GH GambleHub

کانال افشاگر و حفاظت از داده ها

1) هدف و منطقه

ارائه یک راه امن، در دسترس و قابل اعتماد برای کارکنان، پیمانکاران، وابسته و سایر ذینفعان به گزارش نقض (فساد، تقلب، AML/تحریم ها، RG، GDPR/PII، PCI/امنیت اطلاعات، تبلیغات/وابسته، تضاد منافع، تبعیض و آزار و اذیت، مجوز/قانون نقض). این سند کانال ها، ناشناس بودن، پردازش داده ها، روش های تحقیق و حفاظت از سرکوب را تنظیم می کند.

2) اصول

تحمل صفر در برابر سرکوب هرگونه انتقامی ممنوع است.
حفظ حریم خصوصی داده ها و به حداقل رساندن. جمع آوری فقط با توجه به اصل نیاز به دانستن ضروری است.

ناشناس بودن با انتخاب خبرچین توانایی برقراری ارتباط بدون آشکار کردن هویت

به موقع بودن و انصاف پذیرش/بررسی SLA ؛ یک روش مستند و بی طرفانه.
استقلال. جدایی نقش ها: دریافت پیام ها، تحقیقات، تحریم ها.
شفافیت در روند کار ردیابی وضعیت، بازخورد، آمار عمومی بدون شخصیت.

3) نقش ها و RACI

افسر Whistleblowing (WBO) - صاحب فرآیند، تریاژ، هماهنگی تحقیقات، گزارش. (A/R)

پذیرش/قانونی/DPO - ارزیابی قانونی، حفاظت از داده ها، سیاست حفظ حریم خصوصی. (R/C)

InfoSec/CISO - امنیت کانال، رمزگذاری، کنترل دسترسی، ورود به سیستم. (R)

HR/ER (روابط کارکنان) - موارد اخلاقی/رفتاری، اقدامات پشتیبانی. (R)

حسابرسی داخلی (IA) - کنترل کیفیت مستقل از تحقیقات و CAPA ها. (ج)

امنیت/اعتماد و ایمنی - موارد فنی/تقلب، جمع آوری مصنوعات دیجیتال. (R)

Exec Sponsor (مدیر عامل/COO) - «تن از بالا»، منابع، افزایش S1. (I/A)

4) کانال های دریافت پیام

1. فرم وب (توصیه می شود اصلی): پشتیبانی از ناشناس بودن ؛ مکاتبات نشانه/پین امن.
2. ایمیل: یک جعبه اختصاصی با رمزگذاری خودکار، تهویه خودکار بدون افشای محتوا.
3. خط تلفن/تلفن: نوشتن به سیستم با پوشش داده.
4. Chatbot در پیام رسان شرکت: نه برای ناشناس (یا با مکانیسم پروکسی).
5. آدرس پستی/صندوق پستی فیزیکی: برای پیام های آفلاین (اسکن و بارگیری در سیستم).
6. تماس مستقیم با WBO/IA: جلسه شخصی - به درخواست خبرچین.

الزامات کانال: TLS پایان به پایان، ذخیره سازی در ذخیره سازی رمزگذاری شده، RBAC، سیاهههای مربوط به دسترسی غیر قابل تغییر است، بدون ردیابی IP/دستگاه ها در فرم ناشناس، سیاست کوکی شفاف/ورود به سیستم.

5) حفاظت از داده ها و زمینه های قانونی

مبنای قانونی: انجام وظایف قانونی، منافع قانونی شرکت، منافع عمومی (بسته به صلاحیت).
DPIA: قبل از راه اندازی - ارزیابی تاثیرات حریم خصوصی ؛ رفع خطرات و اقدامات کاهش.
طبقه بندی داده ها: شخصی، حساس (سلامت، قومیت، و غیره)، اسرار تجاری، مصنوعات تحقیقات.
به حداقل رساندن: جمع آوری غیر ضروری نیست ؛ اسناد نامنطبق را حذف کنید.
نقل و انتقالات مرزی: فقط در صورت وجود دلایل قانونی و ضمانت های قراردادی.
حقوق افراد داده: DSAR ها توسط DPO پردازش می شوند ؛ استثنا: نه به افشای هویت افشاگر و اطلاعات به خطر انداختن تحقیقات/اشخاص ثالث.
نگهداری: پیام ها و مصنوعات - معمولا 5 سال یا با سیاست/قانون/مجوز ؛ سپس حذف امن (crypto-shred/logical پاک کردن با ورود به سیستم).

6) اقدامات ایمنی و فنی

رمزگذاری: در حالت استراحت (KMS/HSM)، در حمل و نقل (TLS)، کلید - با چرخش و علامت گذاری.
دسترسی: RBAC/ABAC، اصل حداقل امتیازات، دامنه های جداگانه برای موارد ناشناس.
سیاهههای مربوط: تغییر ناپذیر (WORM)، نظارت بر دسترسی غیر معمول، هشدار.
تقسیم بندی: سیستم پیام از سیستم های تولید جدا شده است ؛ پشتیبان گیری فردی با بررسی بازیابی.
متادیتا: ماسک کردن، حذف EXIF از پیوست ها، هشدار دادن به خبرچین در مورد شناسایی خودکار.
کانال های ارتباطی مخفی: صندوق پستی امن/ایمیل وب برای مکاتبات ناشناس دو طرفه.

7) طبقه بندی مورد و اولویت ها

S1 (بحرانی): فساد/رشوه خواری، تقلب بزرگ، نشت PII/PCI، تهدید زندگی/امنیت، نقض جدی مجوز/قانون.
S2 (بالا): نقض سیاست سیستمیک (AML/RG/GDPR/IS)، درگیری های جدی منافع، تبعیض/آزار و اذیت.
S3 (متوسط): نقض رویه های محلی، خطا در تبلیغات/شرکت های وابسته، یک بار نقض رفتار.
S4 (کم): پیشنهادات برای بهبود، حوادث کم خطر.

SLA:
  • دریافت: S1/S2 - ≤ 24 ساعت ؛ S3/S4 - ≤ 3 روز کاری
  • ارزیابی اولیه (تریاژ): S1 - ≤ 48 ساعت ؛ S2 - ≤ 5 روز کاری ؛ S3/S4 - ≤ 10 روز کاری
  • طرح تحقیق: S1 - ≤ 3 روز کاری ؛ S2 - ≤ 10 روز کاری

8) فرآیند از پیام به بسته شدن

مرحله 1 - دریافت و دریافت. اختصاص دادن شناسه، تعمیر کانال، صرفه جویی در شواهد «همانطور که هست».
مرحله 2 - تریاژ و استقلال. بررسی تعارض منافع در افراد منصوب ؛ در صورت تعارض - توزیع مجدد.
مرحله 3 - ارزیابی و برنامه ریزی ریسک دامنه، فرضیه ها، قانونی بودن روش ها، لیست مصنوعات، نقشه راه.
مرحله 4 - جمع آوری شواهد اسناد، سیاهههای مربوط، مصاحبه ها، انتخاب معاملات ؛ انطباق با زنجیره ای از بازداشت.

مرحله 5 - تجزیه و تحلیل و نتیجه گیری واقعیت → معیار (سیاست/قانون/مجوز) → خطر → تاثیر

مرحله 6 - توصیه ها و CAPA ها. اقدامات اصلاحی/پیشگیرانه، صاحبان، زمان بندی، معیارهای موفقیت.
مرحله 7 - ارتباطات و بازخورد. بدون افشای هویت خبرچین ؛ زبان شسته و رفته (بدون اتهام تا نهایی).
مرحله 8 - بسته شدن و نگهداری. گزارش نهایی، وضعیت، ذخیره سازی مصنوعات، انتشار آمار غیر شخصی.

9) ارتباطات و حفاظت از افشاگر

بدون انعام. واقعیت گزارش/تحقیق را به متخلفان ادعا نکنید.
حفاظت از سرکوب کاهش، اخراج، محرومیت از پاداش، قلدری و غیره ممنوع است. اقدامات تلافی جویانه به عنوان یک نقض S1/S2 جداگانه در نظر گرفته می شود.
پشتیبانی: در صورت لزوم - انتقال به تیم دیگر، تعطیلات، منابع انسانی/مشاوره حقوقی/حمایت روانی.
ارتباط ناشناس دو طرفه: خبرچین می تواند از طریق صندوق ورودی/نشانه وب سؤال کند و وضعیت خود را بدست آورد.

10) ارتباط با سیاست های دیگر

کد اخلاق و رفتار - استانداردها و کانال ها

سیاست ضد فساد - علت سعی و کوشش, هدیه, واسطه.
GDPR/PII - قانونی بودن پردازش، DSAR، نگهداری.
AML/RG/PCI/IS - روش های تخصصی و تریاژ.
حسابرسی داخلی - کنترل کیفیت مستقل از تحقیقات.

11) چک لیست

11. 1 قبل از شروع کانال

  • DPIA و سیاست حفظ حریم خصوصی تایید شده توسط DPO/حقوقی.
  • معماری فنی: رمزگذاری، RBAC، WORM سیاهههای مربوط.
  • یک فرم وب ناشناس و ارتباطات نشانه دو طرفه پیکربندی شده است.
  • آموزش تیم WBO/تریاژ در روش تحقیق.
  • قالب ها آماده شده اند (رسید، طرح تحقیق، گزارش، نامه بسته).
  • مبارزات انتخاباتی ارتباطات: «تن از بالا»، پوستر، اینترانت، پرسش و پاسخ.

11. 2 دریافت پیام

  • شناسه اختصاص داده شده، تاریخ/کانال/سطح S ثبت شده است.
  • تایید ارسال شده به خبرچین بدون افشای جزئیات.
  • آزمون تضاد منافع برای نوازندگان انجام شد.
  • همه پیوست ها/ابرداده متعهد، تأیید اعتبار.

11. 3 تحقیقات

  • طرح و فرضیه تایید (حقوقی/DPO/InfoSec - به عنوان مورد نیاز).
  • زنجیره نگهداری برای هر مصنوع نگهداری می شود.
  • مصاحبه ها ثبت می شوند ؛ هشدار حریم خصوصی
  • نتیجه گیری بر اساس حقایق قابل اثبات، بررسی همکار انجام شده است.

11. 4 بسته شدن

  • CAPA ها اختصاص داده می شوند، تاریخ ها و معیارها تعریف می شوند.
  • افشاگر (فرصت) بازخورد غیر شخصی دریافت کرد.
  • نگهداری/طبقه بندی تاسیس ؛ مصنوعات بایگانی می شوند.
  • آمار به روز شده در داشبورد.

12) قالب سند (درج سریع)

الف) رسید به اطلاع دهنده

کلید> با تشکر از شما برای پیام شما. شناسه شما WB-XXXX است. ما اطلاعات را بررسی خواهیم کرد و در صورت لزوم از طریق این کانال امن با شما تماس خواهیم گرفت. میتوانید ناشناس باقی بمانید. لطفا تا زمانی که تایید کامل نشده است، به طور عمومی اعلام نکنید.

B) طرح تحقیق (یک پیجر)

مورد: WB-XXXX اولویت: S1/S2/S3/S4 مالک:... جدول زمانی:...

فرضیه ها/معیارها:
  • داده ها/مصنوعات:...
  • مصاحبه: لیست/برنامه
خطرات حفظ حریم خصوصی/محدودیت های قانونی:
  • ارتباطات و نقاط کنترل:...

C) گزارش نهایی (ساختار)

خلاصه حقایق معیارها (سیاست/قانون) نتیجه گیری تجزیه و تحلیل توصیه های CAPA ضمائم (مصنوعات).

D) بسته شدن نامه

💡 لطفا توصیه شود که بررسی مورد WB-XXXX کامل است. اقدامات سازگاری انجام شده است. با تشکر از شما برای کمک به عملکرد اخلاقی و ایمن شرکت.

13) معیارها و داشبورد

حجم ورودی - تعداد پیام ها بر اساس طبقه بندی و کانال.
زمان به اذعان/زمان به تریاژ/زمان به تصمیم.
انطباق SLA با سطح S.
CAPA پیشرفت تکمیل شده/در حال انجام/منقضی شده، میانه نزدیک.
شاخص تلافی: شکایات پاسخ گزارش شده (هدف 0).
Anonymity Rate: نسبت پیام های ناشناس و تبدیل آنها به موارد تایید شده.
تکرار یافته ها: تکرار موضوعات در 12 ماه.
تأثیر آگاهی: رشد جذابیت پس از مبارزات انتخاباتی ؛ کانال اعتماد NPS.

14) خطرات و کنترل ها

Deanonymization از طریق ابرداده. → شناسایی، حذف EXIF، هشدارهای صریح.
نشت دسترسی مورد - RBAC →، تقسیم بندی، سیاهههای مربوط به WORM، ممیزی دسترسی منظم.
پیام های داستانی/سوء استفاده. → فیلتر مودب و بررسی واقعیت ؛ مجازات برای اظهارات آگاهانه نادرست (بدون تأثیر ارعاب).
تضاد منافع در تحقیقات. → چرخش نوازندگان, مشارکت IA/حقوقی.
سرکوب. → یک جریان جداگانه از شکایت; پاسخ سریع HR/انطباق.

15) آموزش و آگاهی

Onboarding: ماژول در کانال، ناشناس بودن و حفاظت از داده ها (≥ آزمون 85٪).
جواز مجدد سالانه برای همه ؛ آموزش اضافی برای WBO/محققان.
کمپین های سه ماهه (پوستر/ربات آزمونها/فیلم ها): چگونه به ارائه آنچه انتظار می رود، نمونه.

16) برنامه اجرایی 30 روزه

1 هفته

1. اختصاص WBO و کارگروه (انطباق/قانونی/DPO/InfoSec/HR/IA).
2. انجام یک DPIA، تصویب یک سیاست حفظ حریم خصوصی و حفظ.
3. مشخص کانال (فرم وب/ایمیل/خط)، مورد نیاز برای گمنامی و سیاهههای مربوط.

2 هفته

4. پیاده سازی یک پلت فرم فنی: رمزگذاری، RBAC، WORM سیاهههای مربوط، صندوق ورودی وب ناشناس.
5. قالب ها و SOP ها را آماده کنید: دریافت، طرح، گزارش، نامه بسته شدن، CAPA.
6. قطار WBO/تیم تریاژ ؛ ثبت نام RACI و SLA.

3 هفته

7. خلبان: 1-2 موارد آزمون (جدول بالا)، تایید زنجیره ای از شواهد و retentions.
8. تنظیم معیارهای داشبورد و گزارش برای مدیریت/کمیته.
9. ارتباطات: نامه مدیر عامل، صفحه اینترانت، پرسش و پاسخ، پوستر.

4 هفته

10. راه اندازی کانال ؛ نظارت SLA/بار ؛ پشتیبانی گرم

11. بررسی هفتگی موارد S1/S2 و وضعیت CAPA.
12. تنظیمات یکپارچهسازی با سیستمعامل و V1. 1 (سیاست ها، فرم ها، آموزش).

17) بخش های مرتبط

منشور اخلاقی و رفتاری

سیاست مبارزه با فساد

AML و آموزش کارکنان/آگاهی از انطباق

کتاب های بازی و اسکریپت های حادثه

داشبورد انطباق و نظارت

حسابرسی داخلی و حسابرسی خارجی

اطلاعیه های نقض و مهلت گزارش

گزارش های نظارتی و فرمت های داده

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.