Οδηγός συμμόρφωσης εταίρων
1) Σκοπός και πεδίο εφαρμογής
Ο οδηγός αυτός καθορίζει τις απαιτήσεις συμμόρφωσης για τους εταίρους/αναδόχους/θυγατρικές/παρόχους (συμπεριλαμβανομένων των πλατφορμών πληρωμής και φιλοξενίας, των στούντιο περιεχομένου, των υπηρεσιών καταπολέμησης της απάτης, των τηλεφωνικών κέντρων, των πρακτορείων μάρκετινγκ).
Στόχοι:- Ενιαία πρότυπα ασφάλειας, προστασίας της ιδιωτικής ζωής, ρύθμισης και υπεύθυνης επικοινωνίας.
- Μείωση των λειτουργικών/νομικών κινδύνων στην αλυσίδα εφοδιασμού.
- Βάση αποδεικτικών στοιχείων «έτοιμο προς έλεγχο» και αμοιβαία επαλήθευση.
2) Όροι
Εταίρος - κάθε τρίτο μέρος που επεξεργάζεται δεδομένα ή παρέχει υπηρεσίες.
Κρίσιμος εταίρος - έχει σημαντικό αντίκτυπο στην ασφάλεια, τις πληρωμές, τα δεδομένα προσωπικού χαρακτήρα ή τις κανονιστικές διαδικασίες.
Υπεργολάβος - αντισυμβαλλόμενος εταίρος που συμμετέχει στην επεξεργασία δεδομένων.
3) Αρχές («δόγματα σχεδιασμού»)
Οι απαιτήσεις συμμόρφωσης ανά σχεδιασμό ενσωματώνονται σε διαδικασίες και αρχιτεκτονική.
Ελαχιστοποίηση των στοιχείων και λογιστική δικαιοδοσίας (κατοικία δεδομένων).
Ιχνηλασιμότητα και αμετάβλητη: κούτσουρα, αρχείο WORM, αποδείξεις hash.
Αναλογικότητα: το βάθος των ελέγχων εξαρτάται από τον κίνδυνο.
«Μία εκδοχή της αλήθειας»: επιβεβαιωμένα αντικείμενα που κατανοούνται από την SLA και την RACI.
4) Ρόλοι και ΠΓΣ
(R - Υπεύθυνος, A - Υπόλογος· Γ - Ζητήθηκε η γνώμη I - Ενημερωμένο)
5) Κατάταξη του εταίρου κινδύνου
Κριτήρια: τύπος δεδομένων (PII/πληρωμή), όγκος συναλλαγών, πρόσβαση στα συστήματα παραγωγής, δικαιοδοσίες, ρόλος στην αλυσίδα (εκτελών την επεξεργασία/υπεύθυνος επεξεργασίας), ιστορικό συμβάντων, πιστοποιητικά/λογιστικοί έλεγχοι.
Επίπεδα: Τα χαμηλά/μεσαία/υψηλά/κρίσιμα → καθορίζουν το βάθος της δέουσας επιμέλειας και τη συχνότητα των αναθεωρήσεων.
6) Επιβίβαση και δέουσα επιμέλεια (ΗΗ)
Βήματα:1. Ερωτηματολόγιο DD (ιδιοκτήτες, υπεργολάβοι επεξεργασίας, θέσεις δεδομένων, πιστοποιητικά, έλεγχοι).
2. Έλεγχος των κυρώσεων/φήμη/δικαιούχοι.
3. Αξιολόγηση ασφάλειας/απορρήτου: SOC/ISO/PCI/δοκιμή διείσδυσης, πολιτική διατήρησης, διαδικασίες DSAR.
4. Τεχνικός έλεγχος: SSO/OAuth, κρυπτογράφηση, μυστική διαχείριση, καταγραφή.
5. Πτυχές πληρωμής/ΚΝΕΠΔ (κατά περίπτωση): διαδικασίες χρέωσης, καταπολέμηση της απάτης, όρια.
6. Έκθεση και λύση κινδύνου: εισαγωγή/υπό όρους/άρνηση + CAPA/αντισταθμιστικά μέτρα.
7. Συμβάσεις: MSA, SLA/OLA, DPA, δικαίωμα ελέγχου, διατήρηση κατόπτρων, γνωστοποιήσεις συμβάντων, εκτός διαδρόμου.
7) Υποχρεωτικές απαιτήσεις εταίρων (ελάχιστο)
7. 1 Ασφάλεια και ιδιωτικότητα
Κρυπτογράφηση κατά τη διαμετακόμιση/σε ηρεμία, διαχείριση κλειδιών (KMS/HSM).
RBAC/ABAC, MFA, admin log, re-cert access.
Καταγραφές και αρχείο WORM με υπογραφή hash. συγχρονισμένος χρόνος.
πολιτικές διατήρησης, νομικές κυρώσεις, διαδικασίες DSAR· κάλυψη/μαρκαρίσματος PI.
Εκθέσεις τρωτότητας/δοκιμές διείσδυσης· διαχειριζόμενη πολιτική επικαιροποίησης.
7. 2 Κανονιστική ρύθμιση και εμπορία
Απαγόρευση αναξιόπιστων/επιθετικών προσφορών, υποχρεωτικοί αποκηρύκτες.
Συμμόρφωση με τους κανόνες του υπεύθυνου παιχνιδιού και εξακρίβωση της ηλικίας (κατά περίπτωση).
Γεωγραφική στόχευση σύμφωνα με άδειες και τοπικούς περιορισμούς.
Τεκμηριωμένες συγκαταθέσεις/μη τεκμηριώσεις για επικοινωνίες, αποθήκευση αποδεικτικών στοιχείων.
7. 3 Πληρωμές/AML/KYC (κατά ρόλο)
Διαδικασίες KYC/KYB, κυρώσεις/έλεγχος PEP, παρακολούθηση συναλλαγών.
logs/3DS αδειοδότησης, διαδικασίες φόρτισης, όρια κινδύνου.
Συνεπή σενάρια εμπλοκής/έρευνας και επιστροφής.
8) Τεχνική ολοκλήρωση
SSO/SAML/OIDC, πρόβλεψη SCIM (εάν είναι δυνατόν).
Δομημένη καταγραφή (JSON/OTEL), ιχνηλάτηση (trace_id).
Webhooks - με υπογραφή και retras; Εγγύηση παράδοσης/ταυτότητα.
Όρια API, δοκιμές συμβάσεων, συμβατότητα προς τα πίσω, έκδοση.
Απομονωμένα περιβάλλοντα, κλειδιά και μυστικά βρίσκονται σε μυστικές αποθήκες.
9) Συμβατικές ενοχές
SLA/OLA: uptime, TTR/MTTR, καθυστέρηση, RPO/RTO για υπηρεσίες κρίσιμης σημασίας.
Αποδεικτικά στοιχεία και έλεγχος: δικαίωμα ελέγχου, μορφότυποι PBC, χρόνος απόκρισης, πρόσβαση στην αίθουσα δεδομένων.
Περιστατικά: κοινοποίηση ≤ X ώρες, μορφή αναφοράς και χρονοδιαγράμματος, CAPA.
Κατακράτηση και απομάκρυνση: TTL, επιβεβαίωση καταστροφής, κατακράτηση κατόπτρων σε υπεργολάβους.
Εμπιστευτικότητα/AOI και περιορισμοί υπεργολαβίας.
10) Διαχείριση συμβάντων (επιμερισμένη)
Ένα ενιαίο κανάλι κοινοποίησης και επικαιροποιήσεις ρυθμού μάχης.
Άμεση νομική κατοχή των σχετικών δεδομένων.
Κοινό χρονοδιάγραμμα (ποιος/τι/πότε), αντικείμενα με αποδείξεις χασίς.
Κοινοποιήσεις σε ρυθμιστικές αρχές/πελάτες - μέσω συμφωνημένης διαδικασίας.
Μεταθανάτια, CAPA, επανελέγχου σε 30-90 ημέρες.
11) Υποβολή εκθέσεων και παρακολούθηση
Τριμηνιαίες εκθέσεις: πιστοποιητικά, περιστατικά, SLA, υπεργολάβοι επεξεργασίας δεδομένων, αλλαγές θέσης δεδομένων.
Μέτρηση απορρήτου/DSAR, καταγγελίες πελατών, παραβιάσεις μάρκετινγκ.
Οικονομική/πληρωμή: αναλογία χρέωσης, αποτελεσματικότητα κατά της απάτης, προσφυγές σε αμοιβαία κεφάλαια.
12) Δικαίωμα ελέγχου και λογιστικού ελέγχου
Προγραμματισμένοι έλεγχοι ανά κατηγορία κινδύνου· μη προγραμματισμένη - για περιστατικά/κρίσιμες αλλαγές.
Αίθουσα δεδομένων, PBC- лист, ToD/ToE/Walkthrough/Reperform.
CAPA → αποτελέσματα, χρονοδιαγράμματα και ενδείξεις κλεισίματος (WORM).
13) Μεταφόρτωση με σύντροφο
Σχέδιο μετάβασης/αντικατάστασης, μεταφορά αντικειμένων και κλειδιών.
Επιβεβαίωση καταστροφής δεδομένων εταίρων και υπεργολάβων επεξεργασίας.
Ανάκληση πρόσβασης/μυστικών, διαύλων στενής ολοκλήρωσης.
Τελικός έλεγχος/έκθεση και αρχειοθέτηση αποδεικτικών στοιχείων.
14) Μετρική και KRI
Χρόνος επιβίβασης (ανά κατηγορία κινδύνου).
Φρεσκάδα πιστοποιητικού πωλητή (στόχος: 100% κρίσιμοι εταίροι).
Ποσοστό συμμόρφωσης και συμβάντων SLA ανά εταίρο.
Privacy/DSAR SLA και καταγγελίες πελατών.
Αναλογία χρέωσης/απώλεια απάτης% (για τους ρόλους πληρωμής).
CAPA Εγκαίρως Επαναλαμβανόμενα Ευρήματα.
Εντοπισμός/Μετατόπιση δικαιοδοσίας (ασυνεπείς αλλαγές σε τοποθεσίες/υπο-επεξεργαστές).
15) Πίνακες ταμπλό
Χάρτης επικινδυνότητας πωλητή: ποσοστό κινδύνου, πιστοποιητικά, περιστατικά, χώρες.
Κάλυψη συμμόρφωσης: διαθεσιμότητα DPA/SLA, δικαίωμα ελέγχου, διατήρηση/νομικό περιορισμό.
SLA & Περιστατικά: uptime, TTR/MTTR, uncluted event.
Privacy & DSAR: όροι, όγκοι, καταγγελίες, τάσεις.
Πληρωμές/Απάτη: αναλογία χρέωσης, λόγοι, αμοιβαίες προσφυγές.
CAPA & Επανέλεγχος: καταστάσεις, καθυστερήσεις, επαναλαμβανόμενες παρατηρήσεις.
16) SOP (τυποποιημένες διαδικασίες)
: Συνεργάτης επί του σκάφους
Το ερωτηματολόγιο DD προβολές εκείνων/της ιδιωτικής ζωής/της εκτίμησης της ασφάλειας της έκθεσης κινδύνου των συμβάσεων (MSA/DPA/SLA) τη δημιουργία ολοκλήρωσης και υλοτομίας.
: Αλλαγές εταίρων
Κοινοποίηση αλλαγής (υπο-επεξεργαστές/τόποι/αρχιτεκτονική) → εκτίμηση κινδύνου → επικαιροποίηση σύμβασης/πολιτικής → δοκιμές → Prod.
: Περιστατικό
Ενιαίος δίαυλος - Νομικός έλεγχος κοινό χρονοδιάγραμμα/τεχνουργήματα κοινοποίηση CAPA επανέλεγχος.
: Περιοδική αναθεώρηση
Ετήσιος/τριμηνιαίος κύκλος κινδύνου → PBC → ToD/ToE έκθεση →/CAPA → δημοσίευση μετρήσεων.
: Offboarding
Σχέδιο μετανάστευσης → εξαγωγή/μεταφορά → επιβεβαίωση καταστροφής → ανάκληση πρόσβασης → τελική έκθεση.
17) Μοτίβα τεχνουργημάτων
17. 1 Κατάλογος DD πωλητή (snippet)
Γιουρ. δεδομένα/δικαιούχοι· Έλεγχος κυρώσεων
Πιστοποιητικά/Λογιστικοί έλεγχοι, Πολιτική ασφάλειας/προστασίας της ιδιωτικής ζωής
Τοποθεσίες δεδομένων/υπο-επεξεργαστές/διατήρηση
Περιστατικά σε 24 μήνες, CAPA
Αυτά. Ολοκλήρωση: SSO, υλοτομία, κρυπτογράφηση, webhooks
17. 2 DPA/SLA - Υποχρεωτικά αντικείμενα
Επεξεργασία δεδομένων, στόχοι, νομικοί λόγοι
Χρονοδιάγραμμα κοινοποίησης συμβάντος, μορφή των αναφορών
Δικαίωμα ελέγχου, μορφότυποι PBC, αίθουσα δεδομένων
TTL/απομάκρυνση, νόμιμη λαβή, επιβεβαίωση καταστροφής
Υπεργολάβοι και εντολή έγκρισης
17. Πακέτο αποδεικτικών στοιχείων
Καταχωρίσεις/διοικητικές ενέργειες πρόσβασης (δομημένες, αποδείξεις χασίς)
Έκθεση τρωτότητας/διείσδυσης/σάρωσης
Μητρώο/διαγραφές/διατήρηση DSAR
SLA/Περιστατικό/Ανάκτηση (RTO/RPO)
Υπογεγραμμένες εκδόσεις συμβάσεων/πρόσθετων υλών
18) Αντιπατερίδια
Αδιαφανείς υπεργολάβοι/τοποθεσίες δεδομένων.
Πρόσβαση «end-to-end» χωρίς επαναπιστοποίηση και καταγραφές.
Χειροκίνητες μεταφορτώσεις χωρίς αμετάβλητη δυνατότητα και επιβεβαίωση hash.
Εμπορία με μη αυθεντικές/απαγορευμένες υποσχέσεις.
Δεν υπάρχουν ενδείξεις καταστροφής δεδομένων κατά τη μεταφόρτωση.
Αιώνια παραίτηση χωρίς προθεσμίες και αντισταθμιστικά μέτρα.
19) Υπόδειγμα ληκτότητας (M0-M4)
M0 Hell-hoc: εφάπαξ έλεγχοι, χωρίς μητρώο κινδύνου από τον εταίρο.
M1 Ευρετήριο: κατάλογος εταίρων, βασική DD/συμβάσεις.
M2 Διαχείριση: κατηγορίες κινδύνου, SLA/DPA, ταμπλό, προγραμματισμένες αναθεωρήσεις.
M3 Ολοκληρωμένη: καταγραφή/τεκμηρίωση-λεωφορείο, επανεξέταση, σύνδεση CAPA, «έλεγχος-έτοιμος».
M4 Συνεχής διασφάλιση: παρακολούθηση σε πραγματικό χρόνο, έλεγχοι συστάσεων, αυτόματη παραγωγή πακέτων PBC/αποδεικτικών στοιχείων.
20) Συναφή άρθρα wiki
Δέουσα επιμέλεια κατά την επιλογή των παρόχων
Κίνδυνοι εξωτερικής ανάθεσης και έλεγχοι των εργοληπτών
Εξωτερικοί έλεγχοι από εξωτερικούς ελεγκτές
Αποθήκευση αποδεικτικών στοιχείων και τεκμηρίωση
Διαδρομή καταγραφής και ελέγχου
Σχέδια αποκατάστασης (CAPA)
Επανεξέταση και παρακολούθηση
Αποθετήριο πολιτικής και συμμόρφωσης
Κοινοποίηση λύσεων συμμόρφωσης στις ομάδες
Σύνολο
Ο «οδηγός συμμόρφωσης εταίρων» μετατρέπει την αλυσίδα εφοδιασμού σε ένα διαχειριζόμενο οικοσύστημα: ενιαίες απαιτήσεις, προβλέψιμοι έλεγχοι, αμετάβλητα αποδεικτικά στοιχεία και διαφανείς ρυθμίσεις. Αυτό μειώνει τον κίνδυνο, επιταχύνει την ολοκλήρωση και καθιστά τη συνεργασία κλιμακωτή και επαληθεύσιμη.