1 2

Reporting
Reporting Company Country
Santander. S.A. Spain
Santander. S.A. Spain
 3

Full Name
Jose Manuel Gallego Mas (jgallegomas@deloitte.es)
Jose Manuel Gallego Mas (jgallegomas@deloitte.es)
 4 5 7

Area/ Unit that Manages

the Service Entity Service Id
Headquarters (HQ) 0001 WS985154452
Headquarters (HQ) 0001 WS985154452
 8 9 10

Service Description Service Concept RC Version

Desc. B010101 - Fraud 5.0
Desc. B010101 - Fraud 5.0
 11 12 13

Relevance Inherent Risk Is this outsourcing?

EBA_Essential Low #
EBA_Essential Low #
 14 15 16

Supplier deal directly Indicate the volume of

with clients on behalf data to which the
the Group If the supplier processes Group data? supplier has access
# # #
# # #
 17 18 19

Confidentiality level of Does the service support Maximum period for

the information to be a critical business unavailability of the
shared process? service?
# # #
# # #
 20 21 22

Impact on the business

due to a severe Is it a critical economic How difficult is it to
disruption function? replace the supplier?
# # #
# # #
 23 24 25

Does the provider Provide their own Service involve the

contract the services of a physical or technol. transfer of assets
4th party? infrastructure? outside the Group?
# # #
# # #
 26 27 28

State the purpose of the

data processing in the What is the supplier's Information between
provider work operation? group and provider?
# # #
# # #
 29 30 31

Provision the service Is the web/app exposed Who are the end users
require access web/app? to the Internet? of the web/app?
# # #
# # #
 32 33 34

What type of Cloud is

used for the provision of Is the service based on a Where is access to the
the service? Web/Application? web/application made?
# # #
# # #
 35 36 37

If it is through the What type of Cloud

Internet: Cloud/ No Service has been
Cloud What type of Cloud? contracted?
# # #
# # #
 38 39 40

Supplier/
Subcontractor’s Internal (Group's one) /
Tax Id Registered Name External
6382792T PROVEEDOR INMUEBLES 1External
6382792T PROVEEDOR INMUEBLES 1External
 41 42 43

Supplier/
Supplier/ Supplier/ Subcontractor's Parent
Subcontractor's Address Subcontractor's Country Company
C. Reales, 39 50015 ES Spain #
C. Reales, 39 50015 ES Spain #
 44 45 46

Potential Alternative
Duns/ LEI Id Prime Contractor? Suppliers (namely)
# # #
# # #
 47 48 49

Country Where the Country Where the Country Where the Data
Service is Provided Cloud is Located are Stored
# # #
# # #
 50 51 52

Country of parent Company Certification

company (EBA) 4th Parties Approval Date
# # 15.03.2022
# # 15.03.2022
 53 54 55

Applies Assessment by
Company Certification CYBER/ SEC/ FAC/ BCP/
Expiry Date DP? Cyber Assessment Result
31.03.2023 DP #
31.03.2023 DP #
 56 57 58

Physical Securitiy
Cyber Assessment Physical Securitiy Assessment Approval
Approval Date Assessment Result Date
# # #
# # #
 59 60 61

Facilitiy Assessment Facility Assessment

Result Approval Date BCP Assessment Result
# # #
# # #
 62 63 64

BCP Assessment GDPR Assessment

Approval Date GDPR Assessment Result Approval Date
# Suitable 28.04.2022
# Suitable 28.04.2022
 65 66 67

Full Certification Full Certification Final

Full Certification Status Approval Date Approver
Certified 28.04.2022 #
Certified 28.04.2022 #
 68 69 70

Does the
provider/service pair
Full Certification Expiry have a material impact
Date SOX Service on the
28.10.2023 # #
28.10.2023 # #
 71 72 73

Date of last update of

the SOC 1 / Type II Impact of Discontinuing
report Has exit strategies? the Service
# # #
# # #
 74 75 76

Type of Request Request Start Date Request End Date

# # #
# # #
 77 78 79

Cost Management Unit Cost Corporate Concept

(CMU) (CCC) Contract Reference
# # CW38765
# # CW41475
 80 81 82

Contract Expiry/ Service Levels

Contract Start Date Renewal Date Agreement (SLAs)
23.11.2021 23.10.2022 #
26.01.2022 26.12.2022 #
 83 84 85

Pre-notification Period
Governing Law (months) Last Audit
# # #
# # #
 86 87 88

Next Audit Audit Result Service Available

# # #
# # #
 89 90 91

Has an in progress
evaluation? Evaluated Domains Cyber Risk
# DP #
# DP #
 92 93 94

SEC Risk FAC Risk BCP Risk

# # #
# # #
 95 96 97

Estimated date
Remediation plan implementation
GDPR Risk existing remiediation plan
Low # #
Low # #
 Measures Annual Cost

Service Type Parent Servic

# # 8,000,000,000.00
# # 10,000.00
Next Year Estimated BudgNumber of Records

0.00 1
0.00 1
Datos migrados Numero de SE-proveedor 1023
Aparecen los valores "." en medio de las
Descripción palabras.
La descripción no apacere completa: Por
Descripción ejemplo: SE10860
Preguntas del RC Alinear a las alternativas de respuesta de la
plantilla y no al inventario TPRM HQ (por
homogenizar con inventarios futuros)

Pendiente revisar en inventario después de

migración de Marzo (se han actualizado
SE55779 valores)
If the supplier processes No aparecen los valores completos (verificar
Group data? limite de caracteres)

Homegenizar hay casos que si aplica indicar

Valores "N/A" Con "#" "N/A" y "#" para los valores en blanco
Who are the end users of El valor permitido "N/A", no aparece en el
the web/app? reporte (si aparece "#")
Supplier/Subcontractor’s
Registered Name No se puede probar en PRE
No se puede probar en PRE, hasta no tener
Internal (Group's one) / los nombres de los proveedores. Solo
External aparecen externos
Supplier/ Subcontractor's La dirección de SODEXO (A08427296) no
Address aparece

Supplier/ Subcontractor's Hay dos registros con "#", deberian aparecer

Parent Company como "N/A"

Supplier/ Subcontractor's Existen registros de "Santander Group" que

Parent Company aparecen como "Externos" (Columna AN)
Existen todos los valores y "#", se indica en la
tabla de inventario que este valor sólo viene
Duns/ LEI Id de LA.
Country Where the Data Typo. Confirmar con template original de
are Stored inventario
Country of parent Confirmar con template original de
company (EBA) inventario
las fechas incluidas en algunos servicios, de
Company Certification donde vienen?. Este campo debe probarse
Approval Date en PRO
las fechas incluidas en algunos servicios, de
Company Certification donde vienen?. Este campo debe probarse
Expiry Date en PRO
 Applies Assessment by
CYBER/ SEC/ FAC/ BCP/ El valor en "#" es igual al "Not required",
DP? confirmar y poner el valor correcto

Full Certification Final

Approver Integration_USER
Service Levels Agreement No aparecen los valores completos (verificar
(SLAs) limite de caracteres)

Estatus de contratos en Para identificar filtros que debamos aplicar al

Adicional reporte de CLM inventario
Columnas CM a CQ Incluir NO RISK en lugar de "#"
Estimated date
implementation
remiediation plan Typo
Service Type Eliminar estas columnas
Parent Servic Eliminar estas columnas
Cloud service Type Incluir esta columna al final (información del
cuestionario de Data Location)
 ok SE45986A3Revisar dato de registro en inventario (marzo)

Pdte

Pdte
Por revisar con SAC

Pdte (HQ)

Pdte

Por revisar

Pdte

Por revisar

Por revisar

Por revisar

Por revisar

Por revisar

Por revisar
Preguntar este usuario
a AEROPUERTO

Pedir a SAC (Paz)

Incluir al final del

inventario
ntario (marzo)
 Campo Descripción
Full Name Existe un valor que aparece con codigo ID y no con
nombre

RC Version Indicar de las pruebas cuales son los casos que

aparece "#", en que estatus del ER deberia aparecer la
versión del RC

Respuestas RC No aparece ningun campo con respuesta

Suppliers Habiamos hecho pruebas completas con Salesforce,

no aparecen en el inventario de PRE. Adicional todos
los ER que se muestran en inventario deberian venir
con proveedor, porque vuelcan de GRC.

Columnas AT-AY No tenemos ningun ejemplo para ver como se traslada

Applies Assessment by CYBER/
SEC/ FAC/ BCP/ DP?
Cyber Assessment Result
Full Certification Status
esta info, revisar estimación de cuando estaran
disponibles estos campos.
Not required en lugar de "#", para los servicios sin
dominio de riesgos
En cualquier resultado de dominio el campo "Not
suitable in remediation" no aparece completos
No aparecen indicados los certificados por escalado, ni
los pendientes

Full Certification Status no aparece el valor "not required", para los que no
tienen riesgo
Las fechas no coinciden con la regla de nivel de riesgo
(para riesgo bajo)

Full Certification Expiry Date

Cyber Risk En este y todos los dominios no aparece "No risk"
Confirmar este campo si viene de CLM, enviar reporte
Service Levels Agreement (SLAs) de CLM para ver los valores
Sin valor en PRE, confirmar de donde vendrá este dato
Governing Law
Sin valor en PRE, confirmar de donde vendrá este dato
Pre-notification Period (months)
En los datos de contratos existen registros con #,
Contract Reference porque aparecen en blanco estos registros?
Indican que viene de SARA, pero no vemos ningun
Last Audit ejemplo de estos datos

Next Audit
Audit Result
Remediation plan existing
Estimated date implementation
remiediation plan
Service Type
Parent Servic
Cloud service Type
Indican que viene de SARA, pero no vemos ningun
ejemplo de estos datos
Indican que viene de SARA, pero no vemos ningun
ejemplo de estos datos
No tenemos ejemplos para validarlo, por favor
incluirlos
No tenemos ejemplos para validarlo, por favor
incluirlos
Eliminar estas columnas
Eliminar estas columnas
Incluir esta columna al final (información del
cuestionario de Data Location)
 Ejemplo
n33488@gruposantander.com (n33488@gruposantander.com)

WS977676792 (la mayoria de servicios en prueba aparecen sin esta valor)

Not suitable in reme

Incluir al final del inventario
 Comentario Deloitte
Se tratan de datos de Calidad, en los que se realizan
multitud de pruebas para verificar que lo desarrollado
es correcto. Es posible que existan datos con
información incorrecta

La información correspondiente a la versión del RC

viene en la encuesta. A día de hoy no se encuentra
cargada una versión que no es estable del RC y por
tanto en la mayoría de los casos aparece vacío puesto
que la encuesta no llega a crearse

Mismo caso que arriba. Igualmente el RC aparece

relleno para los siguientes ER WS941570142,
WS942427596 y WS946051288, entre otros.
El proveedor de Salesforce es un proveedor que se
creó de pruebas en Ariba para poder lanzarle ciertos
cuestionarios (data location). Es posible que ese
proveedor no esté dado de alta en LA y por eso no
aparece

Esas columnas están pendientes de definir mediante

una reunión para ver dónde obtener el dato para los
ER de SARA
Mismo caso que para los servicios de aeropuerto

Hay que ampliar desde SAC la longitud de estos

campos
El valor de full certification status solo se rellena en
SARA con los valores de "Certificado" o "No
certificado"
Cuando aparece un servicio que no tiene riesgo el valor
que se rellena es "certificado"
Como está definido es si un riesgo es crítico la fecha
tiene que ser 1 año (WS983520691) en caso contrario
18 meses (WS985154452). Entre paréntesis ID de ER
en los que aparecen ambos casos.

Mismo caso que para los servicios de aeropuerto

Pendiente de definir

Pendiente de definir

Pendiente de definir

SAC. Se entiende que ese proveedor no está dado de

alta en LA
Pendiente de definir
Pendiente de definir

Pendiente de definir

Pendiente de definir

Pendiente de definir

SAC
SAC
Pendiente de definir
Technical Information
Model name CUBE:Transient.DB4LIVEBW:LASA_C02_BI_Q0001
Tenant URI https://santander-pre.eu1.sapanalytics.cloud/sap/fpa/ui/tenants/d680b/
Story URI
Created by N98724
Created on Tue May 17 2022 09:42:22 GMT+0200 (hora de verano de Europa central)

Variables
Company Code
Services
Suppliers
Supplier Tax Id
Migrated Indicator
Departament (Auth not Input)
/fpa/ui/tenants/d680b/

erano de Europa central)