GH GambleHub

الإخطارات بالانتهاكات والمواعيد النهائية للإبلاغ

1) الغرض والمنطقة

وضع إجراء موحد وقابل للتحقق وقابل للتكرار للإخطارات الإلزامية في حالة وقوع حوادث وانتهاكات في ملامح العمليات والامتثال: أمن البيانات، والمدفوعات/المعاملات المالية، والمتطلبات التنظيمية، واللعب المسؤول، وتكامل الشركاء، والمخاطر المتعلقة بالسمعة. وتحدد الوثيقة المواعيد النهائية، والجهات المرسل إليها، والأشكال، فضلا عن إجراءات الإعداد والمراقبة.

💡 إخلاء المسؤولية: القسم - دليل التشغيل. ليس بديلاً عن المشورة القانونية. وتنطبق قواعد القانون/الترخيص المحلي على كل ولاية قضائية ؛ النصوص الموجزة/المواعيد النهائية متسقة مع القانون/الامتثال.

2) المصطلحات الرئيسية

الحادثة التي يمكن الإبلاغ عنها: حدث يلزم فيه إخطار الأطراف الخارجية بموجب القانون/الترخيص/العقد.
DPA هي هيئة حماية البيانات (اللائحة العامة لحماية البيانات والنظائر).
وحدة الاستخبارات المالية - الاستخبارات المالية (AML/CFT ؛ SAR/STR).
PSP/Acquirer/Card Scheme - مزودو الدفع/المشترون/أنظمة الدفع.
CERT/CSIRT - مراكز الاستجابة لحوادث الأمن السيبراني الوطنية/الصناعية.
LEA - تطبيق القانون.
عقد البيان - أول إشعار قصير مع حقائق أساسية ووقت التحديث التالي.

3) فئات الأحداث التي يمكن الإبلاغ عنها (الفئات)

1. أمن المعلومات/سرية المعلومات: تسريب البيانات المالية/مؤشر الأداء الموحد، وتسوية الحسابات.
2. منظم المقامرة: الثغرات التي تؤثر على توافر اللعبة/نزاهتها/توازناتها ؛ انتهاك شروط الترخيص/الإعلان/النمو الحقيقي.
3. AML/CFT: عمليات/أنماط مشبوهة → SAR/STR في وحدة الاستخبارات المالية.
4. المدفوعات: عدم توفر هائل لـ PSP، وانحرافات عالية، وتسوية لبيانات الدافع.
5. المستهلك/اللاعب: إخطارات للأشخاص المتأثرين (خرق البيانات، المعاملات المالية، مقياس).
6. الشركاء/المنتسبون/مقدمو الخدمات: الأثر على التتبع والإبلاغ والتسويات المالية.
7. CERT/LEA: الحوادث الإلكترونية ذات الأهمية العامة، التصيد/استنساخ العلامات التجارية.
8. مراجعو الحسابات/حاملو التراخيص: الإبلاغ عن امتثال جيش تحرير السودان، تأكيد الإلغاء.

4) مصفوفة الجدول الزمني (المعايير)

💡 تحدد التواريخ الدقيقة لكل ترخيص/ولاية قضائية في السجل (انظر الفقرة 10). يوجد أدناه إطار تخطيط نموذجي:
فئة الوجهةالزنادالإشعار الأولالتحديثات اللاحقةالتقرير النهائي
DPA (نوع GDPR)الخطر المؤكد على حقوق/حريات أصحاب البياناتحتى 72 ساعة من الكشفبشأن استعداد الحقائق الرئيسية (عادة كل 24-72 ساعة)حتى 30 يومًا أو عند الطلب
الموضوعات المتأثرة (اللاعبون)خطر كبير على الحقوق/الحرياتدون تأخير لا داعي له (عادة ≤ 72 ساعة بعد اتفاق دارفور للسلام)حسب مراحل الإصلاحعند إغلاق القضية
منظم المقامرةالحادث الذي يؤثر على السلامة/التوافر/المحاسبةفي أقرب وقت ممكن، معلم 24 ساعةترخيص SLA (على سبيل المثال كل 24 ساعة/علامة فارقة)حسب شكل المنظم (غالبًا ≤ 7-30 يومًا)
وحدة الاستخبارات المالية (AML SAR/STR)الاشتباه في غسل الأموال/تمويل الإرهابدون تأخير بعد تكوين الشكوك (غالبًا يومًا بعد يوم)عند تلقي بيانات إضافيةبناء على طلب وحدة الاستخبارات المالية
مخططات الدفع/PSP/البنكفشل جماعي/حل وسط للشبكة العامة/حدث PCIعلى الفور (نقطة مرجعية <24 ساعة)وفقا للخطة المتفق عليهاالتقرير الختامي مع التدابير
CERT/CSIRTحوادث/تهديدات إلكترونية كبيرةفي أسرع وقت ممكن (غالبًا <24 ساعة)حسب معالم التحقيقحسب متطلبات CERT
الشركاء/المنتسبونعلى التتبع/الحسابات<24 ساعةحسب مراحل الإصلاحالمصالحة النهائية

5) RACI والأدوار

IC (قائد الحادث) هو صاحب الجدول الزمني و "غرفة الحرب. (ألف)

Legal/Compliance Lead - afficiation «reportable», choice of addressed and deatures, final sign. (ر/أ)

الرصاص الأمني - حقائق أمن المعلومات، حجم التسوية/المبادرة، التفاعل مع CERT/LEA. (ص)

قائد المدفوعات - PSP/البنك/المخططات، إصدارات PCI، العوائد/استرداد التكاليف. (ص)

Comms Lead - رسالة نصية وإرسال قناة، صفحة الحالة، CS macros. (ص)

البيانات/التحليلات - قائمة المواضيع/المعاملات المتأثرة، تقييم الأثر. (ص)

CS/CRM Lead - تسليم الإخطارات للاعبين، والتعويض. (ص)

الراعي التنفيذي/الرئيس التنفيذي - البيانات العامة S1. (جيم/طاء)

6) العملية من البداية إلى النهاية (من الكشف إلى الإغلاق)

ألف - تعريف ما هو قابل للإخطار:
  • الكشف → المؤهلات القانونية → يمكن الإبلاغ عنها ؟ إلى ؟ التوقيت ؟ ».
باء - التحضير:
  • جمع الوقائع/القطع الأثرية → تصنيف الشدة → اختيار النماذج → التوفيق (Legal/Comms/IC).
جيم - الإرسال وقطع الأشجار:
  • التسليم عن طريق القنوات (بوابات التنظيم، البريد الآمن، واجهة برمجة التطبيقات، النماذج الورقية) → تسجيل وقت إرسال الاستلام وتأكيده.
دال - التحديثات:
  • الجدول الزمني/المعالم → إصدار النصوص → التزامن مع صفحة الحالة.
هاء - وضع الصيغة النهائية:
  • التقرير النهائي → خطة كابا → الإغلاق والرجعية (≤ 7 أيام).

7) الحد الأدنى لتكوين الإشعار (الهيكل العظمي)

1. هوية الحادث، التاريخ/الوقت (التوقيت العالمي المنسق والوقت المحلي).
2. وصف موجز للحدث ونصف قطر التأثير.
3. فئات البيانات/العملاء/المعاملات المتأثرة.
4. الإجراءات المتخذة (الاحتواء/الاستعادة).
5. تقييم المخاطر والحالة الراهنة.
6. خطة الخطوة التالية و ETA للتحديث التالي.
7. جهة الاتصال/قناة التغذية الراجعة.
8. التفاصيل القانونية للرخصة/الشركة (إذا لزم الأمر).
9. التطبيقات: الجدول الزمني، القطع الأثرية التقنية، قوائم الموضوعات.

8) قوالب (إدخالات سريعة)

8. 1 DPA (خرق البيانات، الإشعار الأولي):

حدث/تاريخ الاكتشاف

فئات البيانات/الحجم/المناطق الجغرافية

تدابير التقليل من الضرر (إعادة ضبط الرمز، MFA، الرصد)

تقييم المخاطر الموضوع

خطة إخطار الموضوع والإطار الزمني

الاتصال بالمدير التنفيذي/الشؤون القانونية

8. 2 للاعبين (خرق البيانات):

الموضوع: معلومات مهمة حول أمان حسابك

الجسد: ما حدث (بدون تقنية. التفاصيل وبدون PII)، وما هي الإجراءات التي تم اتخاذها، وما الذي يجب فعله للاعب الآن (تغيير كلمة المرور، وتمكين MFA)، ومكان متابعة التحديثات، وكيفية الحصول على المساعدة/التعويض.

8. 3 منظم المقامرة (إمكانية الوصول/فشل النزاهة):

ماذا: الخدمة/الألعاب/المحفظة، الفترة الزمنية، المناطق

الأثر: الفائدة/عدد الأسعار/الأرصدة

المقاييس: التراجع، الاحتياطي، محفظة الوضع الآمن

الاسترداد المتوقع إيتا، النزاهة/التحكم في التوازن

الخطة النهائية للتحقق والإبلاغ

8. 4 وحدة استخبارات مالية (SAR/STR، موجز):

الوقائع وأسباب الشك (دون «تحذير العملاء»)

المبالغ/الحسابات/السلوكيات المرتبطة

التطبيقات (الرسم البياني للمعاملات/الرابط)

AML الاتصال المسؤول

8. 5 PSP/Acquirer/Card Scheme:

ما حدث (المخططات/الطرق المتأثرة)، علامات مخاطر PCI

الأثر التجاري (معدل الإجهاض، الفشل/الكمون)

التدابير/التجاوزات المتخذة، وطلب التشخيص المشترك

خطة تعويض العملاء/معالجة العوائد

8. 6 CERT/CSIRT:

مؤشرات الحل الوسط (IoC)، TTP، النواقل

التدابير المتخذة والمخاطر المتبقية

طلب التنسيق/المشاركة في القياس عن بُعد

9) القوائم المرجعية

قبل إرسال الإخطار الأولي

  • الوقائع المؤكدة ؛ الأسرار المستبعدة/PII.
  • متفق عليه مع القانون/الامتثال ؛ الوجهة/القناة المختارة.
  • التحديث التالي (التاريخ/الوقت/القناة) محدد.
  • يتم التقاط لقطات الشاشة/ARTEFACTS وتجزئة التطبيق.
  • التحقق من التوطين/اللغة (إذا لزم الأمر).

بعد الإرسال

  • الإقرار الوارد/رقم التذكرة/معرف السجل.
  • تم إنشاء خطة التحديث والمالكين.
  • نصوص متزامنة على صفحة الحالة/الأسئلة الشائعة/ماكرو CS.

الإغلاق

  • تم إرسال التقرير النهائي وتأكيده.
  • تم تسجيل CAPAs مع الجداول الزمنية ومقاييس الأداء.
  • الرجعية ≤ 7 أيام.

10) سجل المصطلحات والمرسل إليهم (هيكل البيانات)

مخزن في Git/Confluence في شكل جدول (متحرر، مالك - قانوني):
حقلمثال
الولاية القضائية/الترخيصMT/MGA B2C
الفئةDPA/Gaming Regulator/FIU/PSP/CERT
فترة الإخطار الأولي72 ساعة/24 ساعة/في أسرع وقت ممكن
قناةالبوابة/البريد الآمن/واجهة برمجة التطبيقات/الفاكس
اللغةEN/Local
الشكلمجاني/نموذج رقم .../مخطط JSON
الحقول المطلوبةقائمة
الاتصال/الاعتمادالبريد الإلكتروني، بوابة الهوية
الأساسالإشارة إلى شرط القاعدة/الترخيص
ملاحظاتخصائص (العطلات، والمنطقة الزمنية، وما إلى ذلك)

11) القطع الأثرية والاحتفاظ بها

خط زمني (دقة دقيقة)، نسخ من جميع الإخطارات، الإقرارات.
هؤلاء. القطع الأثرية: جذوع الأشجار، والمكبات، ومقاييس التصدير، و IoC، ولقطات التكوين.
قوائم الكيانات/المعاملات المستخدمة للإخطار/التعويض.
الاحتفاظ: التخزين وفقا لمتطلبات التراخيص/القوانين (عادة 1-7 سنوات، محددة حسب الولاية القضائية).

12) مقاييس الامتثال

التوقيت: النسبة المئوية للإخطارات المرسلة في الوقت المحدد (حسب الفئة).
الإنجاز - النسبة المئوية للإخطارات الواردة في المرة الأولى (بدون طلبات التصحيح).
الإقرار بجيش تحرير السودان: متوسط الوقت لتلقي الإقرار.
تحديث الانضباط: الامتثال لفترات التحديث.
فعالية CAPA: النسبة المئوية من CAPAs المغلقة في الوقت المحدد.

13) الأدوات والأتمتة

بوت الحوادث: أوامر/إخطار <فئة>، استبدال تلقائي للمواعيد النهائية/القنوات، تذكيرات حول المواعيد النهائية.
محرك النموذج: تجميع الإشعارات من بارامترات الحوادث ؛ / التوطين.
صفحة الحالة: متزامنة مع التحديثات الخارجية ؛ رصد TTS (من وقت لآخر).
SOAR/SIEM: مجموعة القطع الأثرية الآلية لـ DPA/CERT.
DWH/CRM: قطاعات الموضوعات المتأثرة، تتبع التسليم والاكتشاف.

14) الحوكمة

مالك القسم: رئيس الامتثال (احتياطي - مستشار قانوني).
تنقيح السجل (المادة 10): كل ثلاثة أشهر على الأقل وبعد كل S1/S2.
التمارين: أعلى الطاولة من قبل DPA/Regulator/AML - ربع سنوي ؛ أمن معلومات الحفر الحي - مرة كل ستة أشهر.
مراجعة الحسابات: التحقق السنوي المستقل من الامتثال لتوقيت الإخطارات واكتمالها.

15) البداية السريعة (التنفيذ لمدة 30 يومًا)

1. وضع قائمة بالمرسل إليهم الإلزاميين لجميع التراخيص/الأسواق وإدخالها في السجل (المادة 10).
2. الموافقة على نماذج الإخطار (الفقرة 8) وتوصيلها بروبوت الحادث.
3. ضبط SLA metrics (الفقرة 12) و «Regulatory Reporting» dashboard.
4. ممارسة السلوك: خرق البيانات → لاعبي DPA +، وأزمة الدفع → PSP و AML-SAR → FIU.
5. مكّن تذكيرات الموعد النهائي وبيانات عقد التوليد التلقائي.
6. إطلاق رجعي بعد نتائج التمرين الأول، تحديث كتب اللعب.

الأبواب ذات الصلة:
  • إدارة الأزمات والاتصالات
  • كتب اللعب والنصوص الخاصة بالحوادث
  • خطة استمرارية تصريف الأعمال
  • خطة استعادة القدرة على العمل بعد الكوارث
  • مصفوفة التصعيد
  • نظام الإخطار والإنذار
  • اللعب المسؤول وحماية اللاعب
Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.