GH GambleHub

Üçüncü tərəf təchizatçılarının riskləri və tərəfdaşların auditi

1) Nə üçün və kim üçün

Məqsəd: xarici təchizatçılar və tərəfdaşlar vasitəsilə gələn uğursuzluqlar, sızmalar və tənzimləmə pozuntuları ehtimalını azaltmaqdır.
əhatə: PSP/ödəniş şlüzləri, KUS/sanksiyalar/RER, antifrod, oyun və studiya provayderləri, filial şəbəkələri və trekinq, buludlar/CDN/hosting, BI/analiz, retenshn alətləri/marketinq-SDK, zəng mərkəzləri və alt prosessorlar bizim satıcılar.

2) Risk kateqoriyaları (domen kartı)

İnformasiya təhlükəsizliyi və məxfilik: PII/KYC/ödəniş tokenlərinin sızması, zəif TOMs, WORM/auditin olmaması.
Komplayens: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI zonası, yurisdiksiyaların reklam/oyun tələbləri.
Əməliyyat: mövcudluq/SLA, bir təchizatçı asılılığı (concentration), zəif BCP/DR.
Maliyyə: təchizatçının sabitliyi, kredit riskləri, «chargeback-şoklar».
Sanksiya/geosiyasi: ixrac/idxal məhdudiyyətləri, məlumat mərkəzlərinin yerləşməsi, sahiblik strukturlarında RER/sanksiyalar.
Nüfuzlu və hüquqi: reklam/məsuliyyətli oyun, IP hüquqlarının pozulması.
Texniki: SDK/API zəiflikləri, versiya və test mühiti yoxdur.

3) Təchizat zəncirinin xəritəsi

1. Inventory: Sahiblə (business owner) bütün satıcıların/tərəfdaşların/alt prosessorların vahid reyestri.
2. Data Map: hansı məlumatlar/yurisdiksiyalar/həcmlər kimdən keçir; bayraqlar PII/maliyyə/xüsusi kateqoriyalar.
3. Criticality: pul/PII/aptime təsiri ilə təsnif edilir.

4) Təchizatçıların tirinqi (meyar nümunəsi)

TirƏlamətlərNümunələrTələblər
Tier 1 (kritik)PII/ödənişlər, 24 × 7, GGR-ə birbaşa təsirPSP, KUS/sanksiyalar, antifrod, buludTam due diligence, audit, BCP/DR testləri, illik onsite/remote audit
Tier 2 (yüksək)dolayı təsir, PII masked, mühüm inteqrasiyastudiyalar/aqreqatorlar, DWH alətləriAdvanced anket, seçici audit, illik baxış
Tier 3 (orta/aşağı)heç bir PII/pul, marketinq alətlərie-mail, widget 'larYüngül sorğu, müqavilə minimumları

5) Risk-skrininq və skorinq

Amillər: təhlükəsizlik (siyasət, sertifikatlaşdırma), məxfilik (DPA/SCCs/DTIA), uyğunluq (AML/PCI/ISO), əməliyyat sabitliyi (SLA/BCP/DR), maliyyə (audit/hesabat), yurisdiksiyalar/sanksiyalar, insident tarixi, texnoloji yetkinlik (SDLC/DevSecOps).
Skoring (nümunə): 0-5 hər amil üzrə → balanslı nəticə (W) → zona: yaşıl/sarı/qırmızı.

Eşik həlləri:
  • Green: standart müqavilə.
  • Amber: Go-Live-a nəzarət/remediasiya.
  • Red: imtina və ya əlavə tədbirlər ilə pilot (segmentation, throttling, read-only, escrow, aşağı limitlər).

6) Due diligence (girişdə tələb olunur)

Artefaktlar/nəzarət (Tier 1-2 üçün minimum):
  • Təhlükəsizlik/məxfilik siyasəti, RoPA, alt prosessor reyestri.
  • Audit hesabatları/sertifikatlaşdırma (ISO 27001/SOC 2 tip II/PCI tətbiq edildikdə), son pentestlər.
  • BCP/DR və test nəticələri, RPO/RTO.
  • Hadisə prosedurları (72 saatlıq bildirişlər), 12-24 aylıq hadisə jurnalı.
  • DPA/transsərhəd mexanizmi (SCCs/IDTA) + DTIA, məlumat/açar lokalizasiyası.
  • İnteqrasiya təhlükəsizliyi: mTLS/OIDC, imzalanmış vebhuk, açar rotasiyası, IP allow-list.
  • Giriş/ixrac jurnalları, WORM nüsxələri, hash zəncirləri.
  • Retenshn və silmə siyasəti, offboarding zamanı arxa xətaların məhv təsdiqi.
  • Maliyyə sabitliyi (ictimai hesabat/arayışlar), mülkiyyət strukturu (sanksiya/RER-yoxlamalar).

Tier 2-3 üçün Light anket: sSIG/CAIQ-level (20-60 sual).

7) Müqavilə tələbləri (əsas maddələr)

SLA/SLO: aptaym (məs. 99. 9%), gizli P95, hadisələrə cavab vaxtı, xidmət kreditləri.
Security/Privacy addendum: şifrələmə at rest/in transit, açarlar/geo, jurnallaşdırma, maskalanma, məlumatların təkrar istifadəsinin qadağan edilməsi.
DPA + alt prosessorlar: zəncirin genişlənməsi barədə məlumat vermək öhdəliyi; etiraz/audit hüququ.
Incident & Notification: bildiriş pəncərəsi ≤ 72 saat; log/artefaktlara giriş; birgə war-room.
BCP/DR: məcburi N testləri ildə bir dəfə, RPO/RTO.
Pen-test/Audit rights: ildə ən azı 1 dəfə (remote/onsite), hesabatlara giriş.
Change control: major-dəyişiklik bildirişi (SDK/API/memarlıq/coğrafiya).
Termination & Exit: məlumatların ixracı (formatlar), silinməsi/geri qaytarılması, kritik inteqrasiyalar üçün escrow, X gün miqrasiyaya dəstək.
Liability/Indemnity: cap/cublimits, IP zəmanətləri, SLA/sızma pozuntularına görə cərimələr.

8) Onboarding → Monitoring → Offboarding (həyat dövrü)

8. 1 Onboarding

1. Biznes əsaslandırma və owner → tiring → anket/artefaktlar.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Go-Live-a nəzarət edin: seqmentasiya (VPC/tenant), yüklər/limitlər, maskalanma/tokenizasiya, feature-flags, test qum qutusu.
4. Müqavilə/inteqrasiya → pilot → Go/No-Go.

8. 2 Continuous Monitoring

Texniki monitorinq: aptaym, səhvlər, gizlilik, risk büdcəsi.
Təhlükəsizlik: SIEM (anormal ixrac/' purpose 'olmadan giriş), satıcı hesabatları, SDK zəiflikləri.
Gizlilik/uyğunluq: subprosessorların, yerlərin dəyişdirilməsi, retenşna; DSAR uyğunluğu.
Maliyyə: KPI/refund/chargeback, SLA-cərimələr.
Tier 1-2 və illik re-due-diligence üçün rüblük review.

8. 3 Offboarding

Açarların/girişlərin geri çağırılması, məlumatların və backapların məhv edilməsi/geri qaytarılması, aktlar, biletlərin bağlanması, reyestrlərin və məlumat kartlarının yenilənməsi.

9) Tərəfdaşların audit prosedurları

9. 1 Plan və sahə

Fokus: giriş idarəetmə, şifrələmə/açarlar, jurnallar, hadisələr, BCP/DR, DSAR prosesləri, alt prosessorlar.

9. 2 Metodlar

Müsahibə, sənəd/log baxış, selektiv yoxlamalar, texniki testlər (api-rate-limit/mTLS/imzalar), tabletop-təlim.

9. 3 Hesabat və CAPA

Tapıntıların təsnifatı (Critical/High/Medium/Low), remediasiya müddəti, bağlanış nəzarəti və retest.

10) Satıcı hadisələri: playbook

1. Detekt: satıcı/bizim monitorinq/icma siqnalı.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: trafik məhdudiyyəti/SDK/açarları, vaxt limitləri/kanarya hovuzları.
4. Forensika: zənglər jurnalı, webhook imzaları, WORM təsdiqləri, təsirlənmiş qeydlərin diapazonu.
5. Bildirişlər: tənzimləyicilər/istifadəçilər/banklar (lazım olduqda), birgə mətnlər.
6. CAPA: fikslər, şərtlər, effektivliyin yoxlanılması; skorinq və müqavilə şərtlərinə yenidən baxılması.

11) RACI (böyük)

AktivlikBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Tyring/Business CaseA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Müqavilələr (SLA/DPA/düzəlişlər)CCCA/RA/RIR
İnteqrasiya/seqmentasiyaCA/RCCIRI
Monitorinq/auditRA/RA/RA/RCRI
Hadisələr/SARACA/RA/RA/RCRI
Offboarding/ixrac/silməRA/RAACRI

12) Metriklər (KPI/KRI)

Coverage: Aktiv reyestr provayderlərinin% -i cari reytinqlə ≥ 100%.
Assessment TTM: media time due diligence Tier 1 ≤ 15 iş günü.
Remediation SLA: Kritik tapıntılar 30 gün ≤ bağlanır (≥ 95%).
Incident Notification: pəncərədə bildirişlərin payı 72 saat - 100%.
DPA/SCCs/DTIA Coverage: Tier 1-2 - 100% aktualdır.
Concentration Risk: 1 PSP/provayder üçün trafik/gəlir payı ≤ X% (eşik).
BCP/DR Evidence: 12 ay ərzində təsdiqlənmiş testlərlə% 1 - 100%.
Export Logging: 100% ixrac imzalanmış və pozulmuş.

13) Şablonlar və fraqmentlər

13. 1 Mini sorğu (Tier 1-2, çıxarış)

Sertifikatlaşdırma/auditlər (ISO/SOC2/PCI), son tarix.
Verilənlər arxitekturası: geo, alt prosessorlar, açarlar/KMS, şifrələmə.
24 ay ərzində insidentlər (növü/tarixi/tədbirləri).
Girişlər və jurnallar (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (test tarixləri, RPO/RTO).
DSAR/retenshn, RoPA, CMP/SDK.
API texniki nəzarətləri: mTLS/OIDC, vebhuk imzası, açar rotasiyası, rate-limit.

13. 2 SLA (fraqment)

GöstəriciMəqsədDonmaKredit
Aptaym (ay)99. 9%xarici. monitorinq5–10% fee
Critical insident: cavab≤ 15 dəqiqəwar-room protokolufix.
High Remediation≤ 30 günCAPA hesabatıfix.

13. 3 Security & Privacy Addendum (clauses-ekstraktlar)

"Məlumatların təkrar istifadəsinin qadağan edilməsi; giriş ciddi Need-to-Know; yalnız təsdiq edilmiş reyestrlərə ixrac"

"Hash imzası ilə dəyişməz jurnallar (WORM); ildə bir dəfə sorğu üzrə audit"

«Subprosessor dəyişdirildikdə - 30 gün ≥ bildiriş, etiraz hüququ, alternativ plan.»

"Adekvat yurisdiksiyalardan kənarda hər hansı bir transsərhəd ötürmədə DTIA; açarları - EC/UK (per razılaşma)"

14) Çek vərəqləri

Təchizatçı ilə Go-Live-dan əvvəl

  • Owner təyin, tir müəyyən
  • Anket/artefaktlar alındı və yoxlanıldı
  • DPA/SLA/düzəlişlər imzalanmış, subprosessorlar elan
  • Seqmentasiya/Limitlər/Maskalama daxil, açarları ayrı
  • Hadisə test qum/tablet keçdi
  • Çıxış/miqrasiya və escrow planı rəsmiləşdirilib

Rüblük (Tier 1-2)

  • SLA/insidentlərin/SDK zəifliklərinin monitorinqi
  • Sertifikatların/hesabatların, alt prosessorların reyestrinin yenilənməsi
  • DR/BCP testi təsdiqləndi
  • Maliyyə skrininqi (sabitlik), sanksiya yoxlamaları
  • Konsentrasiya Riskləri və Alternativləri Review

Offboarding

  • Açarlar/girişlər ləğv edildi
  • Verilənlərin ixracı tamamlandı, silmə/backup təsdiqi
  • Bağlanış aktları, yenilənmiş Data Mar/reyestrlər

15) Tipik ssenarilər və tədbirlər

A) SDK marketinq zəifliyi

Dərhal bağlanması, PII toplama bloku, lazım olduqda DPO/tənzimləyicilərə bildiriş, satıcıda CAPA, retest.

B) PSP SLA ilə deqradasiya

Ehtiyat PSP-də avto-routinq trafiki, limitlərin azaldılması, service kreditlərin aktivləşdirilməsi, müqavilənin yenidən baxılması/exit planı.

C) KYC provayderində sızma

İnteqrasiya izolyasiyası, tokenlərin revokasiyası, toxunan qeydlərin xəritəsi, bildirişlər, yüksək riskli əl KYC, satıcı auditi, mümkün əvəzetmə.

16) TPRM tətbiqi yol xəritəsi

Həftələr 1-2: satıcıların inventarlaşdırılması, Data Map, tirinq, əsas sorğu və reyestr.
3-4 həftələr: SLA/DPA/əlavələr şablonları, onboarding/monitoring/offboarding prosesi, SIEM/CMDB/IDP ilə inteqrasiya.
Ay 2: Pilot Tier 1-2, rüblük rəylərin başlaması, sertifikatların/şərtlərin yoxlanılmasının avtomatlaşdırılması.
Ay 3 +: miqyaslandırma, skorinq/daşbordlar, BCP/DR stress testləri, konsentrasiya risklərinin optimallaşdırılması və alternativ marşrutlar.

TL; DR

Güclü TPRM = tam satıcı kartı → tirinq və skoring → sərt müqavilələr (SLA/DPA/BCP/DTIA) → seqmentasiya və təhlükəsiz inteqrasiya → davamlı monitorinq və audit → sürətli exit/remediation. Bu, pul, məlumat və lisenziyaları qoruyur və tərəfdaşların uğursuzluqları halında da iş sabitliyini qoruyur.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.