GH GambleHub

Qanun pozuntuları və hesabat müddətləri barədə bildirişlər

1) Təyinat və sahə

Əməliyyatlar və Komplayens dövrələrində insidentlər və pozuntular zamanı məcburi bildirişlərin vahid, yoxlanılan və təkrarlanan qaydasını müəyyən edin: məlumatların təhlükəsizliyi, ödənişlər/maliyyə əməliyyatları, tənzimləyici tələblər, məsuliyyətli oyun, tərəfdaşlıq inteqrasiyaları, nüfuz riskləri. Sənəd vaxtları, ünvanları, formatları, həmçinin hazırlıq və nəzarət prosedurlarını müəyyən edir.

💡 Diskleymer: bölmə - əməliyyat təlimatı. Hüquqi məsləhəti əvəz etmir. Hər bir yurisdiksiya üçün yerli qanun/lisenziya qaydaları qüvvədədir; son mətnlər/şərtlər Legal/Compliance ilə uyğundur.

2) Əsas terminlər

Reportable incident (xəbərdar olunan hadisə): qanuna/lisenziyaya/müqaviləyə əsasən xarici tərəflərə bildiriş tələb olunan hadisə.
DPA - məlumatların qorunması orqanı (GDPR və analoqlar).
FIU - maliyyə kəşfiyyatı (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme - ödəniş provayderləri/ekvayerlər/ödəniş sistemləri.
CERT/CSIRT - kibertəhlükəsizlik hadisələrinə qarşı milli/sənaye cavab mərkəzləridir.
LEA - hüquq-mühafizə orqanları.
Holding statement - əsas faktlar və növbəti yeniləmə vaxtı ilə ilk qısa bildirişdir.

3) Xəbərdar hadisələr sinifləri (kateqoriyalar)

1. IB/məxfilik: PII/maliyyə məlumatlarının sızması, hesabların pozulması.
2. Qumar tənzimləyicisi: oyunun mövcudluğuna təsir edən uğursuzluqlar/dürüstlük/balans; lisenziya/reklam/RG şərtlərinin pozulması.
3. AML/CFT: FIU-da şübhəli əməliyyatlar/nümunələr → SAR/STR.
4. Ödənişlər: PSP-nin kütləvi əlçatanlığı, yüksək sapmalar, ödəmə məlumatlarının kompromasiyası.
5. İstehlakçı/oyunçu: təsirlənmiş şəxslərə bildirişlər (data breach, pul əməliyyatları, kompüter. tədbirlər).
6. Tərəfdaşlar/affiliates/provayderlər: trekinq, hesabat, maliyyə hesabatlarına təsir.
7. CERT/LEA: ictimai əhəmiyyətə malik kiber hadisələr, fişinq/marka klonlaşdırma.
8. Audit/lisenziya sahibləri: SLA hesabat uyğunluğu, aradan qaldırılması təsdiq.

4) Vaxt matrisi (işarələr)

💡 Dəqiq tarixlər reyestrdə hər bir lisenziya/yurisdiksiya üzrə dəqiqləşdirilir (bax § 10). Aşağıdakı - standart planlaşdırma çərçivəsi:
Ünvan kateqoriyasıTriggerİlk bildirişSonrakı yeniləmələrSon hesabat
DPA (GDPR tipi)məlumat subyektlərinin hüquqları/azadlıqları üçün təsdiqlənmiş riskAşkar edildiyi andan 72 saata qədərəsas faktların hazır olması ilə (adətən hər 24-72 saat)30 gün və ya tələb
Təsirlənən subyektlər (oyunçular)hüquq/azadlıqlar üçün yüksək riskəsassız gecikmə olmadan (adətən DPA-dan sonra 72 saat ≤)remediasiya mərhələləri üzrəhal bağlandıqda
Qumar tənzimləyicisidürüstlüyə/əlçatanlığa/uçota təsir edən hadisəmümkün qədər tez, istinad 24 saatSLA lisenziyası (məsələn, hər 24 saat/mərhələ)tənzimləyici formatına görə (tez-tez 7-30 gün ≤)
FIU (AML SAR/STR)çirkli pulların yuyulması/maliyyələşdirilməsi şübhəsişübhə yarandıqdan sonra gecikmədən (tez-tez gündə)əlavə məlumat daxil olduqdaFIU-nun tələbi ilə
Ödəniş sxemləri/PSP/Bankkütləvi nasazlıqlar/kompromasiya PAN/PCI hadisəsidərhal (təxminən <24 saat)razılaşdırılmış plana əsasənTədbirləri əhatə edən hesabat
CERT/CSIRTəhəmiyyətli kiber hadisə/təhlükəasap (çox vaxt <24 saat)istintaqın mərhələləriCERT tələblərinə uyğun olaraq
Tərəfdaşlar/İştirakçılartracking/hesablamalara təsir<24 saatdüzəliş mərhələlərinə görəyekun reconciliation

5) RACI və rolları

IC (Incident Commander) - time line və «war room» sahibi. (A)

Legal/Compliance Lead - «reportable» kvalifikasiyası, ünvanların və şərtlərin seçilməsi, son işarədir. (R/A)

Security Lead - informasiya texnologiyaları faktları, kompromasiya/PII həcmi, CERT/LEA ilə qarşılıqlı əlaqə. (R)

Payments Lead - PSP/bank/sxemlər, PCI suallar, geri qaytarmalar/chargebacks. (R)

Comms Lead - mətn və göndərmə kanalı, status səhifəsi, CS makrosları. (R)

Data/Analytics - təsirlənmiş subyektlərin/əməliyyatların siyahısı, təsirin qiymətləndirilməsi. (R)

CS/CRM Lead - oyunçulara bildirişlərin çatdırılması, kompensasiya. (R)

Exec Sponsor/CEO - S1 ictimai bəyanatları. (C/I)

6) Keçid prosesi (aşkarlamadan bağlanışa qədər)

A. Xəbərdarlıq tərifi:
  • aşkarlama → hüquqi ixtisas (legal) → həll "reportable? kimə? şərtlər? ».
B. Hazırlıq:
  • faktların/artefaktların toplanması → ciddilik təsnifatı → şablon seçimi → koordinasiya (Legal/Comms/IC).
C. göndərilməsi və loging:
  • kanallar vasitəsilə çatdırılması (tənzimləyici portalları, təhlükəsiz poçt, API, kağız formaları) → göndərmə vaxtı və qəbulu təsdiq qeyd.
D. update:
  • cədvəl/mərhələlər → mətn versiyalarının idarə edilməsi → status-səhifə ilə sinxronizasiya.
E. Sonlandırma:
  • son hesabat → CAPA planı → bağlanması və retro (≤ 7 gün).

7) Bildirişin minimum tərkibi (skelet)

1. Hadisə identifikatoru, tarix/vaxt (UTC və yerli).
2. Hadisənin və təsir radiusunun qısa təsviri.
3. Məlumat/müştəri/əməliyyat kateqoriyaları.
4. Görülən tədbirlər (konteynment/bərpa).
5. Risk qiymətləndirilməsi və cari status.
6. Növbəti addımlar və növbəti yeniliyin ETA planı.
7. Əlaqə üçün əlaqə/kanal.
8. Lisenziyanın/şirkətin hüquqi rekvizitləri (tələb olunursa).
9. Proqramlar: time line, texniki artefaktlar, subyektlərin siyahıları.

8) Şablonlar (sürətli əlavələr)

8. 1 DPA (məlumat sızması, ilkin bildiriş):

Hadisə/aşkar tarixi

Məlumat kateqoriyaları/həcmi/coğrafiyası

Zərərin minimuma endirilməsi tədbirləri (tokenlərin buraxılması, MFA, monitorinq)

Subyektlər üçün risklərin qiymətləndirilməsi

Subyektlərin bildiriş planı və müddətləri

Əlaqə DPO/Legal

8. 2 Oyunçular (data breach):

Mövzu: Hesabınızın təhlükəsizliyi haqqında vacib məlumat

Bədən: nə oldu (texniki olmadan. detallar və PII olmadan), hansı tədbirlər görülür, oyunçu indi nə etmək (şifrəni dəyişdirmək, MFA-nı daxil etmək), yeniləmələri harada izləmək, kömək/kompensasiya almaq üçün necə.

8. 3 Qumar tənzimləyicisi (əlçatanlıq/dürüstlük uğursuzluğu):

Nə: xidmət/oyunlar/cüzdan, vaxt intervalı, zonalar

Təsir: faiz/faiz/balans sayı

Tədbirlər: geri, ehtiyat, safe-mode cüzdan

Gözlənilən bərpa ETA, dürüstlük/balans nəzarəti

Son yoxlama və hesabat planı

8. 4 FIU (SAR/STR, qısaca):

Şübhə faktları və əsasları («müştəri xəbərdarlığı» olmadan)

Məbləğlər/bağlı hesablar/davranış modelləri

Proqramlar (əməliyyatlar/əlaqələr qrafiki)

AML məsul şəxs əlaqə

8. 5 PSP/Acquirer/Card Scheme:

Nə baş verdi (sxemlər/metodlar təsir etdi), PCI risk markerləri

Biznes təsiri (auth-rate, imtina/latency)

Görülən tədbirlər/baypas, birgə diaqnostika tələbi

Müştərilərin kompensasiya planı/geri qaytarma emalı

8. 6 CERT/CSIRT:

Güzəşt göstəriciləri (IoC), TTP, vektorlar

Görülən tədbirlər və qalan risklər

Telemetriya koordinasiya/axtarış sorğusu

9) Çek vərəqləri

İlkin bildiriş göndərilməzdən əvvəl

  • Faktlar təsdiq; sirləri istisna/PII.
  • Legal/Compliance ilə razılaşdırılmışdır; ünvan/kanal seçildi.
  • Aşağıdakı yeniləmə göstərilmişdir (tarix/vaxt/kanal).
  • Ekran görüntüləri/ARTEFACTS və hash məbləği proqramları qeydə alınmışdır.
  • Localization/dil (tələb olunarsa).

Göndərildikdən sonra

  • Qəbul təsdiqi/bilet nömrəsi/reyestr ID əldə edilmişdir.
  • Yeniləmə planı və sahibləri yaradılmışdır.
  • Status-səhifə/FAQ/CS-makrolarda mətnlər sinxronlaşdırılmışdır.

Bağlanma

  • Son hesabat göndərildi və təsdiqləndi.
  • CAPA vaxt və effektivlik göstəriciləri ilə qeydiyyata alınmışdır.
  • Retro ≤ 7 gün keçirilmişdir.

10) Vaxt və ünvan reyestri (məlumat strukturu)

Git/Confluence-da cədvəl şəklində saxlanılır (versiyası, sahibi - Legal):
SahəNümunə
Yurisdiksiya/LisenziyaMT/MGA B2C
KateqoriyaDPA / Gaming Regulator / FIU / PSP / CERT
İlkin bildiriş müddəti72h / 24h / asap
KanalPortal/Təhlükəsiz poçt/API/Faks
DilEN/lokal
FormatPulsuz/Form No .../JSON sxemi
Məcburi sahələrsiyahısı
Əlaqə/akkreditasiyae-mail, ID portalı
Əsasnorma/lisenziya nöqtəsinə keçid
Qeydlərxüsusiyyətləri (bayram günləri, saat zonası və s.)

11) Artefaktlar və retensiya

Time Line (dəqiqlik dəqiqliyi), bütün bildirişlərin versiyaları, qəbulun təsdiqi.
Tech. artefaktlar: log, damp, metrik ixrac, IoC, konfiqurasiya şəkilləri.
Bildiriş/kompensasiya üçün istifadə olunan subyektlərin/əməliyyatların siyahıları.
Retance: lisenziyaların/qanunların tələblərinə uyğun olaraq saxlanılması (adətən 1-7 il, yurisdiksiyaya görə dəqiqləşdirilir).

12) Uyğunluq metrikası

Timeliness: vaxtında göndərilən bildirişlərin% -i (kateqoriyalar üzrə).
Completeness: ilk dəfə qəbul edilmiş bildirişlərin payı (heç bir düzəliş tələb etmədən).
Acknowledgement SLA: təsdiq almaq üçün orta vaxt.
Update Discipline: yeniləmə intervallarına riayət.
CAPA Efficacy: vaxtında qapalı CAPA payı.

13) Alətlər və avtomatlaşdırma

Hadisə-bot: komandalar '/notify <kateqoriya> ', vaxtların/kanalların avtomatik əvəzlənməsi, son tarixlərin xatırlatmaları.
Şablonlaşdırıcı: hadisə parametrlərindən bildirişlərin toplanması; versiyalar/lokalizasiya.
Status-səhifə: xarici yeniləmələrlə sinxron; TTS (time-to-statement) nəzarət.
SOAR/SIEM: DPA/CERT üçün artefaktların avtomatik toplanması.
DWH/CRM: təsirlənmiş subyektlərin seqmentləri, çatdırılma və kəşflərin izlənməsi.

14) Dəyişikliklərin idarə edilməsi (governance)

Bölmənin sahibi: Head of Compliance (ehtiyat - Legal Counsel).
Reyestrin təftişi (§ 10): ən azı rüblük və hər S1/S2 sonra.
Təlimlər: DPA/Regulator/AML üzrə table-top - rüblük; live-drill İB - hər altı ayda bir.
Audit: bildirişlərin vaxtına və tamlığına uyğunluğunun illik müstəqil yoxlanılması.

15) Sürətli başlanğıc (30 gün ərzində tətbiq)

1. Bütün lisenziyalar/bazarlar üzrə məcburi ünvanların siyahısını formalaşdırmaq və reyestrə daxil etmək (§ 10).
2. Bildiriş şablonlarını təsdiq edin (§ 8) və onları hadisə botuna qoşun.
3. SLA metriklərini (§ 12) və «Regulatory Reporting» daşbordunu konfiqurasiya edin.
4. Təlim keçirmək: data breach → DPA + oyunçular, ödəniş böhranı → PSP, AML-SAR → FIU.
5. Holding statements-in son tarixləri və avtogenerasiyası haqqında xatırlatmaları daxil edin.
6. İlk təlimdən sonra retro başlayın, playbukları yeniləyin.

Əlaqəli bölmələr:
  • Böhran idarəetmə və kommunikasiya
  • Hadisə pleybukları və ssenarilər
  • Biznes Davamlılıq Planı (BCP)
  • Disaster Recovery Plan (DRP)
  • Eskalasiya matrisi
  • Bildiriş və xəbərdarlıq sistemi
  • Məsuliyyətli oyun və oyunçuların müdafiəsi
Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.