חידוש רישיונות וביקורות
1) מדוע זה משנה
רישיון אינו מסמך סטטי, אלא חובה לשמור על RG/AML, אבטחה, נתונים ותקני דיווח. חידושים מוצלחים וביקורות מאשרות ניהול סיכונים, בגרות תהליך, ומוכנות בקנה מידה.
עקרונות מפתח: ראיה-ראשית, אין-בני-אדם-ב-prod, מדיניות-כ-קוד, איתור.
2) סוגי חידושים וביקורות
חידוש: לפי לוח שנה (בדרך כלל מדי שנה/פעם בשנה) - הגשת טופס, עמלות וחבילת ראיות על הבקרה.
וריאציות/שינויים (וריאציה): שינוי המוטבים, הוספת הוורטיקלים, מיקומי אירוח, אנשי מפתח - דורשים תיאום נפרד.
ביקורת רגולטורית: סקירת מדיניות/דיווח, שיווק/השתייכות, RG/AML, יומני תקרית.
ביקורת טכנית/מעבדות: RNG/RTP, SDLC/משחרר, נקודות תורפה/פנטסט, DR/BCP, אירוח ויומנים.
ביקורת פיננסית: GGR/מסים/רזרבות, תקינות של מחיקת בונוס, רישומי תשלומים.
ביקורת GDPR/DPA: DPIA, רישום עיבוד, תגובות לנבדקים, הדלפות/הודעות.
PCI DSS (אם עובדים עם PAN): קטמנטציה, אסיקניזציה, יומני גישה, סריקות ASV.
3) לוח שנה מחודש: סולם אינדיקציה
T-90...60 ימים ניתוח פערים, עדכון מדיניות, הזמנת מעבדות/ביקורות.
T-60...30 - אוסף של חפצים (יומנים, SBOM, דוחות בדיקת סריקה/חדירה, DR ACTS), אישור אנשי מפתח.
חבילה T-30...14-סופית, דגימה פנימית של ראיות, הכנה של האחראים לראיון.
הגשת T-14...0 של חבילת חידוש, תשלום עמלות, חלונות SLA לתגובות לרגולטור.
T + 0 + 30 - Q & A/בקשות, תיקונים, אישור חידוש.
4) חבילת ראיות: מה לבשל מראש
org/right: מבנה בעלות, SoF/SoW (אם שונה), אזכורי CV ו-Key Persons, רשמת משלחת.
מדיניות: AML/CTF, RG, פרסום/השתייכות, הגנה על נתונים (DPIA), תקריות, DR/BCP; יומן של ביקורות וחניכים.
- יומן של שחרור עם חתימות SBOM וחפצים;
- דיווח SAST/SCA/DAST, תוכנית תיקון, אין קריטי/גבוה ללא יוצא מן הכלל פעיל;
- תצפית: לוחות מחוונים SLO/SLI, בדיקות סינתטיות ”הפקדה/CCD/גמילה”;
- רישום: יומנים מובנים ללא PII/PAN, שימור וחיפוש;
- DR/BCP: פעולות של שחזור בדיקות, RTO/RPO, פרוטוקולי תרגיל חירום.
- RG/AML: התערבות ורישום תוצאות, הרחקה עצמית (מקומית/לאומית), דוחות עסקה חשודים (STR/SAR), רישום סנקציה/PEP.
- שיווק/השתייכות: רשימות לבנות של ערוצים, מבחר יצירתיים עם אפליקציות, רישום של הפרות ואמצעים.
- פיננסים/מס: דו "חות אנכיים של GGR, התאמות בונוס/כל הקופה, פיוס של PSP/בנק.
5) תבנית ויכולת איתור
כל מדיניות ↔ שולטת בראיות ↔ (צילומי מסך, העלאות, חשיש ודוחות תאריך).
אינדקס יחיד ”מפת הראיות”: בקרה היכן * בעלים מאוחסן = = תאריך העדכון.
חבילת Versioning (Git/Repository) + בקרת גישה כך שרואי חשבון יוכלו לצפות באופן סלקטיבי בחפצים.
6) דרישות IT/Data (מה הנצפה ביותר)
SDLC/משחרר: היערכות צינורות, שערי איכות ידנית/אוטומטית, מדיניות rollback, איסור על שינויים ישירים במכירות.
שרשרת אספקה: חתימות חפצים, אס-בום, בדיקת כניסה, מדיניות פגיעות.
סודות וגישה: SSO/MFA/PAM, אסימונים קצרי ימים, יומני הפעלה חסויים.
רשת: קטגמנטציה, ניהול WAF/bot, DDOS, mTLS/egress control.
תצפית: אוטל-שבילים, לוחות מחוונים SLO, התראה על תקצוב שגיאות, בדיקת SRM בניסויים.
נתונים: DPIA, מזעור, נתונים לפי אזור (תושבות), יומני גישה PII/PAN.
ד "ר/BCP: גיבויים, שחזור רגיל עם פרוטוקולים,
7) העברת הביקורת:
1. בעיטת הפתיחה והיקף: להסכים על ההיקף, רשימה של דגימות, פורמט של ראיות.
2. חדר נתונים: הכן גישה מובנית למפת הראיות.
3. ריאיון הפעלה יבש: MLRO/DPO/RG-Lead/CTO/SRE - Q&A והרצת דמו.
4. מפגשים חיים: אנחנו מראים יומנים, לוחות מחוונים, חפצי שחרור, תסריטי ד "ר.
5. שינוי: לתאם סדרי עדיפויות ומועדים, לתקן בגשש.
6. סגירה: דו "ח ביקורת, לקחים נלמדים, עדכוני מדיניות/בקרה, רטרו.
8) תוכנית תיקון (תבנית)
9) RACI (דוגמה: תוכנית חידוש)
10) רשימות בדיקה
10. 1 הגדרה של מוכן (60-90 ימים לפני המועד האחרון)
[ ] מדיניות מעודכנת של AML/RG/AD/Data/Incident; האימונים נערכו.[ ] אנשי מפתח, SOF/SOW רלוונטי (אם יידרש).[ ] SAST/SCA/DAST והדו "חות החמים ביותר שנאספו, סגור קריטי/גבוה ללא חריגים פג תוקף.[ ] רישומי שחרור עם חתימות/SBOM זמינים; מדיניות הכניסה במדינת האכיפה.[ ] לוחות המחוונים SLO/sli ו-CCL/Design check זמינים.[ ] DR/לשחזר דוחות בדיקה בתוך SLA RTO/RPO.[ ] רישומי RG/AML: התערבויות, SAR/STR, הדרה עצמית; סנקציות/דוחות PEP.[ ] שיווק/שיוך: ערוצים מלבניים, דגימת יצירות עם שמחות.[ ] GGR דוחות כספיים/מסים התפייסו עם PSP/בנקים.10. 2 הגדרה של מבוצעת (לאחר אישור חידוש/ביקורת)
[ ] תעודת מכתב/חידוש שהתקבלה, נרשמים/אתר/מסמכים מעודכנים.[ תוכנית השיקום ] נסגרה, מדיניות ומפת הראיות עודכנו.[ ] שיעורי רטרו, שינויי תהליך, לוח שנה מעודכן.[ ] הודעות שנשלחו ל-ISPs/PSPs (במקרה הצורך).11) עבודה עם משתייכים ופרסום בתקופת הביקורת
הכן רשימה של ערוצים, דגימה של יצירתיים, עדות ליעד 18 +/21, רישום של אישורים.
הליך עצור-רשימה להפרת שותפים, תנאים בחוזי ציות RG/AML.
הצג תדר/לוח מחוונים ורשימות בלוקים.
12) ניהול סיכונים (רישום)
13) תבניות מיני
מפת ראיות (CSV) cap:
Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m- היקף/מטרות
- רשימת דוגמאות ופורמט ראיות
- פגישות/לוח שנה לראיון
- תפקידים ואנשי קשר
- ערוץ Q&A ותגובות SLA
14) שאלות תכופות
האם אני צריך להגיש את כל החפצים בבת אחת? לא, תגיש בסיס, ותן דגימות לפי דרישה, אבל שמור על הכל מוכן.
האם אפשר לפצות על היעדרם של חלק מהיומנים? רק עם עילה מוסברת ותוכנית תיקון (וציר זמן).
מה חשוב יותר עבור הרגולטור - פוליטיקה או ראיות? תמיד יש ראיות שמוכיחות שהפוליטיקה באמת עובדת.
15) 30 יום תוכנית קצרה (מסלול מהיר)
שבוע 1: ניתוח פער סופי, עדכון מדיניות, מדידת SLO/Log, הזמנת רואי חשבון.
שבוע 2: איסוף יומני SBOM/חתימות/שחרור, דוחות פגיעות/בדיקות חדירה, פעולות DR.
שבוע 3: RG/AML/שיווק קונסולידציה, לוחות מחוונים מסכמים, ראיונות יבשים.
שבוע 4: תיוק, Q&A, חידוש מהיר ואישור של חידוש.
מסקנה קצרה
חידוש וביקורת היא לא "משלוח דו" ח "חד פעמי, אלא הדגמה רגילה של בגרות תהליך. לבנות לוח שנה, לשמור על מפת ראיות, בקרות אוטומטיות כמו קוד, לשמור על יכולת תצפית וד "ר במצב טוב. ואז ההרחבה תהפוך מסיכון לשגרה, והביקורת תהיה מקור לשיפור ואמון מצד הרגולטורים, השותפים והשחקנים.