GH GambleHub

Hadisə pleybukları və ssenarilər

1) Bölmənin məqsədi

Əməliyyatlar və Komplayens dövrəsində hadisələrə tez və razılaşdırılmış cavab vermək üçün vahid, versiyalaşdırıla bilən playbooks (runbooks) dəstini formalaşdırın: aşkarlamadan bərpa, rabitə, hüquqi bildirişlər və təkmilləşdirmələrə qədər.

2) Playbook standartı (ssenari kartı)

Kataloqdakı hər bir pleybuk vahid şablon üzrə hazırlanır: 

ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1    S2    S3    S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>

3) Ciddilik və triaj matrisi (xülasə)

S1 (kritik): qlobal Core/cüzdan fasilələri, PII/maliyyə sızması, kütləvi ödəniş əlçatanlığı, tənzimləyici araşdırmalar.
Yeniləmə: ≤ 15 dəq birinci; hər 30-60 dəqiqə sonra.
S2 (yüksək): regional fasilələr, ödəniş dönüşümünün azalması> 10%, sızma olmadan təsdiqlənmiş zəiflik.
S3 (orta): ayrı-ayrı provayderlərin deqradasiyası/fich, CS müraciətlərinin artması> bazaya 30%.
S4 (aşağı): lokal qüsurlar, tək şikayətlər.

Triaj (sürətli çek): fakt? miqyaslı? vasitələrin/məlumatların təhlükəsizliyi? hüquqi şərtlər? ehtiyat marşrutları? Birinci mesaj kanalı və növbəti yeniləmə vaxtı?

4) Rollar və kommunikasiyalar

IC (Incident Commander): vaxt/həllər sahibi.
Tech Lead (SRE/Platform): diaqnostika/fiks/bypass.
Security Lead (AppSec/Blue Team): forensics/konteyner/zəruri hallarda IB orqanları bildirişlər.
Payments Lead: PSP/banklar, multi-marşrutlar, əl emalı.
Legal/Compliance: tənzimləyici bildirişlər, ifadələr, şərtlər.
Comms Lead: status-səhifə, e-mail/SMS/push, affiliates, media.
CS/CRM Lead: makroslar, kompensasiyalar, hədəf seqmentləri.
Data/Analytics: təsir qiymətləndirilməsi, hesabatlar, MTT nəzarət.

Vahid səs: hər hansı bir xarici mesaj - Comms + Legal vasitəsilə.

5) Universal çek vərəqləri

5. 1 Playbook başlanğıc (0-15 dəq)

  • IC təyin, açıq war room, stenoqraf təyin.
  • Ciddilik (S1-S4), təsir radiusu müəyyən edilmişdir.
  • Qorunma tədbirləri görülmüşdür (ficheflages, limitlər, risklər zamanı stop-nəticələr).
  • Növbəti yeniləmənin holding statement və ETA tərəfindən hazırlanmışdır.
  • Artefaktların fiksasiyası üçün biletlər (loqlar/dampalar/ekran görüntüləri) yaradılıb.

5. 2 İlk xarici mesajdan əvvəl

  • Təsdiq faktlar, istisna sirləri/PII.
  • Sözlərin hüquqi yoxlanılması.
  • «İndi nə etməli» istifadəçilərə aydın təlimat.
  • Növbəti yeniləmənin vaxtı açıqdır.

5. 3 Hadisənin bağlanması

  • Kök aradan qaldırıldı/kompensasiya tədbirləri tətbiq edildi.
  • Kompensasiya hesablanmış, mübahisəli əməliyyatlar işlənmişdir.
  • Son hesabat/status yeniləndi; retro təyin ≤ 7 gün.
  • CAPA maddələri sahibləri və şərtləri ilə yaradılmışdır.

6) Standart pleybuklar (kataloq)

PB-SEC-01: Məlumat sızması/hesabların kompromasiyası (S1)

Aşkarlama: girişlərin anomaliyaları, EDR/WAF-ın işə salınması, hesabların sındırılması ilə bağlı şikayətlər, forumda sızma.
0-15 dəq: təsirlənmiş sistemlərin izolyasiyası; sirlərin rotasiyası; pozulmuş tokenlərin bağlanması; MFA kampaniyasının daxil edilməsi.
15-60 min: hədəf bildirişlər təsir; ilk ictimai mesaj; forensika üçün artefaktların fiksasiyası.
1-4 saat: PII-yə giriş auditi; provayderlərə/buludlara sorğular; tənzimləyici bildirişlərin hazırlanması.
24 saata qədər: ətraflı hesabat, açarların dəyişdirilməsi, şifrələrin yenilənməsi, monitorinqin genişləndirilməsi.
Rabitə: status-səhifə, e-mail təsir, tərəfdaşlar, lazım gələrsə - media Q & A.
Hüquqi: tənzimləyicilərə/banklara/PSP-yə vaxtında bildirişlər.
Çıxış meyarları: risk lokallaşdırılır; bütün tokenlər dəyişdirilir; oyunçulara təlimat göndərildi; itkin/məhdud zərər təsdiqlənmişdir.
Profilaktika: bug bounty, hardening, DLP, gizli menecment.

PB-PAY-02: Ödəniş böhranı (PSP/Bank mövcud deyil) (S1/S2)

Detection: auth-rate düşməsi, arızaların artması, nəticə növbəsi.
0-15 dəq: ehtiyat PSP/marşrutları keçid; avtomatik nəticələrin yumşaq dayandırılması; kassada banner «alternativ üsullar».
15-60 dəq: ilk xarici mesaj (kassa/status); VIP/həssas qrupların əl prioriteti; PSP ilə əlaqə.
1-4 saat: limitlərin yenidən hesablanması; narahatlıq üçün kompensasiya; tərəfdaşlara hesabat.
24 saata qədər: yekun hesabat; SLA geri qaytarılması; trafik balanslaşdırma qaydalarını yeniləmək.
Profilaktika: multi-ekvayrinq, üsullara görə sağlamlıq-yoxlamalar, avto-rebalans.

PB-NET-03: DDoS/kütləvi şəbəkə deqradasiyası (S1)

0-15 min: anti-DDoS profilləri daxil; rate-limits/kappinq; CDN/WAF mühafizə qaydaları; ağır end nöqtələrini müvəqqəti olaraq söndürün.
15-60 dəq: geo-filtrlər/qara siyahılar; provayderlə ünsiyyət; ETA ilə istifadəçilərə ilk mesaj.
1-4 saat: cəbhələrin genişləndirilməsi; kanar yoxlamalar; hücum telemetriya təhlili.
Profilaktika: müntəzəm DDoS təlimləri; adaptiv profillər; ehtiyat ASN/CDN.

PB-GAME-04: Oyun provayderinin uğursuzluğu (S2/S3)

Detection: API provayder səhvlərinin artması, CS spesifik title müraciətlərinin artması.
Addımlar: təsirlənmiş oyunları müvəqqəti gizlətmək; ipucu/əvəz göstərin; balans sinxronizasiyası; provayder və oyunçulara bildiriş.
Profilaktika: fail-open/close strategiyaları, kataloq keşi, oyunların sağlamlıq etiketlənməsi.

PB-REG-05: Tənzimləyici hadisə (S1/S2)

Cases: bonus şərtlərinin pozulması, KYC/KYB uğursuzluqları, reklam pozulması.
Addımlar: mübahisəli mexaniki freeze; Legal/Compliance məsləhəti; neytral ifadələr; şablonlar üzrə hesabat.
Profilaktika: pre-clearance promo, müntəzəm audit T&C.

PB-FRD-06: Saxta ring/sui-qəsd (S2)

Detection: multi-akkounting sıçrayış, bonus sui-istifadə, arbitraj anomaliyalar.
Addımlar: müvəqqəti depozit/çıxarış limitləri; hədəf KYC; cihaz/ödəniş/IP bağları bloklanması; risk hesabatı.
Rabitə: fərdi bildirişlər; anti-frod məntiqini açıq şəkildə açıqlamaqdan çəkinmək.
Profilaktika: davranış modelləri, qrafik analitikası, velocity filtrləri.

PB-DATA-07: Məlumatların bütövlüyü/balansların rasinxronizasiyası (S1/S2)

Addımlar: «safe-mode» cüzdan tərcümə; təhlükəli əməliyyatların qadağan edilməsi; jurnallardan/snapshotlardan bərpa; aqreqatların yoxlanılması; şəxsi bildirişlər.
Profilaktika: iki fazalı kommitlər/idempotent, event-sourcing, invariantlar.

PB-AFF-08: Tracking affiliates düşməsi (S3)

Addımlar: piksel/postbeklərin təmiri; kompensasiya hesabatları; tərəfdaşlara bildirişlər; zaman atributluq əmsalları.
Profilaktika: konversiya monitorinqi, ehtiyat kollbeklər.

PB-PR-09: Şöhrət fırtınası (S2/S3)

Addımlar: vahid mövqe; faktçek; Q&A; şərhlərdə mübahisələrdən qaçınmaq; faktlarla uzun rid hazırlamaq.
Profilaktika: spikerlərin media treninqləri, faktlarla «dark site».

PB-PHI-10: Fishing/saxta saytlar (S2)

Addımlar: sübutların toplanması; Qeydiyyatçılara/hosterlərə bildiriş; oyunçulara xəbərdarlıq; antifishing səhifəsinin yenilənməsi; DMARC/Brand Indicators.
Profilaktika: domen oxşar monitorinq, anti-fişinq provayderləri ilə tərəfdaşlıq.

7) Mesaj şablonları (sürətli əlavələr)

Holding statement (xarici, ≤ 2 sətir):
💡 Biz [xidmət] işində fasilələr qeyd. Komanda artıq əlçatanlığı bərpa edir. Növbəti yeniləmə - 30 dəqiqə sonra. Istifadəçilərin vasitələri və məlumatları qorunur.
Ətraflı yeniləmə (sabitləşmədən sonra):
💡 Səbəb: [komponent/provayder]. Təsir: [faiz/coğrafiya/dövr]. Görülən tədbirlər: [ehtiyat/geri qaytarma/validasiya]. Kompensasiya: [növü/meyarları]. Aşağıdakı addımlar: [profilaktika/vaxt].

Partners/affiliats: qısa brif «nə/tracking necə təsir edir/müvəqqəti tədbirlər/ETA».

Tənzimləyiciyə/banklara/PSP: rəsmi bildiriş: faktlar, tədbirlər, müştəri təsiri, qarşısının alınması planı, yekun hesabat müddəti.

8) Metrika və məqsədlər

Aşkarlama: MTTD, siqnal-to-noise alerts.
Reaksiya: MTTA, TTS (time-to-statement), SLA-da% yeniləmə.
Bərpa: MTTR, RTO/RPO təsirlənmiş xidmətlər üzrə.
Təsir: təsirlənmiş oyunçular/əməliyyatlar, itirilmiş GGR, chargeback-reyt.
Kommunikasiyalar: open/click-rate, əhatə dairəsi, təkrar müraciətlərin payı, CSAT/DSAT.
Komplayens: məcburi bildirişlərin vaxtında olması, artefaktların tamlığı.

9) Artefaktlar və sübut bazası

Minimum dəst hadisə biletində/anbarında saxlanılır:
  • həllər və hərəkətlərin taymline (dəqiqlik dəqiqliyi);
  • log/damps/ekran görüntüləri/ixrac qrafik;
  • konfiqurasiya/binaların versiyaları;
  • mesajların surətləri və alıcıların siyahıları;
  • təsirlənən hesabların/əməliyyatların siyahıları;
  • hüquqi bildirişlər (layihələr/göndərişlər/cavablar).

10) Alətlər və inteqrasiya

Hadisə-bot: '/declare ', '/severity S1.. S4', '/update <text> ', '/close'.
Status-səhifə: ictimai lent; aptime sensorları ilə inteqrasiya.
Kompensasiya: seqmentlərin kalkulyatoru (vaxt, geo, oyun, ödəniş metodu).
Security-stack: EDR/WAF/SIEM/IDS; SOAR playbook.
Müşahidə: log/metrika/treys, error budgets, SLO-dashboard.

11) Playbook kataloqunun idarə edilməsi (governance)

Versiyalaşdırma: Git-resepsiyon, PR prosesi, semantik versiyalar.
Məsuliyyət: Hər playbukun sahibi və ehtiyatı var.
Yoxlamalar: minimum rüblük, hər S1/S2 sonra - plandankənar.
Təlimlər: rübdə bir dəfə table-top, altı ayda bir dəfə kritik ssenarilər üzrə live-drill.
Uyğunluq: BCP/DRP, Eskalasiya Matrisi, Məsuliyyətli Oyun, Bildiriş Siyasəti.

12) Sürətli başlanğıc (30 gün ərzində)

1. Ən yaxşı 10 riskli ssenarilərin siyahısını tərtib edin və sahiblərini təyin edin.
2. Hər kəs üçün - standart (bölmə 2) üzrə kart tərtib etmək və anbarda başlamaq.
3. Playbukları hadisə botuna qoşun (qısa kodlar və mesaj şablonları).
4. 2 table-top təlimləri (ödənişlər + IB) və 1 live-drill (oyun provayderinin deqradasiyası) keçirmək.
5. Dashboard metrik başlatın (MTTD/MTTA/MTTR, TTS, SLA-da% yeniləmə).
6. CAPA-buclog qurmaq, şərtləri və RACI razılaşdırın.
7. «Quru» şablon poçtunu (oyunçular/tərəfdaşlar/tənzimləyicilər) sandbox vasitəsilə geri qaytarın.

Əlaqəli bölmələr:
  • Böhran idarəetmə və kommunikasiya
  • Biznes Davamlılıq Planı (BCP)
  • Disaster Recovery Plan (DRP)
  • Eskalasiya matrisi
  • Bildiriş və xəbərdarlıq sistemi
  • Məsuliyyətli oyun və oyunçuların müdafiəsi
Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.