GH GambleHub

Notifications d'irrégularités et délais de déclaration

1) Destination et zone

Établir un ordre unique, vérifiable et répétable des notifications obligatoires en cas d'incidents et d'irrégularités dans les circuits des Opérations et Complaens : sécurité des données, paiements/transactions financières, exigences réglementaires, jeu responsable, intégrations de partenaires, risques de réputation. Le document définit les dates, les destinataires, les formats et les procédures de préparation et de contrôle.

💡 Discleimer : section - manuel d'exploitation. Ne remplace pas les conseils juridiques. Il existe une loi/réglementation locale sur les licences pour chaque juridiction ; les textes/délais finaux sont conformes à la Loi/Conformité.

2) Termes clés

Incident notifiable (incident notifiable) : événement dans lequel une notification à des parties externes est requise en vertu de la loi/licence/contrat.
DPA est une autorité de protection des données (RGPD et équivalents).
FIU - renseignement financier (AML/CFT ; SAR/STR).
PSP/Acquirer/Card Scheme - fournisseurs de paiement/acheteurs/systèmes de paiement.
CERT/CSIRT - Centres nationaux/industriels de réponse aux incidents de cybersécurité.
LEA - Forces de l'ordre.
Le statut holding est la première notification concise avec les faits sous-jacents et l'heure de la prochaine mise à jour.

3) Catégories d'événements notifiés (catégories)

1. IB/vie privée : fuite de l'IPI/des données financières, compromission des comptes.
2. Régulateur des jeux d'argent : défaillances affectant la disponibilité des jeux/honnêteté/équilibre ; violations des conditions de licence/publicité/RG.
3. AML/CFT : opérations/schémas suspects → SAR/STR à la FIU.
4. Paiements : indisponibilité massive de PSP, écarts élevés, compromission des données payantes.
5. Consommateur/joueur : notifications aux personnes concernées (données breach, transactions monétaires, ordinateur. mesures).
6. Partenaires/affiliés/fournisseurs : impact sur le suivi, les rapports, les calculs financiers.
7. CERT/LEA : cyberincidents d'importance publique, phishing/clonage de marque.
8. Audit/détenteurs de licence : conformité à la déclaration SLA, confirmation de l'élimination.

4) Matrice des délais (repères)

💡 Les délais exacts sont précisés pour chaque licence/juridiction dans le registre (voir § 10). Ci-dessous, un cadre de planification type :
Catégorie de destinataireDéclencheurPremière notificationApdées ultérieuresRapport final
DPA (type GDPR)risque confirmé pour les droits/libertés des personnes concernéesjusqu'à 72 h du moment de la découvertesur la préparation des faits clés (habituellement toutes les 24 à 72 heures)jusqu'à 30 jours ou sur demande
Sujets touchés (joueurs)risque élevé pour les droits/libertéssans retard injustifié (généralement ≤ 72 h après la DPA)par étapes de remédiationà la clôture de l'affaire
Régulateur des jeux d'argentincident affectant l'honnêteté/accessibilité/comptabilitédès que possible, un repère de 24 hLicence SLA (par exemple, toutes les 24 heures/par jalons)selon le format du régulateur (souvent ≤ 7-30 jours)
FIU (AML SAR/STR)suspicion de blanchiment/financement du terrorismesans retard après la formation du soupçon (souvent jour par jour)lorsque les données sont reçuessur demande de la FIU
Systèmes de paiement/PSP/banquedéfaillances/compromissions massives de l'événement PAN/PCIimmédiatement (référence <24 h)selon le plan convenurapport de clôture avec mesures
CERT/CSIRTcyberincident/menace importanteasap (souvent <24 h)sur les jalons de l'enquêtesur les exigences CERT
Partenaires/affiliésimpact sur le suivi/calcul<24 hpar étapes de correctionla reconnaissance finale

5) RACI et les rôles

IC (Incident Commander) est le propriétaire de la ligne temporelle et de la « salle de guerre ». (A)

Legal/Compliance Lead - qualification « reportable », choix des destinataires et des délais, signe final. (R/A)

Security Lead - les faits de l'IB, la portée de la compromission/PII, l'interaction avec CERT/LEA. (R)

Payments Lead - PSP/banque/schémas, questions PCI, retours/chargebacks. (R)

Comms Lead - texte et canal d'envoi, page de statut, macros CS. (R)

Data/Analytics - Liste des sujets/transactions concernés, évaluation d'impact. (R)

CS/CRM Lead - livraison des notifications aux joueurs, compensation. (R)

Exec Sponsor/CEO - Déclarations publiques S1. (C/I)

6) Processus de bout en bout (de la détection à la fermeture)

A. Détermination de la notifiabilité :
  • la détection → la qualification juridique (Legal) → la décision "déclarable ? à qui ? les délais ? ».
B. Préparation :
  • La collecte des faits/artefacts → la classification de la gravité → le choix des clichés → la coordination (Legal/Comms/IC).
C. Envoi et logage :
  • la livraison par canaux (portails régulateurs, courrier sécurisé, API, formulaires papier) → la fixation des délais d'expédition et de réception.
D. Update :
  • Selon les calendriers/jalons, → gestion des versions de texte → synchronisation avec la page de statut.
E. Finalisation :
  • rapport final → plan CAPA → clôture et rétro (≤ 7 jours).

7) Composition minimale de la notification (squelette)

1. ID d'incident, date/heure (UTC et local).
2. Brève description de l'événement et du rayon d'influence.
3. Catégories de données/clients/transactions touchées.
4. Mesures prises (conteneur/récupération).
5. Évaluation des risques et situation actuelle.
6. Plan des prochaines étapes et ETA du prochain update.
7. Personne de contact/canal de rétroaction.
8. Mentions légales de la licence/société (si nécessaire).
9. Applications : temporisation, artefacts techniques, listes de sujets.

8) Modèles (inserts rapides)

8. 1 DPA (fuite de données, notification primaire) :

Événement/date de découverte

Catégories de données/volume/géographie

Mesures visant à minimiser les dommages (déversement de tokens, AAM, surveillance)

Évaluation des risques pour les entités

Plan de notification des entités et calendrier

Contact DPO/Juridique

8. 2 joueurs (data breach) :

Objet : Informations importantes sur la sécurité de votre compte

Corps : ce qui s'est passé (pas de technique. détails et sans PII), quelles mesures ont été prises pour faire au joueur maintenant (changer de mot de passe, inclure MFA), où suivre les apdates, comment obtenir de l'aide/compensation.

8. 3 Régulateur de jeu (manque de disponibilité/honnêteté) :

Quoi : service/jeux/portefeuille, créneau horaire, zones

Impact : intérêts/nombre de taux/bilans

Mesures : retrait, réserve, portefeuille safe-mode

ETA de reprise attendu, contrôle de l'honnêteté/bilan

Plan de vérification finale et de rapport

8. 4 FIU (SAR/STR, en résumé) :

Faits et motifs de suspicion (sans « prévenir le client »)

Montants/comptes associés/comportements

Applications (transactions/graphe de lien)

Contact du responsable de l'AML

8. 5 PSP/Acquirer/Card Scheme:

Ce qui s'est passé (schémas/méthodes touchés), marqueurs de risque PCI

Impact de l'entreprise (taux auth, échec/latitude)

Mesures prises/by-pass, demande de diagnostic conjoint

Plan de rémunération des clients/traitement des déclarations

8. 6 CERT/CSIRT:

Indicateurs de compromission (IoC), TTP, vecteurs

Mesures prises et risques restants

Demande de coordination/dissémination de télémétrie

9) Chèques-feuilles

Avant d'envoyer la notification principale

  • Faits confirmés ; les secrets/PII sont exclus.
  • Convenu avec la Loi/Conformité ; destination/canal sélectionné.
  • L'update suivant est indiqué (date/heure/canal).
  • Captures d'écran/ARTEFACTS et somme hash des applications enregistrées.
  • Localisation/langue vérifiée (si nécessaire).

Après l'envoi

  • Accusé de réception/numéro de tiquet/ID de registre reçu.
  • Un plan Apdate et les propriétaires ont été créés.
  • Texte synchronisé sur la page de statut/FAQ/macros CS.

Fermeture

  • Rapport final envoyé et confirmé.
  • Les ACPA sont enregistrés avec des délais et des mesures d'efficacité.
  • Rétro passé ≤ 7 jours.

10) Registre des dates et des destinataires (structure des données)

Stocké dans Git/Confluence sous forme de table (versioné, propriétaire - Légal) :
ChampExemple
Juridiction/LicenceMT/MGA B2C
CatégorieDPA / Gaming Regulator / FIU / PSP / CERT
Délai de notification primaire72h / 24h / asap
CanalPortail/Courrier sécurisé/API/Fax
LangueEN/local
FormatCircuit libre/Formulaire n ° .../JSON
Champs obligatoiresliste
Contact/accréditatione-mail, portail ID
La baseréférence à la norme/clause de licence
Remarquescaractéristiques (jours fériés, fuseau horaire, etc.)

11) Artefacts et rétentions

Timline (précision minute), versions de toutes les notifications, confirmation de réception.
Ceux-là. artefacts : logs, décharges, exportation de métriques, IoC, instantanés de configurations.
Listes d'entités/transactions utilisées pour la notification/rémunération.
Rétention : stockage selon les exigences des licences/lois (généralement 1-7 ans, précisé par la juridiction).

12) Métriques de conformité

Délai :% des notifications envoyées à temps (par catégorie).
Completeness : proportion de notifications acceptées dès la première fois (pas de demandes de corrections).
Acknowledgement SLA : délai moyen de réception de la confirmation.
Update Discpline : respect des intervalles d'update.
Efficacité du CAPA : proportion de CAPA fermés à temps.

13) Outils et automatisation

Incident-bot : commandes '/notify <category> ', sélection automatique des délais/canaux, rappels des doublons.
Modèle : Assemblage de notifications à partir des paramètres d'incident ; versions/localisation.
Page d'état : synchrone avec updates externes ; contrôle TTS (time-to-statement).
SOAR/SIEM : collecte automatique d'artefacts pour DPA/CERT.
DWH/CRM : segments des sujets concernés, suivi de la livraison et des découvertes.

14) Gestion du changement (governance)

Propriétaire de la section : Tête de conformité (réserve - Conseil juridique).
Audit du registre (§ 10) : au moins tous les trimestres et après chaque S1/S2.
Exercice : table-top par DPA/Regulator/AML - trimestriel ; live-drill IB - une fois tous les six mois.
Vérification : Vérification indépendante annuelle du respect des délais et de l'exhaustivité des avis.

15) Démarrage rapide (mise en œuvre en 30 jours)

1. Établir une liste des destinataires obligatoires pour toutes les licences/marchés et les inscrire dans le registre (§ 10).
2. Approuver les modèles de notification (§ 8) et les connecter à l'incident bot.
3. Configurer les métriques SLA (§ 12) et le dashboard « Regulatory Reporting ».
4. Passer la doctrine : data breach → DPA + les joueurs, la crise de paiement → PSP, AML-SAR → FIU.
5. Activer les rappels de déduplication et la génération automatique des statuts de holding.
6. Lancer rétro à la suite du premier exercice, mettre à jour les playbooks.

Sections connexes :
  • Gestion de crise et communication
  • Pleybooks et scénarios d'incidents
  • Plan de continuité des activités (PCA)
  • Disaster Recovery Plan (DRP)
  • Matrice d'escalade
  • Système de notification et d'alerte
  • Jeu responsable et protection des joueurs
Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.