GH GambleHub

רישום סיכונים ושיטת הערכה

1) מדוע ומה כלול במרשם

מטרה: מערכת אחידה של תיאור, הערכה, עדיפות וניטור של סיכונים הנוגעים לכסף (GGR/CF), רישיונות, שחקנים, נתונים ומוניטין.
סיקור: מוצר/הנדסה (SDLC/תקריות), פיננסים ותשלומים (PSP/ממצאים), KYC/AML/סנקציות, פרטיות (GDPR), TPRM/Vendors, שיווק/SDK, דאטה (DWH/BI I), תשתית/עננים/ד ”ר, פעולות תמיכה, ואח” מים.

2) טקסונומיה בסיכון (דוגמה)

אבטחת מידע ופרטיות: דליפות PII/KYC, גישה לא מורשית, כשל ברישום, קבצי DSAR.
פקודות/ציות: הפרות של מונחי רישיון, AML/KYC/סנקציות, איסור פרסום.
ניתוח/טכנולוגי: זמן השבתה PSP/KYC, שחרור פגם, הידלדלות, תקריות DR.
הונאה/התעללות: הפקדות הונאה, ניצול בונוס, תשלומים תוקפים דפוסים.
נזילות פרטנר, זעזועים, ריכוז על פי-אס-פי אחד.
ספק/שרשרת אספקה: SDKs פגיע, תת-מעבדים עם TOMS נמוך.
מוניטין/לקוח: עלייה בתלונות, ירידה באן-פי-אס, הפרות אר-ג 'י.
אסטרטגית/גיאו-פוליטית: סנקציות, שינויי מס/חוק, חסימות תנועה.

3) כרטיס סיכון (שדות נדרשים)

תעודת זהות/שם סיכון

קטגוריה (מטקסונומיה)

תיאור מאורע (מה עלול לקרות) וגורם

נכסים/תהליכים/תחום שיפוט תחת השפעת

בעל סיכון וספונסר

בקרות זמינות (מניעה/בלש/תיקון)

הסתברות (P) והתנגשות (I) לפני בקרה (טבוע)

סיכון שיורי לאחר בקרה

תוכנית טיפול: הפחת/הימנע/קבל/העברה

רמת סף הסלמה/איום (נמוך/בינוני/גבוה/קריטי)

KRIs והפעלות, מדדים ומקורות נתונים

הסקירה הבאה סטטוס והתאריך שנקבע מראש CAPAs/כרטיסים

קישור לרישום בקרה (Control IDS) ומדיניות

הערות מבקר/ועדה (החלטות אחרונות)

4) מאזני דירוג (ברירת מחדל 5 × 5)

4. הסתברות 1 (P)

1 - נדיר (<1/5 שנים)

2 - נמוך (1/2-5 שנים)

3 - ממוצע (מדי שנה)

4 - גבוה (רבע)

5 - גבוה מאוד (חודש/לעתים קרובות יותר)

4. 2 פגיעה (I) - בחר מקסימום מענפים

פיננסים: 1: <אירו 100.02: אירו 10-100K/3: 100K-10.04: אירו 1-5m.05:> אירו 5

פרטיות/נתונים: 1: <1k רשומות... 5:> 1M רשומות/קטגוריות מיוחדות

רגולטור/רישיונות: 1: אזהרה • 3: עונש/סקירה • 5: השהיית רישיון

זמינות (SLO/SLA): 1: <15 min.... 5:> 8 h לתחומים קריטיים

ציון סופי: ”R = P × I”. רמות: 1-5 נמוך, 6-10 בינוני, 12-16 גבוה, 20-25 קריטי.

(ניתן להתאים את הסף לחברה.)

5) מטריצת מפת חום ותיאבון סיכון

Disk Appetite: מסמך עם סובלנות לפי תחום (לדוגמה, דליפות PII - אפס סובלנות; זמן השבתה P95 - איקס מין/חודש; קצב רכיבה על מטען - צמוד Y%).
מפת חום: הדמיה של R ב- 5 × 5; מעל תיאבון - דורש תוכנית CAPA וציר זמן.
תקציב סיכון: מכסות עבור סיכונים ”מקובלים” עם הצדקה (היתכנות כלכלית).

6) מתודולוגיות הערכה

6. 1 איכות (התחלה מהירה)

הערכות מומחים על סקאלות P/I + הצדקה, פיוס עם היסטוריית האירוע ונתוני KRIs.

6. 2 כמותי (עדיפות לעשירון העליון)

גישה הוגנת (מפושטת): תדירות אירועים × התפלגות הסתברותית של נזק (P10/P50/P90); שימושי להשוואת אפשרויות צמצום.
Monte Carlo (1000-10K runs): וריאציות של נזק ותדירות = Lost Oxidence Curve (הסתברות לאובדן> X).
TRA (ניתוח סיכונים ממוקד): ניתוח נקודות לבחירת תדרי ניטור/בקרה (רלוונטיים ל-PCI/ספקים).

7) KRIS ומקורות

דוגמאות לתחומים:
  • זמינות/מבצעים: MTTR, שגיאות 5xx, P95 latency, תקריות P1/P2,% autoscale, קיבולת אשכול.
  • ביטחון/פרטיות:% כיסוי MFA, נסיונות מילוי נושים, יצוא יוצא דופן, DSAR SLA, דגלים נגד אלוואר.
  • תשלומים: שיעור auth על ידי PSP, מחיר צ 'רג' בק, כשל בנק, נתח של מזומנים ידניים.
  • TAT, שיעור חיובי כוזב, פגיעות סנקציות, שיתוף הסלמה.
  • ספקים: ציות SLA, סחיפה, תדירות של תקריות, רלוונטיות של תעודות.

KRIs לקשר עם סיכונים והסלמה הדק כאשר הם הולכים מעבר לסף.

8) מחזור חיים בסיכון (זרם עבודה)

1. זיהוי מספר רישום של הכרטיס.
2. Resident Lought Mapping # Residual.
3. החלטת טיפול ותוכנית CAPA (תאריכים/בעלים).
4. מעקב/תקרית KRIS, עדכון כרטיס.
5. ועדת סיכונים רבעונית, תיקון טופ-אן, תיוג מחדש של התיאבון.
6. סגור/מאוחד או רשימת צפייה.

9) תקשורת עם פקדים וביקורת

כל סיכון צריך להתייחס לבקרות ספציפיות (ראה בקרות פנימיות וביקורת חשבונות):
  • פרואקטיב: RBAC/ABAC, SOD, גבולות, הצפנה, WebWarThann, קטמנטציה.
  • SIEM/התראות, פיוס, יומני תולעת, UEBA.
  • תיקון: גלגולים, מנעולי תשלום, ביטול מפתח, טלאים דחופים.
  • ביקורת DE/OE מאשרת ששליטה מפחיתה את הסיכון לתיאבון ועובדת באופן סטטי.

10) כרטיסי דגימה (YAML, שברים)

10. 1 דליפת PII באמצעות ספק SDK (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 פיגור ב ־ PSP: כשל באישור התשלום

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) צבירה וניהול תיקי השקעות

Top-N (Risk Register View): ממוין על ידי שאריות R ו ”מעל תיאבון”.
נושאים (Risk Themes): אשכולות (ספקים, פרטיות, PSP).
מפות תלות: riski↔kontroli↔vendory↔protsessy.
תרחישים ומבחני לחץ: מה אם ”PSP # 1 ו- KYC # 1 אינם זמינים במשך 2 שעות?” הערכת נזקים מצטברת ותוכנית פעולה.
LEC (Less Oxiginance Curve): פרופיל הפסד שנתי עבור המועצה/מועצת המנהלים.

12) סף הסלמה ואותות

מבצעי: SLO/SLA הפרה P1/P2 תקרית.
ציות/פרטיות: מעבר לשמירה, כשל DSAR, יצוא ללא ”מטרה” * הסלמה מיידית של DPO/Legal.
ספק: כשלים חוזרים של SLA = CAPA אצל הספק, תיקון חוזה.
פיננסית: ext chargback> סף = בדיקת ידנית, התאמת גבולות/בונוסים.

13) RACI (מוגדל)

פעילותלוח/מנכ "לועדת סיכוןבעל סיכוןביטחון/פרטיותבעלי דומייןנתונים/BIביקורת פנימית
תיאבון סיכוןARCCCאניאני
טקסונומיה/מאזנייםאניA/RCRCCאני
תחזוקת הקופהאניCA/RRRRאני
הערכה/עדכוניםאניCA/RRRRאני
חריגותאניA/RRRRאניאני
ביקורת/ביקורתאניCCCCCA/R

14) Metrics (KPI/KRI) של מערכת ניהול הסיכונים

סיקור: 100% מהתהליכים הקריטיים רשומים סיכונים ובעלים.
סקירה בזמן: 95% מהכרטיסים מתוקנים בזמן.
מעל תיאבון: QoQ, יחס הסיכונים גבוה יותר מאשר תיאבון.
סגירת CAPA (גבוה/קריטי): 95% בזמן.
גילוי Lag: זמן חציוני מסטיית KRI להסלמה (נוטה החוצה).
תקרית חוזרת: תקריות חוזרות ונשנות מסיבה אחת - 0.

15) רשימות בדיקה

15. 1 יצירת קלף

[ מאורע/סיבה ] קטגוריה ותיאור
[ ] נכסים/תהליכים/תחום שיפוט מסומן
[ ] מוערך P/I ושרידים עם הצדקה
[ מיפוי בקרת ] (תעודת זהות), KRIs, ומקורות נתונים
[ ] CAPA תוכנית/תאריכים/בעלים
[ ] הסלמה ורמת האיום

15. 2 ועדת רבעון

[ ] העליון 10 עבור שארית ומעל תיאבון
[ ] סיכונים חדשים/מתהווים, שינויים בחוקים/ספקים
[ ] CAPA וסטטוס עבריינות
[ ] החלטות: קבל/הפחת/העברה/הימנע; עדכון תיאבון/סף

16) מימוש מפת דרכים (שבועות 4-6)

שבועות 1-2: לאשר טקסונומיה, מאזניים, תיאבון; בחר כלי (טבלה/BI/IRM). יצירת כרטיסי התחלה 10-15 לתהליכים קריטיים.
שבועות 3-4: סיכונים משותפים עם פקדים ו-KRIs; לבנות מפת חום/לוחות מחוונים; לפתוח ועדת סיכון.
שבועות 5-6: ליישם את הכמויות עבור אור Top-5 (FAIR/Monte Carlo Light), לארגן אוסף אוטומטי של KRIS, לארגן הסלמה ודיווח לוח.

17) קטעי ויקי קשורים

בקרות פנימיות וביקורות, 27001/27701 ISO, SOC 2, PCI DSS, IGA/RBAC/Lest Privility, TPRM ו ־ SLA, תקריות והדלפות, DR/BCP, מדיניות יומן ותולעת - עבור מחזור סיכונים מלא ראיות מטריות ".

TL; DR

רישום סיכוני עבודה = טקסונומיה ברורה + מאזנים סטנדרטיים + תיאבון/סף = כרטיסים עם בעלים, בקרה ו KRIS * מפת חום וועדות = = כימות עדיפות עבור סיכונים עליונים ו CAPA בזמן. זה הופך את הסיכונים לניהוליים, ניתנים להשוואה ומוכיחים עבור ההנהלה והרגולטורים.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.