Delve, acuzată că a indus clienții în eroare cu „conformitate falsă”
O postare anonimă pe Substack, publicată săptămâna aceasta, acuză startup-ul Delve de conformitate că a convins „în mod fals” „sute de clienți că sunt conformi” cu reglementările de confidențialitate și securitate, expunând potențial acei clienți la „răspundere penală în temeiul HIPAA și la amenzi usturătoare în temeiul GDPR”.
Delve este un startup susținut de Y Combinator care anul trecut a anunțat că a strâns o rundă de finanțare Seria A de 32 de milioane de dolari, cu o evaluare de 300 de milioane de dolari. (Runda a fost condusă de Insight Partners.)
Vineri, startup-ul a încercat să infirme acuzațiile pe blogul său, numind postarea Substack „înșelătoare” și spunând că „conține o serie de afirmații inexacte”.
Postarea Substack este atribuită lui „DeepDelver”, care s-a descris ca lucrând la un client Delve (acum fost). DeepDelver a povestit că a primit un e-mail în decembrie, susținând că startup-ul a „scurs o foaie de calcul cu rapoarte confidențiale ale clienților”.
În timp ce CEO-ul Delve, Karun Kaushik, a asigurat aparent clienții într-un e-mail ulterior că sunt în conformitate și că nicio parte externă nu a avut acces la date sensibile, DeepDelver a spus că el și alți clienți au devenit suspicioși.
„Având experiența comună de a fi dezamăgiți de experiența Delve și având sentimentul general că ceva dubios se întâmplă, am decis să punem resursele la comun și să investigăm împreună”, au scris ei.
Concluzia lor? Că Delve „își atinge afirmația de a fi cea mai rapidă platformă prin producerea de dovezi false, generarea de concluzii de audit în numele morilor de certificare care aprobă rapoartele și ocolirea cerințelor majore ale cadrului, spunând în același timp clienților că au obținut o conformitate de 100%”.
DeepDelver a intrat în detalii considerabile despre aceste afirmații, acuzând startup-ul că oferă clienților „dovezi fabricate despre ședințe ale consiliului de administrație, teste și procese care nu au avut loc niciodată”, apoi forțând acei clienți să „aleagă între adoptarea de dovezi false sau efectuarea unei munci în mare parte manuale, cu puțină automatizare reală sau inteligență artificială”.
DeepDelver a mai susținut că practic toți clienții Delve par să fi trecut prin două firme de audit, Accorp și Gradient, pe care le-au descris ca fiind „parte a aceleiași operațiuni”, una care operează în principal în India, cu doar o prezență nominală în Statele Unite. Aceste firme, au spus ei, doar aprobă rapoartele care au fost generate de Delve.
Drept urmare, DeepDelver a spus că startup-ul „inversează” structura normală de conformitate: „Prin generarea de concluzii de audit, proceduri de testare și rapoarte finale înainte de a avea loc orice revizuire independentă, Delve se plasează atât în rolul de implementator, cât și de examinator. Aceasta nu este o chestiune tehnică. Este o fraudă structurală care invalidează întreaga atestare.”
Pe lângă faptul că a acuzat Delve că și-a indus în eroare clienții, DeepDelver a spus că startup-ul îi ajută pe acești clienți să „inducă în eroare publicul găzduind pagini de încredere care conțin măsuri de securitate care nu au fost niciodată implementate”.
În ceea ce privește propria relație cu Delve, DeepDelver a spus că compania sa a publicat pagina sa de încredere și nu se mai bazează pe startup pentru conformitate.
Delve a răspuns acuzațiilor spunând că nu emite deloc rapoarte de conformitate. În schimb, este o „platformă de automatizare” care colectează informații despre conformitate, apoi oferă auditorilor acces la aceste informații. „Rapoartele și opiniile finale sunt emise exclusiv de auditori independenți, autorizați, nu de Delve”, a spus compania.
Delve a mai spus că clienții săi „pot alege să lucreze cu un auditor la alegerea lor sau pot alege să lucreze cu unul din rețeaua Delve de firme de audit terțe independente, acreditate”. Aceste firme, a spus startup-ul, sunt „firme consacrate folosite pe scară largă în industrie, inclusiv de alte platforme de conformitate”.
Ca răspuns la acuzația că oferă clienților „dovezi false”, Delve a contracarat spunând că oferă pur și simplu „șabloane pentru a ajuta echipele să își documenteze procesele în conformitate cu cerințele de conformitate, la fel ca alte platforme de conformitate”. „Proiectele de șabloane nu sunt același lucru cu „dovezi pre-completate”, a spus compania.
Delve a adăugat că „investighează activ orice scurgeri” și că „încă analizează Substack”.
TechCrunch a trimis un e-mail prin care solicita comentarii suplimentare la adresa de contact media listată pe site-ul web al Delve; e-mailul a fost returnat. De asemenea, am contactat DeepDelver pentru comentarii suplimentare.