bài kiểm tra dương tính chứng minh một yêu cầu bình thường có thể nhìn thấy với các trường chủ sở hữu, mô hình, chi phí và định tuyến dự kiến. Bài kiểm tra âm tính chứng minh một khóa không hợp lệ, định tuyến bị chặn, sự kiện hạn ngạch hoặc mô hình không hợp lệ được ghi lại mà không làm lộ bí mật.

Để xem xét rủi ro nhà cung cấp, hãy kết nối bằng chứng này với đánh giá rủi ro nhà cung cấp AI API. Đối với hoạt động vận hành, hãy kết nối nó với các sổ tay hướng dẫn về hạn ngạch, thử lại và sự cố để nhật ký hữu ích khi có sự cố xảy ra.

Lưu giữ bằng chứng về giá cả, thanh toán và hạn ngạch

Bộ phận tài chính không nên phê duyệt một cổng AI chỉ dựa trên tiêu đề giá. Hồ sơ cần chỉ ra cách đội ngũ sẽ hiểu chi phí đơn vị, số dư trả trước, hồ sơ nạp tiền, xử lý hóa đơn, hoàn tiền và giới hạn ngân sách sau khi lưu lượng truy cập bắt đầu.

Lưu lại các tài liệu tài chính sau:

Tài liệu tài chínhNội dung cần lưu
Trang giá hiện tạiPDF hoặc ảnh chụp màn hình có ghi ngày tháng với các loại mô hình, đơn vị và ngôn ngữ gói doanh nghiệp
Chi phí yêu cầu thử nghiệmID yêu cầu, mô hình, đơn vị đầu vào/đầu ra và chi phí hiển thị trên bảng điều khiển
Luồng số dư hoặc hóa đơnHồ sơ nạp tiền, mẫu hóa đơn, xử lý thuế, đơn vị xử lý thanh toán hoặc liên hệ thanh toán doanh nghiệp
Cài đặt hạn ngạchẢnh chụp màn hình hạn ngạch theo khóa, theo nhóm hoặc cấp tài khoản và người sở hữu
Chính sách hoàn tiền hoặc tranh chấpQuy trình xử lý các khoản phí trùng lặp, khấu trừ không chính xác, lỗi giao hàng, lỗi hóa đơn và bằng chứng hỗ trợ
Các giả định gia hạnMức sử dụng hàng tháng dự kiến, cơ cấu mô hình, phạm vi tăng trưởng và người sở hữu để xem xét thay đổi giá

Điểm kiểm soát chính không phải là liệu mức giá hiện tại có chấp nhận được hay không. Mà là liệu bộ phận tài chính có thể tái tạo lại dấu vết chi phí sau này hay không. Bảng giá và danh mục nhà cung cấp thay đổi, đặc biệt là đối với các mô hình văn bản, hình ảnh, âm thanh và video. Lưu lại bằng chứng có ghi ngày tháng và yêu cầu một trình kích hoạt gia hạn khi một loại mô hình hoặc tuyến nhà cung cấp mới được thêm vào.

Chạy kiểm thử sơ bộ (smoke test) để phê duyệt

Trước khi phê duyệt, hãy chạy một bài kiểm thử có kiểm soát thông qua đường dẫn cổng được đề xuất. Nếu chưa có khóa sản phẩm (production key), hãy chạy nó trong môi trường thử nghiệm (sandbox) với các cài đặt đại diện và dán nhãn bằng chứng là tiền sản xuất (pre-production).

Sử dụng bài kiểm thử phê duyệt này:

  1. Tạo hoặc chọn khóa kiểm thử đã được phê duyệt.
  2. Gửi một yêu cầu rủi ro thấp thông qua URL cơ sở và nhóm điểm cuối đã được phê duyệt.
  3. Ghi lại ID yêu cầu, bí danh mô hình, mô hình đã phục vụ nếu có, tuyến, nhà cung cấp, độ trễ, đơn vị sử dụng và chi phí ước tính.
  4. Xác nhận yêu cầu xuất hiện trên bảng điều khiển hoặc tệp xuất dưới quyền sở hữu chính xác.
  5. Kích hoạt một lỗi dự kiến, chẳng hạn như mô hình không hợp lệ, khóa không hợp lệ, đạt giới hạn hạn ngạch hoặc tuyến bị chặn.
  6. Xác nhận bản ghi lỗi không tiết lộ bí mật hoặc tải trọng nhạy cảm.
  7. Lưu lại đường dẫn khôi phục: cách vô hiệu hóa khóa, chuyển hướng lưu lượng truy cập hoặc quay lại truy cập trực tiếp nhà cung cấp.

Trang web công khai hiện tại của Flatkey hướng người dùng đến bảng điều khiển, trang giá, trang mô hình và luồng đăng ký, đồng thời định vị nền tảng xoay quanh quyền truy cập cổng, định tuyến, thanh toán, phân tích sử dụng và kiểm soát vận hành. Điều đó đủ để xây dựng một kế hoạch kiểm thử mua sắm. Nhưng không đủ để bỏ qua bằng chứng cụ thể của tài khoản.

Phê duyệt cuối cùng nên bao gồm các rủi ro còn tồn đọng

Trang cuối cùng của hồ sơ bằng chứng mua sắm cổng AI phải là một biên bản quyết định, không phải là một danh sách kiểm tra mang tính hình thức.

Bao gồm:

Trường quyết địnhVí dụ
Trường hợp sử dụng được phê duyệtTrợ lý hỗ trợ sản xuất, tóm tắt hàng loạt nội bộ, đánh giá mô hình hoặc công cụ dành cho nhà phát triển
Tuyến được phê duyệtURL cơ sở, nhóm điểm cuối, bộ nhà cung cấp, bí danh mô hình và chính sách dự phòng
Dữ liệu được phê duyệtChỉ công khai, chỉ nội bộ, cho phép dữ liệu khách hàng, loại trừ dữ liệu được quản lý hoặc PHI chỉ được phép sau khi có BAA
Các biện pháp kiểm soát bắt buộcChủ sở hữu khóa, giới hạn hạn ngạch, biên tập nhật ký, xem xét hàng tháng, chủ sở hữu sự cố
Các rủi ro còn tồn đọngDPA đang chờ xử lý, ZDR chưa được bật, chuyển tiếp nhà cung cấp chưa được xác nhận, dự phòng chưa được phê duyệt
Ngày xem xétLần gia hạn tiếp theo, tháng sản xuất đầu tiên hoặc trước khi có bất kỳ nhà cung cấp/loại mô hình mới nào
Người phê duyệtBộ phận mua sắm, pháp lý, bảo mật, nền tảng, tài chính và chủ sở hữu kinh doanh

Biên bản này giữ cho việc phê duyệt được minh bạch. Nếu một rủi ro được chấp nhận, hãy nêu rõ ai đã chấp nhận nó và khi nào nó hết hạn. Nếu một tuyên bố vẫn cần bằng chứng, đừng chôn vùi nó trong một cuộc trò chuyện.

Điểm mấu chốt

Bằng chứng mua sắm cổng AI tốt sẽ biến các tuyên bố của nhà cung cấp thành các tệp mà người mua kiểm soát: các trang chính sách có ghi ngày tháng, điều khoản hợp đồng, cài đặt tài khoản, chủ sở hữu quyền truy cập, tệp xuất kiểm toán, kiểm tra chi phí, bản ghi kiểm thử sơ bộ và trình kích hoạt gia hạn.

Đối với Flatkey, hãy bắt đầu bằng cách lưu các trang sản phẩm, giá cả, điều khoản, quyền riêng tư, SLA và hoàn tiền hiện tại; xác định chính xác các ứng dụng, tuyến, mô hình, nhà cung cấp, loại dữ liệu và chủ sở hữu trong phạm vi; sau đó chạy một bài kiểm thử cổng nhỏ trước khi phê duyệt cho môi trường sản xuất. Sử dụng danh sách kiểm tra cổng AI API doanh nghiệp làm bản xem xét kiểm soát rộng hơn, sau đó lấy khóa và giữ biên bản phê duyệt đính kèm với đội ngũ sẽ sở hữu lưu lượng truy cập.

Câu hỏi thường gặp

Bằng chứng mua sắm cổng AI là gì?

Bằng chứng mua sắm cổng AI là gói bằng chứng do người mua sở hữu để hỗ trợ việc phê duyệt một cổng AI API. Nó bao gồm các trang của nhà cung cấp có ghi ngày tháng, các điều khoản đã ký, bằng chứng về quyền riêng tư và lưu giữ, bằng chứng kiểm soát truy cập, mẫu kiểm toán, hồ sơ giá cả, kiểm thử sơ bộ và phê duyệt cuối cùng.

Một trang tin cậy (trust page) có đủ để phê duyệt cổng AI không?

Không. Một trang tin cậy là bằng chứng sàng lọc, không phải là một hồ sơ phê duyệt hoàn chỉnh. Người mua nên lưu lại trang tin cậy, nhưng họ cũng cần phạm vi hợp đồng, trạng thái DPA, cài đặt tài khoản, quyền sở hữu truy cập, mẫu ghi nhật ký, bằng chứng giá cả và kết quả kiểm thử.

Ai nên sở hữu hồ sơ bằng chứng mua sắm cổng AI?

Bộ phận mua sắm hoặc pháp lý có thể sở hữu thư mục hợp đồng, nhưng bộ phận kỹ thuật nền tảng nên sở hữu phạm vi kỹ thuật và bằng chứng kiểm tra sơ bộ (smoke-test). Bộ phận bảo mật nên sở hữu bằng chứng về dữ liệu, quyền truy cập và kiểm toán. Bộ phận tài chính nên sở hữu bằng chứng về giá cả, mức sử dụng, hạn ngạch và hóa đơn.

Nên làm mới hồ sơ bằng chứng với tần suất như thế nào?

Hãy làm mới hồ sơ khi gia hạn, sau những thay đổi quan trọng về chính sách hoặc giá cả, trước khi thêm nhà cung cấp hoặc lớp mô hình mới, trước khi định tuyến dữ liệu được quản lý, và sau bất kỳ sự cố nào làm thay đổi các giả định vận hành của gateway.

Người mua Flatkey nên lưu lại những gì trước khi phê duyệt?

Người mua Flatkey nên lưu các bản sao có ghi ngày tháng của trang chủ, trang giá, điều khoản, chính sách bảo mật, SLA, chính sách hoàn tiền, phạm vi mô hình và định tuyến, kế hoạch chủ sở hữu khóa, cài đặt hạn ngạch, mẫu kiểm toán/nhật ký, bằng chứng thanh toán và kết quả kiểm tra sơ bộ (smoke test) gateway thành công đầu tiên.