违规通知和报告时限
1)目的和范围
建立统一、可验证和可重复的强制通知程序,以应对业务和合规性回路中的事件和违规行为:数据安全、付款/财务交易、监管要求、负责任的游戏、合作伙伴集成、声誉风险。该文档指定了时间表,收件人,格式以及准备和控制程序。
2)关键术语
Reportable incident(通知事件):法律/许可证/合同要求通知外部当事人的事件。
DPA是数据保护机构(GDPR和类似物)。
FIU-金融情报(AML/CFT;SAR/STR).
PSP/Acquirer/Card Scheme-支付提供商/收购商/支付系统。
CERT/CSIRT是国家/行业网络安全事件响应中心。
LEA是执法机构。
Holding statement是第一个带有基本事实和下次更新时间的简短通知。
3)被通知事件的类别(类别)
1.IB/隐私:PII/资金泄漏,帐户损害。
2.赌博监管机构:影响游戏可用性/诚实/资产负债表的故障;违反许可证/广告/RG条款。
3.AML/CFT:FIU中可疑操作/模式→ SAR/STR。
4.付款:PSP大量不可用,偏差高,付款数据受损。
5.消费者/玩家:通知受影响的人(数据中断,现金交易,复合.措施)。
6.合作伙伴/附属机构/提供商:对跟踪、报告、财务结算的影响。
7.CERT/LEA:具有公共意义的网络事件,网络钓鱼/品牌克隆。
8.审计/许可证持有人:SLA符合报告,确认取消。
4)时间表矩阵(基准)
5)RACI和角色
IC(事件指挥官)是时间线和"战争室"的所有者。(A)
Legal/Compliance Lead-"可报告"资格,收件人和时间表的选择,最终标记。(R/A)
安全负责人-IB事实,损害范围/PII,与CERT/LEA的交互。(R)
Payments Lead-PSP/银行/电路,PCI问题,退款/充电包。(R)
Comms Lead-文本和发送通道、状态页面、CS宏。(R)
Data/Analytics-受影响的实体/事务列表,影响评估。(R)
CS/CRM Lead-向玩家发送通知,补偿。(R)
Exec Sponsor/CEO-S1公开声明。(C/I)
6)端到端过程(从检测到关闭)
A.可通知性的定义:- 检测→法律资格(Legal) →"可报告"解决方桉?谁呢?时间表?».
- 事实/工件收集→严重性分类→模板选择→匹配(Legal/Comms/IC)。
- 通过渠道(监管门户、受保护的邮件、API、纸质表格)进行传送→提交发送时间和确认接收。
- 按时间表/里程碑→文本版本控制→与状态页同步。
- 最后报告→ CAPA计划→关闭和复古(≤ 7天)。
7)通知的最低组成(骨架)
1.事件ID、日期/时间(UTC和本地)。
2.事件和影响半径的简要描述。
3.受影响的数据/客户/交易类别。
4.所采取的措施(容器/恢复)。
5.风险评估和当前状态。
6.下一步步骤计划和ETA下一步升级。
7.联系人/反馈渠道。
8.许可证/公司的法律详细信息(如果需要)。
9.附录:时间线,技术工件,主题列表。
8)模板(快速插入)
8.1 DPA(数据泄露、主要通知):
发现事件/日期
数据类别/范围/地理
尽量减少危害的措施(丢弃令牌、MFA、监测)
实体风险评估
实体通知计划和时间表
DPO/法律联系人
8.2个玩家(数据突破):
主题: 有关您的帐户安全的重要信息
身体:发生了什么(没有技术。在没有PII的情况下,采取了什么措施来使玩家现在能够做到(更改密码,启用MFA),在哪里监视升级,如何获得帮助/补偿。
8.3赌博监管机构(可用性/诚信失败):
什么: 服务/游戏/钱包,时间段,区域
影响: 利息/利率/余额
措施: 回扣,储备,安全模式钱包
预期的恢复ETA,诚实/资产负债表控制
最终验证和报告计划
8.4 FIU(SAR/STR,简称):
怀疑的事实和理由(没有"客户警告")
金额/相关帐户/行为模式
应用程序(事务/链接图)
负责人AML的联系人
8.5 PSP/Acquirer/Card Scheme:
发生了什么(方桉/方法受到影响),PCI风险标记
业务影响(auth-rate、故障/延迟)
采取的措施/旁路,联合诊断请求
客户补偿计划/退货处理
8.6 CERT/CSIRT:
损害指标(IoC)、TTP、矢量
采取的行动和剩余风险
遥测协调/分解请求
9)支票单
在发送主要通知之前
- 事实已得到证实;不包括秘密/PII。
- 与Legal/Compliance达成协议;选择了目标/链路。
- 指定以下更新(日期/时间/频道)。
- 已提交截图/ARTEFACTS和应用程序哈希和。
- 已验证本地/语言(如果需要)。
发送后
- 已收到接收确认书/小册子号码/登记册ID。
- 创建了升级计划和所有者。
- 状态页面/常见问题/CS宏上的文本已同步。
关闭
- 最终报告已发送并确认。
- CAPA已注册时机和绩效指标。
- 复古历时≤ 7天。
10)截止日期和收件人登记册(数据结构)
它以表格形式存储在Git/Confluence中(已验证,所有者为Legal):11)文物与修饰
时间线(分钟精度),所有通知的版本,接收确认。
那些。工件:逻辑、转储、指标导出、物联网、配置快照。
用于通知/补偿的实体/交易列表。
背书:根据许可证/法律的要求储存(通常为1-7年,由司法管辖区规定)。
12)合规度量
Timeliness:按类别发送的通知的百分比。
Completeness:第一次收到通知的比例(无修补请求)。
Acknowledgement SLA:获得确认的平均时间。
Update Discipline:遵守更新间隔。
CAPA Efficacy:按时关闭CAPA的份额。
13)工具和自动化
事件机器人:命令'/notify<类别>,自动时间安排/频道,截止日期提醒。
模板化器:从事件参数收集通知;版本/本地化。
状态页面:与外部更新同步;TTS控制(定时)。
SOAR/SIEM:自动收集DPA/CERT的文物。
DWH/CRM:受影响的受试者细分,交付跟踪和发现。
14)变更管理(政府)
分区所有者:合规之头(储备金-法律委员会)。
登记处审计(第10节):至少每季度和每次审S1/S2之后。
演习:DPA/Regulator/AML表顶每季度;直播IB-每半年一次。
审计:年度独立检查通知的时间和完整性。
15)快速启动(30天实施)
1.形成所有许可证/市场的强制性收件人列表,并注册注册(§10)。
2.批准通知模板(第8节)并将它们连接到事件机器人。
3.自定义SLA度量(第12条)和仪表板"规范报告"。
4.教学:数据突破→ DPA+参与者,支付危机→ PSP,AML-SAR → FIU。
5.启用截止日期提醒和自动生成控件。
6.在第一次演习后运行复古,更新花花公子.
相关部分:- 危机管理和沟通
- 事件花花公子和剧本
- 业务连续性计划(BCP)
- Disaster Recovery Plan (DRP)
- 升级矩阵
- 通知和警报系统
- 负责任的游戏和球员防守