Delve – नकली compliance सेवा

 (deepdelver.substack.com)
1 पॉइंट द्वारा GN⁺ 2026-03-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Delve platform के बारे में खुलासा हुआ है कि वह वास्तविक security controls के बिना ‘ऐसा सिस्टम जो compliance पूरा हुआ दिखाता है’ के रूप में चल रहा है
  • आंतरिक जांच और लीक हुई spreadsheet के विश्लेषण से पता चला कि audit reports, tests, और conclusions Delve द्वारा अपने-आप जनरेट किए गए, और भारत-आधारित certification bodies ने उन पर औपचारिक रूप से हस्ताक्षर किए
  • ग्राहक कंपनियों ने नकली evidence, फर्जी meeting minutes, और अपने-आप भरे गए policy documents अपनाकर ऐसा दिखाया कि उन्होंने SOC 2, ISO 27001, HIPAA, और GDPR certification प्राप्त कर लिया है
  • Delve AI-आधारित automation का दावा करता है, लेकिन वास्तव में यह manual input और screenshot upload पर केंद्रित form system है, और ज़्यादातर ‘integration’ features काम ही नहीं करते
  • इसके कारण सैकड़ों कंपनियां झूठी security स्थिति को बाहरी दुनिया के सामने सार्वजनिक कर रही हैं, और HIPAA, GDPR उल्लंघन तथा कानूनी जिम्मेदारी के जोखिम में हैं

Delve की संरचनात्मक समस्याएं और प्रमुख खुलासे

  • Delve को SOC 2, ISO 27001, HIPAA, GDPR आदि के लिए compliance automation platform के रूप में प्रचारित किया गया, लेकिन वास्तव में उसने audit independence के सिद्धांत का उल्लंघन करते हुए खुद ही audit conclusions लिखे
    • audit report drafts में पहले से ही Delve द्वारा लिखे गए conclusions और test procedures शामिल थे, और ग्राहकों को सिर्फ नाम, हस्ताक्षर, और diagrams भरने होते थे
    • सभी reports में एक जैसी sentence structure और टाइपो मिले, और 575 में से 99% से अधिक में वही text शामिल था
  • लीक हुई Google spreadsheet में सैकड़ों ग्राहकों की audit report links शामिल थीं, और व्यक्तिगत signatures, system diagrams जैसी संवेदनशील जानकारी उजागर हुई
    • Delve के CEO ने इसे “AI द्वारा जनरेट किए गए नकली email” बताया, लेकिन असली documents सार्वजनिक archive में मिले

audit independence का उल्लंघन और फर्जी audit ढांचा

  • Delve ने auditor की भूमिका सीधे निभाई, जिससे AICPA नियमों का उल्लंघन हुआ
    • audit conclusions पहले से लिखे होने के कारण स्वतंत्र सत्यापन संभव ही नहीं था
    • भारत-आधारित certification bodies Accorp, Gradient, BQC, Glocert ने अमेरिकी corporate shell entities के माध्यम से reports पर हस्ताक्षर किए
    • कुछ reports में गलत auditor license numbers शामिल थे, जिससे एक ही template की कॉपी होने के संकेत मिले
  • audit in-charge के रूप में दिखाईं गई Jayshree Dutta अमेरिकी CPA नहीं हैं, और उन्हें भारतीय कंपनियों CyberTryZub तथा BQC से जुड़ा पाया गया

product और process की फर्जी प्रकृति

  • Delve का ‘AI automation’ वास्तव में लगभग बिना AI वाला manual form-based system है
    • अधिकांश ‘integrations’ में authentication process के बिना सिर्फ screenshots upload करने की मांग की जाती है
    • policies, risk assessments, security simulations आदि default values से भरे templates हैं, जिन्हें सिर्फ क्लिक करके पूरा किया जा सकता है
  • Pathways module के बारे में Delve ने दावा किया कि उसे उसने खुद विकसित किया, लेकिन पाया गया कि यह open source SimStudio का अनधिकृत उपयोग था
  • ग्राहकों को नकली meeting minutes, security test results, और policy documents अपनाने पड़ते हैं; इनकार करने पर उन्हें अधिकांश काम manually करना पड़ता है

फर्जी reports और trust page में हेरफेर

  • Delve का Trust Page उन security controls को भी ‘complete’ दिखाता है जो वास्तव में लागू ही नहीं किए गए
    • 322 SOC 2 ग्राहकों में से 321 ने एक जैसे 51 control items इस्तेमाल किए
    • MDM, intrusion detection, backups, data deletion जैसी मौजूद ही न होने वाली security measures अपने-आप दिखा दी जाती हैं
  • SOC 2 Type II reports में लिखा होता है कि “security, availability, confidentiality, privacy” सहित सभी मानदंड पूरे हुए, लेकिन वास्तविक testing में सिर्फ एक security item की जांच की गई
    • सभी reports एक ही वाक्य “No exceptions noted” के साथ समाप्त होती हैं

regulatory और कानूनी जोखिम

  • Delve की फर्जी प्रक्रिया के कारण ग्राहक कंपनियां GDPR और HIPAA उल्लंघन की स्थिति में पहुंच सकती हैं
    • HIPAA उल्लंघन पर आपराधिक सजा हो सकती है, और GDPR उल्लंघन पर वैश्विक revenue का अधिकतम 4% तक जुर्माना लग सकता है
    • इसमें medical और defense-related data संभालने वाली कंपनियां भी शामिल हैं, जिससे राष्ट्रीय सुरक्षा स्तर का जोखिम पैदा होता है
  • Delve के ग्राहकों ने अनजाने में फर्जी certification reports बाहरी पक्षों को जमा कीं, और वे contract तथा reputation से जुड़ी जिम्मेदारियों का सामना कर सकते हैं

निष्कर्ष और सिफारिशें

  • Delve ‘नकली compliance automation’ को औद्योगिक स्तर पर चलाने का उदाहरण है, जो ग्राहकों को कानूनी जोखिम में डालता है
  • मौजूदा ग्राहकों को Delve के साथ हुई हर बातचीत का लिखित रिकॉर्ड रखना चाहिए, और audit generation, auditor independence, तथा data leak की सीमा पर स्पष्ट सवाल पूछने चाहिए
  • Delve जिस “AI-based trust process” का दावा करता है, वह सिर्फ औपचारिक document generation system है, जिसमें वास्तविक security verification capability नहीं है
  • यह घटना compliance automation बाजार में भरोसे के टूटने को दिखाती है, और independent audit तथा वास्तविक security controls के महत्व को फिर सामने लाती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-03-21
Hacker News की राय

  • कई startup की खासियत यह होती है कि वे छोटी टीमों के साथ तेज़ी से काम करते हैं
    अगर आप अच्छा product बनाते हैं, तो बड़ी कंपनियाँ subscription लेना चाहती हैं, लेकिन फिर certification process की ज़रूरत पड़ती है
    checklist उपयोगी होती हैं, लेकिन वे ज़रूरत से ज़्यादा यूरोपीय शैली की bureaucracy के हिसाब से बनी होती हैं
    “7 लोगों की कंपनी का risk register कहाँ है?” जैसे सवाल पूछे जाते हैं, और असली काम की जगह कागज़ी काम में समय चला जाता है
    नतीजा यह होता है कि ऐसे document बनाए जाते हैं जिन्हें वास्तव में कोई पढ़ेगा नहीं, ऐसे process गढ़े जाते हैं जो मौजूद ही नहीं हैं, और एक फुर्तीली कंपनी को किसी विशाल enterprise की भाषा में अनुवाद करना पड़ता है
    छोटी टीमों के लिए व्यावहारिक और अनुपातिक standard की ज़रूरत है

    • इससे पूरी तरह सहमत हूँ। लेकिन अगर बड़ी कंपनियाँ ऐसे standard को ज़्यादा समझदारी से लागू करें, तो क्या उन्हें उल्टा competitive advantage नहीं मिलेगा?
      मेरी कंपनी Fortune 500 है, लेकिन procurement process इतना जटिल है कि SaaS अपनाना मुश्किल हो जाता है
      दूसरी तरफ़ competitors ज़्यादा flexible process के साथ अच्छे vendor जल्दी हासिल कर लेते हैं। यही फ़र्क अंत में competitiveness में बदल जाता है
    • मुझे CIS Controls v8.1 काफ़ी व्यावहारिक लगता है और यह security में सचमुच मदद करता है
      Level 1 बुनियादी तौर पर अच्छा है, और Level 2 को business risk के अनुसार चुनिंदा रूप से लागू किया जा सकता है
      CIS Benchmarks भी देखने लायक हैं। यह cloud, SaaS और OS security के लिए best practices का संग्रह है
    • अगर टीम तैयार नहीं है, तो due diligence को ज़बरदस्ती pass करने की कोशिश नहीं करनी चाहिए
    • business का मकसद आखिरकार मुनाफ़ा कमाना है
      अगर यह ‘corporate theater’ revenue में बदलता है, तो वह भी business का हिस्सा है
      अगर आप product को उस तरीके से नहीं देते जैसा customer चाहता है, तो आख़िरकार बाज़ार से बाहर हो जाएंगे
    • मुझे लगता है ऐसी जटिल certification process कुछ ताकतवर समूहों द्वारा customer access को नियंत्रित करने के लिए बनाई गई व्यवस्था है
      checklist को नियंत्रित करने वाले लोग ही इससे फ़ायदा उठाते हैं

  • Compliance इतना मुश्किल नहीं है, अगर shortcut ढूँढने के बजाय ठीक से समय दिया जाए
    मुझे लगता है AWS असली मायने में CaaS(Compliance as a Service) provider है
    AWS Artifact के ज़रिए यह customers को जटिल certification process आसानी से पार करने में मदद करता है
    बेशक software या policy अब भी user की ज़िम्मेदारी है, लेकिन physical security, hardware management, disaster recovery जैसी चीज़ें लगभग “मुफ़्त” में मिल जाती हैं

    • यह फ़ायदा सिर्फ AWS तक सीमित नहीं है, बल्कि सभी बड़े cloud providers पर लागू होता है
      हाँ, Hetzner जैसे simple infrastructure provider से तुलना करें तो cost premium काफ़ी बड़ा है

  • मुझे जिज्ञासा है कि 20s की शुरुआत में startup शुरू करने वाले founders compliance audit जैसी समस्या को कितने जोश के साथ हल करना चाहेंगे
    यह इतना उबाऊ क्षेत्र है कि इसमें दिलचस्पी लेना कठिन लगता है। या फिर वे सिर्फ opportunity की वजह से इसमें कूदते हैं?

    • उबाऊ समस्याएँ हल करना ही कई बार startup का क्लासिक फ़ॉर्मूला होता है
      कहा जाता है कि जो समस्या साधारण दिखती है, वही अक्सर पैसा बनाती है
      Joel Spolsky के लेख “Where there’s muck, there’s brass” की तरह
    • मैं regulated industry के लिए custom software बनाने वाली कंपनी में काम करता हूँ
      20s के बेहतरीन engineers Compliance Management System monitoring बना रहे हैं
      वे AI का इस्तेमाल करके लंबे समय से चली आ रही business problems हल कर रहे हैं। अमेरिका के East Coast में banking, power, healthcare जैसे क्षेत्रों में यह बड़ा market है
    • मुझे लगता है कि passion से ज़्यादा पैसा कमाने की इच्छा रखने वाले 20s के लोग बहुत हैं
    • मैं भी इसी industry में हूँ, और domain सच में सूखा और उबाऊ है
      अच्छी बात यह है कि technical हिस्सा दिलचस्प है
      customer के नज़रिए से compliance इतना दर्दनाक है कि थोड़ा-सा automation भी बहुत बड़ी value देता है
    • यह एक तरह का नया consulting model लगता है
      होशियार 20s के लोगों को इकट्ठा करो, “industry बदल देंगे” कहकर funding उठाओ — कुछ ऐसा ढाँचा है
      यह वैसा ही है जैसे McKinsey consultants काम से ज़्यादा brand name के दम पर प्रभाव हासिल करते हैं
      लगता है YC भी कुछ हद तक वही भूमिका निभाता है

  • मान लें कि यह लेख किसी competitor का हमला भी हो, तब भी पेश किए गए सबूत बहुत मज़बूत हैं
    अगर यह झूठ हुआ, तो defamation damages कई करोड़ डॉलर तक जा सकते हैं
    ऐसे खुलासे का जोखिम लेने की हिम्मत काबिल-ए-तारीफ़ है

  • यह दिलचस्प है कि लेखक और उसका नेटवर्क तब ही मुद्दा उठा रहे हैं जब उनकी अपनी certification अमान्य साबित हो चुकी
    अब वे खुद को ‘Delve को बेनकाब करने वाले न्यायप्रिय लोग’ की तरह पेश कर रहे हैं

  • मैं इस process से ख़ुद गुज़रा हूँ
    मुझे लगता है असली failure यह था कि certification body ने बिना validation के सिर्फ पैसे लेकर certificate जारी कर दिया
    Delve जैसे intermediary ने उस failure को और बढ़ा दिया
    industry के लोगों को पहले से पता था कि यह सिर्फ security theater है

  • लेख की गहराई प्रभावशाली थी
    हम भी हाल में Drata को देख रहे थे, और शुरुआत में वह काफ़ी अच्छा लगा था
    लेकिन जब भी ऐसी घटना सामने आती है, सोचता हूँ कि अब तक सामने न आए हुए fraud कितने होंगे

  • testing का एकमात्र उद्देश्य failure ढूँढना है
    ऐसे माहौल में जहाँ सब बस चुपचाप follow कर रहे हों, इस तरह की समस्या को सार्वजनिक रूप से उठाना ताज़गीभरा है

  • मैंने यह लेख LinkedIn पर देखा था, और यह सचमुच दिलचस्प था
    इतनी गहराई से लिखा गया लेख अब तक HN के top पर होना चाहिए था

    • शायद जानबूझकर visibility दबाई गई है
      यह देखते हुए कि यह Y Combinator की site है, संभावना से इनकार नहीं किया जा सकता
      मेरी जानकारी में कुछ कंपनियों ने Delve के ज़रिए सिर्फ 5 दिनों में SOC 2 Type 2 report पा ली
      वे “SOC 2 in days” वाला marketing phrase भी ज्यों का त्यों इस्तेमाल करते हैं। यक़ीन करना मुश्किल है

  • compliance ऐसी चीज़ है जिसे कोई नहीं चाहता, लेकिन सबको उसकी ज़रूरत होती है
    आख़िरकार इसे ज़िम्मेदारी टालने वाली service की तरह देखा जाता है
    regulator पूछे तो Delve जैसी जगह का certificate दिखाओ और बात ख़त्म

    • मैं ऐसी जगह काम नहीं करना चाहूँगा
      SaaS provider में customer data की सुरक्षा के प्रति ज़िम्मेदारी का भाव होना चाहिए
      compliance framework उस प्रयास में मदद करने वाला tool है
      यह gaps ढूँढने, risks समझने, improvements आगे बढ़ाने, और partners को हमारे स्तर के बारे में बताने का साधन है
      Medium post में जिस व्यवहार का वर्णन है, वह सीधा fraud है
      एक founder के रूप में मैं अपने customers को सबसे ऊँचे स्तर का trust देना चाहता हूँ
    • कोई स्वेच्छा से tax नहीं देना चाहता या कपड़े नहीं धोना चाहता, लेकिन ये करने ही पड़ते हैं
      compliance भी वैसी ही चीज़ है
    • जब मैं cybersecurity industry में था, तब भी यही हाल था
      ज़्यादातर लोग हमें security बेहतर करने के लिए नहीं, बल्कि insurance requirement पूरी करने के लिए hire करते थे
      अंत में ढाँचा वही था — ज़िम्मेदारी किसी और पर डालने का
    • यह बात B2B industry को न समझने जैसी लगती है
      वास्तव में बहुत से founders बार-बार यह सुनते हैं: “हम आपका product खरीदना चाहते हैं, लेकिन certification नहीं है इसलिए नहीं खरीद सकते”
      इसलिए वे सुबह उठकर सोचते हैं, “आज XYZ-123 certification हासिल करनी है”
      compliance ज़िम्मेदारी टालना नहीं है, बल्कि customer को trust साबित करने की न्यूनतम शर्त है
      हर worthwhile game में table stakes होते हैं
    • कोई भी स्वेच्छा से compliance नहीं करना चाहता, लेकिन
      अगर आपने ऐसी कंपनी बनाई है जिस पर कानूनी और नैतिक दायित्व हैं, तो वह आपकी अपनी ज़िम्मेदारी है
      उसे किसी दूसरी कंपनी पर डालना गैर-ज़िम्मेदाराना है