GH GambleHub

مخاطر الطرف الثالث وعمليات تدقيق الشركاء

1) لماذا ولمن

الهدف: تقليل احتمالية حدوث إخفاقات وتسريبات وانتهاكات تنظيمية تأتي من خلال الموردين والشركاء الخارجيين.
التغطية: PSP/بوابات الدفع، CCM/العقوبات/RAP، مكافحة الاحتيال، مزودي الألعاب والاستوديوهات، الشبكات التابعة والتتبع، السحب/CDN/الاستضافة، BI/التحليل، أدوات الاحتفاظ/التسويق - SDK، مراكز الاتصال، بالإضافة إلى البائعين.

2) فئات المخاطر (خريطة المجال)

أمن المعلومات والخصوصية: تسريبات رمز الدفع PII/KYC، وضعف TOMs، ونقص WORM/التدقيق.
الامتثال: GDPR/UK GDPR/ePrivacy، AML/KYC، منطقة PCI، متطلبات الإعلان/الألعاب للولايات القضائية.
التشغيل: التوافر/جيش تحرير السودان، التركيز، ضعف خماسي كلور البنزين/DR.
المالية: استقرار الموردين، مخاطر الائتمان، صدمات رد التكاليف.
الجزاءات/الجيوسياسية: قيود التصدير/الاستيراد، مواقع مراكز البيانات، REP/الجزاءات في هياكل الملكية.
السمعة والقانونية: انتهاكات الإعلان/اللعب المسؤول، حقوق الملكية الفكرية.
التقنية: نقاط ضعف SDK/API، ونقص بيئات الإصدار والاختبار.

3) رسم خرائط سلسلة التوريد

1. المخزون: سجل واحد لجميع البائعين/الشركاء/المعالجين الفرعيين مع المالك (صاحب العمل).
2. خريطة البيانات: ما هي البيانات/الولايات القضائية/المجلدات التي تمر من خلال من ؛ أعلام PII/المالية/الفئات الخاصة.
3. الأهمية الحرجة: مصنفة حسب التأثير على المال/PII/وقت التشغيل.

4) البائع المتعب (معايير المثال)

معرض الرمايةعلاماتأمثلةالاحتياجات
المستوى 1 (حرج)PII/المدفوعات، 24 × 7، التأثير المباشر على GGRPSP، CCM/العقوبات، مكافحة الاحتيال، السحابةالعناية الواجبة الكاملة، التدقيق، اختبارات BCP/DR، التدقيق السنوي في الموقع/عن بعد
المستوى 2 (مرتفع)تأثير غير مباشر، PII مقنع، تكامل مهمالاستوديوهات/المجمعات، أدوات DWHاستبيان موسع، مراجعة عشوائية، استعراض سنوي
المستوى 3 (متوسط/منخفض)لا PII/المال، أدوات التسويقالبريد الإلكتروني، الأدواتاستبيان خفيف، الحد الأدنى التعاقدي

5) فحص المخاطر وتسجيلها

العوامل: الأمن (السياسات، الشهادات)، الخصوصية (DPA/SCCs/DTIA)، الامتثال (AML/PCI/ISO)، المرونة التشغيلية (SLA/BCP/DR)، المالية (مراجعة الحسابات/الإبلاغ)، الولايات القضائية/الجزاءات، تاريخ الحوادث الأحداث، النضروب التكنولوجية (S) LC/DevSec Ops).
التسجيل (مثال): 0-5 لكل عامل → المجموع المرجح (W) → المنطقة: الأخضر/الأصفر/الأحمر.

حلول العتبة:
  • الأخضر: عقد قياسي.
  • العنبر: ضوابط/إصلاح لـ Go-Live.
  • الأحمر: فشل أو تجريبي مع تدابير إضافية (التجزئة، الاختناق، القراءة فقط، الضمان، الحدود المخفضة).

6) بذل العناية الواجبة (ما يجب اشتراطه عند المدخل)

القطع الأثرية/الضوابط (الحد الأدنى للمستوى 1-2):
  • سياسات الأمن/الخصوصية، RoPA، سجل المعالج الفرعي.
  • تقارير/شهادات مراجعة الحسابات (ISO 27001/SOC 2 النوع الثاني/PCI عند الاقتضاء)، وآخر اختبارات الاختراق.
  • BCP/DR ونتائج الاختبار، RPO/RTO.
  • إجراءات الحوادث (إخطارات لمدة 72 ساعة)، سجل الحوادث لمدة 12-24 شهرًا.
  • DPA/الآلية العابرة للحدود (SCCs/IDTA) + DTIA، البيانات/توطين المفاتيح.
  • أمن التكامل: نظام النقل البريدي الدولي/مكتب التنمية الدولية، خطوط الويب الموقعة، تناوب المفاتيح، إتاحة قائمة بروتوكول الإنترنت.
  • سجلات الدخول/التصدير، نسخ WORM، سلاسل التجزئة.
  • سياسة الاحتفاظ والحذف، والتأكيد على إتلاف النسخ الاحتياطية أثناء الإقلاع.
  • الاستقرار المالي (الإبلاغ العام/الشهادات)، هيكل الملكية (عمليات التحقق من الجزاءات/الملوثات العضوية الثابتة).

استبيان خفيف للمستوى 2-3: مستوى sSIG/CAIQ (20-60 سؤالاً).

7) الاحتياجات التعاقدية (النقاط الرئيسية)

SLA/SLO: وقت التشغيل (على سبيل المثال 99. 9٪)، زمن P95، وقت الاستجابة للحوادث، ائتمانات الخدمة.
إضافة الأمان/الخصوصية: التشفير عند الراحة/أثناء العبور، المفاتيح/الجغرافيا، قطع الأشجار، الإخفاء، حظر إعادة تدوير البيانات.
المعالجات الفرعية DPA +: واجب إخطار تمديد السلسلة ؛ الحق في الاعتراض/مراجعة الحسابات.
الحادثة والإخطار: نافذة الإخطار ≤ 72 ساعة ؛ والوصول إلى الأخشاب/القطع الأثرية ؛ غرفة حرب مشتركة.
BCP/DR: الاختبارات الإلزامية N مرة واحدة في السنة، RPO/RTO.
حقوق اختبار القلم/مراجعة الحسابات: الوصول إلى التقارير 1 مرات على الأقل في السنة (عن بعد/في الموقع).
مراقبة التغيير: الإخطار بالتغييرات الرئيسية (SDK/API/Architecture/geography).
الإنهاء والخروج: تصدير البيانات (الأشكال)، الحذف/الإرجاع، الضمان لعمليات التكامل الحرجة، دعم الهجرة لمدة يوم إكس.
المسؤولية/التعويض: الحد الأقصى/التشفير، ضمانات الملكية الفكرية، العقوبات على انتهاكات/تسريبات جيش تحرير السودان.

8) الإقامة → والمراقبة → الإقلاع

8. 1 على متن الطائرة

1. دراسة الجدوى والمالك → تمزيق → الاستبيان/القطع الأثرية.
2. استعراض المخاطر (الأمن/الخصوصية/الامتثال/القانون/المالية).
3. عناصر التحكم قبل Go-Live: التجزئة (VPC/المستأجر)، الأحمال/الحدود، الإخفاء/الترميز، أعلام الميزة، صندوق الرمل التجريبي.
4. العقد/التكامل → → التجريبي Go/No-Go.

8. 2 الرصد المستمر

الرصد التقني: وقت التشغيل، والأخطاء، ووقت التأخير، وميزانية المخاطر.
الأمن: تنبيهات SIEM (صادرات/وصول غير عادي بدون 'غرض')، تقارير البائعين، نقاط ضعف SDK.
الخصوصية/الامتثال: التغييرات في البرامج الفرعية، والمواقع، والاحتفاظ ؛ توافق DSAR.
التمويل: KPI عن طريق التحويلات/استرداد الأموال/رد التكاليف، عقوبات SLA.
استعراض فصلي للمستوى 1-2 وإعادة بذل العناية الواجبة سنويا.

8. 3 الإقلاع عن متن الطائرة

إلغاء المفاتيح/عمليات الوصول، وإتلاف/إعادة البيانات والنسخ الاحتياطية، والأعمال، وإغلاق التذاكر، وتحديث السجلات وخرائط البيانات.

9) إجراءات مراجعة حسابات الشركاء

9. 1 الخطة والمجال

التركيز: إدارة الوصول، التشفير/المفاتيح، السجلات، الحوادث، BCP/DR، عمليات DSAR، المعالجات الفرعية.

9. 2 الطرق

مقابلة، مراجعة الوثائق/السجلات، الفحوصات الموقعية، الاختبارات التقنية (حد معدل api/mTLS/التوقيعات)، تمرين الطاولة.

9. 3 التقرير و CAPA

تصنيف النتائج (حرج/مرتفع/متوسط/منخفض)، توقيت الإصلاح، مراقبة الإغلاق وإعادة الاختبار.

10) حوادث البائع: دليل اللعبة

1. الكشف: البائع/مراقبتنا/إشارة المجتمع.
2. غرفة الحرب: المالكون + الأمن + DPO + Legal + Product.
3. الاحتواء: الحد من حركة المرور/تعطيل مفاتيح SDK/الحدود الزمنية/أحواض الكناري.
4. الطب الشرعي: سجل المكالمات، توقيعات الشبكات، تأكيدات WORM، مجموعة السجلات المتأثرة.
5. الإخطارات: الجهات التنظيمية/المستعملة/المصارف (إذا لزم الأمر)، نصوص مشتركة.
6. CAPAs: الإصلاحات والمواعيد النهائية والتحقق من الفعالية ؛ وتنقيح شروط التسجيل والعقد.

11) RACI (موسع)

النشاطصاحب العملالأمنDPO/الخصوصيةالامتثال/القانونالتمويلSRE/البياناتالمشتريات
حالة متعبة/تجاريةA/Rجيمجيمجيمجيمجيمجيم
بذل العناية الواجبةRA/RA/RA/Rجيمجيمجيم
العقود (جيش تحرير السودان/إدارة الشؤون السياسية/التحرير)جيمجيمجيمA/RA/RأناR
التكامل/التجزئةجيمA/RجيمجيمأناRأنا
الرصد/مراجعة الحساباتRA/RA/RA/RجيمRأنا
الحوادث/برنامج كاباجيمA/RA/RA/RجيمRأنا
الإقلاع/التصدير/الحذفRA/RأأجيمRأنا

12) المقاييس (KPI/KRI)

التغطية: النسبة المئوية للبائعين النشطين في السجل الذين حصلوا على أحدث الدرجات ≥ 100٪.
التقييم TTM: متوسط العناية الواجبة المستوى 1 ≤ 15 يوم عمل.
إصلاح جيش تحرير السودان: أغلقت النتائج الحرجة ≤ 30 يوما (≥ 95 في المائة).
الإخطار بالحادث: نسبة الإخطارات في النافذة 72 ساعة - 100٪.
DPA/SCCs/DTIA التغطية: للمستوى 1-2 - 100٪ ذات صلة.
مخاطر التركيز: حصة حركة المرور/الإيرادات لكل 1 PSP/مزود ≤ X٪ (العتبة).
دليل BCP/DR:% المستوى 1 مع اختبارات مؤكدة لمدة 12 شهرًا - 100٪.
تسجيل الصادرات: يتم توقيع 100٪ من الصادرات وتسجيلها.

13) النماذج والشظايا

13. 1 استبيان مصغر (المستوى 1-2، التعرض)

التصديق/مراجعة الحسابات (ISO/SOC2/PCI)، تاريخ انتهاء الصلاحية.
بنية البيانات: جغرافية، معالجات فرعية، مفاتيح/KMS، تشفير.
الحوادث في غضون 24 شهرا (النوع/التاريخ/التدابير).
الدخول والمجلات (RBAC/ABAC، كسر الزجاج، JIT، WORM).
BCP/DR (تواريخ الاختبار، RPO/RTO).
DSAR/الاحتفاظ، RoPA، CMP/SDK.
التحكم التقني في واجهة برمجة التطبيقات: MTLS/OIDC، توقيع الخطابات الشبكية، تناوب المفاتيح، الحد الأقصى للمعدل.

13. 2 (شظية)

المؤشرالغرضالقياسالائتمان
وقت التشغيل (أشهر)99. 9%الرصد الخارجي5-10٪ رسوم
الحادث الخطير: الاستجابة≤ 15 دقيقةبروتوكول غرفة الحربإصلاح.
الإصلاح≤ 30 يومًاتقرير CAPAإصلاح.

13. 3 إضافة الأمان والخصوصية

"حظر إعادة تدوير البيانات ؛ الوصول بدقة من خلال Need-to-Know ؛ التصدير إلى السجلات المعتمدة"

"الجذوع الثابتة (WORM) مع توقيع هاش ؛ مراجعة الحسابات عند الطلب مرة في السنة"

«استبدال المعالج الفرعي - إشعار ≥ 30 يوما، حق الاعتراض، خطة بديلة».

"DTIA في أي نقل عبر الحدود خارج الولايات القضائية المناسبة ؛ المفاتيح - في الجماعة الأوروبية/المملكة المتحدة (حسب الاتفاق) "

14) القوائم المرجعية

قبل Go-Live مع البائع

  • المالك المعين، ميدان الرماية المحدد
  • الاستبيان/القطع الأثرية الواردة والمتحقق منها
  • DPA/SLA/edits الموقعة، أعلن المعالجون الفرعيون
  • تمكين التجزئة/الحدود/الإخفاء، المفاتيح منفصلة
  • اجتاز اختبار Sandbox/tabletop بالحادث
  • إضفاء الطابع الرسمي على خطة الخروج/الهجرة والضمان

ربع سنوي (المستوى 1-2)

  • جيش تحرير السودان/حادث/رصد مواطن الضعف في جمهورية كوريا الشعبية الديمقراطية
  • تحديث الشهادات/التقارير، سجل المعالج الفرعي
  • تم التحقق من صحة DR/BCP
  • فحص الزعانف (المقاومة)، فحص العقوبات
  • استعراض مخاطر التركيز وبدائله

الإقلاع

  • تم إلغاء المفاتيح/عمليات الوصول
  • اكتمال تصدير البيانات، حذف/تأكيد احتياطي
  • شهادات الإغلاق، محدثة بواسطة Data Mar/Registers

15) السيناريوهات والتدابير النموذجية

أ) الضعف في تسويق SDK

الإغلاق الفوري، كتلة جمع PII، إشعار DPO/المنظمين إذا لزم الأمر، البائع CAPA، إعادة الاختبار.

B) PSP يتحلل على SLA

توجيه حركة المرور تلقائيًا إلى PSP الاحتياطي، وخفض الحدود، وتفعيل أرصدة الخدمة، ومراجعة خطة العقد/الخروج.

C) تسرب من مزود KYC

عزل الإدماج، وإلغاء الرمز، ورسم خرائط للسجلات المتأثرة، والإخطارات، والمخاطر اليدوية العالية لشركة KYC، ومراجعة حسابات البائعين، وإمكانية الاستبدال.

16) خارطة طريق تنفيذ TPRM

الأسابيع من 1 إلى 2: جرد البائعين، وخريطة البيانات، والتمزيق، والاستبيان الأساسي، والسجل.
الأسابيع من 3 إلى 4: نماذج المواد المضافة لجيش تحرير السودان/إدارة الشؤون السياسية، وعملية الإلحاق/الرصد/الإقلاع، وإدماج نظام SIEM/CMDB/IDP.
الشهر 2: المستوى 1-2 التجريبي، إطلاق المراجعات الفصلية، أتمتة فحص الشهادات/الموعد النهائي.
الشهر 3 +: التحجيم، ولوحات القياس/لوحات القيادة، واختبارات الإجهاد BCP/DR، وتحسين مخاطر التركيز والطرق البديلة.

TL; د

Strongly TPRM = خريطة البائعين الكاملة → الترتيب والتدريج → العقود الثابتة (SLA/DPA/BCP/DTIA) → التجزئة والتكامل الآمن → الرصد والمراجعة المستمرين → والخروج السريع/الإصلاح. هذا يحمي الأموال والبيانات والتراخيص - ويحافظ على مرونة الأعمال حتى عندما ينهار الشركاء.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

Telegram
@Gamble_GC
بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.