GH GambleHub

Drittanbieterrisiken und Partneraudits

1) Warum und für wen

Das Ziel: Die Wahrscheinlichkeit von Störungen, Leckagen und regulatorischen Verstößen, die über externe Lieferanten und Partner kommen, zu reduzieren.
Reichweite: PSP/Payment Gateways, CUS/Sanctions/RER, Fraud, Spieleanbieter und Studios, Affiliate-Netzwerke und Tracking, Clouds/CDN/Hosting, BI/Analyse, Retention Tools/Marketing-SDKs, Call-Center sowie Subprozessoren unserer Anbieter.

2) Risikokategorien (Domainkarte)

Infobez und Datenschutz: PII/KYC/Payment Token Lecks, schwache TOMs, kein WORM/Audit.
Compliance: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI-Zone, Werbe-/Spielanforderungen der Gerichtsbarkeiten.
Operativ: Verfügbarkeit/SLA, Abhängigkeit von einem Anbieter (Konzentration), schwache BCP/DR.
Finanziell: Lieferantenresilienz, Kreditrisiken, „Chargeback-Schocks“.
Sanktioniert/geopolitisch: Export-/Importbeschränkungen, Standort von Rechenzentren, EVR/Sanktionen in Eigentümerstrukturen.
Reputation und Recht: Verstöße gegen Werbung/verantwortungsvolles Spielen, IP-Rechte.
Technisch: SDK/API-Schwachstellen, keine Versionierung und keine Testumgebungen.

3) Abbildung der Lieferkette

1. Inventar: ein einheitliches Register aller Anbieter/Partner/Unterverarbeiter mit dem Eigentümer (Geschäftseigentümer).
2. Data Map: welche Daten/Jurisdiktionen/Volumina wer durchläuft; PII-Flaggen/Finanzen/Sonderkategorien.
3. Criticality: Wir klassifizieren nach den Auswirkungen auf Geld/PII/Aptym.

4) Lieferanten-Tiring (Kriterienbeispiel)

SchießstandDie MerkmaleDie BeispieleDie Forderungen
Stufe 1 (kritisch)PII/Zahlungen, 24 × 7, direkte Auswirkungen auf GGRPSP, CUS/Sanktionen, Betrugsbekämpfung, CloudVollständige Due Diligence, Audit, BCP/DR-Tests, jährliches Onsite/Remote-Audit
Stufe 2 (hoch)indirekte Auswirkungen, PII maskiert, wichtige IntegrationenStudios/Aggregatoren, DWH-InstrumenteErweiterter Fragebogen, Stichprobenprüfung, Jahresrückblick
Stufe 3 (mittel/niedrig)keine PII/Geld, Marketing-ToolsE-Mail, WidgetsLight-Fragebogen, vertragliche Tiefs

5) Risiko-Screening und Scoring

Faktoren: Sicherheit (Richtlinien, Zertifizierung), Datenschutz (DPA/SCCs/DTIA), Compliance (AML/PCI/ISO), betriebliche Nachhaltigkeit (SLA/BCP/DR), Finanzen (Audit/Reporting), Jurisdiktionen/Sanktionen, Incident History, technologische Reife (SDLC/DevSec) Ops).
Scoring (Beispiel): 0-5 für jeden Faktor → gewichtete Summe (W) → Zone: grün/gelb/rot.

Schwellenwertentscheidungen:
  • Grün: Standardvertrag.
  • Amber: Kontrollen/Remediation vor Go-Live.
  • Rot: Ausfall oder Pilot mit zusätzlichen Maßnahmen (Segmentation, Throttling, Read-only, Escrow, reduzierte Limits).

6) Due diligence (was am Eingang erforderlich ist)

Artefakte/Kontrollen (Minimum für Tier 1-2):
  • Sicherheits-/Datenschutzrichtlinien, RoPA, Register der Unterverarbeiter.
  • Auditberichte/Zertifizierung (ISO 27001/SOC 2 Typ II/PCI, sofern anwendbar), neueste Pentests.
  • BCP/DR und Testergebnisse, RPO/RTO.
  • Incident-Verfahren (72-Stunden-Benachrichtigungen), Ereignisprotokoll für 12-24 Monate.
  • DPA/Grenzüberschreitender Mechanismus (SCCs/IDTA) + DTIA, Daten-/Schlüssellokalisierung.
  • Integrationssicherheit: mTLS/OIDC, signierte Webhooks, Schlüsselrotation, allow-list IP.
  • Zugriffs-/Exportprotokolle, WORM-Kopien, Hash-Ketten.
  • Richtlinie für Retenche und Löschungen, Bestätigung der Zerstörung von Backups beim Offboarding.
  • Finstabilität (öffentliche Berichterstattung/Referenzen), Eigentümerstruktur (Sanktions-/Peer-Reviews).

Light-Fragebogen für Tier 2-3: sSIG/CAIQ-Level (20-60 Fragen).

7) Vertragliche Anforderungen (Eckpunkte)

SLA/SLO: Aptame (z.B. 99. 9%), P95 Latenz, Incident Response Time, Service Credits.
Sicherheit/Datenschutz addendum: Verschlüsselung bei Rest/in Transit, Schlüssel/Geo, Protokollierung, Maskierung, Verbot der Datennutzung.
DPA + Unterauftragsverarbeiter: Pflicht zur Meldung der Erweiterung der Kette; Widerspruchs-/Prüfungsrecht.
Incident & Notification: Benachrichtigungsfenster ≤ 72 Stunden Zugriff auf Protokolle/Artefakte; Ein gemeinsamer Kriegsraum.
BCP/DR: obligatorische N-Tests einmal jährlich, RPO/RTO.
Pen-Test/Prüfungsrechte: mindestens 1 Mal pro Jahr (remote/onsite), Zugang zu Berichten.
Änderungssteuerung: Benachrichtigung über wichtige Änderungen (SDK/API/Architektur/Geographie).
Termination & Exit: Datenexport (Formate), Löschen/Einchecken, Escrow für kritische Integrationen, Unterstützung der Migration in X Tage.
Liability/Indemnity: Cap/Cublimits, IP-Garantien, Geldbußen für SLA-Verstöße/Lecks.

8) Onboarding → Monitoring → Offboarding (Lebenszyklus)

8. 1 Onboarding

1. Business Case und Eigentümer → Tiering → Fragebogen/Artefakte.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Kontrollen vor Go-Live: Segmentierung (VPC/tenant), Lasten/Grenzen, Maskierung/Tokenisierung, Feature-Flags, Test-Sandbox.
4. Vertrag/Integration → Pilot → Go/No-Go.

8. 2 Continuous Monitoring

Techmonitoring: Aptime, Fehler, Latenz, Risikobudget.
Sicherheit: SIEM Alerts (anormale Exporte/Zugriff ohne' Purpose'), Vendor Reports, SDK Schwachstellen.
Datenschutz/Compliance: Änderungen an Unterauftragsverarbeitern, Standorten, Retenschna; DSAR-Kompatibilität.
Finanzen: KPI für Conversions/Refund/Chargeback, SLA-Strafen.
Vierteljährliche Überprüfung für Tier 1-2 und jährliche Re-Due-Diligence.

8. 3 Offboarding

Widerruf von Schlüsseln/Zugriffen, Vernichtung/Rückgabe von Daten und Backups, Handlungen, Schließung von Tickets, Aktualisierung von Registern und Datenkarten.

9) Partnerauditverfahren

9. 1 Plan und Bereich

Schwerpunkte: Zugriffsmanagement, Verschlüsselung/Schlüssel, Logs, Incidents, BCP/DR, DSAR-Prozesse, Subprozessoren.

9. 2 Methoden

Interviews, Dokumenten-/Logübersicht, Stichproben, technische Tests (Api-Rate-Limit/mTLS/Signaturen), Tabletop-Unterricht.

9. 3 Bericht und CAPA

Klassifikation der Funde (Critical/High/Medium/Low), Zeitpunkt der Remediation, Abschlusskontrolle und Retest.

10) Vorfälle beim Anbieter: Playbook

1. Gegenstand: Signal des Anbieters/unserer Überwachung/Community.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: Traffic begrenzen/SDK/Schlüssel deaktivieren, Zeitlimits/Kanarienpools.
4. Forenzika: Anrufprotokoll, Webhook-Signaturen, WORM-Bestätigungen, Bereich der betroffenen Datensätze.
5. Mitteilungen: Regulierungsbehörden/Nutzer/Banken (falls erforderlich), gemeinsame Texte.
6. CAPA: Festlegungen, Fristen, Wirksamkeitsprüfung; Überprüfung der Bewertung und der Vertragsbedingungen.

11) RACI (vergrößert)

AktivitätBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Tiering/Business CaseA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Verträge (SLA/DPA/Änderungen)CCCA/RA/RIR
Integration/SegmentierungCA/RCCIRI
Überwachung/AuditRA/RA/RA/RCRI
Vorfälle/SARACA/RA/RA/RCRI
Offboarding/Export/LöschungRA/RAACRI

12) Metriken (KPI/KRI)

Coverage:% der aktiven Anbieter im Register mit einer aktuellen Bewertung ≥ 100%.
TTM-Bewertung: Die mittlere Due-Diligence-Tier-1-Zeit ≤ 15 Werktage.
Remediation SLA: Kritische Funde sind ≤ 30 Tage geschlossen (≥ 95%).
Incident Notification: Der Anteil der Benachrichtigungen im 72-Stunden-Fenster beträgt 100%.
DPA/SCCs/DTIA Coverage: bei Tier 1-2 - 100% aktuell.
Concentration Risk: Traffic/Umsatzanteil pro 1 PSP/Provider ≤ X% (Schwellenwert).
BCP/DR Evidence:% Tier 1 mit bestätigten Tests in 12 Monaten - 100%.
Export Logging: 100% der Exporte sind signiert und eingespannt.

13) Muster und Fragmente

13. 1 Mini-Fragebogen (Tier 1-2, Auszug)

Zertifizierung/Audits (ISO/SOC2/PCI), Ablaufdatum.
Datenarchitektur: Geo, Subprozessoren, Schlüssel/KMS, Verschlüsselung.
Vorfälle in 24 Monaten (Typ/Datum/Maßnahmen).
Zugriffe und Logs (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (Testdaten, RPO/RTO).
DSAR/Retention, RoPA, CMP/SDK.
API-technische Kontrollen: mTLS/OIDC, Webhook-Signatur, Schlüsselrotation, Rate-Limit.

13. 2 SLA (Fragment)

KennzifferDas ZielDie AbmessungDer Kredit
Aptime (mo.)99. 9%extern. Monitoring5–10% fee
Critical Incident: Reaktion≤ 15 MinWar-Room-Protokollfix.
Remediation High≤ 30 TageCAPA-Berichtfix.

13. 3 Security & Privacy Addendum (Klauselauszüge)

"Verbot der Weiterverwendung von Daten; Zugang streng nach Need-to-Know; Ausfuhr nur in zugelassene Register"

"Unveränderliche Protokolle (WORM) mit Hash-Signatur; Prüfung auf Antrag einmal jährlich"

„Bei Ersatz eines Unterauftragsverarbeiters - Benachrichtigung ≥ 30 Tage, Widerspruchsrecht, Alternativplan“.

"DTIA bei jeder grenzüberschreitenden Übertragung außerhalb angemessener Gerichtsbarkeiten; Schlüssel - in EG/UK (pro Vereinbarung)"

14) Checklisten

Vor Go-Live mit dem Anbieter

  • Besitzer zugewiesen, Schießstand definiert
  • Fragebogen/Artefakte erhalten und verifiziert
  • DPA/SLA/Bearbeitungen unterzeichnet, Unterverarbeiter deklariert
  • Segmentierung/Limits/Masking enthalten, Schlüssel getrennt
  • Sandbox-Test/Vorfallpillop bestanden
  • Exit-/Migrations- und Escrow-Plan formalisiert

Vierteljährlich (Tier 1-2)

  • Überwachung von SLAs/Incidents/SDKs
  • Aktualisierung von Zertifikaten/Berichten, Register der Unterverarbeiter
  • DR/BCP-Test bestätigt
  • Fin-Screening (Nachhaltigkeit), Sanktionsprüfungen
  • Ein Rückblick auf Konzentrationsrisiken und Alternativen

Offboarding

  • Schlüssel/Zugriffe widerrufen
  • Datenexport abgeschlossen, Löschbestätigung/Backups
  • Abschlussakte, aktualisierte Daten Mar/Register

15) Typische Szenarien und Maßnahmen

A) Schwachstelle im Marketing SDK

Sofortige Abschaltung, Block zur PII-Sammlung, Benachrichtigung des DPO/der Regulierungsbehörden bei Bedarf, CAPA beim Anbieter, Retest.

B) PSP wird durch SLA abgebaut

Auto-Routing des Datenverkehrs auf Backup-PSP, Reduzierung der Limits, Aktivierung von Service-Credits, Vertragsrevision/Exit-Plan.

C) Leck beim KYC-Anbieter

Integration Isolation, Token Revokation, Kartierung der betroffenen Datensätze, Benachrichtigungen, manuelles KYC mit hohem Risiko, Vendor Audit, möglicher Ersatz.

16) TPRM-Umsetzungsfahrplan

Wochen 1-2: Vendor Inventory, Data Map, Tyring, Basic Questionnaire und Registry.
Woche 3-4: SLA/DPA/Additive Templates, Onboarding/Monitoring/Offboarding Prozess, Integration mit SIEM/CMDB/IDP.
Monat 2: Pilot Tier 1-2, Start der Quartalsübersichten, Automatisierung der Zertifikat-/Terminprüfungen.
Monat 3 +: Skalierung, Scoring/Dashboards, BCP/DR-Stresstests, Optimierung von Konzentrationsrisiken und alternative Routen.

TL; DR

Starke TPRM = Full Vendor Map → Tiring und Scoring → harte Verträge (SLA/DPA/BCP/DTIA) → Segmentierung und sichere Integrationen → kontinuierliche Überwachung und Audit → schnelle Exit/Remediation. Das schützt Geld, Daten und Lizenzen - und hält das Geschäft auch bei Partnerausfällen robust.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Telegram
@Gamble_GC
Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.