GH GambleHub

Κίνδυνοι τρίτων και έλεγχοι εταίρων

1) Γιατί και για ποιον

Στόχος: μείωση της πιθανότητας αποτυχιών, διαρροών και ρυθμιστικών παραβιάσεων που προκύπτουν από εξωτερικούς προμηθευτές και εταίρους.
Κάλυψη: πύλες PSP/πληρωμής, CCM/κυρώσεις/RAP, καταπολέμηση της απάτης, πάροχοι παιχνιδιών και στούντιο, δίκτυα θυγατρικών και παρακολούθηση, σύννεφα/CDN/φιλοξενία, BI/ανάλυση, εργαλεία διατήρησης/μάρκετινγκ-SDK, τηλεφωνικά κέντρα, καθώς και υπεργολάβοι των προμηθευτών μας.

2) Κατηγορίες κινδύνου (χάρτης τομέα)

Ασφάλεια πληροφοριών και προστασία της ιδιωτικής ζωής: διαρροές PII/KYC/συμβολικών πληρωμών, αδύναμοι TOMs, έλλειψη WORM/ελέγχου.
Συμμόρφωση: GDPR/UK GDPR/ePrivacy, AML/KYC, ζώνη PCI, απαιτήσεις διαφήμισης/τυχερών παιχνιδιών των δικαιοδοσιών.
Λειτουργική: διαθεσιμότητα/SLA, συγκέντρωση, ασθενής BCP/DR.
Χρηματοπιστωτικές υπηρεσίες: σταθερότητα προμηθευτή, πιστωτικοί κίνδυνοι, κλυδωνισμοί χρέωσης.
Κυρώσεις/γεωπολιτικοί: περιορισμοί στις εξαγωγές/εισαγωγές, θέση των κέντρων δεδομένων, REP/κυρώσεις στις δομές ιδιοκτησίας.
Φήμη και νομική: παραβιάσεις διαφημιστικών/υπεύθυνων παιχνιδιών, δικαιώματα διανοητικής ιδιοκτησίας.
Τεχνικά: τρωτά σημεία SDK/API, έλλειψη περιβάλλοντος έκδοσης και δοκιμών.

3) Χαρτογράφηση της αλυσίδας εφοδιασμού

1. Απογραφή: ενιαίο μητρώο όλων των πωλητών/εταίρων/υπεργολάβων με τον ιδιοκτήτη (ιδιοκτήτη επιχείρησης).
2. Χάρτης δεδομένων: ποια δεδομένα/δικαιοδοσίες/όγκοι διέρχονται από ποιον· Σημαίες PII/χρηματοδότηση/ειδικές κατηγορίες.
3. Κρισιμότητα: ταξινομείται ανά επίπτωση στο χρήμα/PII/uptime.

4) Εξομοίωση προμηθευτή (Παραδείγματα κριτηρίων)

Γκαλερί σκοποβολήςΕνδείξειςΠαραδείγματαΑπαιτήσεις
Βαθμίδα 1 (κρίσιμη)PII/ενισχύσεις, 24 × 7, άμεσες επιπτώσεις στην ΓΓΠPSP, CCM/κυρώσεις, καταπολέμηση της απάτης, υπολογιστικό νέφοςΠλήρης δέουσα επιμέλεια, έλεγχος, δοκιμές BCP/DR, ετήσιος επιτόπιος/εξ αποστάσεως έλεγχος
Βαθμίδα 2 (Υψηλό)έμμεσος αντίκτυπος, συγκαλυμμένη PII, σημαντικές ενοποιήσειςstudios/aggregators, εργαλεία DWHΔιευρυμένο ερωτηματολόγιο, τυχαίος έλεγχος, ετήσια επανεξέταση
Βαθμίδα 3 (μέτρια/χαμηλή)Όχι PII/χρήματα, εργαλεία μάρκετινγκηλεκτρονικό ταχυδρομείο, widgetsΕλαφρύ ερωτηματολόγιο, συμβατικές ελάχιστες τιμές

5) Έλεγχος κινδύνων και βαθμολόγηση

Παράγοντες: ασφάλεια (πολιτικές, πιστοποίηση), προστασία της ιδιωτικής ζωής (DPA/SCCs/DTIA), συμμόρφωση (AML/PCI/ISO), λειτουργική ανθεκτικότητα (SLA/BCP/DR), χρηματοδότηση (έλεγχος/υποβολή εκθέσεων), δικαιοδοσίες/κυρώσεις, ιστορικό συμβάντων, τεχνολογική ωριμότητα (SDLLLLLLLLLi C/DevSec Ops).
Βαθμολογία (παράδειγμα): 0-5 για κάθε συντελεστή σταθμισμένο συνολικό (W) ζώνη: πράσινο/κίτρινο/κόκκινο.

Λύσεις κατωφλίου:
  • Πράσινο: τυποποιημένη σύμβαση.
  • Κεχριμπάρι: έλεγχος/αποκατάσταση του Go-Live.
  • Κόκκινο: αποτυχία ή χειριστής με πρόσθετα μέτρα (διαχωρισμός, στραγγαλισμός, μόνο ανάγνωση, μεσεγγύηση, μειωμένα όρια).

6) Δέουσα επιμέλεια (τι να απαιτήσει στην είσοδο)

Τεχνουργήματα/χειριστήρια (ελάχιστο για τη βαθμίδα 1-2):
  • Πολιτικές ασφάλειας/προστασίας της ιδιωτικής ζωής, RoPA, μητρώο υπεργολάβων επεξεργασίας.
  • Εκθέσεις ελέγχου/πιστοποίηση (ISO 27001/SOC 2 τύπου II/ΕΚΕ, κατά περίπτωση), τελευταίες δοκιμές διείσδυσης.
  • BCP/DR και αποτελέσματα δοκιμών, RPO/RTO.
  • Διαδικασίες συμβάντων (72ωρη ειδοποίηση), ημερολόγιο συμβάντων 12-24 μηνών.
  • DPA/διασυνοριακός μηχανισμός (SCC/IDTA) + DTIA, τοπικοποίηση δεδομένων/κλειδιού.
  • Ασφάλεια ενσωμάτωσης: mTLS/OIDC, υπογεγραμμένα webhooks, εναλλαγή κλειδιού, επιτρεπόμενη λίστα IP.
  • Ημερολόγια πρόσβασης/εξαγωγής, αντίγραφα WORM, αλυσίδες hash.
  • Πολιτική διατήρησης και διαγραφής, επιβεβαίωση της καταστροφής των εφεδρειών κατά τη διάρκεια της αποβίβασης.
  • Χρηματοπιστωτική σταθερότητα (δημόσια αναφορά/πιστοποιητικά), δομή ιδιοκτησίας (κυρώσεις/έλεγχοι έμμονων οργανικών ρύπων).

Ελαφρύ ερωτηματολόγιο για την κατηγορία 2-3: επίπεδο sSSIG/CAIQ (20-60 ερωτήσεις).

7) Συμβατικές απαιτήσεις (βασικά σημεία)

SLA/SLO: uptime (π.χ. 99. 9%), P95 καθυστέρηση, χρόνος απόκρισης σε περιστατικό, μονάδες εξυπηρέτησης.
Προσθήκη ασφάλειας/προστασίας της ιδιωτικής ζωής: κρυπτογράφηση σε ηρεμία/σε διαμετακόμιση, κλειδιά/γεωλογία, υλοτομία, συγκάλυψη, απαγόρευση ανακύκλωσης δεδομένων.
DPA + υπο-επεξεργαστές: υποχρέωση κοινοποίησης της επέκτασης της αλυσίδας· δικαίωμα ένστασης/λογιστικού ελέγχου.
Παραθυράκι ειδοποίησης ≤ 72 ώρες. πρόσβαση σε κούτσουρα/τεχνουργήματα· κοινή αίθουσα πολέμου.
BCP/DR: υποχρεωτικές δοκιμές N μία φορά ετησίως, RPO/RTO.
Pen-test/Δικαιώματα ελέγχου: τουλάχιστον 1 φορά το χρόνο (εξ αποστάσεως/επί τόπου), πρόσβαση σε εκθέσεις.
Έλεγχος αλλαγών: κοινοποίηση σημαντικών αλλαγών (SDK/API/αρχιτεκτονική/γεωγραφία).
Τερματισμός & Έξοδος: εξαγωγή δεδομένων (μορφότυποι), διαγραφή/επιστροφή, μεσολάβηση για κρίσιμη ενσωμάτωση, υποστήριξη μετανάστευσης X-ημερών.
Ευθύνη/Αποζημίωση: ανώτατο όριο/cublimits, εγγυήσεις IP, κυρώσεις για παραβιάσεις/διαρροές SLA.

8) Επί του σκάφους → παρακολούθηση → offboarding

8. 1 Επί του σκάφους

1. Επιχειρηματική υπόθεση και ιδιοκτήτης → σκορπίζοντας → ερωτηματολόγιο/τεχνουργήματα.
2. Επανεξέταση κινδύνου (ασφάλεια/προστασία της ιδιωτικής ζωής/συμμόρφωση/νομική/οικονομική).
3. Χειριστήρια πριν από το Go-Live: διαχωρισμός (VPC/ενοικιαστής), φορτία/όρια, συγκάλυψη/μαρκινοποίηση, σημαίες χαρακτηριστικών, αμμοκιβώτιο δοκιμής.
4. Σύμβαση/ενσωμάτωση → χειριστή → Go/No-Go.

8. 2 Συνεχής παρακολούθηση

Τεχνική παρακολούθηση: uptime, σφάλματα, καθυστέρηση, προϋπολογισμός κινδύνου.
Ασφάλεια: καταχωρίσεις SIEM (μη φυσιολογικές εξαγωγές/πρόσβαση χωρίς «σκοπό»), εκθέσεις πωλητών, τρωτά σημεία SDK.
Προστασία της ιδιωτικής ζωής/συμμόρφωση: αλλαγές σε υπεργολάβους, τοποθεσίες, διατήρηση· Συμβατότητα DSAR.
Χρηματοδότηση: KPI με μετατροπές/επιστροφές/χρέωση, κυρώσεις SLA.
Τριμηνιαία επανεξέταση για την κατηγορία 1-2 και ετήσια εκ νέου δέουσα επιμέλεια.

8. 3 Μεταφόρτωση

Ανάκληση κλειδιών/προσβάσεων, καταστροφή/επιστροφή δεδομένων και αντιγράφων ασφαλείας, πράξεις, κλείσιμο εισιτηρίων, επικαιροποιημένα μητρώα και χάρτες δεδομένων.

9) Διαδικασίες ελέγχου εταίρων

9. 1 Σχέδιο και περιοχή

Εστίαση: διαχείριση πρόσβασης, κρυπτογράφηση/κλειδιά, αρχεία καταγραφής, περιστατικά, BCP/DR, διεργασίες DSAR, υπο-επεξεργαστές.

9. 2 Μέθοδοι

Συνέντευξη, εξέταση εγγράφου/ημερολογίου, επιτόπιοι έλεγχοι, τεχνικές δοκιμές (όριο api-rate/mTLS/υπογραφές), άσκηση tabletop.

9. 3 Έκθεση και CAPA

Ταξινόμηση των ευρημάτων (Κρίσιμο/Υψηλό/Μεσαίο/Χαμηλό), χρονοδιάγραμμα αποκατάστασης, έλεγχος κλεισίματος και επανάληψη.

10) Περιστατικά στον πωλητή: βιβλίο παιχνιδιών

1. Ανίχνευση: πωλητής/το σήμα παρακολούθησης/κοινότητας.
2. Αίθουσα πολέμου: ιδιοκτήτες + Security + DPO + Legal + Product.
3. Περιορισμός της κυκλοφορίας/απενεργοποίηση SDK/κλειδιών, χρονικά όρια/δεξαμενές καναρινιών.
4. Ιατροδικαστική: ημερολόγιο κλήσεων, υπογραφές webhook, επιβεβαιώσεις WORM, σειρά επηρεασμένων αρχείων.
5. Κοινοποιήσεις: ρυθμιστικές αρχές/χρήστες/τράπεζες (εάν χρειάζεται), κοινά κείμενα.
6. CAPA: καθορισμοί, προθεσμίες, έλεγχοι αποτελεσματικότητας· αναθεώρηση των όρων βαθμολόγησης και των συμβατικών όρων.

11) RACI (διευρυμένη)

ΔραστηριότηταΙδιοκτήτης επιχείρησηςΑσφάλειαDPO/Προστασία της ιδιωτικής ζωήςΣυμμόρφωση/ΝομικήΧρηματοδότησηSRE/ΔεδομέναΔημόσιες συμβάσεις
Κούραση/Επιχειρηματική υπόθεσηA/RCCCCCC
Δέουσα επιμέλειαRA/RA/RA/RCCC
Συμβάσεις (SLA/DPA/Edits)CCCA/RA/RIR
Ολοκλήρωση/κατάτμησηCA/RCCIRI
Παρακολούθηση/λογιστικός έλεγχοςRA/RA/RA/RCRI
Περιστατικά/CAPACA/RA/RA/RCRI
Μεταφόρτωση/εξαγωγή/διαγραφήRA/RAACRI

12) Μετρική (KPI/KRI)

Κάλυψη:% των ενεργών πωλητών στο μητρώο με επικαιροποιημένη βαθμολογία ≥ 100%.
Αξιολόγηση TTM: διάμεση βαθμίδα δέουσας επιμέλειας 1 ≤ 15 εργάσιμες ημέρες.
Αποκατάσταση SLA: τα κρίσιμα ευρήματα έκλεισαν ≤ 30 ημέρες (≥ 95%).
Γνωστοποίηση συμβάντος: το ποσοστό των κοινοποιήσεων στη θυρίδα 72 h - 100%.
DPA/SCC/DTIA Coverage: για την κατηγορία 1-2 - 100% σχετική.
Συγκέντρωση Κίνδυνος: μερίδιο κίνησης/εσόδων ανά 1 πάροχο υπηρεσιών πληρωμών/πάροχο ≤ X% (όριο).
BCP/DR Αποδείξεις:% Βαθμίδα 1 με 12 μήνες επιβεβαιωμένες δοκιμές - 100%.
Καταγραφή εξαγωγών: το 100% των εξαγωγών υπογράφονται και καταγράφονται.

13) Υποδείγματα και θραύσματα

13. 1 μίνι ερωτηματολόγιο (βαθμίδα 1-2, έκθεση)

Πιστοποίηση/έλεγχοι (ISO/SOC2/PCI), ημερομηνία λήξης.
Αρχιτεκτονική δεδομένων: γεωεπεξεργαστές, κλειδιά/KMS, κρυπτογράφηση.
Περιστατικά εντός 24 μηνών (τύπος/ημερομηνία/μέτρα).
Πρόσβαση και περιοδικά (RBAC/ABAC, γυαλί θραύσης, JIT, WORM).
BCP/DR (ημερομηνίες δοκιμής, RPO/RTO).
DSAR/κατακράτηση, RoPA, CMP/SDK.
Τεχνικός έλεγχος API: mTLS/OIDC, υπογραφή webhooks, περιστροφή κλειδιού, όριο ταχύτητας.

13. 2 SLA (θραύσμα)

ΔείκτηςΣκοπόςΜέτρησηπίστωση
Uptime (μήνες)99. 9%εξωτερική παρακολούθησηΤέλος 5-10%
Κρίσιμο περιστατικό: Αντίδραση15 λεπτάπρωτόκολλο αίθουσας πολέμουδιόρθωση.
Υψηλή αποκατάσταση30 ημέρεςΈκθεση CAPAδιόρθωση.

13. Προσθήκη ασφάλειας & απορρήτου

"Απαγόρευση της ανακύκλωσης δεδομένων· η αυστηρή πρόσβαση από την ανάγκη γνώσης· Εξαγωγή μόνο σε εγκεκριμένα μητρώα"

"Σταθερά αρχεία καταγραφής (WORM) με υπογραφή hash. έλεγχος κατόπιν αιτήματος μία φορά ετησίως"

«Αντικατάσταση υπεργολάβου - κοινοποίηση 30 ημερών, δικαίωμα ένστασης, εναλλακτικό σχέδιο».

"DTIA σε οποιαδήποτε διασυνοριακή διαβίβαση εκτός της κατάλληλης δικαιοδοσίας· κλειδιά - σε ΕΚ/ΗΒ (ανά συμφωνία) "

14) Κατάλογοι ελέγχου

Τι πρέπει να γνωρίζετε προτού πάρετε το Go-Live με το Vendor

  • Ορισμός ιδιοκτήτη, καθορισμένη περιοχή βολής
  • Ερωτηματολόγιο/τεχνουργήματα που ελήφθησαν και επαληθεύτηκαν
  • Υπογεγραμμένα DPA/SLA/επεξεργαστές, δηλώνονται οι υπεργολάβοι
  • Ο διαχωρισμός/τα όρια/η συγκάλυψη ενεργοποιούνται, τα κλειδιά χωριστά
  • Δοκιμή Sandbox/tabletop ανά περιστατικό
  • Επίσημο σχέδιο εξόδου/μετανάστευσης και μεσεγγύησης

Τριμηνιαία (κατηγορία 1-2)

  • Παρακολούθηση ευπάθειας SLA/περιστατικού/SDK
  • Επικαιροποίηση πιστοποιητικών/εκθέσεων, μητρώο υπο-επεξεργαστών
  • Επικυρωμένη DR/BCP
  • Έλεγχος πτερύγων (αντίσταση), έλεγχοι κυρώσεων
  • Επανεξέταση των κινδύνων συγκέντρωσης και εναλλακτικών λύσεων

Offboarding

  • Κλειδιά/προσβάσεις που ανακλήθηκαν
  • Εξαγωγή δεδομένων πλήρης, διαγραφή/εφεδρική επιβεβαίωση
  • Πιστοποιητικά κλεισίματος, επικαιροποιημένα από το Data Mar/μητρώα

15) Τυπικά σενάρια και μέτρα

A) Ευπάθεια στην εμπορία SDK

Άμεση παύση λειτουργίας, μονάδα συλλογής PII, κοινοποίηση DPO/ρυθμιστικών αρχών, εάν χρειάζεται, επανάληψη πώλησης CAPA.

B) Το PSP αποικοδομείται σε σχέση με το SLA

Κίνηση αυτόματης δρομολόγησης προς το εφεδρικό PSP, όρια μείωσης, ενεργοποίηση πιστωτικών μορίων υπηρεσίας, αναθεώρηση του σχεδίου σύμβασης/εξόδου.

C) Διαρροή από πάροχο KYC

απομόνωση ενσωμάτωσης, ανάκληση συμβολικών σημάτων, χαρτογράφηση των επηρεαζόμενων αρχείων, κοινοποιήσεις, χειροκίνητο σύστημα KYC υψηλού κινδύνου, έλεγχος πωλητή, πιθανή αντικατάσταση.

16) Χάρτης πορείας για την εφαρμογή του TPRM

Εβδομάδες 1-2: απογραφή πωλητών, χάρτης δεδομένων, σχισμή, βασικό ερωτηματολόγιο και μητρώο.
Εβδομάδες 3-4: υποδείγματα SLA/DPA/πρόσθετων υλών, διαδικασία επιβίβασης/παρακολούθησης/αποβίβασης, ολοκλήρωση SIEM/CMDB/IDP.
Μήνας 2: Πιλοτική φάση 1-2, έναρξη τριμηνιαίων επανεξετάσεων, αυτοματοποίηση των ελέγχων πιστοποιητικών/προθεσμιών.
Μήνας 3 +: κλιμάκωση, βαθμολόγηση/ταμπλό, τεστ αντοχής BCP/DR, βελτιστοποίηση κινδύνου συγκέντρωσης και εναλλακτικές οδοί.

TL, DR

Ισχυρή TPRM = πλήρης χάρτης πωλητών βαθμολόγηση και βαθμολόγηση σκληρών συμβάσεων (SLA/DPA/BCP/DTIA) κατάτμηση και ασφαλείς ενοποιήσεις συνεχή παρακολούθηση και έλεγχο ταχεία έξοδο/αποκατάσταση. Αυτό προστατεύει τα χρήματα, τα δεδομένα και τις άδειες - και διατηρεί την επιχείρηση ανθεκτική ακόμη και όταν συντρίβονται οι συνεργάτες.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Telegram
@Gamble_GC
Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.