Um texto anônimo publicado no Substack nesta semana acusa a Delve, plataforma de automação de compliance apoiada pela Y Combinator, de levar centenas de empresas a acreditarem que estavam em conformidade com normas de privacidade e segurança, ainda que supostamente não estivessem. A denúncia aponta riscos de responsabilidade criminal sob a HIPAA e multas elevadas previstas no GDPR.
Assinada por “DeepDelver”, pessoa que se identifica como funcionária de um ex-cliente da Delve, a postagem detalha suspeitas que começaram em dezembro, quando usuários receberam um e-mail informando sobre o vazamento de uma planilha contendo relatórios confidenciais de clientes. Na época, o presidente-executivo da Delve, Karun Kaushik, teria garantido que não houve acesso externo a dados sensíveis e que todos permaneciam em conformidade.
Segundo o autor, um grupo de clientes decidiu investigar o assunto em conjunto. A conclusão apresentada foi de que a Delve manteria a promessa de ser a “plataforma mais rápida” ao:
- fornecer evidências falsas de reuniões de diretoria, testes e processos jamais realizados;
- gerar conclusões de auditoria em nome de firmas descritas como “certification mills”, que apenas carimbariam os relatórios;
- pular requisitos importantes de frameworks de segurança, informando aos clientes que haviam atingido 100% de conformidade.
O texto cita ainda que quase todos os clientes teriam sido auditados por duas empresas, Accorp e Gradient, supostamente ligadas à mesma operação e com atuação principal na Índia. De acordo com a denúncia, os relatórios seriam produzidos pela própria Delve antes de qualquer revisão independente, invertendo o processo padrão e caracterizando “fraude estrutural”.
Além disso, a Delve é acusada de hospedar páginas de confiança (“trust pages”) que listam controles de segurança não implementados de fato. O denunciante afirma que sua empresa retirou do ar a página correspondente e deixou de utilizar a plataforma.
Resposta da Delve
Em publicação no blog oficial na sexta-feira (21), a Delve classificou as acusações como “enganosas” e disse conterem “diversas imprecisões”. A companhia argumenta que não emite relatórios de conformidade: apenas coleta informações dos clientes e as disponibiliza aos auditores.
A startup ressalta que os relatórios e pareceres finais são elaborados exclusivamente por auditores independentes e licenciados. Segundo a Delve, os clientes podem escolher qualquer auditor ou recorrer a firmas de sua rede, descritas como “terceiros acreditados e amplamente usados pelo mercado”.
Imagem: Internet
Sobre a alegação de evidências fabricadas, a empresa afirma oferecer apenas modelos (“templates”) para que as equipes documentem processos em linha com as exigências regulatórias, prática que, segundo ela, é comum em outras plataformas de compliance. “Rascunhos de modelos não são o mesmo que evidência pré-preenchida”, diz o comunicado.
A Delve informou ainda que investiga possíveis vazamentos de dados e continua revisando o conteúdo do Substack. Tentativas do TechCrunch de contato adicional com a empresa não tiveram sucesso: o e-mail do endereço de imprensa retornou. O site também procurou DeepDelver para novos comentários.
No ano passado, a Delve anunciou uma rodada Série A de US$ 32 milhões, liderada pela Insight Partners, que avaliou a companhia em US$ 300 milhões.
Com informações de TechCrunch
