GH GambleHub

Due Diligence provayderləri seçərkən

1) Niyə Due Diligence provayderləri lazımdır

Provayder - etimad zəncirinizin davamı. Seçim xətası = tənzimləyici cərimələr, sızmalar, fasilələr və reputasiya itkiləri. Due Diligence (DD) imkan verir:
  • Məhsulun/ölkənin/məlumatların xarakterik riskini müəyyən edin.
  • Müqavilə bağlanana qədər komplayens və təhlükəsizliyi yoxlayın.
  • Müqavilə mərhələsində SLA/SLO və audit hüquqlarını qeyd edin.
  • Məlumatların bütövlüyünü qoruyaraq monitorinq və çıxış planını (offboarding) qurun.

2) Nə vaxt və nə əhatə edir

Məqamlar: ilkin seçim, qısa siyahı, müqavilədən əvvəl, əhəmiyyətli dəyişikliklərlə, illik yenidən baxılması.
Əhatə: hüquqi status, maliyyə sabitliyi, təhlükəsizlik, gizlilik, texniki yetkinlik, istismar/dəstək, komplayens (GDPR/PCI/AML/SOC 2 və s.), coğrafiya və sanksiya riskləri, ESG/etika, subpodratçılar.

3) Rollar və RACI

RolMəsuliyyət
Business Owner (A)Biznes əsaslandırma, büdcə, risk nəzərə alınmaqla son həll
Procurement/Vendor Mgmt (R)DD prosesi, tender, təkliflərin müqayisəsi, reyestr
Compliance/DPO (C/R)Gizlilik, emal qanuniliyi, DPA/SCC
Legal (R/C)Müqavilələr, məsuliyyət, audit hüquqları, IP/lisenziyalar
Security/CISO (R)Texniki nəzarət, testlər, insident tələbləri
Data Platform/IAM/IT (C)İnteqrasiya, memarlıq, SSO, log
Finance (C)Ödəmə qabiliyyəti, ödəmə şərtləri/valyuta/vergilər
Internal Audit (I)Tam və izlənilebilirlik monitorinqi

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Qiymətləndirmə meyarları xəritəsi (nəyi yoxlayırıq)

4. 1 Hüquqi və korporativ profil

Qeydiyyat, benefisiarlar (KYB), məhkəmə çəkişmələri, sanksiya siyahıları.
Tənzimlənən xidmətlər üçün lisenziyalar/sertifikatlar.

4. 2 Maliyyə və sabitlik

Audit hesabatı, borc yükü, əsas investorlar/banklar.
Bir müştəri/regiondan asılılıq, davamlılıq planı (BCP).

4. 3 Təhlükəsizlik və məxfilik

ISMS (siyasət, RACI), xarici test nəticələri, zəifliklərin idarə edilməsi.
At Rest/In Transit, KMS/HSM şifrələmə, sirlərin idarə edilməsi.
DLP/EDRM, jurnallaşdırma, Legal Hold, Retence və silmə.
Hadisə menecmenti: SLA bildirişlər, playbook, post-mortems.

4. 4 Uyğunluq və sertifikatlaşdırma

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (vaxt və həcmi).
GDPR/lokal normalar: rollar (controller/processor), DPA, SCC/BCR, DPIA.
AML/sanksiya konturu (mümkünsə).

4. 5 Texniki yetkinlik və inteqrasiya

Memarlıq (multi-tenant, izolyasiya, SLO, DR/HA, RTO/RPO).
API/SDK, version, rate limits, observability (log/metrika/treys).
Dəyişikliklər, relizlər (mavi-yaşıl/canary), əks uyğunluq.

4. 6 Əməliyyat və dəstək

24 × 7/Follow-the-sun, reaksiya/bərpa vaxtı, onkoll.
Onbordinq/offbordinq prosedurları, cəriməsiz məlumatların ixracı.

4. 7 sub-prosessorlar və təchizat zənciri

Subpodratçıların siyahısı, yurisdiksiyalar, onların nəzarəti və dəyişikliklər barədə bildirişlər.

4. 8 Etik/ESG

Korrupsiyaya qarşı siyasət, davranış kodeksi, əmək təcrübəsi, hesabat.

5) Due Diligence Prosesi (SOP)

1. Təşəbbüs: ehtiyac kartı (məqsədlər, məlumatlar, yurisdiksiyalar, kritiklik).
2. Kvalifikasiya: qısa anket (pre-screen) + sanksiya/lisenziya çeki.
3. Dərin qiymətləndirmə: anket, artefaktlar (siyasətlər, hesabatlar, sertifikatlar), müsahibələr.
4. Texniki yoxlama: security-baxış, demo mühit, oxu log/metrik, PoC.
5. Skoring və risklər: xarakterik risk → nəzarət profili → qalıq risk.
6. Remediasiya: müqavilədən əvvəl şərtlər/düzəlişlər (son tarixlərlə gap-siyahı).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Conbording: Accessories/SSO, məlumat kataloqları, inteqrasiya, monitorinq planı.
9. Davamlı monitorinq: illik yenidən baxılması/tetikleyicilər (insident, subprosessor dəyişikliyi).
10. Offbording: ixrac, silinmə/anonimləşdirmə, giriş geri çağırılması, məhv təsdiqi.

6) Provayderin anketi (sualların özəyi)

Jur. şəxs, benefisiarlar, sanksiya yoxlamaları, 3 il ərzində mübahisələr.
Sertifikatlaşdırma (SOC 2 növü/dövrü, ISO, PCI), son hesabatlar/scope.
Təhlükəsizlik siyasəti, məlumat inventarı, təsnifat, DLP/EDRM.
Texniki izolyasiya: tenant-isolation, şəbəkə siyasətləri, şifrələmə, açarlar.
Qeydlər və audit: saxlama, giriş, WORM/immutability, SIEM/SOAR.
24 aylıq hadisələr: tipləri, təsiri, dərsləri.
Retance/silmə/Legal Hold/DSAR axını.
Subprosessorlar: siyahı, ölkələr, funksiyalar, müqavilə zəmanətləri.
DR/BCP: RTO/RPO, son testlərin nəticələri.
Dəstək/SLA: reaksiya/həll vaxtı, eskalasiya, kredit sxemi.
Exit-plan: məlumat ixracı, formatları, dəyəri.

7) Skorinq modeli (nümunə)

Oxlar: Hüquq/Maliyyə/Təhlükəsizlik/Gizlilik/Texnika/Əməliyyatlar/Uyğunluq/Zəncir/ESG.
Hər ox üzrə 1-5 bal; xidmətin kritikliyinə və məlumatların növünə görə çəkilər.

Son risk-skor:
  • 'RR = Σ (çəki _ i × bal _ i)' → Kateqoriyalar: Low/Medium/High/Critical.

High/Critical: müqavilədən əvvəl remediasiya, gücləndirilmiş SLA şərtləri və monitorinq tələb olunur.
Low/Medium: standart tələblər + illik reviziya.

8) Müqavilənin məcburi müddəaları (must-have)

DPA: rolları (controller/processor), məqsəd, məlumat kateqoriyaları, retensiya və silmə, Legal Hold, DSAR kömək.
Transsərhəd ötürmələr üçün SCC/BCR (mümkünsə).
Security Appendix: şifrələmə, qeydlər, boşluqlar/patching, pentests, boşluqlar açıqlanması.
SLA/SLO: reaksiya/aradan qaldırma vaxtı (sev-səviyyələri), kreditlər/cərimələr, əlçatanlıq, RTO/RPO.
Audit hüquqları: audit hüququ/sorğu/sübut; nəzarət/alt prosessor dəyişiklikləri barədə bildirişlər.
Breach Notification: bildiriş vaxtı (məsələn ≤ 24-72 saat), format, istintaqda əməkdaşlıq.
Subprocessor Clause: siyahı, bildiriş/razılaşma dəyişikliyi, məsuliyyət.
Exit & Data Return/Deletion: ixrac formatı, şərtlər, məhv təsdiqi, miqrasiya dəstəyi.
Liability/Indemnity: limitlər/istisnalar (PI sızması, lisenziyaların pozulması, tənzimləyicilərin cərimələri).
IP/Lisans: inkişaf hüquqları/konfiqurasiya/data/meta-məlumat.

9) Monitorinq və triggers reviziya

Sertifikatların müddəti/yenilənməsi (SOC/ISO/PCI), hesabat statusunun dəyişdirilməsi.
Subprosessorların/məlumat saxlama yerlərinin/yurisdiksiyaların dəyişdirilməsi.
Təhlükəsizlik hadisələri/əhəmiyyətli SLA fasilələri.
Birləşmə/satınalmalar, maliyyə göstəricilərinin pisləşməsi.
İzolyasiyaya/şifrələməyə/girişə təsir edən buraxılışlar.
Tənzimləyici sorğular, audit Findings.

10) Metriklər və Daşbordlar Vendor Risk Mgmt

Coverage DD: Tam DD-dən keçən kritik provayderlərin% -i.
Time-to-Onboard: sifarişdən müqaviləyə qədər median (risk kateqoriyalarına görə).
Open Gaps: Provayderlərə aktiv remediasiya (son tarixlər/sahiblər).
SLA Breach Rate: Zaman/mövcudluq baxımından SLA pozuntularının payı.
Incident Rate: hadisə/12 ay provayder və ciddilik.
Audit Evidence Readiness: aktual hesabatların/sertifikatların mövcudluğu.
Subprocessor Drift: Bildirişsiz dəyişikliklər (məqsəd 0).

11) Kateqoriyalaşdırma və yoxlama səviyyələri

Provayder kateqoriyasıNümunəMəlumatlarDD dərinliyiYenidən baxılması
Tənqidiəsas hostinq, KYC/AML, PSPPI/MaliyyəTam (on-site/RoS)Hər il + tetikləyicilər
Yüksəkanalitika, DWH, loqiPI/psevdoPIGenişləndirilmiş12-18 ay
Ortamarketinq, e-poçt, dəstəkməhdudƏsas18-24 ay
Aşağıtəlim, məzmunPI emal etmirYüngül ön ekran24 ay

12) Çek vərəqləri

DD başlanğıcı

  • Kart ehtiyacları və risk-sinif xidmət.
  • Pre-screen: sanksiyalar, lisenziyalar, əsas profil.
  • Anket + artefaktlar (siyasətlər, hesabatlar, sertifikatlar).
  • Security/Privacy review + PoC inteqrasiya zamanı.
  • Son tarixlər və sahibləri ilə gap siyahısı.
  • Müqavilə: DPA/SLA/audit rights/liability/exit.
  • Onbordinq və monitorinq planı (metriklər, alertlər).

İllik baxış

  • Yenilənmiş sertifikatlar və hesabatlar.
  • Subprosessorların/yerlərin/yurisdiksiyaların yoxlanılması.
  • Revediasiya statusu, yeni risklər/hadisələr.
  • DR/BCP testləri və nəticələri.
  • Dry-run audit: «düyməsinə görə» evidence toplamaq.

13) Qırmızı bayraqlar

SOC/ISO/PCI və ya əhəmiyyətli hesabat bölmələrini təmin etməkdən imtina.
Şifrələmə/log/məlumat silmə ilə bağlı qeyri-müəyyən cavablar.
DR/BCP planları yoxdur və ya sınaqdan keçirilmir.
Post-mortem və dərslər olmadan qapalı hadisələr.
Subprosessorlara/zəmanət olmadan xaricə limitsiz məlumat ötürülməsi.
PI sızması üçün aqressiv məsuliyyət məhdudiyyətləri.

14) Antipattern

PoC və texniki yoxlama olmadan «kağız» DD.
Risk/yurisdiksiya nəzərə alınmadan universal çek siyahısı.
DPA/SLA/audit hüququ və exit planı olmadan müqavilə.
Provayderlərin reyestrinin və dəyişikliklərin monitorinqinin olmaması.
Rotasiya və yenidən sertifikatlaşdırma olmadan «əbədi» verilmiş giriş/tokenlər.

15) Əlaqəli wiki məqalələr

Komplayens və hesabatların avtomatlaşdırılması

Davamlı uyğunluq monitorinqi (CCM)

Legal Hold və məlumatların dondurulması

Siyasət və prosedurların həyat dövrü

KYC/KYB və sanksiya skrininqi

Məlumatların saxlanması və silinməsi qrafikləri

Davamlılıq Planı (BCP) və DRP

Yekun

Risk yönümlü Due Diligence «işarə» deyil, idarə olunan bir prosesdir: düzgün kateqoriyalaşdırma, açar oxları üzərində dərin yoxlama, aydın müqavilə zəmanətləri və davamlı monitorinq. Beləliklə, təchizatçılar sizin zəncirinizin etibarlı hissəsinə çevrilirlər və siz də biznesi yavaşlatmadan tələblərə cavab verirsiniz.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.