合规初创公司 Delve 被指控'虚假合规'欺诈

指控触及合规即服务模式的核心

Substack 上的一份详细匿名帖子对自称为 AI 驱动合规平台的风险投资初创公司 Delve 提出了严肃指控。该帖子声称 Delve 一直在虚假说服数百名客户他们符合 GDPR、CCPA 和各种安全框架等隐私法规,而实际上他们的实际合规状态并未得到有意义的评估。

这些指控(如果属实)将对依赖合规认证来满足监管要求、通过供应商安全审查并避免巨额罚款的企业客户构成重大欺诈。合规失实不仅是声誉风险——在医疗保健和金融等受监管行业,它可能会对公司造成实质性法律责任。

合规即服务如何工作——以及可能出错的地方

像 Delve 这样的公司在一个充满活力的市场领域运营,该领域承诺自动化实现符合 SOC 2、ISO 27001、HIPAA 和 GDPR 等框架的劳动密集型流程。核心价值主张很有吸引力:不是聘请专职合规团队或为多月期的接触而支付四大咨询公司费用,公司可以使用软件来简化证据收集、政策文档编制和审计准备。

当基础分析严格时,该模式运作良好。当自动化成为实际评估的替代品而不是加速器时,危险就出现了。生成看起来可信的合规报告——带有复选框、覆盖率指标和政策模板——而不进行评估控制是否实际存在和运作的实质性工作在技术上是直接的。

详细的指控

Substack 帖子由声称对 Delve 运营有内部了解的人撰写,描述了一种模式,其中公司的 AI 工具基于客户自我评估生成合规报告,进行最少的独立验证。完成问卷的客户获得合规状态指标,然后在销售材料和供应商安全审查中使用。

该帖子进一步声称 Delve 的客户成功团队意识到存在某些合规差距,但没有向客户明确指出这些差距,而是专注于显示朝向合规进展的指标,而不是实际合规状态。

Delve 的回应和行业反应

Delve 对这些指控提出了异议,将其描述为误导性的,并指出公司的平台旨在指导客户实现合规,而不是代表他们认证合规。这种区分——在合规管理工具和合规认证者之间——是真实的,但可能没有向相信他们已实现监管合规的客户清楚地沟通。

该案件引发了关于合规即服务市场的更广泛讨论,该市场近年来吸引了大量风险投资。相邻市场的几位创始人和投资者指出,显示快速客户入职和高完成率的压力造成了结构性激励,以优化合规的外观而不是实质。

据报道,鉴于依赖 Delve 认证进行监管披露的公司的潜在影响,EU 和加州的监管机构正在关注这种情况。

本文基于 TechCrunch 的报道。阅读原始文章。