GH GambleHub

Guía de cumplimiento para socios

1) Asignación y alcance

Esta guía define los requisitos de cumplimiento para socios/contratistas/afiliados/proveedores (incluyendo plataformas de pago y alojamiento, estudios de contenido, servicios antifraude, centros de llamadas, agencias de marketing).

Objetivos:
  • Normas uniformes de seguridad, privacidad, capacidad regulatoria y comunicación responsable.
  • Reducción de los riesgos operativos/legales en la cadena de suministro.
  • «Audit-ready» base de pruebas y verificabilidad mutua.

2) Términos

Socio: cualquier tercero que procese datos o preste servicios.
Socio crítico: tiene un impacto significativo en la seguridad, los pagos, los datos personales o los procesos regulatorios.
Un subprocesador es una contraparte de un socio involucrado en el procesamiento de datos.

3) Principios («design tenets»)

Compliance-by-design: requisitos incorporados en los procesos y la arquitectura.
Minimización de datos y contabilidad jurisdiccional (residencia de datos).
Rastreabilidad e inmutabilidad: registros, archivo WORM, recibos hash.
Proportionalidad: la profundidad de las inspecciones depende del riesgo.
«Una versión de la verdad»: artefactos confirmados, entendidos por SLA y RACI.

4) Roles y RACI

FunciónResponsabilidad
Vendor Management (A)Clasificación de riesgos, onboarding/offboarding, monitoreo
Compliance/GRC (R)Requisitos, auditorías, CAPA, auditoría-preparación
Legal/DPO (C)Contratos, DPA, privacidad, transfronterizos
SecOps/CISO (C/R)Esos. requisitos, incidentes, detección
Finance/Payments (C)Requisitos de pago, chargeback/sanciones
Business Owner (R)Trabajo operativo con un socio, KPI
Internal Audit (I)Evaluación independiente del cumplimiento

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Clasificación de los socios de riesgo

Criterios: tipo de datos (PII/pago), volumen de transacciones, acceso a sistemas prod, jurisdicciones, papel en la cadena (procesador/controlador), historial de incidentes, certificados/auditorías.
Niveles: Bajo/Medio/Alto/Crítico → determinan la profundidad de Due Diligence y la frecuencia de las revisiones.

6) Onboarding y Due Diligence (DD)

Pasos:

1. Cuestionario DD (propietarios, subprocesadores, ubicaciones de datos, certificados, controles).

2. Verificación de sanciones/reputación/beneficiarios (screening).

3. Evaluación de seguridad/privacidad: SOC/ISO/PCI/pentest, política de retención, procesos DSAR.

4. Verificación técnica: SSO/OAuth, cifrado, gestión secreta, lógica.

5. Aspectos de pago/AML (si corresponde): procesos de chargeback, antifraude, límites.

6. Informe de riesgo y solución: tolerancia/condicional/fallo + SARA/medidas compensatorias.

7. Contratos: MSA, SLA/OLA, DPA, derecho de auditoría, retén espejo, notificaciones de incidentes, off-ramp.

7) Requisitos obligatorios para el socio (mínimo)

7. 1 Seguridad y privacidad

Encriptación in transit/at nat, administración de claves (KMS/HSM).
RBAC/ABAC, MFA, registro de acciones administrativas, re-cert de accesos.
Registros y archivo WORM con firma hash; tiempo sincronizado.
Políticas de retención, Legal Hold, procedimientos DSAR; enmascaramiento/tokenización PI.
Informes de vulnerabilidad/pentesta; directiva de actualizaciones gestionadas.

7. 2 Regulación y marketing

Prohibición de offers incorrectos/agresivos, discleimers obligatorios.
Cumplimiento de las reglas de juego responsable y verificación de edad (si corresponde).
Orientación geo según licencias y restricciones locales.
Autorizaciones/cancelaciones documentadas para comunicaciones, almacenamiento de prufas.

7. 3 Pagos/AML/KYC (por función)

Procedimientos KYC/KYB, cribado sancionador/RR, monitoreo de transacciones.
Registros de autorización/3DS, procesos de chargeback, límites de riesgo.
Escenarios consistentes de bloqueos/investigaciones y devoluciones.

8) Integración técnica

SSO/SAML/OIDC, provisión SCIM (si es posible).
Lógica estructurada (JSON/OTel), seguimiento (trace_id).
Webhooks - con firma y retrés; garantía de entrega/idempotencia.
Límites de API, pruebas de contrato, compatibilidad con backward, versionamiento.
Los entornos aislados, las claves y los secretos están en las bóvedas secretas.

9) Obligaciones contractuales

SLA/OLA: aptime, TTR/MTTR, retardos, RPO/RTO para servicios críticos.
Evidence & Audit: derecho de auditoría, formatos PBC, plazos de respuesta, acceso a la sala de datos.
Incidentes: notificación ≤ X horas, formato de informe y línea de tiempo, CAPA.
Retén y eliminación: TTL, confirmaciones de destrucción, retén especular en subprocesadores.
Confidencialidad/NDA y restricciones a la subcontratación.

10) Gestión de incidentes (conjuntamente)

Canal único de alertas y apdates battle-rhythm.
Inmediato Legal Hold de datos relevantes.
Tiempo compartido (quién/qué/cuándo), artefactos con recibos hash.
Notificaciones a reguladores/clientes - a través de un proceso acordado.
Post mortem, CAPA, re-audit en 30-90 días.

11) Informes y seguimiento

Informes trimestrales: certificados, incidentes, SLA, subprocesadores, cambios en las ubicaciones de datos.
Métricas de privacidad/DSAR, quejas de clientes, infracciones de marketing.
Financiera/de pago: chargeback ratio, eficacia antifraude, apelaciones ganadas.

12) Control y derecho de auditoría

Auditorías programadas por clase de riesgo; no programadas - sobre incidentes/cambios críticos.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Resultados → CAPA, plazos y verificación de cierre (evidence en WORM).

13) Offboarding del socio

Plan de migración/sustitución, transferencia de artefactos y claves.
Confirmación de la destrucción de datos en el socio y los subprocesadores.
Revocación de accesos/secretos, cierre de canales de integración.
Auditoría/informe final y archivo de pruebas.

14) Métricas y KRI

Onboarding Lead Time (por clases de riesgo).
Vendor Certificate Freshness (objetivo: 100% de socios críticos).
SLA Compliance e Incident Rate por Partner.
Privacidad/DSAR SLA y quejas de los clientes.
Chargeback Ratio/Fraud Loss% (para roles de pago).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (cambios inconsistentes en las ubicaciones/subprocesadores).

15) Dashboards

Vendor Risk Heatmap: riesgo-score, certificados, incidentes, países.
Compliance Coverage: disponibilidad de DPA/SLA, derecho de auditoría, retencion/Legal Hold.
SLA & Incidents: aptime, TTR/MTTR, incidentes no resueltos.
Privacidad & DSAR: plazos, volúmenes, quejas, tendencias.
Payments/Fraud: chargeback ratio, causas, apelaciones ganadas.
CAPA & Re-audit: estados, atrasos, comentarios repetidos.

16) SOP (procedimientos estándar)

SOP-1: Onboarding socio

El cuestionario DD → skriningi → teh/privatnost/bezopasnost-otsenka → Risk Report → dogovory (MSA/DPA/SLA) → el ajuste de la integración y logirovaniya → el piloto → go-live.

SOP-2: Cambios en el socio

Notificación de cambios (subprocesadores/ubicaciones/arquitectura) → evaluación de riesgos → apdate de contratos/políticas → pruebas → prod.

SOP-3: Incidente

El canal único → Legal Hold → una línea de tiempo conjunta/artefactos → notificaciones → CAPA → re-audit.

SOP-4: Auditoría periódica

Ciclo anual/trimestral sobre riesgo → PBC → muestreo ToD/ToE → informe/SARAH → publicación de métricas.

SOP-5: Offboarding

Plan de migración → exportación/transferencia → confirmación de destrucción → retirada de accesos → informe final.

17) Patrones de artefactos

17. 1 Vendor DD Checklist (fragmento)

Ur. datos/beneficiarios; cribado de sanciones

Certificados/auditorías, política de seguridad/privacidad

Ubicaciones de datos/subprocesadores/retén

Incidentes en 24 meses, CAPA

Esos. integración: SSO, lógica, cifrado, webhooks

17. 2 DPA/SLA - Párrafos obligatorios

Tratamiento de datos, objetivos, bases legales

Plazos de notificación de incidentes, formato de informe

Derecho de auditoría, formatos PBC, Sala de datos

TTL/eliminación, Legal Hold, confirmación de destrucción

Subprocesadores y orden de negociación

17. 3 Paquete de evidencia (evidence pack)

Registros de acceso/acciones de administración (estructurados, recibos hash)

Informes de vulnerabilidades/pentests/escáneres

Registro DSAR/eliminación/retén

SLA/Incidentes/Recuperación (RTO/RPO)

Versiones firmadas de contratos/addendums

18) Antipattern

Subprocesadores/ubicaciones de datos opacos.
Accesos «de extremo a extremo» sin re-cert y registros.
Descargas manuales sin inmutabilidad y confirmaciones hash.
Comercialización con promesas incorrectas/prohibidas.
No hay confirmación de destrucción de datos en offboarding.
Waivers eternos sin plazos y medidas compensatorias.

19) Modelo de madurez (M0-M4)

M0 Ad-hoc: verificaciones únicas, sin registro de riesgos de socios.
M1 Catálogo: lista de socios, DD/contratos básicos.
M2 Manejable: clases de riesgo, SLA/DPA, dashboards, revisiones programadas.
M3 Integrado: lógica/evidence-bus, re-audit, CAPA-link, «audit-ready».
M4 Continuous Assurance: monitoreo en tiempo real, validaciones recomendadas, autogeneración de paquetes PBC/evidence.

20) Artículos relacionados wiki

Due Diligence al seleccionar proveedores

Riesgos de subcontratación y control de contratistas

Comprobaciones externas realizadas por auditores externos

Almacenamiento de pruebas y documentación

Mantenimiento de registros y Audit Trail

Planes de reparación de infracciones (CAPA)

Auditorías repetidas y control de ejecución

Repositorio de políticas y normas

Comunicación de soluciones de cumplimiento en equipos

Resultado

La «Guía de cumplimiento para socios» convierte la cadena de suministro en un ecosistema gestionado: requisitos unificados, verificaciones predecibles, pruebas inmutables y arreglos transparentes. Esto reduce los riesgos, acelera las integraciones y hace que la colaboración sea escalable y verificable.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Telegram
@Gamble_GC
Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.