GH GambleHub

Guide de conformité pour les partenaires

1) Objet et domaine d'action

Ce guide définit les exigences de conformité pour les partenaires/entrepreneurs/affiliés/fournisseurs (y compris les plateformes de paiement et d'hébergement, les studios de contenu, les services antifrod, les centres d'appels, les agences de marketing).

Objectifs :
  • Normes uniformes de sécurité, de confidentialité, de réglementation et de communication responsable.
  • Réduire les risques opérationnels/juridiques dans la chaîne d'approvisionnement.
  • Base de données « audit-ready » et vérification mutuelle.

2) Termes

Partenaire - tout tiers traitant des données ou fournissant des services.
Partenaire critique - a un impact significatif sur la sécurité, les paiements, les données personnelles ou les processus réglementaires.
Le sous-traitant est la contrepartie du partenaire impliquée dans le traitement des données.

3) Principes (« design tenets »)

Compliance-by-design : les exigences sont intégrées dans les processus et l'architecture.
Minimisation des données et comptabilité juridictionnelle (data residency).
Tracabilité et invariabilité : logs, archives WORM, reçus de hachage.
Prospective : la profondeur des contrôles dépend du risque.
« Une version de la vérité » : artefacts confirmés compris par SLA et RACI.

4) Rôles et RACI

RôleResponsabilité
Vendor Management (A)Classification des risques, onbording/offbording, surveillance
Compliance/GRC (R)Exigences, vérifications, APA, audit-préparation
Legal/DPO (C)Traités, DPA, vie privée, transfrontalière
SecOps/CISO (C/R)Ceux-là. exigences, incidents, détections
Finance/Payments (C)Créances de paiement, chargeback/sanctions
Business Owner (R)Travail opérationnel avec un partenaire, KPI
Internal Audit (I)Évaluation indépendante de la conformité

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Classification des partenaires à risque

Critères : type de données (IPI/paiement), volume des transactions, accès aux systèmes prod, juridictions, rôle dans la chaîne (processeur/contrôleur), historique des incidents, certificats/audits.
Niveaux : Low/Medium/High/Critical → détermine la profondeur de Due Diligence et la fréquence des révisions.

6) Onbording et Due Diligence (DD)

Étapes :

1. Questionnaire DD (propriétaires, sous-processeurs, emplacements de données, certificats, contrôles).

2. Vérification des sanctions/réputation/bénéficiaires (screening).

3. Évaluation de la sécurité/vie privée : SOC/ISO/PCI/pentest, politique de retence, processus DSAR.

4. Vérification technique : SSO/OAuth, cryptage, gestion des secrets, logging.

5. Aspects de paiement/AML (le cas échéant) : processus de charge, antifrod, limites.

6. Rapport de risque et décision : admission/conditionnelle/refus + LEP/mesures compensatoires.

7. Contrats : MSA, SLA/OLA, DPA, droit d'audit, rétraction miroir, avis d'incident, off-ramp.

7) Exigences obligatoires pour le partenaire (minimum)

7. 1 Sécurité et vie privée

Cryptage in transit/at rest, gestion des clés (KMS/HSM).
RBAC/ABAC, MFA, journal d'actions admin, accès re-cert.
Logs et archives WORM avec signature de hachage ; temps synchronisé.
Politiques de retraite, Legal Hold, procédures DSAR ; masquage/tokenisation PI.
Rapports de vulnérabilité/pentestes ; stratégie de mise à jour gérée.

7. 2 Réglementation et commercialisation

L'interdiction des offers erronés/agressifs, les disclayers obligatoires.
Respect des règles de jeu responsable et de vérification de l'âge (le cas échéant).
Géo-ciblage selon les licences et les restrictions locales.
Consentement/désistement documenté pour les communications, stockage des prufs.

7. 3 Paiements/AML/KYC (par rôle)

Procédures KYC/KYB, contrôle des sanctions/RER, suivi des transactions.
Logs d'autorisation/3DS, processus chargeback, limites de risque.
Scénarios harmonisés de blocage/d'enquête et de retour.

8) Intégration technique

SSO/SAML/OIDC, SCIM-improving (si possible).
Logage structuré (JSON/OTel), trace (trace_id).
Webhooks - avec signature et retraits ; garantie de livraison/idempotence.
Limites API, tests contractuels, compatibilité backward, versioning.
Les environnements isolés, les clés et les secrets sont des secrets de stockage.

9) Obligations contractuelles

SLA/OLA : aptyme, TTR/MTR, retards, RPO/RTO pour les services critiques.
Evidence & Audit : droit d'audit, formats PBC, délais de réponse, accès à Data Room.
Incidents : notification de ≤ X heures, format de rapport et temporisation, CAPA.
Rétention et suppression : TTL, preuves de destruction, rétention miroir chez les sous-processeurs.
Confidentialité/NDA et restrictions de sous-traitance.

10) Gestion des incidents (conjointement)

Un seul canal d'alerte et d'updates battle-rhythm.
Mentions légales immédiates des données pertinentes.
Temps de collaboration (qui/quoi/quand), artefacts avec reçus de hachage.
Avis aux organismes de réglementation/clients - par le biais d'un processus convenu.
Post-mortem, CAPA, re-audit dans 30-90 jours.

11) Rapports et suivi

Rapports trimestriels : certificats, incidents, SLA, sous-processeurs, modifications des emplacements de données.
Métriques de confidentialité/DSAR, plaintes des clients, violations de marketing.
Financement/paiement : chargeback ratio, efficacité antifrod, appels gagnants.

12) Contrôle et droit d'audit

Audits planifiés par classe de risque ; imprévus - par incident/changement critique.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Résultats → CAPA, calendrier et vérification de la fermeture (evidence dans WORM).

13) Partenaire Offboard

Plan de migration/remplacement, transfert d'artefacts et de clés.
Confirmation de la destruction des données par le partenaire et les sous-processeurs.
Retrait des accès/secrets, fermeture des canaux d'intégration.
Vérification finale/rapport et archivage des preuves.

14) Métriques et KRI

Onboarding Lead Time (par classe de risque).
Vendor Certificat Freshness (objectif : 100 % des partenaires critiques).
SLA Conformité et taux d'Insident par partenaire.
Privacy/DSAR SLA et les plaintes des clients.
Chargeback Ratio/Fraud Loss % (pour les rôles de paiement).
CAPA On-time и Repeat Findings.
Localisation/Justice Drift (modifications incohérentes des emplacements/sous-processeurs).

15) Dashboards

Vendor Risk Heatmap : risque-score, certificats, incidents, pays.
Coverage de conformité : disponibilité de DPA/SLA, droit d'audit, retentition/Legal Hold.
SLA & Incidents : aptyme, TTR/MTR, incidents non résolus.
Privacy & DSAR : délais, volumes, plaintes, tendances.
Payments/Fraud : chargeback ratio, les raisons, win-rate appels.
CAPA & Re-audit : statuts, arriérés, remarques répétées.

16) SOP (procédures standard)

SOP-1 : Onbording Partner

Le questionnaire DD → les dépistages → тех/приватность/безопасность-оценка → Risk Report → les accords (MSA/DPA/SLA) → le réglage de l'intégration et логирования → le pilote → go-live.

SOP-2 : Changements chez le partenaire

La notification sur les changements (subprocesseurs/emplacement/architecture) → l'estimation du risque → апдейт des accords/politiques → les tests → прод.

SOP-3 : Incident

Une seule chaîne → Legal Hold → des temps/artefacts conjoints → des notifications → CAPA → re-audit.

SOP-4 : Audit périodique

Cycle annuel/trimestriel sur les risques → CPP → échantillons de ToD/ToE → rapport/LEP → publication de métriques.

SOP-5 : Offboard

Plan de migration → exportation/transfert → confirmation de destruction → révocation des accès → rapport final.

17) Modèles d'artefacts

17. 1 Vendor DD Checklist (fragment)

Yur. données/bénéficiaires ; dépistage des sanctions

Certificats/audits, politique de sécurité/vie privée

Emplacements de données/sous-processeurs/rétention

Incidents en 24 mois, CAPA

Ceux-là. intégration : SSO, logging, cryptage, webhooks

17. 2 DPA/SLA - points obligatoires

Traitement des données, finalités, bases juridiques

Délai de notification des incidents, format des rapports

Droit d'audit, formats PBC, Data Room

TTL/suppression, Legal Hold, preuve de destruction

Sous-processeurs et procédure de négociation

17. 3 Paquet de preuves (evidence pack)

Logs d'accès/admin-actions (structurés, reçus de hachage)

Rapports de vulnérabilités/pentestes/scans

Registre DSAR/suppression/rétention

SLA/incidents/reconstitution (RTO/RPO)

Versions signées des traités/addendums

18) Anti-modèles

Sous-processeurs/emplacements de données opaques.
Accès « de bout en bout » sans re-cert ni logs.
Déchargement manuel sans invariabilité et confirmation de hachage.
Commercialisation avec des promesses inexactes/interdites.
Aucune confirmation de la destruction des données lors de l'offset.
Des waivers éternels sans délais ni mesures compensatoires.

19) Modèle de maturité (M0-M4)

M0 Ad hoc : vérifications ponctuelles, pas de registre des risques par partenaire.
M1 Catalogue : liste des partenaires, DD/contrats de base.
M2 Géré : classes de risque, SLA/DPA, dashboards, audits planifiés.
M3 Intégré : Loging/evidence-bus, re-audit, CAPA-Linkover, « audit-ready ».
M4 Assurance continue : surveillance en temps réel, contrôles de recommandation, auto-génération de paquets PBC/evidence.

20) Articles wiki liés

Diligence raisonnable lors de la sélection des fournisseurs

Risques d'externalisation et contrôle des entrepreneurs

Contrôles externes effectués par des auditeurs tiers

Conservation des preuves et des documents

Tenue de journaux et Audit Trail

Plans de réparation des infractions (CAPA)

Vérifications répétées et contrôle de l'exécution

Référentiel des règles et réglementations

Communication des solutions de conformité en équipe

Résultat

Le « Guide de la conformité pour les partenaires » transforme la chaîne d'approvisionnement en un écosystème géré : exigences uniques, vérifications prévisibles, preuves immuables et arrangements transparents. Cela réduit les risques, accélère les intégrations et rend la collaboration évolutive et vérifiable.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Telegram
@Gamble_GC
Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.