合規新創公司 Delve 被指控以虛假合規誤導客戶

本週發布的一篇匿名 Substack 文章指控合規新創公司 Delve 「虛假地」說服「數百名客戶相信他們符合」隱私與安全法規，這可能使這些客戶面臨「HIPAA 下的刑事責任以及 GDPR 下的巨額罰款」。

Delve 是一家具備 Y Combinator 背景的新創公司，去年宣布以 3 億美元的估值完成了 3,200 萬美元的 A 輪融資（該輪融資由 Insight Partners 領投）。週五，這家新創公司在其部落格上試圖反駁這些指控，稱該 Substack 文章具有「誤導性」，並表示其中「包含多項不實指控」。

該 Substack 文章署名為「DeepDelver」，自稱為一家（現已成為前客戶的）Delve 客戶公司的員工。

DeepDelver 回憶道，他在 12 月收到一封電子郵件，聲稱該新創公司「洩露了一份包含機密客戶報告的試算表」。雖然 Delve 執行長 Karun Kaushik 隨後在給客戶的郵件中保證他們符合合規要求，且沒有外部第三方獲得敏感數據，但 DeepDelver 表示，他和其他客戶已產生懷疑。

他們寫道：「由於大家都有對 Delve 體驗感到不滿的共同經歷，且總體感覺有些不對勁，我們決定整合資源並共同展開調查。」

他們的結論是：Delve 「透過製作虛假證據、代表那些只會橡皮圖章式蓋章的認證工廠生成審計結論，並在告知客戶已達到 100% 合規的同時跳過主要的框架要求，以此實現其聲稱是『最快平台』的主張。」

DeepDelver 詳細描述了這些指控，指責該新創公司向客戶提供「從未發生過的董事會會議、測試和流程的偽造證據」，然後強迫這些客戶「在採用虛假證據或在幾乎沒有真正自動化或 AI 的情況下進行大量手動工作之間做出選擇」。

DeepDelver 還聲稱，幾乎所有 Delve 的客戶似乎都經過兩家審計公司 Accorp 和 Gradient，他將這兩家公司描述為「同一運作體系的一部分」，主要在印度運作，在美國僅有象徵性的存在。

他說，這些公司只是對 Delve 生成的報告進行橡皮圖章式的審核。因此，DeepDelver 表示該新創公司「倒置」了正常的合規結構：「透過在任何獨立審查發生之前生成審計結論、測試程序和最終報告，Delve 將自己置於執行者和審查者的雙重角色。這不是技術細節問題，而是一種使整個證明失效的結構性欺詐。」

除了指控 Delve 誤導客戶外，DeepDelver 還表示該新創公司正協助這些客戶「透過託管包含從未實施過的安全措施的信任頁面（trust pages）來誤導公眾」。

至於其自身與 Delve 的關係，DeepDelver 表示其公司已撤下其信任頁面，不再依賴該新創公司進行合規工作。

Delve 對這些指控做出回應，表示其根本不發布合規報告。相反，它是一個「自動化平台」，負責接收有關合規的信息，然後為審計師提供訪問這些信息的權限。

該公司表示：「最終報告和意見僅由獨立、持牌的審計師發布，而非 Delve。」

Delve 還表示，其客戶「可以選擇與自己屬意的審計師合作，或選擇與 Delve 獨立、認證的第三方審計師網絡中的成員合作」。該新創公司稱，這些公司是「在整個行業廣泛使用的成熟公司，包括其他合規平台也在使用」。

針對提供客戶「虛假證據」的指控，Delve 反駁說，它只是提供「模板以幫助團隊根據合規要求記錄其流程，其他合規平台也是如此」。

該公司表示：「草案模板與『預填證據』並不相同。」

Delve 補充說，它正「積極調查任何洩漏事件」，並且「仍在審閱該 Substack 文章」。

TechCrunch 向 Delve 網站上列出的媒體聯繫地址發送了尋求進一步評論的郵件，但郵件被退回。我們也聯繫了 DeepDelver 以尋求進一步評論。