GH GambleHub

Compliance-Leitfaden für Partner

1) Zweck und Umfang

Dieser Leitfaden definiert Compliance-Anforderungen für Partner/Auftragnehmer/Affiliates/Anbieter (einschließlich Zahlungs- und Hosting-Plattformen, Content-Studios, Anti-Fraud-Services, Call-Center, Marketingagenturen).

Die Ziele sind:
  • Einheitliche Standards für Sicherheit, Privatsphäre, Regulierung und verantwortungsvolle Kommunikation.
  • Reduzierung der betrieblichen/rechtlichen Risiken in der Lieferkette.
  • „Audit-ready“ Evidenzbasis und gegenseitige Überprüfbarkeit.

2) Begriffe

Partner ist jeder Dritte, der Daten verarbeitet oder Dienstleistungen erbringt.
Kritischer Partner - hat einen signifikanten Einfluss auf Sicherheit, Zahlungen, persönliche Daten oder regulatorische Prozesse.
Unterauftragsverarbeiter ist der Vertragspartner des an der Datenverarbeitung beteiligten Partners.

3) Grundsätze („design tenets“)

Compliance-by-Design: Anforderungen sind in Prozesse und Architektur eingebettet.
Datenminimierung und gerichtliche Erfassung (Datenresidenz).
Rückverfolgbarkeit und Unveränderlichkeit: Protokolle, WORM-Archiv, Hash-Quittungen.
Proportionalität: Die Tiefe der Kontrollen hängt vom Risiko ab.
„Eine Version der Wahrheit“: bestätigte Artefakte, die von SLA und RACI verstanden werden.

4) Rollen und RACI

RolleDie Verantwortung
Vendor Management (A)Risikoklassifizierung, Onboarding/Offboarding, Monitoring
Compliance/GRC (R)Anforderungen, Prüfungen, CAPA, Audit-Readiness
Legal/DPO (C)Verträge, DPA, Datenschutz, Grenzüberschreitung
SecOps/CISO (C/R)Die. Anforderungen, Vorfälle, Detektionen
Finance/Payments (C)Zahlungsaufforderungen, Chargeback/Sanktionen
Business Owner (R)Operative Arbeit mit Partner, KPI
Internal Audit (I)Unabhängige Bewertung der Einhaltung

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Klassifizierung der Risikopartner

Kriterien: Datentyp (PII/Payment), Transaktionsvolumen, Zugriff auf Prod-Systeme, Jurisdiktionen, Rolle in der Kette (Verarbeiter/Controller), Ereignisverlauf, Zertifikate/Audits.
Die Ebenen Low/Medium/High/Critical → bestimmen die Tiefe der Due Diligence und die Häufigkeit der Revisionen.

6) Onboarding und Due Diligence (DD)

Schritte:

1. Fragebogen DD (Eigentümer, Unterverarbeiter, Datenstandorte, Zertifikate, Kontrollen).

2. Überprüfung von Sanktionen/Reputation/Begünstigten (Screening).

3. Bewertung von Sicherheit/Datenschutz: SOC/ISO/PCI/Pentest, Retention Policy, DSAR-Prozesse.

4. Technische Prüfung: SSO/OAuth, Verschlüsselung, Geheimhaltung, Protokollierung.

5. Zahlungs-/AML-Aspekte (falls zutreffend): Chargeback-Prozesse, Betrugsbekämpfung, Limits.

6. Risikobericht und Entscheidung: Zulassung/bedingt/Ablehnung + SARA/Ausgleichsmaßnahmen.

7. Verträge: MSA, SLA/OLA, DPA, Prüfungsrecht, Spiegelretention, Störfallmeldungen, Off-Ramp.

7) Verbindliche Anforderungen an den Partner (Minimum)

7. 1 Sicherheit und Privatsphäre

Verschlüsselung in transit/at rest, Schlüsselmanagement (KMS/HSM).
RBAC/ABAC, MFA, Admin Action Log, re-cert Zugriffe.
Protokolle und WORM-Archiv mit Hash-Signatur; synchronisierte Zeit.
Richtlinien für Retention, Legal Hold, DSAR-Verfahren; Maskierung/Tokenisierung von PI.
Schwachstellenberichte/Pentests; Richtlinie für verwaltete Aktualisierungen.

7. 2 Regulierung und Marketing

Verbot unzuverlässiger/aggressiver Angebote, obligatorische Disclaimer.
Einhaltung der Regeln für verantwortungsvolles Spielen und Altersüberprüfung (falls zutreffend).
Geo-Targeting gemäß Lizenzen und lokalen Beschränkungen.
Dokumentierte Zustimmungen/Abmeldungen zur Kommunikation, Aufbewahrung von Proffs.

7. 3 Zahlungen/AML/KYC (nach Rolle)

KYC/KYB-Verfahren, Sanktions-/PER-Screening, Transaktionsüberwachung.
Berechtigungsprotokolle/3DS, Chargeback-Prozesse, Risikolimits.
Konsistente Szenarien für Sperren/Untersuchungen und Retouren.

8) Technische Integration

SSO/SAML/OIDC, SCIM-Screening (wenn möglich).
Strukturierte Protokollierung (JSON/OTel), Tracing (trace_id).
Webhooks - mit Unterschrift und Retrays; Liefergarantie/Idempotenz.
API-Limits, Vertragstests, Backward-Kompatibilität, Versionierung.
Isolierte Umgebungen, Schlüssel und Geheimnisse sind in Secret Storage.

9) Vertragliche Verpflichtungen

SLA/OLA: Aptime, TTR/MTTR, Latenz, RPO/RTO für kritische Dienste.
Evidence & Audit: Prüfungsrecht, PBC-Formate, Antwortfristen, Zugang zum Datenraum.
Vorfälle: Benachrichtigung ≤ X Stunden, Berichtsformat und Zeitleiste, CAPA.
Retention und Entfernung: TTL, Vernichtungsbestätigungen, Spiegelretention bei Subprozessoren.
Vertraulichkeit/NDA und Einschränkungen bei Unteraufträgen.

10) Incident Management (gemeinsam)

Ein einziger Warnkanal und Battle-Rhythm-Updates.
Sofortige rechtliche Aufbewahrung relevanter Daten.
Gemeinsame Zeitlinie (wer/was/wann), Artefakte mit Hash-Quittungen.
Benachrichtigungen an Regulierungsbehörden/Kunden - durch einen konsistenten Prozess.
Post-Mortem, CAPA, Re-Audit in 30-90 Tagen.

11) Berichterstattung und Überwachung

Quartalsberichte: Zertifikate, Incidents, SLAs, Subprozessoren, Änderungen von Datenstandorten.
Datenschutz-/DSAR-Metriken, Kundenbeschwerden, Marketingverstöße.
Finanz/Zahlung: Chargeback-Verhältnis, Betrugsbekämpfung, Win-Rate-Appelle.

12) Kontroll- und Prüfungsrecht

Geplante Revisionen nach Risikoklassen; außerplanmäßig - nach Vorfällen/kritischen Änderungen.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Ergebnisse → CAPA, Timing und Abschlussprüfung (evidence in WORM).

13) Partner Offboarding

Migrations-/Ersatzplan, Übergabe von Artefakten und Schlüsseln.
Bestätigung der Datenvernichtung beim Partner und den Unterauftragsverarbeitern.
Entzug von Zugriffen/Geheimnissen, Schließung von Integrationskanälen.
Abschlussprüfung/Bericht und Archivierung der Nachweise.

14) Metriken und KRI

Onboarding Lead Time (nach Risikoklassen).
Vendor Certificate Freshness (Ziel: 100% kritische Partner).
SLA Compliance und Incident Rate nach Partner.
Datenschutz/DSAR SLA und Kundenbeschwerden.
Chargeback Ratio/Fraud Loss% (für Zahlungsrollen).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (unkoordinierte Orts-/Unterprozessoränderungen).

15) Dashboards

Vendor Risk Heatmap: Risiko-Score, Zertifikate, Vorfälle, Länder.
Compliance Coverage: Verfügbarkeit von DPA/SLA, Prüfungsrecht, Retention/Legal Hold.
SLA & Incidents: Aptame, TTR/MTTR, ungedeckte Vorfälle.
Privacy & DSAR: Fristen, Volumen, Beschwerden, Trends.
Zahlungen/Betrug: Chargeback-Verhältnis, Gründe, Win-Rate-Appelle.
CAPA & Re-audit: Status, Verspätungen, Wiederholungsbemerkungen.

16) SOP (Standardverfahren)

SOP-1: Onboarding Partner

Die Umfrage DD → skriningi → tech/priwatnost/besopasnost-ozenka → Risk Report → die Verträge (MSA/DPA/SLA) → die Abstimmung der Integration und logirowanija → der Pilot → go-live.

SOP-2: Veränderungen beim Partner

Änderungsbenachrichtigung (Subprozessoren/Standorte/Architektur) → Risikobewertung → Vertragsaktualisierung/Politik → Tests → Prod.

SOP-3: Der Vorfall

Ein einziger Kanal → Legal Hold → eine gemeinsame Zeitlinie/Artefakte → Benachrichtigungen → CAPA → Re-Audit.

SOP-4: Periodische Revision

Jährlicher/vierteljährlicher Risikozyklus → PBC → ToD/ToE-Stichproben → Bericht/SARA → Veröffentlichung von Metriken.

SOP-5: Offboarding

Migrationsplan → Export/Transfer → Bestätigung der Vernichtung → Widerruf der Zugriffe → Abschlussbericht.

17) Artefaktmuster

17. 1 Vendor DD Checkliste (Fragment)

Jur. Daten/Begünstigte; Sanktionsscreening

Zertifizierungen/Audits, Sicherheit/Datenschutz

Datenstandorte/Subprozessoren/Retention

Vorfälle in 24 Monaten, CAPA

Die. Integration: SSO, Logging, Verschlüsselung, Webhooks

17. 2 DPA/SLA - obligatorische Klauseln

Datenverarbeitung, Zwecke, Rechtsgrundlage

Fristen für die Meldung von Vorfällen, Berichtsformat

Prüfungsrecht, PBC-Formate, Datenraum

TTL/Löschung, Legal Hold, Vernichtungsbestätigung

Unterverarbeiter und Zustimmungsverfahren

17. 3 Evidence Pack (Evidence Pack)

Zugriffsprotokolle/Admin-Aktionen (strukturiert, Hash-Belege)

Schwachstellen-/Pentest-/Scan-Berichte

DSAR-Register/Löschungen/Retention

SLA/Incidents/Recovery (RTO/RPO)

Signierte Versionen von Verträgen/Addendums

18) Antipatterns

Undurchsichtige Daten-Subprozessoren/Standorte.
„End-to-End“ -Zugänge ohne Re-Cert und Protokolle.
Manuelle Uploads ohne Unveränderlichkeit und Hash-Bestätigungen.
Marketing mit unzuverlässigen/verbotenen Versprechungen.
Keine Bestätigung der Datenvernichtung beim Offboarding.
Ewige Waiver ohne Fristen und Ausgleichsmaßnahmen.

19) Reifegradmodell (M0-M4)

M0 Ad-hoc: einmalige Kontrollen, kein Risikoregister nach Partnern.
M1 Katalog: Partnerliste, Basis DD/Verträge.
M2 Managed: Risikoklassen, SLA/DPA, Dashboards, geplante Revisionen.
M3 Integriert: Logging/Evidence-Bus, Re-Audit, CAPA-Linking, „Audit-ready“.
M4 Continuous Assurance: Echtzeitüberwachung, Empfehlungsprüfungen, Autogenerierung von PBC/evidence-Paketen.

20) Verwandte Artikel wiki

Due Diligence bei der Auswahl der Anbieter

Outsourcing-Risiken und Kontrolle durch Auftragnehmer

Externe Prüfungen durch externe Prüfer

Aufbewahrung von Nachweisen und Unterlagen

Protokollierung und Audit Trail

Pläne zur Behebung von Verstößen (CAPA)

Re-Audits und Kontrolle der Ausführung

Richtlinien- und Regelwerk

Kommunikation von Compliance-Lösungen in Teams

Summe

Der „Partner Compliance Guide“ verwandelt die Lieferkette in ein überschaubares Ökosystem: einheitliche Anforderungen, planbare Prüfungen, unveränderbare Nachweise und transparente Absprachen. Das reduziert Risiken, beschleunigt Integrationen und macht Kooperationen skalierbar und überprüfbar.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.