GH GambleHub

راهنمای پیروی از شریک

1) هدف و محدوده

این راهنما الزامات انطباق را برای شرکا/پیمانکاران/شرکت های وابسته/ارائه دهندگان (از جمله سیستم عامل های پرداخت و میزبانی، استودیوهای محتوا، خدمات ضد تقلب، مراکز تماس، آژانس های بازاریابی) تعریف می کند.

اهداف:
  • استانداردهای یکسان از امنیت، حریم خصوصی، مقررات و ارتباطات مسئول.
  • کاهش خطرات عملیاتی/قانونی در زنجیره تامین.
  • «حسابرسی آماده» پایه شواهد و قابلیت اطمینان متقابل.

2) شرایط

شریک - هر شخص ثالث پردازش داده ها و یا ارائه خدمات.
شریک حیاتی - تأثیر قابل توجهی بر امنیت، پرداخت، اطلاعات شخصی یا فرآیندهای نظارتی دارد.
زیر پردازنده - طرف مقابل شریک درگیر در پردازش داده ها.

3) اصول («اصول طراحی»)

الزامات انطباق با طراحی در فرایندها و معماری ساخته شده است.
به حداقل رساندن داده ها و حسابداری اداری و قضایی (اقامت داده ها).
ردیابی و غیر قابل تغییر: سیاهههای مربوط، بایگانی WORM، رسید هش.
تناسب: عمق چک بستگی به ریسک دارد.
«یک نسخه از حقیقت»: مصنوعات تایید شده توسط SLA و RACI درک شده است.

4) نقش ها و RACI

نقش هامسئولیت پذیری
مدیریت فروشنده (A)طبقه بندی ریسک، ورود/خروج، نظارت
انطباق/GRC (R)الزامات، چک ها، CAPA ها، آمادگی حسابرسی
حقوقی/DPO (C)قراردادها، DPA، حریم خصوصی، مرزی
SecOps/CISO (C/R)اون ها. الزامات، حوادث، تشخیص
امور مالی/پرداخت (C)درخواست پرداخت، بازپرداخت/تحریم ها
صاحب کسب و کار (R)کار عملیاتی با شریک، KPI
حسابرسی داخلی (I)ارزیابی انطباق مستقل

(R - مسئول ؛ الف - مسئولیت پذیری ؛ C - مشاوره ؛ من - مطلع)

5) طبقه بندی شریک ریسک

معیارها: نوع داده (PII/پرداخت)، حجم معاملات، دسترسی به سیستم های تولید، حوزه های قضایی، نقش در زنجیره (پردازنده/کنترل کننده)، تاریخ حادثه، گواهینامه ها/ممیزی ها.
سطوح: پایین/متوسط/بالا/بحرانی → تعیین عمق علت سعی و کوشش و فرکانس تجدید نظر.

6) Onboarding و علت سعی و کوشش (DD)

مراحل:

1. پرسشنامه DD (صاحبان، زیر پردازنده ها، مکان های داده، گواهینامه ها، کنترل ها).

2. غربالگری تحریم ها/شهرت/ذینفعان.

3. ارزیابی امنیت/حریم خصوصی: SOC/ISO/PCI/تست نفوذ، سیاست حفظ، فرآیندهای DSAR.

4. بررسی فنی: SSO/OAuth، رمزگذاری، مدیریت مخفی، ورود به سیستم.

5. جنبه های پرداخت/AML (در صورت لزوم): فرآیندهای بازپرداخت، ضد تقلب، محدودیت ها.

6. گزارش ریسک و راه حل: پذیرش/مشروط/امتناع + CAPA/اقدامات جبرانی.

7. قراردادها: MSA، SLA/OLA، DPA، حق حسابرسی، نگهداری آینه، اطلاعیه های حادثه، خارج از رمپ.

7) الزامات شریک اجباری (حداقل)

7. 1 امنیت و حریم خصوصی

رمزگذاری در حمل و نقل/در حالت استراحت، مدیریت کلید (KMS/HSM).
RBAC/ABAC، MFA، ورود به سیستم، دسترسی مجدد مجدد.

سیاههها و بایگانی WORM با امضای هش ؛ زمان هماهنگ

سیاست های نگهداری، نگهداری قانونی، روش DSAR ؛ ماسک کردن/نشانه گذاری PI.

گزارش های آسیب پذیری/تست های نفوذ ؛ سیاست به روز رسانی مدیریت شده

7. ۲ تنظیم مقررات و بازاریابی

ممنوعیت پیشنهادات غیر قابل اعتماد/تهاجمی، سلب مسئولیت اجباری.
رعایت قوانین بازی مسئولانه و تأیید سن (در صورت وجود).
هدف قرار دادن جغرافیایی با توجه به مجوزها و محدودیت های محلی.
رضایت مستند/لغو برای ارتباطات، ذخیره سازی اثبات.

7. 3 پرداخت/AML/KYC (بر اساس نقش)

روش های KYC/KYB، غربالگری تحریم/PEP، نظارت بر معاملات.
logs/3DS مجوز، فرایندهای بازپرداخت، محدودیت ریسک.
مسدود کردن/تحقیق مداوم و سناریوهای بازگشت.

8) ادغام فنی

SSO/SAML/OIDC، SCIM-تأمین (در صورت امکان).
ورود به سیستم ساخت یافته (JSON/OTel)، ردیابی (trace_id).
Webhooks - با امضا و retras ؛ تضمین تحویل/idempotency.
محدودیت های API، تست های قرارداد، سازگاری عقب، نسخه بندی.
محیط های جدا شده، کلید ها و اسرار در ذخیره سازی مخفی هستند.

9) تعهدات قراردادی

SLA/OLA: آپ تایم، TTR/MTTR، تاخیر، RPO/RTO برای خدمات بحرانی.
شواهد و حسابرسی: حق حسابرسی، فرمت PBC، زمان پاسخ، دسترسی به اتاق داده.
حوادث: اطلاع رسانی ≤ ساعت X، گزارش و فرمت جدول زمانی، CAPA.
حفظ و حذف: TTL، تایید تخریب، حفظ آینه در زیر فرایندها.
محرمانه بودن/AOI و محدودیت های قراردادی.

10) مدیریت حادثه (به اشتراک گذاشته شده)

یک کانال اطلاع رسانی واحد و به روز رسانی نبرد ریتم.
نگهداری قانونی فوری اطلاعات مربوطه.
جدول زمانی مشترک (چه کسی/چه چیزی/چه زمانی)، مصنوعات با رسید هش.
اطلاع رسانی به تنظیم کننده ها/مشتریان - از طریق یک فرآیند توافق شده.
پس از مرگ، CAPA، دوباره حسابرسی در 30-90 روز.

11) گزارش و نظارت

گزارش های سه ماهه: گواهینامه ها، حوادث، SLA ها، زیر پردازنده ها، تغییرات مکان داده ها.
معیارهای حریم خصوصی/DSAR، شکایات مشتری، نقض بازاریابی.
مالی/پرداخت: نسبت بازپرداخت، بهره وری ضد تقلب، تجدید نظر برنده نرخ.

12) حق کنترل و حسابرسی

ممیزی های برنامه ریزی شده توسط کلاس های ریسک ؛ برنامه ریزی نشده - برای حوادث/تغییرات بحرانی.
اتاق داده، PBC - лист، ToD/ToE/Walkthrough/Reperform.
CAPA → نتایج، جدول زمانی و شواهد بسته شدن (WORM).

13) شریک خارج از کشتی

برنامه مهاجرت/جایگزینی، انتقال مصنوعات و کلیدها.
تخریب داده های شریک و زیر پردازنده را تأیید کنید.
دسترسی ها/اسرار را لغو کنید، کانال های ادغام را ببندید.
حسابرسی/گزارش نهایی و بایگانی شواهد.

14) معیارها و KRI

زمان سربازی (با کلاس ریسک).
تازگی گواهی فروشنده (هدف: 100٪ شرکای حیاتی).
انطباق SLA و میزان حادثه توسط شریک.
حریم خصوصی/DSAR SLA و شکایات مشتری.
نسبت بازپرداخت/از دست دادن تقلب٪ (برای نقش پرداخت).
CAPA در زمان и تکرار یافته ها.
محلی سازی/صلاحیت رانش (تغییرات ناسازگار به مکان/زیر پردازنده).

15) داشبورد

نقشه حرارتی ریسک فروشنده: میزان ریسک، گواهینامه ها، حوادث، کشورها.
پوشش انطباق: در دسترس بودن DPA/SLA، حق حسابرسی، نگهداری/نگهداری قانونی.
SLA و حوادث: به موقع، TTR/MTTR، حوادث unclosed.
حریم خصوصی و DSAR: شرایط، حجم، شکایات، روند.
پرداخت/تقلب: نسبت بازپرداخت، دلایل، تجدید نظر برنده نرخ.
CAPA & Re-audit: وضعیت، تاخیر، نظرات تکراری.

16) SOP (روش های استاندارد)

SOP-1: مشارکت در حمل و نقل

پرسشنامه DD → screenings → those/privacy/security-assessment → گزارش ریسک → قراردادها (MSA/DPA/SLA) → تنظیم ادغام و ورود به سیستم → pilot → go-live.

SOP-2: تغییرات شریک

Change Notification (Sub-Processors/Locations/Architecture) → Risk Assessment → Contract/Policy Update → Tests → Prod را تغییر دهید.

SOP-3: حادثه

تنها کانال → حقوقی نگه → جدول زمانی مشترک/مصنوعات → اطلاع رسانی → CAPA → دوباره حسابرسی.

SOP-4: تجدید نظر دوره ای

چرخه ریسک سالانه/سه ماهه → PBC → نمونه ToD/ToE → گزارش/CAPA → انتشار معیارها.

SOP-5: خارج شدن

طرح مهاجرت → صادرات/انتقال → تایید تخریب → لغو دسترسی → گزارش نهایی

17) الگوهای مصنوعی

17. 1 فروشنده DD چک لیست (قطعه)

بله. داده ها/ذینفعان ؛ غربالگری تحریم

گواهینامه/ممیزی، امنیت/سیاست حفظ حریم خصوصی

مکان داده ها/زیر پردازنده/حفظ

حوادث در 24 ماه، CAPA

اون ها. یکپارچه سازی: SSO، ورود به سیستم، رمزگذاری، webhooks

17. 2 DPA/SLA - موارد اجباری

پردازش داده ها، اهداف، زمینه های قانونی

زمان اطلاع رسانی حادثه، فرمت گزارش ها

حق حسابرسی، فرمت های PBC، اتاق داده

TTL/حذف، برگزاری قانونی، تایید تخریب

زیر پردازنده و سفارش تایید

17. 3 بسته شواهد

دسترسی به سیاهههای مربوط/اقدامات مدیر (ساختار, رسید هش)

گزارش های آسیب پذیری/نفوذ/اسکن

رجیستری DSAR/حذف/نگهداری

SLA/حادثه/بازیابی (RTO/RPO)

نسخه های امضا شده قراردادها/افزونه ها

18) ضد گلوله

زیر پردازنده های مبهم/مکان های داده.
«پایان به پایان» دسترسی بدون دوباره cert و سیاهههای مربوط.
آپلود دستی بدون تغییر پذیری و تایید هش.

بازاریابی با وعده های غیرقانونی/ممنوع

هیچ شواهدی از تخریب داده ها هنگام خروج وجود ندارد.
چشم پوشی ابدی بدون مهلت و اقدامات جبرانی.

19) مدل بلوغ (M0-M4)

M0 Hell-hoc: چک های یک بار، بدون ثبت خطر توسط شریک.
دایرکتوری M1: لیست شرکا، DD/قراردادهای اساسی.
M2 مدیریت: کلاس های ریسک، SLA/DPA، داشبورد، تجدید نظر برنامه ریزی شده.
M3 یکپارچه: ورود به سیستم/شواهد اتوبوس، دوباره حسابرسی، CAPA اتصال، «حسابرسی آماده».
تضمین مداوم M4: نظارت بر زمان واقعی، چک های توصیه شده، تولید خودکار بسته های PBC/شواهد.

20) مقالات ویکی مرتبط

دقت در هنگام انتخاب ارائه دهندگان

خطرات برون سپاری و کنترل پیمانکار

ممیزی های خارجی توسط حسابرسان مستقل

ذخیره سازی شواهد و مستندات

پیگیری و حسابرسی

برنامه های بازسازی (CAPAs)

ممیزی مجدد و پیگیری

سیاست و مخزن انطباق

ارتباطات راه حل های انطباق در تیم

مجموع

«راهنمای انطباق شرکا» زنجیره تامین را به یک اکوسیستم مدیریت شده تبدیل می کند: الزامات یکنواخت، چک های قابل پیش بینی، شواهد غیر قابل تغییر و ترتیبات شفاف. این خطر را کاهش می دهد، سرعت ادغام را افزایش می دهد و همکاری را مقیاس پذیر و قابل تایید می کند.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.