GH GambleHub

خطرات شخص ثالث و حسابرسی شریک

1) چرا و برای چه کسی

هدف: کاهش احتمال شکست، نشت و نقض مقررات که از طریق تامین کنندگان و شرکای خارجی می آید.
پوشش: PSP/دروازه پرداخت، CCM/تحریم/RAP، ضد تقلب، ارائه دهندگان بازی و استودیو، شبکه های وابسته و ردیابی، ابر/CDN/میزبانی، BI/تجزیه و تحلیل، ابزار حفظ/بازاریابی-SDK، مراکز تماس، و همچنین زیر پردازنده از فروشندگان ما.

2) دسته بندی ریسک (نقشه دامنه)

امنیت اطلاعات و حریم خصوصی: نشت توکن PII/KYC/پرداخت، TOM های ضعیف، عدم وجود WORM/حسابرسی.
انطباق: GDPR/UK GDPR/ePrivacy، AML/KYC، منطقه PCI، الزامات تبلیغات/بازی از حوزه های قضایی.

عملیاتی: در دسترس بودن/SLA، غلظت، BCP/DR ضعیف

مالی: ثبات تامین کننده، خطرات اعتباری، شوک های بازپرداخت.
تحریم ها/ژئوپلیتیک: محدودیت های صادرات/واردات، محل مراکز داده، REP/تحریم ها در ساختارهای مالکیت.
اعتبار و قانونی: نقض تبلیغات/بازی مسئول، حقوق IP.
فنی: آسیب پذیری SDK/API، عدم نسخه بندی و محیط آزمایش.

3) نقشه برداری زنجیره تامین

1. موجودی: یک ثبت نام واحد از تمام فروشندگان/شرکا/زیر پردازنده با مالک (صاحب کسب و کار).
2. نقشه داده: چه داده ها/حوزه های قضایی/حجم از طریق آنها عبور می کند ؛ پرچم PII/امور مالی/دسته های خاص.
3. بحرانی: طبقه بندی شده توسط تاثیر بر پول/PII/uptime.

4) فروشنده خسته کننده (معیارهای مثال)

گالری تیراندازینشانه هانمونه هامورد نیاز
ردیف 1 (بحرانی)PII/پرداخت، 24 × 7، تاثیر مستقیم بر GGRPSP، CCM/تحریم ها، ضد تقلب، ابردقت کامل، حسابرسی، آزمون BCP/DR، حسابرسی سالانه در محل/از راه دور
ردیف 2 (بالا)تاثیر غیر مستقیم، PII ماسک، ادغام مهماستودیو/گردآورنده، ابزار DWHپرسشنامه گسترده، حسابرسی تصادفی، بررسی سالانه
ردیف 3 (متوسط/پایین)بدون PII/پول، ابزار بازاریابیایمیل, ویدجتپرسشنامه نور، حداقل قرارداد

5) غربالگری و نمره دهی ریسک

عوامل: امنیت (سیاست ها، صدور گواهینامه)، حفظ حریم خصوصی (DPA/SCCs/DTIA)، انطباق (AML/PCI/ISO)، انعطاف پذیری عملیاتی (SLA/BCP/DR)، مالی (حسابرسی/گزارش)، حوزه های قضایی/تحریم ها، تاریخ حادثه، بلوغ تکنولوژیکی (SDLC/DevSec Ops).
نمره (به عنوان مثال): 0-5 برای هر عامل → وزن کل (W) → منطقه: سبز/زرد/قرمز.

راه حل های آستانه:
  • سبز: قرارداد استاندارد.
  • کهربا: کنترل/اصلاح به Go-Live.
  • قرمز: شکست یا خلبان با اقدامات اضافی (تقسیم بندی، کاهش، فقط خواندن، سپرده، محدودیت های کاهش یافته).

6) علت سعی و کوشش (آنچه که در ورودی نیاز)

مصنوعات/کنترل (حداقل برای Tier 1-2):
  • سیاست های امنیتی/حفظ حریم خصوصی، RoPA، رجیستری زیر پردازنده.
  • گزارش های حسابرسی/صدور گواهینامه (ISO 27001/SOC 2 نوع II/PCI در صورت لزوم)، آخرین آزمون های نفوذ.
  • BCP/DR و نتایج آزمایش، RPO/RTO.
  • روش های حادثه (اطلاعیه های 72 ساعته)، ورود به سیستم حادثه برای 12-24 ماه.
  • DPA/مکانیسم مرزی (SCCs/IDTA) + DTIA، محلی سازی داده ها/کلید.
  • امنیت ادغام: mTLS/OIDC، وب سایت های امضا شده، چرخش کلید، IP مجاز لیست.
  • گزارش های دسترسی/صادرات، نسخه های WORM، زنجیره های هش.
  • سیاست حفظ و حذف، تایید تخریب پشتیبان گیری در طول offboarding.
  • ثبات مالی (گزارش عمومی/گواهینامه ها)، ساختار مالکیت (تحریم ها/چک های POP).

پرسشنامه نور برای سطح 2-3: سطح sSIG/CAIQ (20-60 سوال).

7) الزامات قراردادی (نکات کلیدی)

SLA/SLO: آپ تایم (به عنوان مثال 99. 9٪)، تاخیر P95، زمان پاسخ حادثه، اعتبار خدمات.
ضمیمه امنیت/حریم خصوصی: رمزگذاری در حالت استراحت/در حمل و نقل، کلید/جغرافیایی، ورود به سیستم، پوشش، ممنوعیت بازیافت داده ها.

زیر پردازنده های DPA +: وظیفه اطلاع رسانی به گسترش زنجیره ؛ حق اعتراض/حسابرسی

حادثه و اطلاع رسانی: پنجره اطلاع رسانی ≤ 72 ساعت ؛ دسترسی به سیاهههای مربوط/مصنوعات ؛ اتاق جنگ مشترک

BCP/DR: آزمون اجباری N یک بار در سال، RPO/RTO.
قلم آزمون/حقوق حسابرسی: حداقل 1 بار در سال (از راه دور/در محل)، دسترسی به گزارش.
کنترل تغییر: اطلاع رسانی از تغییرات عمده (SDK/API/معماری/جغرافیا).
خاتمه و خروج: صادرات داده ها (فرمت ها)، حذف/بازگشت، سپرده برای ادغام بحرانی، پشتیبانی مهاجرت X-day.
مسئولیت/غرامت: کلاه/cublimits، تضمین IP، مجازات برای نقض SLA/نشت.

8) Onboarding → نظارت → Offboarding

8. 1 حمل و نقل

1. مورد کسب و کار و مالک → پاره شدن → پرسشنامه/مصنوعات.
2. بررسی ریسک (امنیت/حریم خصوصی/انطباق/حقوقی/مالی).
3. کنترل قبل از Go-Live: تقسیم بندی (VPC/tenant)، بارها/محدودیت ها، پوشش/نشانه گذاری، پرچم های ویژگی، sandbox تست.
4. قرارداد/ادغام → خلبان → برو/بدون برو.

8. 2 نظارت مستمر

نظارت فنی: آپ تایم، خطاها، تأخیر، بودجه ریسک.
امنیت: هشدار SIEM (صادرات غیر طبیعی/دسترسی بدون «هدف»)، گزارش فروشنده، آسیب پذیری SDK.

حریم خصوصی/انطباق: تغییرات در زیر فرایندها، مکان ها، حفظ ؛ سازگاری DSAR

امور مالی: KPI با تبدیل/بازپرداخت/بازپرداخت، مجازات SLA.
بررسی سه ماهه برای ردیف 1-2 و سالانه به علت سعی و کوشش.

8. 3 خارج شدن

لغو کلید/دسترسی، تخریب/بازگشت داده ها و پشتیبان گیری، اعمال، بسته شدن بلیط ها، به روز رسانی ثبت ها و نقشه های داده.

9) روش های حسابرسی شریک

9. 1 طرح و منطقه

تمرکز: مدیریت دسترسی، رمزگذاری/کلید، سیاهههای مربوط، حوادث، BCP/DR، فرآیندهای DSAR، زیر پردازنده.

9. 2 روش ها

مصاحبه، بررسی سند/ورود به سیستم، چک نقطه، تست های فنی (api-rate-limit/mTLS/signatures)، تمرین tabletop.

9. 3 گزارش و کاپا

طبقه بندی یافته ها (بحرانی/بالا/متوسط/پایین)، زمان بندی اصلاح، کنترل بسته شدن و تست مجدد.

10) حوادث در فروشنده: playbook

1. تشخیص: فروشنده/نظارت ما/سیگنال جامعه.
2. اتاق جنگ: صاحبان + امنیت + DPO + حقوقی + محصول.
3. محدودیت: محدود کردن ترافیک/غیرفعال کردن SDK/کلید، محدودیت زمانی/استخر قناری.
4. Forensics: ورود به سیستم تماس، امضای webhook، تأیید WORM، طیف وسیعی از سوابق آسیب دیده.
5. اطلاعیه ها: تنظیم کننده ها/کاربران/بانک ها (در صورت لزوم)، متون مشترک.
6. CAPAs: رفع، مهلت، چک اثربخشی ؛ تجدید نظر در شرایط امتیاز و قرارداد.

11) RACI (بزرگ شده)

فعالیت هاصاحب کسب و کارامنیتDPO/حریم خصوصیانطباق/حقوقیامور مالیSRE/داده هاتدارکات و تدارکات
خسته کننده/مورد کسب و کارA/Rسی شارپسی شارپسی شارپسی شارپسی شارپسی شارپ
با توجه به سعی و کوششتحقیق و توسعهA/RA/RA/Rسی شارپسی شارپسی شارپ
قراردادها (SLA/DPA/ویرایش)سی شارپسی شارپسی شارپA/RA/Rمن و توتحقیق و توسعه
ادغام/تقسیم بندیسی شارپA/Rسی شارپسی شارپمن و توتحقیق و توسعهمن و تو
نظارت/حسابرسیتحقیق و توسعهA/RA/RA/Rسی شارپتحقیق و توسعهمن و تو
حوادث/کاپاسی شارپA/RA/RA/Rسی شارپتحقیق و توسعهمن و تو
خروج/صادرات/حذفتحقیق و توسعهA/Rیک نفریک نفرسی شارپتحقیق و توسعهمن و تو

12) معیارها (KPI/KRI)

پوشش:٪ از فروشندگان فعال در رجیستری با نمره تا به روز ≥ 100٪.
ارزیابی TTM: متوسط علت سعی و کوشش درجه 1 ≤ 15 روز کاری.
SLA بازسازی: یافته های بحرانی ≤ روزهای 30 بسته می شود (≥ 95٪).
اطلاع رسانی حادثه: نسبت اطلاعیه ها در پنجره 72 ساعت - 100٪.
DPA/SCCs/DTIA پوشش: برای سطح 1-2 - 100٪ مربوطه.
خطر غلظت: سهم ترافیک/درآمد در هر 1 PSP/ارائه دهنده ≤ X٪ (آستانه).

شواهد BCP/DR: % Tier 1 با 12 ماه آزمایش تایید شده: 100%

ورود به سیستم صادرات: 100٪ صادرات امضا شده و وارد شده است.

13) قالب ها و قطعات

13. 1 مینی پرسشنامه (ردیف 1-2، قرار گرفتن در معرض)

صدور گواهینامه/ممیزی (ISO/SOC2/PCI)، تاریخ انقضا.
معماری داده ها: جغرافیایی، زیر پردازنده ها، کلید/KMS، رمزگذاری.
حوادث در 24 ماه (نوع/تاریخ/اقدامات).
دسترسی ها و مجلات (RBAC/ABAC، شیشه شکسته، JIT، WORM).
BCP/DR (تاریخ آزمون، RPO/RTO).
DSAR/نگهداری، RoPA، CMP/SDK.
API کنترل فنی: mTLS/OIDC, امضای webhooks, چرخش کلید, نرخ محدود.

13. 2 SLA (قطعه)

شاخص هاهدف از طراحیاندازه گیریاعتبار دهی
زمان آماده به کار (ماه ها)99. 9%نظارت خارجی5-10٪ هزینه
حادثه بحرانی: پاسخ≤ 15 دقیقهپروتکل اتاق جنگدرست شد.
بازسازی بالا≤ 30 روزگزارش CAPAدرست شد.

13. 3 ضمیمه امنیت و حریم خصوصی

"ممنوعیت بازیافت اطلاعات ؛ دسترسی به شدت توسط نیاز به دانستن ؛ صادرات فقط به دفاتر ثبت تأیید شده"

"سیاهههای مربوط ثابت (WORM) با امضای هش ؛ بررسی درخواست یک بار در سال"

«جایگزینی زیر پردازنده - اطلاع رسانی ≥ روز 30، حق اعتراض، طرح جایگزین».

DTIA در هر انتقال مرزی خارج از حوزه های قضایی کافی ؛ کلید - در EC/UK (در هر توافق) "

14) چک لیست

قبل از برو زندگی می کنند با فروشنده

  • مالک اختصاص داده شده، محدوده تیراندازی تعریف شده است
  • پرسشنامه/مصنوعات دریافت و تایید شده است
  • DPA/SLA/ویرایش امضا شده، زیر پردازنده اعلام شده است
  • تقسیم بندی/محدودیت/ماسک فعال، کلید های جداگانه
  • آزمون Sandbox/Tabletop توسط حادثه گذشت
  • خروج/برنامه مهاجرت و سپرده رسمی

سه ماهه (ردیف 1-2)

  • به روز رسانی گواهینامه ها/گزارش ها، رجیستری زیر پردازنده
  • DR/BCP تایید شده است
  • غربالگری باله (مقاومت)، چک تحریم
  • بررسی خطرات تمرکز و جایگزین
💡 [] SLA/حادثه/نظارت بر آسیب پذیری SDK

خارج شدن

  • کلید/دسترسی لغو شد
  • صادرات داده ها کامل، حذف/تایید پشتیبان
  • گواهینامه های بسته شدن، به روز شده توسط Data Mar/registers

15) سناریوها و اقدامات معمول

آسیب پذیری در SDK بازاریابی

خاموش کردن فوری، بلوک جمع آوری PII، اطلاع رسانی DPO/تنظیم کننده ها در صورت لزوم، CAPA فروشنده، تست مجدد.

B) PSP بیش از SLA کاهش می یابد

ترافیک خودکار مسیریابی به PSP پشتیبان، کاهش محدودیت ها، فعال کردن اعتبار خدمات، تجدید نظر در برنامه قرارداد/خروج.

C) نشت از ارائه دهنده KYC

جداسازی ادغام، لغو توکن، نقشه برداری از سوابق آسیب دیده، اعلان ها، KYC دستی با ریسک بالا، ممیزی فروشنده، جایگزینی احتمالی.

16) نقشه راه اجرای TPRM

هفته 1-2: موجودی فروشندگان، نقشه داده، پاره شدن، پرسشنامه اساسی و رجیستری.
هفته 3-4: قالب SLA/DPA/افزودنی، فرآیند onboarding/نظارت/offboarding، SIEM/CMDB/IDP ادغام.
ماه 2: درجه 1-2 خلبان، راه اندازی بررسی سه ماهه، اتوماسیون از گواهی/مهلت چک.
ماه 3 +: مقیاس بندی، نمره/داشبورد، آزمون استرس BCP/DR، بهینه سازی خطر تمرکز و مسیرهای جایگزین.

TL ؛ دکتر متخصص

Strong TPRM = full vendor map → tiering and scoring → قراردادهای سخت (SLA/DPA/BCP/DTIA) → بخش بندی و یکپارچگی امن → نظارت و حسابرسی مداوم → خروج سریع/اصلاح. این امر از پول، داده ها و مجوزها محافظت می کند - و حتی در صورت خرابی شرکا، تجارت را انعطاف پذیر نگه می دارد.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.