Bir anonim Substack gönderisi, uyum sağlayan bir girişim olan Delve’i, “gizlilik ve güvenlik düzenlemelerine uyumlu oldukları konusunda yüzlerce müşterisini yanılttığı” iddiasıyla suçluyor. Bu durum, müşterilerini HIPAA çerçevesinde “cezai sorumluluk” ve GDPR kapsamında ağır para cezasıyla karşı karşıya bırakabilir.
Y Combinator destekli Delve, geçen yıl 300 milyon dolarlık bir değerlemeyle 32 milyon dolarlık Seri A finansmanını duyurdu. (Bu tur, Insight Partners liderliğinde gerçekleştirildi.) Cuma günü, girişim bu iddialara karşılık vererek, Substack gönderisini “yanıltıcı” olarak nitelendirdi ve “birçok hatalı iddia” içerdiğini belirtti.
Gönderinin yazarı “DeepDelver”, kendisini (şimdi eski) bir Delve müşterisi olarak tanıttı.
DeepDelver, Aralık ayında, girişimin “gizli müşteri raporlarını içeren bir elektronik tablo sızdırdığı” iddiasıyla bir e-posta aldığını aktardı. Delve CEO’su Karun Kaushik, takip eden bir e-postada, müşterilere uyumlu olduklarını ve dışardan hiç kimsenin hassas verilere erişim sağladığını garanti etti. Ancak DeepDelver ve diğer müşteriler, bu açıklama sonrasında şüphe duymaya başladılar.
“Delve deneyiminden tatmin olmamak ve tuhaf bir şeylerin döndüğü hissi ile bir araya gelerek kaynaklarımızı birleştirmeye ve birlikte araştırmaya karar verdik” diye ekledi.
Sonuçları? Delve’in “en hızlı platform” iddiasını, sahte kanıtlar üreterek ve sertifika kuruluşları adına denetçi sonuçları oluşturarak başardığı belirtildi. Müşterilere, 100% uyum sağladıklarını söyleyerek önemli çerçeve gereksinimlerini atladığı iddia edildi.
DeepDelver, girişimin müşterilerine “hiç gerçekleşmemiş yönetim toplantıları, testler ve süreçler ile ilgili uydurma kanıtlar” sağladığını ve bu müşterileri “sahte kanıtları kabul etmek” ya da “gerçek otomasyon veya AI ile az miktarda manuel iş yapmak” arasında seçim yapmaya zorladığını öne sürdü.
DeepDelver, Delve’in neredeyse tüm müşterilerinin iki denetim firmasıyla, Accorp ve Gradient, çalıştığını ve bu firmaların “aynı operasyonun parçası” olarak tanımlandıkları bilgisini verdi. Bu firmaların, yalnızca nominal bir varlığı olan ABD’de faaliyet gösteren, esasen Hindistan merkezli olduğuna vurgu yapıldı.
DeepDelver, bu firmaların Delve tarafından üretilen raporları onaylamakla yetindiklerini savundu. Bu durum, Delve’in “normal uyum yapısını tersine çevirdiğini”: “Denetçi sonuçları, test prosedürleri ve nihai raporların bağımsız bir inceleme gerçekleşmeden önce oluşturulmasıyla, Delve hem uygulayıcı hem de denetçi rolünde kendini konumlandırıyor. Bu bir tekniklik değil, tüm attestasyonu geçersiz kılan yapısal bir dolandırıcılıktır.” şeklinde ifade etti.
Delve’i müşterilerini yanıltmakla suçlayan DeepDelver, ayrıca girişimin müşterilerine “hiç uygulanmamış güvenlik önlemleriyle dolu güven sayfaları barındırarak” kamuoyunu yanıltmalarında yardımcı olduğunu iddia etti.
DeepDelver, Delve ile olan ilişkilerini keserek güven sayfalarını iptal ettiklerini ve artık girişimi uyum sağlama konusunda kullanmadıklarını açıkladı.
Delve, bu iddialara yanıt vererek, asla uyum raporu sunmadıklarını, bunun yerine uyum bilgilerini toplayan bir “otomasyon platformu” olduklarını belirtti. “Nihai raporlar ve görüşler yalnızca bağımsız, lisanslı denetçiler tarafından verilir,” dedi. Müşterilerine, “kendi seçtikleri bir denetçi ile çalışma veya Delve’in bağımsız, akredite üçüncü taraf denetim firmaları ağından bir denetçi ile çalışma” seçeneği sunduklarını da ekledi.
Delve, “sahte kanıtlar” sağladığı eleştirisine karşı, yalnızca “ekiplerin, uyum gereksinimlerine uygun süreçlerini belgelemesine yardımcı olacak şablonlar” sunduklarını belirtti.
Delve, “Taslak şablonlar, ‘önceden doldurulmuş kanıtlar’ ile aynı şey değildir,” diye vurguladı. Girişim, “herhangi bir sızıntıyı aktif olarak araştırdıklarını” ve “Substack gönderisini hâlâ incelediklerini” de söyledi.
TechCrunch, Delve’in web sitesinde belirtilen medya iletişim adresine ek bir yorum talebiyle e-posta gönderdi; ancak bu e-posta geri döndü. Ayrıca, DeepDelver’dan da ek bir yorum almak için iletişime geçildi.
