GH GambleHub

סיכוני צד שלישי וביקורת שותפים

1) מדוע ולמי

המטרה: לצמצם את הסבירות לכישלונות, הדלפות והפרות רגולטוריות שמגיעות באמצעות ספקים ושותפים חיצוניים.
סיקור: PSP/שערי תשלום, CCM/סנקציות/RAP, אנטי הונאה, ספקי משחקים ואולפנים, רשתות השתייכות ומעקב, עננים/CDN/אירוח, BI/analysis, כלי שימור/שיווק-SDK, מרכזי שיחות, כמו גם תת-פרויקטורים של הספקים שלנו.

2) קטגוריות סיכון (מפת תחום)

אבטחת מידע ופרטיות: דליפות אסימון PII/KYC/תשלום, TOMs חלשות, היעדר תולעת/ביקורת.
ציות: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI zone, פרסום/משחקי דרישות בתחום השיפוט.

תפעולי: זמינות/SLA, ריכוז, BCP/DR חלש

יציבות ספקית, סיכוני אשראי, זעזועים.
סנקציות/גיאו-פוליטיות: הגבלות ייצוא/יבוא, מיקום מרכזי נתונים, סנקציות/רפ "י במבני בעלות.
מוניטין ומשפטים: הפרות של משחק פרסום/אחראי, זכויות IP.
טכנית: נקודות תורפה SDK/API, חוסר ויסות וסביבות מבחן.

3) מיפוי שרשרת אספקה

1. מלאי: רישום יחיד של כל הספקים/שותפים/מעבדי משנה עם הבעלים (בעל העסק).
2. מפת נתונים: מה נתונים/תחום שיפוט/כרכים עוברים דרך מי; דגלי PII/פיננסים/קטגוריות מיוחדות.
3. ביקורתיות: מסווג על ידי השפעה על כסף/PII/uptime.

4) ניידת מייגעת (קריטריון לדוגמה)

מטווח יריסימניםדוגמאותדרישות
רובד 1 (קריטי)PII/תשלומים, 24 × 7, השפעה ישירה על GGRPSP, CCM/סנקציות, אנטי הונאה, ענןבדיקת נאותות מלאה, ביקורת, בדיקות BCP/DR, בדיקה שנתית באתר האינטרנט/מרחוק
רובד 2 (גבוה)השפעה עקיפה, מח "ש רעולי פנים, אינטגרציות חשובותאולפנים/אגרגטורים, כלי DWHשאלון מורחב, ביקורת אקראית, סקירה שנתית
רובד 3 (בינוני/נמוך)לא PII/כסף, כלי שיווקדואר אלקטרוני, וידג 'טיםשאלון אור, מינימום חוזי

5) בדיקת סיכונים וניקוד

גורמים: ביטחון (מדיניות, הסמכה), פרטיות (DPA/SCCs/DTIA), ציות (AML/PCI/ISO), עמידות תפעולית (SLA/BCP/DR), מימון (ביקורת/דיווח), סמכויות שיפוט/סנקציות, היסטוריה, בגרות טכנולוגית (SC DLC/DevSec Ops).
ניקוד (דוגמה): 0-5 עבור כל גורם * משוקלל סך הכל (W) = אזור: ירוק/צהוב/אדום.

פתרונות סף:
  • ירוק: חוזה סטנדרטי.
  • אמבר: בקרה/תיקון לגו-לחיות.
  • אדום: כישלון או טייס עם אמצעים נוספים (פיצול, מצערת, קריאה בלבד, נאמנות, גבולות מופחתים).

6) בדיקת נאותות (מה לדרוש בכניסה)

חפצים/בקרות (מינימום עבור רובד 1-2):
  • מדיניות אבטחה/פרטיות, רופא, רישום מעבד משנה.
  • דו "חות ביקורת/הסמכה (ISO 27001/SOC 2 type II/PCI אם ישים), בדיקות חדירה עדכניות.
  • BCP/DR ותוצאות בדיקה, RPO/RTO.
  • נהלי אירוע (72 שעות הודעה), יומן אירוע במשך 12-24 חודשים.
  • מנגנון DPA/חוצה גבולות (SCCs/IDTA) + DTIA, localization data/key.
  • אבטחת אינטגרציה: MTLS/OIDC, קובצי אינטרנט חתומים, סיבוב מפתחות, IP רשימת כניסה.
  • רישומי גישה/ייצוא, עותקים של תולעת, שרשראות חשיש.
  • מדיניות שימור ומחיקה, אישור השמדת גיבויים במהלך העליה למטוס.
  • יציבות פיננסית (דיווח/תעודות), מבנה בעלות (סנקציות/בדיקת פופ "ח).

שאלון אור עבור Tier 2-3: SSIG/CAIQ-level (20-60 שאלות).

7) דרישות חוזיות (נקודות מפתח)

SLA/SLO: uptime (למשל 99. 9%), P95 latency, זמן תגובת אירוע, קרדיטים שירות.
תוספת אבטחה/פרטיות: הצפנה במנוחה/במעבר, מפתחות/גיאו, רישום, מיסוך, איסור מחזור נתונים.
DPA + תת-מעבדים: חובה להודיע על סיומת שרשרת; זכות התנגדות/ביקורת.
הודעה & תקרית: חלון הודעה מפורט 72 שעות; גישה ליומנים/חפצים; חדר מלחמה משותף.
בדיקות חובה N פעם בשנה, RPO/RTO.
זכויות בדיקת עט/ביקורת: לפחות 1 פעמים בשנה (מרוחק/אונסייט), גישה לדיווחים.
בקרת שינוי: הודעה על שינויים גדולים (SDK/API/architecture/geography).
Termination & Ext: יצוא נתונים (פורמטים), מחיקה/חזרה, נאמנות לאינטגרציות קריטיות, תמיכה בנדידת X-Day.
אחריות/שיפוי: cap/cublimits, ערבויות IP, עונשים על הפרות/הדלפות SLA.

8) עלייה למטוס # ניטור Offointing @ info: whatsthis

8. עלייה למטוס 1

1. תיק עסקים ובעלים * קריעת שאלון/חפצים.
2. סקירת סיכונים (ביטחון/פרטיות/ציות/משפטי/פיננסי).
3. בקרות לפני Go-Live: קטגמנטציה (VPC/Terenant), טעינה/גבולות, מיסוך/טוקניזציה, דגלי תכונה, ארגז חול.
4. חוזה/אינטגרציה * pilot # Go/No-Go.

8. 2 ניטור מתמשך

ניטור טכני: עלייה בזמן, טעויות, איחור, תקציב סיכון.
אבטחה: התראות SIEM (יצוא/גישה לא תקינה ללא "מטרה"), דו "חות ספק, נקודות תורפה של SDK.
פרטיות/ציות: שינויים בתת-פרוצדורה, מיקומים, שימור; תאימות DSAR.
פיננסים: KPI על ידי המרות/החזר/צ 'ארג' בק, קנסות SLA.
סקירה רבעונית לגילאי 1-2 ובדיקה שנתית מחדש.

8. 3 עלייה למטוס

שלילת מפתחות/גישה, הרס/חזרה של נתונים וגיבויים, פעולות, סגירת כרטיסים, עדכון רשמים ומפות נתונים.

9) נוהלי ביקורת חשבונות של שותף

9. תוכנית ואזור 1

מיקוד: ניהול גישה, הצפנה/מפתחות, יומנים, תקריות, BCP/DR, תהליכי DSAR, תת-מעבדים.

9. 2 שיטות

ראיון, סקירת מסמכים/רישומים, בדיקות ספוט, בדיקות טכניות (api-rate-limit/mTLS/signatures), תרגיל שולחן.

9. 3 דיווח ו ־ CAPA

סיווג ממצאים (Critical/High/Medium/Low), תזמון תיקונים, בקרת סגר ובדיקה חוזרת.

10) תקריות בחנות:

1. גילוי: ספק/אות ניטור/הקהילה שלנו.

2. חדר מלחמה: בעלים + אבטחה + DPO + מוצר משפטי +.

3. בלימה: הגבלת התנועה/השבתת המפתחות של SDK, מגבלות זמן/בריכות קנרית.

4. זיהוי פלילי: רישום שיחות, חתימות רשת, אימות תולעת, מגוון של רשומות מושפעות.

5. הודעות: רגולטורים/משתמשים/בנקים (במידת הצורך), טקסטים משותפים.

6. תיקונים, מועדים, בדיקות יעילות; תיקונים של ניקוד ותנאי חוזה.

11) RACI (מוגדל)

פעילותבעל עסקאבטחהDPO/פרטיותציות/חוקימימוןSRE/Dataרכישה
מקרה מעייף/עסקיA/RCCCCCC
בדיקת נאותותRA/RA/RA/RCCC
חוזים (SLA/DPA/Edits)CCCA/RA/RאניR
אינטגרציה/מקטעCA/RCCאניRאני
ניטור/ביקורתRA/RA/RA/RCRאני
תקריות/CAPACA/RA/RA/RCRאני
ביטול/ייצוא/מחיקהRA/RAACRאני

12) מטריצות (KPI/KRI)

כיסוי:% מהספקים הפעילים ברישום עם ציון עדכני 100%.
הערכה TTM: בדיקת נאותות חציונית Tier 1 יומי עבודה 15.
תיקון SLA: ממצאים קריטיים נסגרו במשך 30 יום (95%).
הודעת אירוע: הפרופורציה של הודעות בחלון 72 h - 100%.
כיסוי DPA/SCCs/DTIA: עבור רובד 1-2 - 100% רלוונטי.
סיכון ריכוז: נתח של תעבורה/הכנסות לכל 1 PSP/ספק סימון X% (סף).
ראיות BCP/DR:% Tier 1 עם 12 בדיקות מאושרות חודש - 100%.
ייצוא כריתת עצים: 100% מהיצוא חתומים ומחוברים.

13) תבניות ושברים

13. 1 מיני-שאלון (רובד 1-2, חשיפה)

אישור/ביקורת (ISO/SOC2/PCI), תאריך פקיעה.
ארכיטקטורת נתונים: גיאו, תת-מעבדים, מפתחות/KMS, הצפנה.
אירועים בתוך 24 חודשים (סוג/תאריך/אמצעים).
נגישות וכתבי עת (RBAC/ABAC, שברי זכוכית, JIT, תולעת).
BCP/DR (תאריכי מבחן, RPO/RTO).
DSAR/שימור, ROPA, CMP/SDK.
שליטה טכנית של API: mTLS/OIDC, חתימה של ספרי אינטרנט, סיבוב מפתח, מגבלת קצב.

13. 2 SLAs (שבר)

מחווןתכליתמדידהאשראי
Uptime (חודשים)99. 9%ניטור חיצוני5-10% עמלה
תקרית קריטית: תגובהדק 15 דקפרוטוקול חדר מלחמהלתקן.
רמת תיקון גבוההריד 30 ימיםדיווח CAPAלתקן.

13. 3 תוספת אבטחה ופרטיות

"איסור על מיחזור נתונים; גישה אך ורק על ידי צורך לדעת; ייצוא לקופות מאושרות בלבד"

"רישומים קבועים (תולעת) עם חתימת חשיש; ביקורת על בקשה פעם בשנה"

”החלפת מעבד משנה, הודעה של 30 יום, זכות התנגדות, תוכנית חלופית”.

"DTIA בכל שידור חוצה גבולות מחוץ לתחום שיפוט הולם; מפתחות - ב EC/UK (לכל הסכם) "

14) רשימות בדיקה

לפני גו-גר עם ונדור

[ ] בעלים שהוקצה, טווח ירי מוגדר
[ ] שאלון/חפצים שהתקבלו ואומתו
[ ] DPA/SLA/ערכות חתומות, תת-מעבדים מוכרזים
[ ] קטגמנטציה/גבולות/מיסוך מופעלים, מפתחות נפרדים
[ ] ארגז חול/שולחן מבחן על ידי אירוע עבר
[ ] יציאה/תוכנית הגירה והסמכה רשמית

רבעוני (Tier 1-2)

[ ] SLA/Incident/SDK
[ ] עדכון תעודות/דוחות, מרשם מעבדים משנה
[ ] DR/BCP מאומת
[ ] סינון סנפיר (התנגדות), בדיקות סנקציה
[ ] סקירה של סיכוני ריכוז וחלופות

offorming

[ ] מפתחות/גישה בוטל
[ ] ייצוא נתונים הושלם, מחיקה/אישור גיבוי
[ ] תעודות סגירה, מעודכנות על ידי נתונים מאר/רשמים

15) תרחישים ואמצעים טיפוסיים

א) פגיעות בשיווק SDK

כיבוי מיידי, בלוק איסוף PII, הודעת DPO/רגולטורים במידת הצורך, ספק CAPA, בדיקה חוזרת.

B) PSP יורד מעל SLA

תנועת ניתוב אוטומטי לגיבוי PSP, הורדת מגבלות, הפעלת אשראי שירות, תיקון חוזה/תוכנית יציאה.

C) דליפה מספקית KYC

בידוד אינטגרציה, שלילת סמלים, מיפוי רשומות מושפעות, הודעות, רמת סיכון גבוהה של KYC ידנית, ביקורת ספקים, אפשרות להחלפה.

16) מפת דרכים ליישום TPRM

שבועות 1-2: מלאי של ספקים, מפת נתונים, קריעה, שאלון בסיסי ורישום.
שבועות 3-4: SLA/DPA/additive templates, Oversion/Introduction/offboard process, SIEM/CMDB/IDP Integration.
חודש 2: Tier 1-2 פיילוט, השקת ביקורות רבעוניות, אוטומציה של בדיקות תעודה/תאריך יעד.
חודש 3 +: הגדלה, ניקוד/לוחות מחוונים, בדיקות לחץ BCP/DR, ריכוז סיכון אופטימיזציה ומסלולים חלופיים.

TL; DR

TPRM Strong TPRM = מפת ספקים מלאה * titering and cloining # hard contracts (SLA/DPA/BCP/DTIA). זה מגן על כסף, נתונים ורישיונות - ושומר על כושר התאוששות עסקי גם כאשר שותפים מתרסקים.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.