PartnerScope против SafeBase: входящее и исходящее доверие к поставщикам

Это сравнение нестандартное, потому что PartnerScope и SafeBase фактически не конкурируют за одну и ту же задачу. Это зеркальные решения: SafeBase публикует Вашу позицию по доверию наружу, для Ваших покупателей; PartnerScope оценивает экспозицию ИИ других поставщиков на входе — для Вашей риск-команды. Многим организациям имеет смысл использовать оба инструмента.

В этом материале объясняется, где проходит граница и в каких случаях правильно каждое из решений.

Контекст: SafeBase был приобретён Drata в феврале 2025 года примерно за 250 млн $. Продолжает существовать как самостоятельный продукт рядом с пакетом автоматизации комплаенса Drata.

Краткие выводы

Что на самом деле делает SafeBase

SafeBase — это платформа Trust Center. Продающая организация настраивает публичный портал на адресе вида trust.{ваша-компания}.com, где отображаются:

• Сертификаты безопасности (SOC 2, ISO 27001, HIPAA)
• Позиция по комплаенсу (GDPR, CCPA, PCI DSS)
• Резюме отчётов о penetration-тестировании
• Архитектурные диаграммы и FAQ по безопасности
• Self-service гейт по NDA с проверкой подписчика
• Уведомления подписчикам при изменении позиции

SafeBase используют OpenAI, Twilio, Crowdstrike, HubSpot, LinkedIn, T-Mobile. По данным самого SafeBase, его trust-центры обеспечили около 15 млрд $ выручки, открытой через прозрачность безопасности, более чем у 1 000 организаций.

Задача, которую решает SafeBase: усталость продавца от входящих проверок безопасности. Вместо того чтобы отвечать на 200 опросников поставщика в квартал, Вы направляете покупателей в свой Trust Center и даёте им работать в self-service.

Что на самом деле делает PartnerScope

PartnerScope — платформа оценки рисков ИИ третьих сторон со стороны покупателя. Когда Ваша организация рассматривает развёртывание ИИ-функционала SaaS-поставщика, PartnerScope:

• Читает комплаенс-документы поставщика (DPA, SOC 2, ISO 27001, BSI C5, SBOM) на предмет фактического scope
• Запускает red-teaming-пробы против развёрнутого ИИ поставщика
• Классифицирует ИИ поставщика по Регламенту ЕС об ИИ (Приложение III, статья 50, GPAI и т. д.)
• Формирует 13-мерную scorecard, привязанную к Вашим обязанностям по статье 26, DORA, NIS2, CSDDD

Задача, которую решает PartnerScope: понять, достаточно ли соответствует ИИ поставщика, чтобы развернуть его в рамках Ваших регуляторных обязанностей.

Почему эти инструменты дополняют друг друга

Регулируемый банк в DACH типично сталкивается с обеими задачами:

1. Как покупатель ИИ: должен оценить поставщиков fraud-detection, классификаторов документов, чат-бот-платформ на экспозицию по Регламенту ЕС об ИИ → PartnerScope.
2. Как продавец услуг своим клиентам: должен отвечать на тысячи опросников по безопасности от клиентов при продаже B2B-счетов, партнёрств или финтех-сервисов → SafeBase.

Одна организация, противоположные направления. SafeBase не помогает с due diligence поставщиков. PartnerScope не помогает с ответами на опросники по безопасности от клиентов.

Когда стоит выбрать SafeBase

Выбирайте SafeBase, когда:

• Вы — SaaS-поставщик, у которого клиенты регулярно запрашивают SOC 2, ISO 27001, опросники по безопасности
• Ваша команда продаж застряла в ответах на входящие проверки безопасности
• Вам нужен публичный Trust Center, чтобы демонстрировать позицию без переговоров по NDA по каждому случаю
• Вы продаёте корпоративным клиентам, которые сами проводят due diligence в self-service
• Вы продаёте на американский и глобальный рынки, где у SafeBase сильный бренд
• Вы возможно захотите Drata для автоматизации комплаенса рядом с SafeBase для trust-центров (теперь это одна компания)

SafeBase — правильный ответ для продающей стороны рисков поставщиков.

Когда стоит выбрать PartnerScope

Выбирайте PartnerScope, когда:

• Вы — покупатель, оценивающий ИИ-поставщиков под обязанности по Регламенту ЕС об ИИ, GDPR, DORA, NIS2, CSDDD
• Вам нужна классификация по Регламенту ЕС об ИИ с обоснованием по номерам статей по каждому поставщику
• Вам нужно adversarial-тестирование реального ИИ поставщика, а не только проверка документации
• Вы работаете в DACH и Вам нужно свободное владение BSI C5, BaFin, BfDI
• Вам нужна 13-мерная scorecard, привязанная к обязанностям оператора по статье 26
• Ваши закупки спрашивают «достаточно ли этот поставщик соответствует, чтобы его развернуть?», и Вам нужен защищаемый, готовый к аудиту ответ

PartnerScope — правильный ответ для покупающей стороны.

Когда нужны оба инструмента

Многим организациям в DACH нужны оба:

• Банк приобретает SafeBase для собственного исходящего trust-центра (продажа фитех-партнёрств в B2B)
• Та же риск-команда банка использует PartnerScope для оценки 30 ИИ-поставщиков на экспозицию по Регламенту ЕС об ИИ
• Эти два инструмента не пересекаются — разные команды, разные процессы, разные задачи

Совокупная стоимость для сценария банка из 200 человек уровня EKM Global Consulting GmbH: SafeBase enterprise (~30 000 — 80 000 $ в год в зависимости от уровня) + PartnerScope Enterprise (4 900 € × 4 = 19 600 € в год). Каждый инструмент окупает свой бюджет на разной метрике.

Часто задаваемые вопросы

Оценивает ли SafeBase моих поставщиков? Нет. SafeBase — это платформа, на которой Вы публикуете свою позицию по безопасности для покупателей. Это не инструмент оценки рисков других поставщиков.

Публикует ли PartnerScope мой trust-профиль? Нет. PartnerScope оценивает третьи стороны, а не Вас. Если Вам нужен Trust Center, правильный выбор — SafeBase или собственный аналог.

Теперь, когда SafeBase принадлежит Drata, может ли Drata заменить PartnerScope? Платформа Drata Trust Management (на базе SafeBase) и Drata Vendor Risk Management Agent решают другие задачи, нежели PartnerScope. VRM в Drata построен на опросниках и AI-резюмировании; он не классифицирует поставщиков по Регламенту ЕС об ИИ с обоснованием по номерам статей и не запускает adversarial-пробы против ИИ поставщика. См. предметное сравнение PartnerScope против Drata.

Можно ли использовать данные SafeBase внутри PartnerScope? Если поставщик публикует Trust Center на SafeBase, это полезный источник документации. Документарный обзор PartnerScope читает то, что доступно, в том числе материалы Trust Center. Но документация Trust Center — это то, что поставщик выбрал раскрыть; полноценная оценка идёт глубже.

Какой из инструментов нужен для соответствия Регламенту ЕС об ИИ? PartnerScope, со стороны покупателя. SafeBase публикует Вашу позицию; это не классифицирует Ваших поставщиков по Регламенту. Разные задачи.

Попробуйте PartnerScope

Запустите бесплатный 60-секундный AI Act Snapshot на partnerscope.eu — он классифицирует ИИ Вашего поставщика по Регламенту ЕС об ИИ и формирует стартовую scorecard ещё до каких-либо обязательств.

Или прочитайте полное руководство по управлению рисками третьих сторон под Регламент ЕС об ИИ.