GH GambleHub

Risklərin qiymətləndirilməsi

1) Məqsədlər və prinsiplər

Məqsəd: SLO, gəlir, tənzimləyici uyğunluq və nüfuza təsir edən təhdidlərin erkən aşkarlanması və prioritetləşdirilməsi.
Prinsiplər: sistemlilik, ölçülürlük, təkrarlanabilirlik, biznes dəyərinə bağlanma, SLO-first.
Nəticə: aydın sahibləri, tədbirləri və müddəti olan şəffaf risk portfeli.

2) Terminlər

Risk: arzuolunmaz hadisənin ehtimalı × təsiri.
Risk-iştah: təşkilat üçün məqbul olan qalıq risk səviyyəsi.
Zəiflik/təsir/nəzarət: zəif yer, tetikleyici və mövcud tədbirlər.
KRI (Key Risk Indicators): qabaqcıl göstəricilər (məsələn, p99-gizli artım, consumer-lag, ödəniş çevirməsinin sapması).

3) iGaming üçün risklərin təsnifatı

Əməliyyat otaqları: həddindən artıq yükləmə, buraxılış uğursuzluqları, növbələr, DB/cache deqradasiyası, DPC/AZ/regionlarda insidentlər.
Texnoloji/təhlükəsizlik: DDoS, boşluqlar, sızmalar, konfiqurasiya səhvləri, əsas kitabxanalardan asılılıq.
Ödəniş/maliyyə: avtorizasiyaların azalması, chargeback artımı, provayderin əlçatmazlığı, FX həyəcanları, frod.
Asılılıqlar/ekosistem: oyun provayderlərinin, CDN/WAF, KYC/AML, SMS/e-poçt şlüzlərinin uğursuzluqları.
Komplayens/tənzimləyici: lisenziyaların, KYC/AML, məsuliyyətli oyun, məlumatların saxlanması tələblərinin pozulması.
Məhsul/marketinq: gözlənilməz trafik zirvələri (turnirlər, matçlar, promosyonlar), bonus seqmentinin səhvləri.
Nüfuzlu: hadisələr və ya tələblərə əməl edilməməsi səbəbindən media/sosial şəbəkələrdə mənfi.

4) Risklərin qiymətləndirilməsi prosesi (çərçivə)

1. Kontekstin yaradılması: məqsədlər, SLO, tənzimləyici tələblər, memarlıq sərhədləri, dəyər zənciri.
2. İdentifikasiya: namizəd hadisələrin toplanması: hadisələrin retrospektivləri, asılılıq auditi, beyin hücumları, nəzarət vərəqələri.
3. Analiz: keyfiyyət (ssenarilər, Bow-Tie) və kəmiyyət (tezlik/paylama).
4. Qiymətləndirmə: risk-iştaha ilə müqayisə, sıralama, prioritetlərin təsdiqlənməsi.
5. Emal: qarşısının alınması, azaldılması, ötürülməsi (sığorta/müqavilələr), qəbul edilməsi (şüurlu).
6. Monitorinq və yenidən baxılması: KRI, nəzarət səmərəliliyinin yoxlanılması, reyestrin yenilənməsi, hazırlıq testləri.

5) Keyfiyyətli texnika

Ehtimal/təsir matrisi: 1-5 (Very Low... Very High). Təsir oxları ayrı hesab: SLA/gəlir/tənzimləyici/nüfuz.
Bow-Tie Analysis: səbəbləri → hadisə → nəticələri; hər bir tərəf üçün - profilaktik və yumşaldıcı nəzarət.
FTA (Fault Tree Analysis): kritik xidmətlər üçün məntiqi uğursuzluq ağacları (depozit, bahis, nəticə).
HAZOP/What-If: sistematik sorğu «əgər?» interfeyslər və prosedurlar.

6) Kəmiyyət texnikası

ALE (Annualized Loss Expectancy): ALE = SLE × ARO (gözlənilən illik zərər).
VaR/CVaR: verilmiş etimad səviyyəsində risk-kapital (kassa boşluqları/ödəniş provayderləri üçün).
Monte-Carlo: etibarlı intervallarla trafik zirvələrinin/provayderlərin uğursuzluqlarının/ödəniş dönüşümlərinin modelləşdirilməsi.
FMEA: ağırlıq (S), tezlik (O), aşkarlanabilirlik (D) → RPN = S × O × D qiymətləndirilməsi, düzəlişlərin prioritetləşdirilməsi.
Reliability math: headroom, MTTF/MTTR, burn-rate büdcə səhvləri, birgə uğursuzluq ehtimalı (AZ + provayder).

7) Risk-iştah və eşiklər

SLA itkiləri, cərimələr, saat/gün üçün gəlir itkiləri üçün kateqoriyaları (yüksək/orta/aşağı) müəyyən edin.
Eskalasiya həddini təyin edin: hadisə/risk var-rum toplamağa borclu olan səviyyələr arasında keçdikdə.
Yenidən baxılma tarixi və bağlanış planı ilə istisnaları (müvəqqəti risk qəbulu) qeyd edin.

8) KRI və erkən xəbərdarlıq

KRI nümunələri:
  • Məhsuldarlıq: p95/p99 ↑, vaxt artımı, növbə dərinliyi, düşmə cache-hit, replication lag.
  • Ödənişlər: avtorizasiyalar ↓ konkret GEO/bankda, soft-decline artımı, AOV anomaliyaları.
  • Təhlükəsizlik: kritik end nöqtələrində 4xx/5xx sıçrayışlar, WAF artımı, yeni CVE asılılığı.
  • Komplayens: saxlama limitlərinin aşılması, KYC gecikmələri, emal edilmədən öz-özünə istisnaların payı.
  • Hər bir KRI üçün - sahibi, metrika, astanalar, mənbələr, avto-alertlər.

9) Təsirin qiymətləndirilməsi (çox oxlu)

SLA/SLO: min/saat hədəfdən kənarda, SLA bonusları partnyorlara təsir.
Maliyyə: birbaşa itkilər (yerinə yetirilməmiş əməliyyatlar, chargeback), dolayı (churn, cərimələr).
Tənzimləyici: sanksiyalar/lisenziyanın dayandırılması/məcburi bildirişlər riski.
Nüfuz: NPS/CSAT, mənfi qeyd dalğası, tərəfdaşlara və axınçılara təsir.

10) Risklərin emalı (tədbirlər kataloqu)

Qarşısının alınması: riskli fich/nümunələrdən imtina, blast-radius məhdudiyyəti (tenant-izolyasiya, rate-limit).
Azaldılması: DB şardlanması, caching, hovuz/kvota, çox ödəniş provayderi, kanarya buraxılışları.
Transfer: kiber risklərin sığortası, müqavilələrdə SLA kompensasiyası, escrow.
Qəbul: KRI və çıxış planı ilə nəzarət edilən qalıq risk ilə sənədləşdirilmiş qərar.

11) Rollar və RACI

Responsible: Risk/Ops/SRE/Payments/SecOps domen sahibləri.
Accountable: Head of Ops/CTO/CRO.
Consulted: Product, Data/DS, Legal/Compliance, Finance.
Informed: Support, Marketing, Partner Management.

12) Artefaktlar və şablonlar

Risk Register (Risk Register): ID, təsvir, kateqoriya, səbəblər, ehtimal, ox təsiri, mövcud nəzarət, KRI, emal planı, sahibi, müddəti.
Risk Heatmap: bölmələr/xidmətlər üzrə yığılmış xəritə.
Dependency Map: kritik xarici və daxili asılılıqlar, ehtiyat səviyyələri, əlaqə məlumatları.
Runbooks/Playbooks: KRI/hadisə, kill-switches, deqradasiya zamanı xüsusi addımlar.
Quarterly Risk Review: dəyişikliklər toplusu, qapalı/yeni risklər, KRI trendləri, nəzarət effektivliyi.

13) SLO/Hadisə menecmenti ilə inteqrasiya

Risklər SLO hədəflərinə (latency, error-rate, mövcudluq) və səhv büdcəsinə çevrilir.
KRI → alert siyasətləri (sürətli/yavaş burn-rate).
Post-mortem risk qiymətləndirmə yeniləmə və nəzarət düzəlişləri qeyd etmək üçün əmin olun.

14) Alətlər və məlumatlar

Monitorinq/observability: metriklər, qeydlər, izlər; «risk növləri» panelləri.
Kataloqlar və CMDB: xidmətlər, sahiblər, asılı komponentlər.
GRC/Task-tracker: risk reyestrinin, statusların, fəaliyyət auditinin saxlanması.
Data/ML: anomaliyalar modelləri, yüklərin/nasazlıqların proqnozlaşdırılması, Monte-Carlo simulyasiyası.

15) Yol xəritəsi (8-10 həftə)

Ned. 1-2: kontekst və çərçivə; kritik xidmətlərin və asılılıqların siyahısı; risk-iştah tərifi.
Ned. 3-4: risklərin ilkin identifikasiyası (workshop, retro), reyestr doldurulması, kobud heatmap.
Ned. 5-6: KRI və alertlərin konfiqurasiya edilməsi, SLO-ya bağlanması; Top 5 riskləri üçün Bow-Tie/FTA başlamaq.
Ned. 7-8: maliyyə əhəmiyyətli ssenarilər üçün kəmiyyət qiymətləndirilməsi (ALE/VaR/Monte-Carlo); emal planlarının təsdiqi.
Ned. 9-10: hazırlıq testi (game day, failover), eşik düzəlişi, rüblük rəylərin başlaması.

16) Qiymətləndirilmiş risk nümunələri (iGaming)

1. Prime-time PSP-1 avtorizasiyalarının uğursuzluğu

Ehtimal: Orta; Təsir: Yüksək (gəlir, SLA).
KRI: bank/GEO üzrə avtorizasiyaların konvertasiyası, soft-decline artımı.
Tədbirlər: çox provayder, sağlamlıq və fee marşrutu, jitter retraisi, fasilə limitləri.

2. Çempionlar Liqası matçının gündə BD dərəcələrinin həddindən artıq yüklənməsi

Ehtimal: Orta; Təsir: Yüksək (SLO).
KRI: lag replikasiya, p99 sorğu, böyümə lock-wait.
Tədbirlər: cache/CQRS, charding, ön yükləmə xətləri, read-only fich hissə rejimi.

3. DDoS ictimai API

Ehtimal: Aşağı-Orta; Təsir: Yüksək (əlçatanlıq, nüfuz).
KRI: SYN/HTTP sıçrayışı, WAF tetikləyiciləri.
Tədbirlər: CDN/WAF, rate-limit, tokenlər, kapçalar, izolyasiya trafiki botlar.

4. KYC saxlama tənzimləyici uyğunsuzluq

Ehtimal: Aşağı; Təsir: Çox yüksək (cərimə/lisenziya).
KRI: gecikmiş yoxlamalar> SLA, həddindən artıq retention.
Tədbirlər: policy-as-code, avtomatik TTL, audit və prod-data testləri.

17) Antipattern

Reyestr və KRI olmadan «gözlə» qiymətləndirilməsi.
Pul və SLO → yanlış prioritetlər ilə əlaqəsi olmayan matrislər.
Nadir rəylər (reyestr hadisələrdən sonra yenilənmir).
«Emal» yalnız həyata keçirilmiş nəzarət/test olmadan sənədləşdirmə.
Xarici asılılıq və müqavilə SLA ignor.

18) Hesabat və kommunikasiya

Exec xülasəsi: Top 10 risk, KRI trendləri, qalıq risk vs iştah, bağlanış planı.
Texniki hesabatlar: nəzarət effektivliyi, game day nəticələri, eşik dəyişiklikləri.
Müntəzəmlik: aylıq rəylər + rüblük dərin yenidən qiymətləndirmə.

Yekun

Risklərin qiymətləndirilməsi statik sənəd deyil, canlı dövrdür: müəyyən → hesablanmış → razılaşdırılmış risk-iştah → seçilmiş və tətbiq edilmiş tədbirlər → yoxlanılmış məlumatlar və təlimlər → yenilənmiş reyestr. Bu kontur əməliyyat həllərini biznes dəyəri ilə əlaqələndirir və davamlı SLO və tənzimləyici tələblərə riayət etməklə hadisələrin tezliyini/miqyasını azaldır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.