GH GambleHub

מדריך ציות לשותפים

1) מטרה והיקף

מדריך זה מגדיר את דרישות הציות לשותפים/קבלנים/משתייכים/ספקים (כולל פלטפורמות תשלום ואירוח, אולפני תוכן, שירותי אנטי-הונאה, מרכזי שיחות, סוכנויות שיווק).

מטרות:
  • סטנדרטים אחידים של ביטחון, פרטיות, רגולציה ותקשורת אחראית.
  • להפחית סיכונים מבצעיים/משפטיים בשרשרת האספקה.
  • בסיס ראיות ”מוכן לביקורת” ואימות הדדי.

2) מונחים

שותף - כל מידע עיבוד צד שלישי או מתן שירותים.
לשותף קריטי יש השפעה משמעותית על ביטחון, תשלומים, נתונים אישיים או תהליכים רגולטוריים.
תת-מעבד - עמיתו של השותף המעורב בעיבוד נתונים.

3) עקרונות (”עקרונות עיצוב”)

ציות לפי דרישות עיצוב בנוי לתהליכים וארכיטקטורה.
מזעור נתונים וחשבונאות שיפוטית (התמחות בנתונים).
איתור וחוסר תזוזה: יומנים, ארכיון תולעת, קבלות חשיש.
מידתיות: עומק הבדיקות תלוי בסיכון.
”גרסה אחת של האמת”: חפצים מאומתים שהובנו על ידי SLA ו-RACI.

4) תפקידים ו ־ RACI

תפקידאחריות
ניהול ספקים (א)סיווג סיכונים, עלייה למטוס/עלייה למטוס, ניטור
ציות/GRC (R)דרישות, בדיקות, סמנכ "לים, מוכנות לביקורת
חוקי/DPO (C)חוזים, DPA, פרטיות, חוצה גבולות
SecOps/CISO (C/R)אלה. דרישות, תקריות, איתור
פיננסים/תשלומים (ג)בקשות תשלום, סנקציות/סנקציות
בעל עסק (ר)עבודה מבצעית עם שותף, KPI
ביקורת פנימית (אני)הערכת ציות עצמאית

(R - אחראי; א - דין וחשבון; C - ייעוץ; אני - מעודכן)

5) סיווג שותף סיכון

קריטריונים: סוג נתונים (PII/תשלום), נפח עסקאות, גישה למערכות ייצור, תחומי שיפוט, תפקיד בשרשרת (מעבד/בקר), היסטוריית תקריות, תעודות/ביקורת.
רמות: Low/Medium/High/Critical # לקבוע את עומק בדיקת הנאותות ואת תדירות התיקונים.

6) עלייה למטוס ובדיקת נאותות (DD)

צעדים:

1. שאלון DD (בעלים, מעבדי משנה, מיקומי נתונים, תעודות, בקרות).

2. סינון של סנקציות/מוניטין/מוטבים.

3. הערכת אבטחה/פרטיות: SOC/ISO/PCI/מבחן חדירה, מדיניות שמירה, תהליכי DSAR.

4. בדיקה טכנית: SSO/OAuth, הצפנה, ניהול סודי, רישום.

5. היבטים של תשלום/AML (אם הם מתאימים): תהליכי צ 'רג' בק, אנטי-הונאה, גבולות.

6. דו "ח סיכון ופתרון: כניסה/תנאי/סירוב + CAPA/אמצעי פיצוי.

7. חוזים: MSA, SLA/OLA, DPA, ביקורת זכות, שמירת מראה, הודעות תקרית, מחוץ לרמפה.

7) דרישות השותף המנדטורי (מינימום)

7. 1 ביטחון ופרטיות

הצפנה במעבר/במנוחה, ניהול מפתחות (KMS/HSM).
RBAC/ABAC, MFA, יומן ניהול, גישה מחדש-Cert.
יומנים וארכיון תולעת עם חתימת חשיש; זמן מסונכרן.
מדיניות שימור, משפטי הולדם, הליכי DSAR; מסווה/אסימון חוקר פרטי.
דוחות פגיעות/בדיקות חדירה; מדיניות עדכון מנוהלת.

7. 2 פיקוח ושיווק

איסור על הצעות לא אמינות/אגרסיביות, תביעות חובה.
ציות לחוקי משחק אחראי ואימות גיל (אם ישים).
מיקוד גיאו לפי רישיונות והגבלות מקומיות.
הסכמה מתועדת/אי-ציות לתקשורת, אחסון הוכחות.

7. 3 תשלומים/AML/KYC (לפי תפקיד)

הליכי KYC/KYB, סינון סנקציה/PEP, ניטור עסקאות.
logs/3DS אישור, תהליכי גב מטען, מגבלות סיכון.
חסימה עקבית/חקירה ותרחישי חזרה.

8) שילוב טכני

SSO/SAML/OIDC, SCIM-provisioning (במידת האפשר).
כריתת עצים מובנית (JSON/Otel), איתור (trace_id).
Webhooks - עם חתימה ורטרות; ערבות/אידמפוטנטיות.
גבולות API, בדיקות חוזה, התאמה לאחור, ורסינציה.
סביבות מבודדות, מפתחות וסודות נמצאים בחנויות סודיות.

9) חובות חוזיות

SLA/OLA: למעלה, TTR/MTR, Latency, RPO/RTO עבור שירותים קריטיים.
ראיות וביקורת: ביקורת נכונה, פורמטים PBC, זמן תגובה, גישה לחדר נתונים.
תקריות: הודעה על שעות איקס, דו "ח ופורמט ציר זמן, CAPA.
שמירה והסרה: TTL, אישור להרס, שמירת מראה בתת-פרוקטורים.
סודיות/AOI והגבלות משנה.

10) ניהול אירוע (משותף)

ערוץ הודעה אחד ועדכוני קצב קרב.
אחיזה משפטית מיידית של נתונים רלוונטיים.
ציר זמן משותף (מי/מה/מתי), חפצים עם קבלות חשיש.
הודעות לרגולטורים/לקוחות באמצעות תהליך מוסכם.
לאחר המוות, CAPA, ביקורת מחדש ב 30-90 ימים.

11) דיווח וניטור

דו "חות רבעוניים: תעודות, תקריות, אס-אל-איי, תת-מעבדים, שינויי מיקום נתונים.
פרטי/מדדי DSAR, תלונות לקוחות, עבירות שיווק.
פיננסי/תשלום: יחס סחיטה, יעילות נגד הונאה, ערעורים ברמה גבוהה.

12) בקרה וביקורת נכונה

ביקורות מתוכננות לפי שיעורי סיכון; לא מתוכנן - לתקריות/שינויים קריטיים.
חדר נתונים, PBC, TOD/TOE/Walkthrough/Reperform.
CAPA = תוצאות, צירי זמן וראיות לסגירה (תולעת).

13) שותף לעלייה למטוס

תוכנית הגירה/החלפה, העברת חפצים ומפתחות.
לאשר שותף והרס נתונים תת מעבד.
לבטל גישה/סודות, לסגור ערוצי אינטגרציה.
ביקורת אחרונה/דו "ח וארכיון ראיות.

14) Metrics ו ־ KRI

זמן עלייה למטוס (על ידי כיתת סיכון).
רעננות תעודת ספק (יעד: 100% שותפים קריטיים).
ציות SLA וקצב תקרית על ידי שותף.
פרטיות/DSAR SLA ותלונות לקוחות.
יחס צ 'רגק/אובדן הונאה% (לתפקידי תשלום).
CAPA בזמן חוזר ממצאים.
Localization/Jourserfiction Drift (שינויים לא עקביים במיקומים/תת-מעבדים).

15) לוחות מחוונים

Hatmap סיכון ספק: שיעור סיכון, תעודות, תקריות, מדינות.
סיקור ציות: זמינות DPA/SLA, ביקורת נכונה, שימור/אחיזה משפטית.
תקריות: למעלה, TTR/MTTR, תקריות לא סגורות.
Privacy & DSAR: מונחים, כרכים, תלונות, מגמות.
תשלומים/הונאה: יחס גב-מטען, סיבות, ערעורים ברמה גבוהה.
CAPA & RE-ביקורת: סטטוסים, עיכובים, הערות חוזרות.

16) SOP (נהלים סטנדרטיים)

SOP-1: שותף בעלייה למטוס

השאלון של DD לא.SLA (ראשי תיבות של DSA/Disk Report).

SOP-2: השותף משתנה

Change Notification (Sub-Processors/Loces/Architecture)> Risk Assessment # Contract/Policy Update # Tests # Prod.

SOP-3: תקרית

One Channel # Legal Hold # Lock time/extremutions # ac.CAPA # ביקורת מחדש.

SOP-4: תיקון תקופתי

מחזור סיכון שנתי/רבעוני * PBC * TOD/TOE second ac.report/CAPA ac.metrics.

SOP-5: עלייה למטוס

תכנית הגירה * explose/transfer * אישור להרס * ביטול הגישה * דו "ח סופי.

17) תבניות חפץ

17. 1 Checklist DD Vendor (קטע)

כל הכבוד. נתונים/מוטבים; סינון סנקציה

תעודות/ביקורת, מדיניות ביטחון/פרטיות

מיקומי נתונים/תת מעבדים/שימור

תקריות ב 24 חודשים, CAPA

אלה. אינטגרציה: SSO, כריתת עצים, הצפנה,

17. 2 DPA/SLA - פריטים חובה

עיבוד נתונים, מטרות, עילה משפטית

תזמון של הודעת אירוע, תבנית של דיווחים

ביקורת נכונה, פורמטים PBC, חדר נתונים

TTL/הסרה, Hold משפטי, אישור להרס

מעבדי משנה והוראת אישור

17. חבילת ראיות 3

רישומי גישה/פעולות ניהול (מובנות, קבלות חשיש)

פגיעות/חדירה/דוחות סריקה

רישום DSAR/מחיקות/שימור

SLA/תקרית/התאוששות (RTO/RPO)

גרסאות חתומות של חוזים/נספחים

18) תרופות אנטי ־ פטריות

תת-מעבדים אטומים/מיקומי נתונים.
גישה ”מקצה אל קצה” ללא סריטה מחדש ויומנים.
העלאות ידניות ללא חיכוך ואישורי חשיש.
שיווק עם הבטחות לא אותנטיות/אסורות.
אין ראיות להשמדת מידע בעת העלייה למטוס.
ויתורים נצחיים ללא מועדים ואמצעי פיצוי.

19) מודל בגרות (M0-M4)

צ 'קים חד-פעמיים, ללא סיכון על ידי שותף.
ספריית M1: רשימת שותפים, DD/חוזים בסיסיים.
M2 מנוהל: שיעורי סיכון, SLA/DPA, לוחות מחוונים, תיקונים מתוכננים.
M3 משולב: רישום/ראיה-אוטובוס, ביקורת מחדש, CAPA-קישור, ”ביקורת מוכנה”.
הבטחה רציפה M4: מעקב בזמן אמת, בדיקת המלצות, דור אוטומטי של חבילות PBC/ראיות.

20) מאמרים הקשורים לוויקי

בדיקת נאותות בעת בחירת ספקים

מיקור חוץ סיכונים ובקרת קבלן

ביקורת חיצונית על ידי רואי חשבון חיצוניים

אחסון ראיות ותיעוד

רישום וביקורת שביל

תוכניות תיקון (CAPAs)

ביקורת מחדש ומעקב

מדיניות ומאגר ציות

תקשורת של פתרונות ציות בצוותים

סך הכל

”מדריך ציות שותף” הופך את שרשרת האספקה למערכת אקולוגית מנוהלת: דרישות אחידות, בדיקות צפויות, ראיות בלתי ניתנות לשינוי והסדרים שקופים. זה מפחית את הסיכון, מאיץ את האינטגרציה והופך את שיתוף הפעולה לאפשרי ומאומת.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.