GH GambleHub

Tərəfdaşlar üçün komplayens təlimatı

1) Təyinatı və əhatə dairəsi

Bu təlimat tərəfdaşlar/podratçılar/affiliatlar/provayderlər (ödəniş və hostinq platformaları, məzmun studiyaları, anti-frod xidmətləri, çağrı mərkəzləri, marketinq agentlikləri daxil olmaqla) üçün komplayens tələblərini müəyyən edir.

Məqsədlər:
  • Təhlükəsizlik, məxfilik, tənzimləmə və məsuliyyətli kommunikasiyanın vahid standartları.
  • Təchizat zəncirində əməliyyat/hüquqi risklərin azaldılması.
  • «Audit-ready» sübut bazası və qarşılıqlı yoxlanılabilirlik.

2) Terminlər

Tərəfdaş - məlumatları emal edən və ya xidmət göstərən hər hansı üçüncü tərəf.
Kritik tərəfdaş - təhlükəsizliyə, ödənişlərə, şəxsi məlumatlara və ya tənzimləyici proseslərə əhəmiyyətli təsir göstərir.
Subprosessor - məlumatların işlənməsində iştirak edən tərəfdaşın kontragentidir.

3) Prinsiplər («design tenets»)

Compliance-by-design: tələblər proseslərə və memarlığa inteqrasiya olunur.
Məlumatların minimuma endirilməsi və yurisdiksiya uçotu (data residency).
Trackable və dəyişməzlik: log, WORM-arxiv, hash-qəbzlər.
Proportionality: yoxlamaların dərinliyi riskdən asılıdır.
«Həqiqətin bir versiyası»: təsdiqlənmiş artefaktlar, başa düşülən SLA və RACI.

4) Rollar və RACI

RolMəsuliyyət
Vendor Management (A)Risk təsnifatı, onbording/offbording, monitorinq
Compliance/GRC (R)Tələblər, yoxlamalar, CAPA, audit hazırlığı
Legal/DPO (C)Müqavilələr, DPA, məxfilik, transsərhəd
SecOps/CISO (C/R)Tech. tələblər, hadisələr, deteksiya
Finance/Payments (C)Ödəniş tələbləri, chargeback/sanksiyalar
Business Owner (R)Tərəfdaşla əməliyyat işi, KPI
Internal Audit (I)Müstəqil uyğunluq qiymətləndirilməsi

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Risk tərəfdaşlarının təsnifatı

Meyarlar: verilənlərin növü (PII/ödəniş), əməliyyatların həcmi, prod sistemlərinə giriş, yurisdiksiyalar, zəncirdə rolu (prosessor/nəzarətçi), insidentlərin tarixi, sertifikatlar/auditlər.
Səviyyələr: Low/Medium/High/Critical → Deep Due Diligence və reviziya tezliyini təyin edir.

6) Onbording və Due Diligence (DD)

Addımlar:

1. DD anketi (sahibləri, alt prosessorlar, məlumat yerləri, sertifikatlar, nəzarətlər).

2. Sanksiyaların/nüfuzun/benefisiarların yoxlanılması (screening).

3. Təhlükəsizlik/məxfiliyin qiymətləndirilməsi: SOC/ISO/PCI/pentest, Retence siyasəti, DSAR prosesləri.

4. Texniki yoxlama: SSO/OAuth, şifrələmə, gizli idarəetmə, log.

5. Ödəniş/AML aspektləri (mümkünsə): chargeback prosesləri, antifrod, limitlər.

6. Risk Report və həll: qəbul/şərti/imtina + SARA/kompensasiya tədbirləri.

7. Müqavilələr: MSA, SLA/OLA, DPA, audit hüququ, güzgü gecikməsi, hadisə bildirişləri, off-ramp.

7) Tərəfdaşa məcburi tələblər (minimum)

7. 1 Təhlükəsizlik və məxfilik

Şifrələmə in transit/at rest, açar idarəetməsi (KMS/HSM).
RBAC/ABAC, MFA, inzibati fəaliyyət jurnalı, yenidən giriş.
Hash imzası ilə log və WORM arxivi; sinxronlaşdırılmış vaxt.
Retence siyasəti, Legal Hold, DSAR prosedurları; PI maskalama/tokenizasiya.
Boşluq hesabatları/pentestalar; idarə olunan yeniləmə siyasəti.

7. 2 Tənzimləyici və marketinq

Etibarsız/aqressiv offerlərin qadağan edilməsi, məcburi diskleymerlər.
Məsuliyyətli oyun və yaş yoxlaması qaydalarına riayət etmək (mümkünsə).
Lisenziyalara və yerli məhdudiyyətlərə uyğun olaraq geo-hədəfləmə.
Rabitə üçün sənədləşdirilmiş razılıqlar/cavablar, prufların saxlanması.

7. 3 Ödənişlər/AML/KYC (rola görə)

KYC/KYB prosedurları, sanksiya/RER-skrininq, əməliyyatların monitorinqi.
Qeydlər/3DS, chargeback prosesləri, risk limitləri.
Bloklama/təhqiqat və geri qaytarma üçün razılaşdırılmış ssenarilər.

8) Texniki inteqrasiya

SSO/SAML/OIDC, SCIM-provizinq (mümkün qədər).
Strukturlaşdırılmış loqinq (JSON/OTel), izləmə (trace_id).
Webhucks - imza və retralar ilə; çatdırılma/idempotent zəmanət.
API limitləri, müqavilə testləri, backward compatibility, version.
Təcrid olunmuş mühitlər, açarlar və sirlər - gizli anbarlarda.

9) Müqavilə öhdəlikləri

SLA/OLA: aptaym, TTR/MTTR, gecikmələr, kritik xidmətlər üçün RPO/RTO.
Evidence & Audit: audit hüququ, PBC formatları, cavab müddəti, Data Room-a giriş.
Hadisələr: xəbərdarlıq ≤ X saat, hesabat formatı və vaxt, CAPA.
Retensiya və çıxarılması: TTL, məhv təsdiqi, alt prosessorlarda güzgü retensiyası.
Gizlilik/NDA və subpodrat məhdudiyyətləri.

10) Hadisələrin idarə edilməsi (birlikdə)

Vahid xəbərdarlıq kanalı və battle-rhythm yeniləmələri.
Dərhal Legal Hold müvafiq məlumat.
Birgə time line (kim/nə/nə zaman), heş qəbzli artefaktlar.
Tənzimləyicilərə/müştərilərə bildirişlər - razılaşdırılmış proses vasitəsilə.
Post-mortem, CAPA, 30-90 gün sonra yenidən audit.

11) Hesabat və monitorinq

Rüblük hesabatlar: sertifikatlar, insidentlər, SLA, alt prosessorlar, məlumat yerlərindəki dəyişikliklər.
privacy/DSAR metrikası, müştəri şikayətləri, marketinq pozuntuları.
Maliyyə/ödəniş: chargeback ratio, antifrod səmərəliliyi, win-rate apellyasiya.

12) Audit nəzarəti və hüququ

Risk sinifləri üzrə planlı yoxlamalar; planlaşdırılmamış - hadisələrə/kritik dəyişikliklərə görə.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Nəticələr → CAPA, son tarixlər və bağlanma yoxlaması (WORM-də evidence).

13) Offbording tərəfdaş

Miqrasiya/əvəz planı, artefaktların və açarların ötürülməsi.
Partnyor və subprosessorlarda məlumatların məhv edilməsinin təsdiqi.
Giriş/sirlərin geri çağırılması, inteqrasiya kanallarının bağlanması.
Son audit/hesabat və sübutların arxivləşdirilməsi.

14) Metrika və KRI

Onboarding Lead Time (riskli siniflər üzrə).
Vendor Certificate Freshness (məqsəd: 100% kritik tərəfdaşlar).
Tərəfdaşlar üzrə SLA Compliance və Incident Rate.
Privacy/DSAR SLA və müştərilərin şikayətləri.
Chargeback Ratio/Fraud Loss% (ödəniş rolları üçün).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (razılaşdırılmamış yer/alt prosessor dəyişiklikləri).

15) Daşbordlar

Vendor Risk Heatmap: risk-skor, sertifikatlar, hadisələr, ölkələr.
Compliance Coverage: DPA/SLA mövcudluğu, audit hüququ, retensiya/Legal Hold.
SLA & Incidents: aptime, TTR/MTTR, gizli hadisələr.
Gizlilik & DSAR: vaxt, həcmləri, şikayətlər, trendlər.
Payments/Fraud: chargeback ratio, səbəbləri, win-rate apellyasiya.
CAPA & Re-audit: statuslar, gecikmələr, təkrar şərhlər.

16) SOP (standart prosedurlar)

SOP-1: Partnyorun bağlanması

DD sorğu → skrininqlər → tech/məxfilik/təhlükəsizlik-qiymətləndirmə → Risk Report → müqavilələr (MSA/DPA/SLA) → inteqrasiya və loging konfiqurasiya → pilot → go-live.

SOP-2: Partnyorda dəyişikliklər

Dəyişikliklər haqqında notifikasiya (sub-prosessorlar/yerlər/memarlıq) → risk qiymətləndirilməsi → yenilənmiş müqavilələr/siyasət → testlər → prot.

SOP-3: Hadisə

Vahid kanal → Legal Hold → birgə vaxt/artefaktlar → bildirişlər → CAPA → re-audit.

SOP-4: Dövri təftiş

Risk üzrə illik/rüblük dövr → PBC → ToD/ToE nümunələri → hesabat/SARA → metrik nəşr.

SOP-5: Offbording

Miqrasiya planı → ixrac/transfer → məhv təsdiqi → giriş geri çağırılması → yekun hesabat.

17) Artefakt şablonları

17. 1 Vendor DD Checklist (fraqment)

Jur. məlumat/benefisiarlar; sanksiya skrininqi

Sertifikatlar/Auditlər, Təhlükəsizlik/Gizlilik Siyasəti

Məlumat yerləri/alt prosessorlar/retensiya

24 aylıq hadisələr, CAPA

Tech. inteqrasiya: SSO, loging, şifrələmə, webhucks

17. 2 DPA/SLA - Məcburi maddələr

Məlumatların emalı, məqsədlər, hüquqi əsaslar

Hadisə xəbərdarlığı vaxtı, hesabat formatı

Audit hüququ, PBC formatları, Data Room

TTL/silmə, Legal Hold, məhv təsdiq

Subprosessorlar və təsdiq proseduru

17. 3 Sübut paketi (evidence pack)

Giriş qeydləri/admin hərəkətləri (strukturlaşdırılmış, hash qəbzləri)

Boşluq/Pentest/Skan hesabatları

DSAR-reyestr/silinmə/retensiya

SLA/insidentlər/bərpa (RTO/RPO)

Müqavilələrin/addendumların imzalanmış versiyaları

18) Antipattern

Qeyri-şəffaf alt prosessorlar/məlumat yerləri.
Re-cert və jurnallar olmadan «keçid» giriş.
Dəyişməzlik və hash təsdiqi olmadan əl ilə boşaltma.
Etibarsız/qadağan edilmiş vədlərlə marketinq.
Offbordinq zamanı məlumatların məhv edilməsinin təsdiqinin olmaması.
vaxt və kompensasiya tədbirləri olmadan əbədi waivers.

19) Yetkinlik modeli (M0-M4)

M0 Ad-hoc: birdəfəlik yoxlamalar, tərəfdaşlar üçün heç bir risk reyestri yoxdur.
M1 Kataloq: tərəfdaşların siyahısı, əsas DD/müqavilələr.
M2 Nəzarət: Risk sinifləri, SLA/DPA, dashbordlar, planlı yoxlamalar.
M3 inteqrasiya: log/evidence-şina, re-audit, CAPA-link, «audit-ready».
M4 Continuous Assurance: real vaxt monitorinqi, tövsiyə yoxlamalar, PBC/evidence paketlərinin avtomatik generasiyası.

20) Əlaqəli məqalələr wiki

Due Diligence provayderləri seçərkən

Autsorsinq riskləri və podratçılara nəzarət

Üçüncü auditorlar tərəfindən xarici yoxlamalar

Dəlillərin və sənədlərin saxlanması

Jurnal və Audit Trail

Pozuntuların aradan qaldırılması planları (CAPA)

Təkrar auditlər və icraya nəzarət

Siyasət və normativlər anbarı

Komandalarda komplayens həllərin kommunikasiyası

Yekun

«Tərəfdaşlar üçün Komplayens Guide» təchizat zəncirini idarə olunan ekosisteme çevirir: vahid tələblər, proqnozlaşdırıla bilən yoxlamalar, dəyişməz sübutlar və şəffaf razılaşmalar. Bu riskləri azaldır, inteqrasiyanı sürətləndirir və əməkdaşlığı ölçülü və yoxlanıla bilən edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.