Первый вопрос: где находятся разработчики?
Второй вопрос: где хранятся ваши данные? Если вам отключат к ним доступ, вы сможете что-то с этим сделать?
Третий вопрос — это инфраструктура. Насколько оборудование и ПО — ваши?
Четвертый вопрос — это контроль софта.
Пятый вопрос: возможность юридического взаимодействия с поставщиками, чтобы была возможность хотя бы компенсацию попросить.
Шестой и последний вопрос. Даже если компания не российская, полезно узнать, какой процент бизнеса у них в России.
Единый реестр российских программ для электронных вычислительных машин и баз данных: https://reestr.digital.gov.ru
Официальный сайт ФСТЭК: https://fstec.ru