GH GambleHub

Lisenziyaların uzadılması və auditi

1) Niyə vacibdir

Lisenziya statik sənəd deyil, RG/AML, təhlükəsizlik, məlumat və hesabat standartlarını dəstəkləmək öhdəliyidir. Uğurlu yeniləmə və audit risklərin idarə olunmasını, proseslərin yetkinliyini və miqyaslı hazırlığı təsdiq edir.

Əsas prinsiplər: evidence-first, no-humans-in-prod, policy-as-code, traceability.

2) Yeniləmə və audit növləri

Lisenziyanın uzadılması (renewal): təqvim üzrə (adətən hər il/ildə bir dəfə N il) - nəzarət üzrə formaların, rüsumların və sübut paketlərinin təqdim edilməsi.
Varyasyonlar/dəyişikliklər (variation): benefisiarların dəyişdirilməsi, şaquli, hostinq yerlərinin, əsas şəxslərin əlavə edilməsi - ayrıca razılıq tələb edir.
Tənzimləyici audit: siyasət/hesabat yoxlama, marketinq/affiliates, RG/AML, hadisə jurnalları.
Tech audit/laboratoriyalar: RNG/RTP, SDLC/relizlər, boşluqlar/pentest, DR/BCP, hosting və log.
Maliyyə auditi: GGR/vergilər/ehtiyatlar, bonus silinmələrinin düzgünlüyü, ödəniş reyestrləri.
GDPR/DPA audit: DPIA, emal reyestri, subyektlərə cavablar, sızma/bildirişlər.
PCI DSS (PAN ilə işləyirsinizsə): seqmentasiya, tokenizasiya, giriş jurnalları, ASV skanları.

3) Yeniləmə təqvimi: təxmini şkala

T-90...60 gün - gap-analiz, yeniləmə siyasəti, laboratoriya/auditor sifariş.
T-60...30 - artefaktların toplanması (loqlar, SBOM, skan/pentest hesabatları, DR aktları), Key Persons-in təsdiqi.
T-30...14 - paketin finalı, dəlillərin daxili seçimi (sampling), cavabdehlərin müsahibəyə hazırlanması.
T-14...0 - tənzimləyicinin cavablarına renewal paketinin verilməsi, rüsumların ödənilməsi, SLA pəncərələri.
T + 0... + 30 - Q & A/sorğular, remediasiya, yeniləmə təsdiqi.

💡 Kritik yol: Key Persons → siyasət/prosedurlar → texniki sübut (SDLC/log/DR) → laboratoriya/auditorlar → Q&A.

4) Evidence paketi: əvvəlcədən nə bişirmək lazımdır

Org/sağ: mülkiyyət strukturu, SoF/SoW (dəyişiklik zamanı), CV və Key Persons sertifikatları, nümayəndəliklərin reyestri.
Siyasət: aktual AML/CTF, RG, reklam/filiallar, məlumatların qorunması (DPIA), insidentlər, DR/BCP; audit və təlim jurnalı.

İT və buraxılışlar:
  • SBOM və artefaktların imzaları ilə relizlər jurnalı;
  • SAST/SCA/DAST hesabatları, redediasiya planı, aktiv istisnalar olmadan «kritik/yüksək» olmaması;
  • müşahidə: SLO/SLI daşbordları, sintetik yoxlamalar «depozit/KOS/çıxarış»;
  • loging: PII/PAN olmadan strukturlaşdırılmış log, retenshn və axtarış;
  • DR/BCP: bərpa test aktları, RTO/RPO, təcili təlim protokolları.
  • RG/AML: müdaxilələr və nəticələr reyestri, self-exclusion (yerli/milli), şübhəli əməliyyatların hesabatları (STR/SAR), sanksiya/RER-log.
  • Marketinq/affiliates: ağ kanal siyahıları, appruval ilə yaradıcı seçimi, pozuntular və tədbirlər jurnalı.
  • Maliyyə/vergilər: şaquli GGR hesabatları, bonus/cekpot düzəlişləri, PSP/banklarla müqayisələr.

5) Format və izlənilebilirlik

Hər bir siyasət, dəlillərə nəzarət etmək (ekran görüntüləri, boşaltmalar, hash və tarix ilə hesabatlar).
Vahid «Evidence Map» indeksi: nəzarət → harada saxlanılır → məsul → yeniləmə tarixi.
Paketin versiyalaşdırılması (Git/Repository) + auditorların artefaktları seçmə şəkildə nəzərdən keçirməsi üçün giriş nəzarəti.

6) İT/məlumat tələbləri (ən çox baxılan)

SDLC/relizlər: staging payplayns, əl/auto keyfiyyətli geytalar, geri qaytarma siyasəti, məhsulda birbaşa dəyişikliklərin qadağan edilməsi.
Supply chain: artefakt imzaları, SBOM, admission yoxlama, zəiflik siyasəti.
Secrets & Access: SSO/MFA/PAM, qısa ömürlü tokenlər, imtiyazlı seans jurnalları.
Şəbəkə: seqmentasiya, WAF/bot-idarəetmə, DDoS, mTLS/egress-nəzarət.
Müşahidə müddəti: OTel treys, SLO dashboards, alert error-budget, SRM-çek təcrübələrdə.
Data: DPIA, minimallaşdırma, regionlar üzrə məlumatlar (residency), PII/PAN giriş jurnalları.
DR/BCP: arxa planlar, protokollarla müntəzəm bərpa, keçid təlimləri.

7) Auditdən keçmə: taktika

1. Kickoff və scope: perimetri, nümunələr siyahısı, sübut formatı.
2. Data room: Evidence Map-a strukturlaşdırılmış giriş hazırlamaq.
3. Dry-run müsahibə: MLRO/DPO/RG-Lead/CTO/SRE - Q&A qaçış və nümayişlər.
4. Canlı sessiyalar: log, SLO dashboard, reliz artefaktları, DR skriptləri.
5. Remediasiya: prioritetləri və şərtləri razılaşdırırıq, izləyicidə qeyd edirik.
6. Closure: audit hesabatı, dərslər, siyasət/nəzarət yeniləmə, retro.

8) Remediasiya planı (şablon)

IDTapılmaRiskTədbirlərSahibiSon tarixStatus
SEC-012 xidmətdə görüntü imzası yoxdurHighİmzaları və admission policy daxil edinPlatform Lead15 günİşdə
RG-02Müdaxilələrin natamam telemetriMediumTədbirləri/dashboard genişləndirmək, təlim keçirməkRG Lead10 günPlan
AML-03Zəifliklərə görə 2 istisnanın müddəti keçibHighSIEM hesabatını bağla/yeniləSecurity Lead7 günBitdi

9) RACI (məsələn: yeniləmə proqramı)

RegionResponsibleAccountableConsultedInformed
Evidence Map və data-roomCompliance PMHead of ComplianceSecurity, Platform, DataExec
Siyasət və təlimlərCompliance LeadCOOLegal, HRAll
SDLC/buraxılışlar/SBOMPlatform/SRE LeadCTOSecurityCompliance
Pentest/boşluqlarSecurity LeadCTOVendorsCompliance
RG/AML hesabatRG Lead / MLROCOOSupport, DataExec
Marketinq/AffiliatesMarketing OpsCMOLegal, ComplianceFinance
Maliyyə/GGR/vergilərFinance LeadCFOPSP, ContentExec

10) Çek vərəqləri

10. 1 Definition of Ready (son tarixdən 60-90 gün əvvəl)

  • Yenilənmiş AML/RG/reklam/məlumat/hadisə siyasəti; təlimlər keçirilib.
  • Təsdiqlənmiş Key Persons, aktualdır SoF/SoW (tələb olunarsa).
  • SAST/SCA/DAST və pentest hesabatları toplanır, vaxtı keçmiş istisnalar olmadan critical/high bağlanır.
  • SBOM/imzaları olan buraxılış jurnalları mövcuddur; admission-policy enforce vəziyyətində.
  • SLO/SLI dashboard və sintetik yoxlama hesabatları mövcuddur «depozit/KOS/çıxış».
  • SLA RTO/RPO daxilində DR/bərpa test aktları.
  • RG/AML reyestrləri: müdaxilələr, SAR/STR, self-exclusion; sanksiyalar/RER hesabatları.
  • Marketinq/affiliates: ağ kanal siyahıları, appruvals ilə yaradıcı seçimi.
  • GGR/vergilərin maliyyə hesabatları PSP/banklarla müqayisə edilmişdir.

10. 2 Definition of Done (yeniləmə/audit təsdiqləndikdən sonra)

  • Məktub/yeniləmə sertifikatı alındı, reyestrlər/sayt/sənədlər yeniləndi.
  • Revediasiya planı bağlandı, siyasətlər və Evidence Map yeniləndi.
  • Retro: dərslər, proseslərdə dəyişikliklər, yenilənmiş təqvim.
  • Provayderlərə/PSP-yə bildirişlər göndərilib (lazım olduqda).

11) Audit dövründə affiliatlarla və reklamlarla iş

Kanalların reyestrini, kreativlərin nümunəsini, 18 +/21 + hədəfinin sübutlarını, razılıq log hazırlayın.
Pozan tərəfdaşlar üçün «stop-list» proseduru, RG/AML-komplayens müqavilələrindəki şərtlər.
Dashboard tezlik göstərilməsi/məhdudiyyətləri və blok vərəqləri.

12) Risklərin idarə edilməsi (registry)

RiskEhtimal/TəsirƏlamətNəzarətSahibi
Kritik zəifliklərin gecikməsiM/HFindings> 14 gün«no critical/high» siyasəti, avto-trekinqSecurity
Natamam RG jurnallarıM/MHadisələrdəki boşluqlarHadisə kataloqu, Data QARG Lead
SDLC-nin sübuta yetirilməməsiM/HRelizlər üçün suallarSBOM/imzalar, dəyişiklik jurnalıPlatform
Qeyri-sabit DR prosedurlarıL/HRTO/RPO əldə edilməyibRüblük restore testləriSRE
Reklam/affiliatların pozulmasıM/MŞikayətlər, cərimələrAğ siyahılar, yaradıcı auditMarketing

13) Mini şablonlar

Evidence Map papağı (CSV): 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
Audit planı (1 səhifə):
  • Scope/Məqsədlər
  • Seçim siyahısı və sübut formatı
  • Sessiyaların/müsahibələrin təqvimi
  • Rollar və əlaqələr
  • Q&A və SLA cavab kanalı

14) Tez-tez suallar

Bütün əsərləri bir anda təqdim etmək lazımdırmı? Xeyr: baza təqdim edin və nümunələr tələb olunur - amma hər şeyi hazır saxlayın.
Logların bir hissəsinin olmamasını kompensasiya etmək mümkündürmü? Yalnız başa düşülən səbəb və düzəliş planı (və şərtləri) ilə.
Tənzimləyici üçün daha vacib olan siyasət və ya sübut? Həmişə siyasətin həqiqətən işlədiyini təsdiq edən sübutlar.

15) 30 gün üçün qısa plan (sürətləndirilmiş trek)

Həftə 1: son gap-analiz, siyasət yeniləmə, SLO/log ölçmək, auditor sifariş.
Həftə 2: SBOM/imza/buraxılış jurnallarının toplanması, boşluq hesabatları/pentest, DR aktları.
Həftə 3: RG/AML/marketinq konsolidasiyası, birləşdirilmiş daşbordlar, dry-run müsahibələri.
Həftə 4: çatdırılma, Q&A, sürətli remediasiya və yeniləmə təsdiqi.

Qısa nəticə

Yeniləmə və audit bir dəfəlik «hesabat» deyil, proseslərin yetkinliyinin müntəzəm nümayişidir. Təqvimi qurun, Evidence Map aparın, kod kimi nəzarəti avtomatlaşdırın, müşahidə və DR-ni yaxşı vəziyyətdə saxlayın. Sonra yeniləmə riskdən rutinə, audit isə tənzimləyicilər, tərəfdaşlar və oyunçular tərəfindən təkmilləşdirmə və etimad mənbəyinə çevriləcəkdir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.