GH GambleHub

Məlumat verən və məlumatların qorunması üçün kanal

1) Təyinat və sahə

Əməkdaşlara, podratçılara, affiliatlara və digər steykholderlərə pozuntular (korrupsiya, fırıldaqçılıq, AML/sanksiyalar, RG, GDPR/PII, PCI/İB, reklam/affiliates, maraq toqquşmaları, ayrıseçkilik və s.) barədə məlumat vermək üçün təhlükəsiz, əlçatan və etibarlı yol təmin edin təcavüz, lisenziyaların/qanunun pozulması). Sənəd kanalları, anonimliyi, məlumatların işlənməsini, istintaq prosedurlarını və repressiyalardan qorunmanı tənzimləyir.

2) Prinsiplər

Repressiyalara qarşı sıfır tolerantlıq. Hər hansı bir cavab qadağandır.
Məlumatların məxfiliyi və minimuma endirilməsi. Toplama - yalnız need-to-know prinsipi ilə zəruri.
Məlumatlandırıcı seçimi ilə anonimlik. Şəxsiyyəti açıqlamadan ünsiyyət qurmaq imkanı.
Vaxtında və ədalətli. SLA qəbul/baxılması; sənədləşdirilmiş, qərəzsiz metodologiya.
Müstəqillik. Rolların bölünməsi: mesajların qəbulu, araşdırma, sanksiyalar.
Prosesin şəffaflığı. Status izləmə, rəy, şəxsiyyətsiz ictimai statistika.

3) Rollar və RACI

Whistleblowing Officer (WBO) - proses sahibi, triaj, istintaqın koordinasiyası, hesabat. (A/R)

Compliance/Legal/DPO - hüquqi qiymətləndirmə, məlumatların qorunması, məxfilik siyasəti. (R/C)

InfoSec/CISO - kanal təhlükəsizliyi, şifrələmə, giriş nəzarəti, jurnallaşdırma. (R)

HR/ER (Employee Relations) - etika/davranış halları, dəstək tədbirləri. (R)

İnternal Audit (IA) - müstəqil istintaqın keyfiyyətinə nəzarət və CAPA. (C)

Security/Trust & Safety - texniki/frod cases, rəqəmsal artefaktların toplanması. (R)

Exec Sponsor (CEO/COO) - «tone from the top», resurslar, eskalasiya S1. (I/A)

4) Mesaj kanalları

1. Web Form (əsas tövsiyə): anonimlik dəstəyi; token/pin ilə qorunan yazışmalar.
2. E-poçt: avto-şifrələmə ilə ayrılmış qutu, məzmunu açıqlanmayan avto qəbz.
3. Qaynar xətt/telefon: məlumatların maskalanması ilə sistemə giriş.
4. Korporativ messencerdə chatbot: anonim deyil (və ya proxy mexanizmi ilə).
5. E-poçt ünvanı/fiziki qutu: oflayn mesajlar üçün (Sistemə skan və yükləmə).
6. WBO/IA ilə birbaşa əlaqə: şəxsi görüş - məlumatlının istəyi ilə.

Kanallar üçün tələblər: TLS end-to-end, şifrələnmiş saxlama, RBAC, giriş jurnalları dəyişməz, anonim formada IP/cihaz izləməməsi, şəffaf cookie/log siyasəti.

5) Məlumatların qorunması və hüquqi əsaslar

Lawful basis: hüquqi vəzifələrin icrası, şirkətin qanuni maraqları, ictimai maraq (yurisdiksiyasından asılı olaraq).
DPIA: başlamazdan əvvəl - məxfiliyə təsirinin qiymətləndirilməsi; risklərin və azaltma tədbirlərinin qeyd edilməsi.
Məlumatların təsnifatı: şəxsi, həssas (sağlamlıq, etnik və s.), kommersiya sirri, araşdırma artefaktları.
Minimallaşdırma: artıq toplamayın; uyğun olmayan sənədləri silmək.
Transsərhəd ötürmələr: yalnız hüquqi əsaslar və müqavilə zəmanətləri olduqda.
Data subyektlərinin hüquqları: DSAR DPO tərəfindən işlənir; istisna: məlumatlının şəxsiyyətini və istintaqı/üçüncü şəxsləri təhdid edən məlumatları açıqlamayın.
Retence: mesajlar və artefaktlar - adətən 5 il və ya siyasət/qanun/lisenziya; sonra təhlükəsiz silmə (crypto-shred/logic silinmə jurnal ilə).

6) Təhlükəsizlik və texniki tədbirlər

Şifrələmə: at-rest (KMS/HSM), in-transit (TLS), açarlar - rotasiya və ayırma ilə.
Giriş: RBAC/ABAC, ən kiçik imtiyazlar prinsipi, anonim hallar üçün fərdi domenlər.
Jurnallar: dəyişməz (WORM), qeyri-adi girişlərin monitorinqi, risklər.
Seqmentasiya: mesaj sistemi prod sistemlərindən təcrid olunur; bərpa yoxlama ilə fərdi backaps.
Metadata: maskalanma, eklentilərdən EXIF-in silinməsi, avtomatik de-identifikasiya xəbərdarlığı.
Gizli rabitə kanalları: iki tərəfli anonim yazışmalar üçün təhlükəsiz poçt qutusu/veb-poçt.

7) Davaların təsnifatı və prioritetləri

S1 (Kritik): korrupsiya/rüşvət, külli miqdarda, PII/PCI sızması, həyat/təhlükəsizlik təhdidləri, lisenziyaların/qanunların ciddi pozuntuları.
S2 (Yüksək): sistemli siyasət pozuntuları (AML/RG/GDPR/İB), ciddi maraq toqquşmaları, ayrı-seçkilik/təcavüz.
S3 (Orta): yerli prosedur pozuntuları, reklam/affiliatlarda səhvlər, birdəfəlik davranış pozuntuları.
S4 (Aşağı): təkmilləşdirmə təklifləri, aşağı riskli hadisələr.

SLA:
  • Qəbul qəbulu: S1/S2 - ≤ 24 saat; S3/S4 - ≤ 3 r.d.
  • İlkin qiymətləndirmə (triage): S1 - ≤ 48 saat; S2 - ≤ 5 rd; S3/S4 - ≤ 10 r.d.
  • Araşdırma planı: S1 - ≤ 3 r.d.; S2 - ≤ 10 rd.

8) Mesajdan bağlanışa qədər proses

Addım 1 - Qəbz və qəbz. ID-nin verilməsi, kanalın fiksasiyası, sübutların «olduğu kimi» saxlanması.
Addım 2 - Triaj və müstəqillik. Təyin olunan şəxslərin maraqlarının toqquşmasının yoxlanılması; münaqişə zamanı - yenidən bölüşdürmə.
Addım 3 - Risk qiymətləndirilməsi və plan. Həcm, fərziyyələr, metodların qanuniliyi, artefaktların siyahısı, yol xəritəsi.
Addım 4 - Sübutların toplanması. Sənədlər, qeydlər, müsahibələr, əməliyyat nümunələri; chain-of-custody riayət.
Addım 5 - Təhlil və nəticələr. Fakt → meyar (siyasət/qanun/lisenziya) → risk → təsir.
Addım 6 - Tövsiyələr və CAPA. Düzəliş/xəbərdarlıq hərəkətləri, sahibləri, şərtləri, uğur metrikləri.
Addım 7 - Rabitə və rəy. Məlumatlının kimliyini açıqlamadan; səliqəli dil (finala qədər ittihamsız).
Addım 8 - Bağlanış və gecikmə. Yekun hesabat, status, artefaktların saxlanması, anonim statistikanın buraxılması.

9) Rabitə və məlumatlandırıcının qorunması

Heç bir tipping-off. İddia edilən pozuculara məlumat/araşdırma faktını açıqlamayın.
Repressiyalardan qorunma. Aşağı salınması, işdən çıxarılması, bonuslardan məhrum edilməsi, təqib edilməsi və s. Cavab tədbirləri ayrıca S1/S2 pozuntusu kimi qəbul edilir.
Dəstək: lazım olduqda - başqa komandaya transfer, məzuniyyət, HR/hüquqşünas məsləhətləşmələri/psixoloji dəstək.
İki tərəfli anonim əlaqə: məlumatlandırıcı veb-inbox/token vasitəsilə sual verə və status ala bilər.

10) Digər siyasətçilərlə əlaqə

Etika və davranış kodeksi - standartlar və kanallar.
Antikorrupsiya siyasəti - due diligence, hədiyyələr, vasitəçilər.
GDPR/PII - emal qanuniliyi, DSAR, retensiya.
AML/RG/PCI/İB - profil prosedurları və triaj.
Daxili audit - müstəqil araşdırma keyfiyyətinə nəzarət.

11) Çek vərəqləri

11. 1 Kanal başlamazdan əvvəl

  • DPIA və gizlilik siyasəti DPO/Legal tərəfindən təsdiq edilmişdir.
  • Texniki memarlıq: şifrələmə, RBAC, WORM jurnalları.
  • Anonim web formasını və ikitərəfli token əlaqəsini konfiqurasiya etdi.
  • WBO/Triage Team araşdırma metodologiyası üzrə təlim.
  • Hazırlanmış şablonlar (qəbz, araşdırma planı, hesabat, bağlanış məktubu).
  • Rabitə kampaniyası: «tone from the top», posterlər, intranet, FAQ.

11. 2 Mesajın qəbulu

  • ID təyin, tarix/kanal/S-səviyyə qeyd.
  • Detallar açıqlanmadan məlumatlandırıcıya təsdiq göndərilir.
  • İfaçılar arasında maraq toqquşması yoxlanılıb.
  • Bütün əlavələr/meta-məlumatlar qeydə alınıb, de-identifikasiya edilib.

11. 3 Araşdırma

  • Plan və fərziyyələr təsdiq (Legal/DPO/InfoSec - zəruri).
  • Chain-of-custody hər bir artefakt üçün aparılır.
  • Müsahibələr qeyd olunur; məxfilik xəbərdarlığı.
  • Nəticələr yoxlanılan faktlara əsaslanır, peer-review keçirilib.

11. 4 Bağlanış

  • CAPA təyin, vaxt və metrik müəyyən edilmişdir.
  • Məlumatlandırıcı (fürsət) anonim rəy aldı.
  • Retance/təsnifat müəyyən; artefaktlar arxivə yerləşdirilib.
  • Statistika dashboard yenilənib.

12) Sənəd şablonları (sürətli əlavələr)

A) Məlumatlandırıcıya qəbz

💡 Mesajınız üçün təşəkkür edirik. Sizin ID: WB-XXXX. Biz məlumatları öyrənəcəyik və lazım gələrsə bu təhlükəsiz kanal vasitəsilə əlaqə saxlayacağıq. Siz anonim qala bilərsiniz. Yoxlama başa çatana qədər məlumatı ictimaiyyətə açıqlamayın.

B) Araşdırma planı (one-pager)

Case: WB-XXXX Prioritet: S1/S2/S3/S4 Sahibi:... Şərtlər:...
Fərziyyələr/meyarlar:...
Məlumat/artefaktlar:...

Müsahibə: siyahı/cədvəl

Gizlilik riskləri/hüquqi məhdudiyyətlər:...
Rabitə və nəzarət nöqtələri:...

C) Yekun hesabat (struktur)

Xülasə Faktlar Meyarlar (siyasət/qanun) Analiz Nəticələr Tövsiyələr CAPA Applications (artefaktlar).

D) Bağlanış məktubu

💡 WB-XXXX halına baxılması başa çatdığını bildiririk. Uyğunluq tədbirləri görülüb. Şirkətin etik və təhlükəsiz işinə verdiyi töhfəyə görə təşəkkür edirik.

13) Metrika və dashboard

Intake Volume: kateqoriyalar və kanallar üzrə mesajların sayı.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA S səviyyələrinə uyğunluq.
CAPA Progress: tamamlandı/işdə/vaxtı keçmiş, bağlanış medianı.
Retaliation Index: qeyd edilmiş cavab şikayətləri (məqsəd - 0).
Anonymity Rate: anonim mesajların payı və təsdiqlənmiş hallara çevrilməsi.
Repeat Findings: 12 ayda mövzuların təkrarlanması.
Awareness Impact: kampaniyalardan sonra müraciətlərin artması; NPS etibarlı kanal.

14) Risklər və nəzarət tədbirləri

Metadata ilə deanonimləşmə. → de-identifikasiya, EXIF-in çıxarılması, açıq xəbərdarlıqlar.
Davalara giriş sızması. → RBAC, seqmentasiya, WORM jurnalları, müntəzəm giriş yoxlamaları.
Uydurma mesajlar/sui-istifadə. → nəzakətli filter və fakt yoxlama; bilərəkdən yalan ifadələrə görə sanksiyalar (qorxutma effekti olmadan).
İstintaqda maraq toqquşması. → icraçıların rotasiyası, IA/Legal-ın iştirakı.
Repressiya. → ayrı şikayət axını; HR/Compliance sürətli cavab.

15) Təlim və məlumatlılıq

Onbording: Kanal, anonimlik və məlumatların qorunması haqqında modul (test ≥ 85%).
Hər kəs üçün illik yenidən sertifikatlaşdırma; WBO/müstəntiqlər üçün əlavə təlimlər.
Rüblük kampaniyalar (afişalar/bot-kvizalar/video): necə təqdim edilməsi gözlənilir, nümunələr.

16) 30 günlük tətbiq planı

Həftə 1

1. WBO və İşçi Qrupu (Compliance/Legal/DPO/InfoSec/HR/IA) təyin edin.
2. DPIA keçirmək, gizlilik və retensiya siyasətini təsdiqləmək.
3. Kanalları (veb-forma/poçt/xətt), anonimlik və log tələblərini spesifikləşdirin.

Həftə 2

4. Texniki platforma həyata: şifrələmə, RBAC, WORM jurnalları, anonim veb-inbox.
5. Şablonları və SOP hazırlayın: qəbz, plan, hesabat, bağlanma məktubu, CAPA.
6. WBO/triaj komandasını öyrətmək; RACI və SLA təyin edin.

Həftə 3

7. Pilot: 1-2 test case (table-top), dəlil və retension zəncirini yoxlamaq.
8. Menecment/komitə üçün dashboard metrik və hesabat qurmaq.
9. Rabitə: CEO məktubu, intranet səhifəsi, FAQ, plakatlar.

Həftə 4

10. Kanalın işə salınması; SLA/yük monitorinqi; isti dəstək.
11. S1/S2 və CAPA status hallarının həftəlik icmalları.
12. Retro və düzəlişlər v1. 1 (siyasət, forma, təlim).

17) Əlaqəli bölmələr

Etika və davranış kodeksi

Antikorrupsiya siyasəti

AML-treninqlər və işçi hazırlığı/Komplayens məlumatlılığı

Hadisə pleybukları və ssenarilər

Dashboard komplayens və monitorinq

Daxili audit və xarici audit

Qanun pozuntuları və hesabat müddətləri barədə bildirişlər

Tənzimləyici hesabatlar və məlumat formatları

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.