GH GambleHub

Notificaciones de infracciones y plazos de presentación de informes

1) Asignación y ámbito

Establecer un orden único, verificable y repetible de notificaciones obligatorias en incidentes e irregularidades en los circuitos de Operaciones y Cumplimiento: seguridad de datos, pagos/transacciones financieras, requisitos regulatorios, juego responsable, integraciones de socios, riesgos de reputación. El documento establece plazos, destinatarios, formatos y procedimientos de preparación y control.

💡 Discleimer: partición - manual de operaciones. No sustituye a la asesoría legal. Para cada jurisdicción existe una ley/reglamento de licencia local; Los textos/plazos finales son coherentes con el Cumplimiento Legal.

2) Términos clave

Incident reportable (incidente notificado): evento en el que la ley/licencia/contrato requiere una notificación a partes externas.
DPA es una autoridad de protección de datos (GDPR y análogos).
FIU - Inteligencia Financiera (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme - Proveedores de pago/Equipadores/Sistemas de pago.
CERT/CSIRT son centros nacionales/industriales de respuesta a incidentes de ciberseguridad.
LEA - Las fuerzas del orden.
Holding statement es la primera notificación breve con los hechos básicos y la hora del siguiente apdate.

3) Clases de eventos notificados (categorías)

1. IB/confidencialidad: filtración de PII/Findans, comprometer cuentas.
2. Regulador del juego: fallas que afectan la disponibilidad del juego/honestidad/balances; violación de las condiciones de licencia/publicidad/RG.
3. AML/CFT: operaciones/patrones sospechosos → SAR/AMB en la FIU.
4. Pagos: inaccesibilidad masiva de PSP, altas desviaciones, comprometer los datos del pagador.
5. Consumidor/jugador: notificaciones a las personas afectadas (datos breach, transacciones monetarias, comp. medidas).
6. Socios/afiliados/proveedores: impacto en el seguimiento, la presentación de informes, los cálculos financieros.
7. CERT/LEA: ciberincidentes de importancia pública, phishing/clonación de marca.
8. Auditoría/titulares de la licencia: cumplimiento de los informes SLA, confirmación de la eliminación.

4) Matriz de plazos (puntos de referencia)

💡 Los plazos exactos se especifican para cada licencia/jurisdicción en el registro (ver § 10). A continuación se muestra el modelo de marco de planificación:
Categoría de destinoDisparadorPrimera notificaciónPosteriores apdatesInforme final
DPA (tipo GDPR)riesgo confirmado para los derechos/libertades de los interesadoshasta 72 horas desde el momento de la detecciónsobre la preparación de los hechos clave (generalmente cada 24-72 h)hasta 30 días o bajo demanda
Sujetos afectados (jugadores)alto riesgo para los derechos/libertadessin demora indebida (normalmente ≤ 72 h después de la DPA)por fase de la remediacióncuando se cierra el caso
Regulador de juegos de azarincidente que afecta a la integridad/accesibilidad/contabilidadtan pronto como sea posible, 24 h de referenciabajo licencia SLA (por ejemplo, cada 24 h/por hitos)por formato regulador (a menudo ≤ 7-30 días)
FIU (AML SAR/STR)sospecha de blanqueo/financiación del terrorismosin demora tras la formación de la sospecha (a menudo día tras día)Cuando se reciben datos adicionalesa petición de la FIU
Planes de pago/PSP/bancofallas masivas/compromiso del evento PAN/PCIinmediatamente (referencia <24 h)de acuerdo con el plan acordadoinforme de cierre con medidas
CERT/CSIRTciberincidente/amenaza significativaasap (a menudo <24 h)sobre los hitos de la investigaciónrequisitos CERT
Socios/Afiliadosefecto en el seguimiento/cálculo<24 hpor etapas de correcciónreconciliation final

5) RACI y roles

IC (Incident Commander) es el propietario de la línea de tiempo y «war room». (A)

Legal/Compliance Lead - calificación «reportable», selección de destinatarios y plazos, signo final. (R/A)

Seguridad Lead - hechos de IB, volumen de compromiso/PII, interacción con CERT/LEA. (R)

Payments Lead - PSP/banco/esquemas, preguntas PCI, devoluciones/chargebacks. (R)

Comms Lead - Texto y canal de envío, página de estado, macros CS. (R)

Data/Analytics - Lista de entidades/transacciones afectadas, evaluación de impacto. (R)

CS/CRM Lead - entrega de notificaciones a los jugadores, compensación. (R)

Exec Sponsor/CEO - Declaraciones públicas S1. (C/I)

6) Proceso de extremo a extremo (desde la detección hasta el cierre)

A. Determinación de la notificabilidad:
  • detección → cualificación legal (Legal) → solución "¿reportable? ¿a quién? ¿Plazos? ».
B. Preparación:
  • recopilación de hechos/artefactos → clasificación de la gravedad → selección de patrones → armonización (Legal/Comms/IC).
C. Envío y lógica:
  • entrega a través de canales (portales reguladores, correo protegido, API, formularios en papel) → fijación de la hora de envío y acuse de recibo.
D. Updates:
  • por horario/hitos → control de versiones de textos → sincronización con la página de estado.
E. Finalización:
  • informe final → plan CAPA → cierre y retro (≤ 7 días).

7) Composición mínima de la notificación (esqueleto)

1. Identificador de incidente, fecha/hora (UTC y local).
2. Breve descripción del evento y el radio de influencia.
3. Categorías de datos/clientes/operaciones afectadas.
4. Medidas adoptadas (contenedor/restauración).
5. Evaluación de riesgos y estado actual.
6. Un plan para los próximos pasos y ETA del próximo apdate.
7. Persona de contacto/canal de retroalimentación.
8. Datos legales de la licencia/empresa (si es necesario).
9. Anexos: línea de tiempo, artefactos técnicos, listas de sujetos.

8) Plantillas (inserciones rápidas)

8. 1 DPA (filtración de datos, notificación primaria):

Evento/fecha de detección

Categorías de datos/volumen/geografía

Medidas para minimizar el daño (restablecimiento de tokens, MFA, monitoreo)

Evaluación de riesgos para las entidades

Plan de notificación de entidades y plazos

Contacto DPO/Legal

8. 2 Jugadores (data breach):

Asunto: Información importante sobre la seguridad de su cuenta

Cuerpo: qué pasó (sin tecnología. detalles y sin PII), qué medidas se han tomado, qué hacer ahora al jugador (cambiar la contraseña, incluir MFA), dónde vigilar los updates, cómo obtener ayuda/compensación.

8. 3 Regulador del juego (fallo de disponibilidad/honestidad):

Qué: servicio/juegos/billetera, intervalo de tiempo, zonas

Impacto: porcentajes/número de tipos/balances

Medidas: retroceso, reserva, modo seguro de la cartera

La esperada recuperación de ETA, el control de honestidad/balances

Plan de verificación y presentación de informes finales

8. 4 FIU (SAR/AMB, breve):

Hechos y motivos de sospecha (sin «aviso del cliente»)

Sumas/cuentas relacionadas/patrones de comportamiento

Aplicaciones (transacciones/gráfico de vínculos)

Contacto del responsable de AML

8. 5 PSP/Acquirer/Card Scheme:

Qué ha pasado (esquemas/métodos afectados), marcadores de riesgo PCI

Impacto empresarial (tasa automática, fallo/latencia)

Medidas adoptadas/baipas, solicitud de diagnóstico conjunto

Plan de compensación del cliente/procesamiento de devoluciones

8. 6 CERT/CSIRT:

Indicadores de compromiso (IoC), TTP, vectores

Medidas adoptadas y riesgos pendientes

Solicitud de coordinación/separación de telemetría

9) Hojas de cheques

Antes de enviar la notificación primaria

  • Hechos confirmados; Secretos excluidos/PII.
  • Acordado con Legal/Compliance; destino/canal seleccionado.
  • Se especifica el siguiente apdate (fecha/hora/canal).
  • Capturas de pantalla/ARTEFACTS y sumas hash de aplicaciones registradas.
  • Se ha verificado la localización/idioma (si es necesario).

Después

  • Recibo de confirmación de recepción/número de ticket/ID de registro.
  • Se ha creado un plan de apdates y propietarios.
  • Los textos están sincronizados en las macros de estado/FAQ/CS.

Cerrar

  • El informe final ha sido enviado y confirmado.
  • Los CAPA están registrados con plazos y métricas de eficacia.
  • Retro pasado ≤ 7 días.

10) Registro de plazos y destinatarios (estructura de datos)

Almacenado en Git/Confluence como tabla (versionada, propietario - Legal):
CampoEjemplo
Jurisdicción/LicenciaMT/MGA B2C
CategoríaDPA / Gaming Regulator / FIU / PSP / CERT
Fecha límite de la notificación primaria72h / 24h / asap
CanalPortal/Correo seguro/API/Fax
IdiomaEN/local
FormatoLibre/Formulario no .../Circuito JSON
Campos obligatorioslista
Contacto/Acreditacióne-mail, portal de identificación
Basereferencia a la regla/cláusula de licencia
Notascaracterísticas (días festivos, zona horaria, etc.)

11) Artefactos y retén

Línea de tiempo (precisión de minuto), versiones de todas las notificaciones, confirmaciones de recepción.
Esos. artefactos: registros, volcado, exportación de métricas, IoC, instantáneas de configuración.
Listas de entidades/transacciones utilizadas para notificaciones/compensaciones.
Retencion: almacenamiento según los requisitos de licencias/leyes (generalmente 1-7 años, especificado por jurisdicción).

12) Métricas de conformidad

Timeliness:% de las notificaciones enviadas a tiempo (por categoría).
Completeness: porcentaje de notificaciones aceptadas desde la primera vez (sin solicitudes de corrección).
Acknowledgement SLA: tiempo medio de recepción de la confirmación.
Update Discipline: cumplir con los intervalos de apdate.
CAPA Efficacy: proporción de CAPAs cerrados a tiempo.

13) Herramientas y automatización

Bot de incidente: comandos '/notify <categoría> ', búsqueda automática de plazos/canales, recordatorios de dlline.
Plantilla: compilar notificaciones desde los parámetros de incidente; versiones/localización.
Status Page: Sincrono con apdates externos; control TTS (time-to-statement).
SOAR/SIEM: recolección automática de artefactos para DPA/CERT.
DWH/CRM: segmentos de sujetos afectados, seguimiento de entregas y descubrimientos.

14) Gestión de cambios (governance)

Propietario de la sección: Head of Compliance (reserva - Consejo Legal).
Revisión del registro (§ 10): al menos trimestralmente y después de cada S1/S2.
Enseñanzas: table-top por DPA/Regulador/AML - trimestral; live-drill IB, cada seis meses.
Auditoría: verificación anual independiente de la conformidad con los plazos y la exhaustividad de las notificaciones.

15) Inicio rápido (implementación en 30 días)

1. Forme una lista de destinos obligatorios para todas las licencias/mercados y escriba en el registro (§ 10).
2. Aprobar las plantillas de notificación (§ 8) y conectarlas al bot de incidentes.
3. Personalice las métricas SLA (§ 12) y el dashboard «Regulatory Reporting».
4. Llevar a cabo el ejercicio: data breach → DPA + jugadores, crisis de pago → PSP, AML-SAR → FIU.
5. Habilite los recordatorios de deadline y la autogeneración de holding statements.
6. Ejecutar retro después de la primera enseñanza, actualizar los playbooks.

Secciones relacionadas:
  • Gestión de crisis y comunicaciones
  • Playbooks y scripts de incidentes
  • Plan de continuidad del negocio (BCP)
  • Disaster Recovery Plan (DRP)
  • Matriz de escalamiento
  • Sistema de alertas y notificaciones
  • Juego responsable y protección de los jugadores
Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.