लाइसेंस नवीनीकरण और ऑडिट
1) यह क्यों मायने रखता है
एक लाइसेंस एक स्थिर दस्तावेज नहीं है, बल्कि आरजी/एएमएल, सुरक्षा, डेटा और रिपोर्टिंग मानकों को बनाए रखने का दायित्व है। सफल नवीकरण और ऑडिट जोखिम प्रबंधनीयता, प्रक्रिया परिपक्वता और पैमाने के लिए तत्परता की पुष्टि करते हैं।
प्रमुख सिद्धांत: साक्ष्य-पहले, नो-मैन-इन-प्रोड, पॉलिसी-ए-कोड, ट्रेसेबिलिटी।
2) नवीकरण और ऑडिट के प्रकार
नवीकरण: कैलेंडर द्वारा (आमतौर पर हर एन वर्ष/एक बार) - नियंत्रण पर साक्ष्य के रूप, शुल्क और पैकेज प्रस्तुत करना।
परिवर्तन/परिवर्तन (भिन्नता): लाभार्थियों का परिवर्तन, वर्टिकल्स के अलावा, होस्टिंग स्थानों, प्रमुख व्यक्तियों - को अलग समन्वय की आवश्यकता होती है।
नियामक लेखा परीक्षा: नीति/रिपोर्टिंग, विपणन/सहयोगी, आरजी/एएमएल, घटना लॉग की समीक्षा।
तकनीकी ऑडिट/प्रयोगशालाएं: आरएनजी/आरटीपी, एसडीएलसी/रिलीज, कमजोरियां/पेंटेस्ट, डीआर/बीसीपी, होस्टिंग और लॉग।
वित्तीय लेखा परीक्षा: जीजीआर/कर/भंडार, बोनस राइट-ऑफ की शुद्धता, भुगतान के रजिस्टर।
GDPR/DPA ऑडिट: DPIA, प्रसंस्करण रजिस्ट्री, विषयों की प्रतिक्रिया, लीक/सूचनाएं।
पीसीआई डीएसएस (यदि पैन के साथ काम कर रहा है): विभाजन, टोकन, एक्सेस लॉग, एएसवी स्कैन।
3) नवीकरण कैलेंडर: सांकेतिक पैमाने
T-90...60 दिन - अंतराल विश्लेषण, नीतियों को अद्यतन करना, प्रयोगशालाओं/लेखा परीक्षकों की बुकिंग।
T-60...30 - कलाकृतियों का संग्रह (लॉग, एसबीओएम, स्कैन/पैठ परीक्षण रिपोर्ट, डीआर कृत्यों), प्रमुख व्यक्तियों की पुष्टि।
T-30...14 - अंतिम पैकेज, साक्ष्य का आंतरिक नमूना, साक्षात्कार के लिए जिम्मेदार लोगों की तैयारी।
T-14...0 - एक नवीकरण पैकेज का प्रस्तुतीकरण, शुल्क का भुगतान, नियामक को प्रतिक्रिया के लिए एसएलए विंडो।
T + 0... + 30 - Q & A/अनुरोध, उपचार, नवीकरण पुष्टि।
4) साक्ष्य पैकेज: पहले से क्या पकाना है
ऑर्ग/राइट: स्वामित्व संरचना, SoF/SoW (यदि संशोधित हो), CV और कुंजी व्यक्ति संदर्भ, प्रतिनिधिमंडल रजिस्टर।
नीतियां: वर्तमान एएमएल/सीटीएफ, आरजी, विज्ञापन/सहयोगी, डेटा संरक्षण (डीपीआईए), घटनाएं, डीआर/बीसीपी; ऑडिट और प्रशिक्षण की पत्रिका।
आईटी और रिलीज़:- SBOM और कलाकृति हस्ताक्षरों के साथ रिलीज़ का एक लॉग;
- SAST/SCA/DAST रिपोर्ट, उपचारात्मक योजना, सक्रिय अपवादों के बिना कोई महत्वपूर्ण/उच्च नहीं;
- अवलोकन: डैशबोर्ड एसएलओ/एसएलआई, सिंथेटिक जांच "जमा/सीसीडी/निकासी";
- लॉगिंग: PII/PAN के बिना संरचित लॉग, प्रतिधारण और खोज;
- डीआर/बीसीपी: बहाल परीक्षणों, आरटीओ/आरपीओ, आपातकालीन व्यायाम प्रोटोकॉल के कार्य।
- आरजी/एएमएल: हस्तक्षेप और परिणाम रजिस्ट्री, स्व-बहिष्करण (स्थानीय/राष्ट्रीय), संदिग्ध लेनदेन रिपोर्ट (एसटीआर/एसएआर), मंजूरी/पीईपी लॉग।
- विपणन/सहयोगी: चैनलों की सफेद सूची, ऐप के साथ क्रिएटिव का चयन, उल्लंघन और उपायों का एक लॉग।
- वित्त/कर: जीजीआर ऊर्ध्वाधर रिपोर्ट, बोनस/जैकपॉट समायोजन, पीएसपी/बैंक सामंजस्य।
5) प्रारूप और ट्रेसबिलिटी
प्रत्येक नीति साक्ष्य (स्क्रीनशॉट, अपलोड, हैश और डेट रिपोर्ट) को नियंत्रित करती है।
एकल सूचकांक "साक्ष्य मानचित्र": नियंत्रण जहां मालिक संग्रहीत है - अद्यतन की तारीख।
पैकेज वर्शनिंग (गिट/रिपॉजिटरी) + एक्सेस कंट्रोल ताकि ऑडिटर चुनिंदा कलाकृतियों को देख सकें।
6) आईटी/डेटा आवश्यकताएं (क्या सबसे ज्यादा देखा जाता है)
एसडीएलसी/रिलीज: मंचन पाइपलाइन, मैनुअल/ऑटो गुणवत्ता गेट, रोलबैक नीति, बिक्री में प्रत्यक्ष परिवर्तन का निषेध।
आपूर्ति श्रृंखला: कलाकृति हस्ताक्षर, एसबीओएम, प्रवेश जाँच, भेद्यता नीति।
रहस्य और पहुंच: SSO/MFA/PAM, अल्पकालिक टोकन, विशेषाधिकार प्राप्त सत्र लॉग।
नेटवर्क: विभाजन, WAF/बॉट प्रबंधन, DDoS, mTLS/egress नियंत्रण।
अवलोकन: ओटेल-ट्रेल्स, एसएलओ डैशबोर्ड, अलर्ट त्रुटि-बजट, प्रयोगों में एसआरएम-जांच।
डेटा: डीपीआईए, न्यूनतम, क्षेत्र द्वारा डेटा (निवास), पीआईआई/पैन एक्सेस लॉग।
DR/BCP: बैकअप, प्रोटोकॉल के साथ नियमित बहाल, स्विचिंग अभ्यास।
7) ऑडिट पास करना: रणनीति
1. किकऑफ़और गुंजाइश: परिधि पर सहमत हों, नमूनों की सूची, साक्ष्य का प्रारूप।
2. डेटा रूम: साक्ष्य मानचित्र तक संरचित पहुंच तैयार करें।
3. ड्राई-रन साक्षात्कार: MLRO/DPO/RG-Lead/CTO/SRE - Q&A और डेमो रन।
4. लाइव सत्र: हम लॉग, एसएलओ डैशबोर्ड, रिलीज कलाकृतियों, डीआर स्क्रिप्ट दिखाते हैं।
5. रीमेडिएशन: प्राथमिकताओं और समय सीमा का समन्वय करें, ट्रैकर में ठीक करें।
6. क्लोजर: ऑडिट रिपोर्ट, सबक सीखा, नीति/नियंत्रण अद्यतन, रेट्रो।
8) विमुद्रीकरण योजना (टेम्पलेट)
9) RACI (उदाहरण: नवीकरण कार्यक्रम)
10) चेकलिस्ट
10. तैयार की 1 परिभाषा (समय सीमा से 60-90 दिन पहले)
- अद्यतन एएमएल/आरजी/विज्ञापन/डेटा/हादसा नीतियां; प्रशिक्षण आयोजित किए गए थे।
- प्रमुख व्यक्तियों ने पुष्टि की, SoF/SoW प्रासंगिक (यदि आवश्यक हो)।
- SAST/SCA/DAST और पेंटेस्ट रिपोर्ट एकत्र की गई, समाप्त अपवादों के बिना महत्वपूर्ण/उच्च बंद।
- SBOM/हस्ताक्षर के साथ जारी लॉग उपलब्ध हैं; लागू राज्य में प्रवेश-नीति।
- SLO/SLI डैशबोर्ड और सिंथेटिक डिपॉजिट/CCL/वापसी चेक रिपोर्ट उपलब्ध हैं।
- DR/SLA RTO/RPO के भीतर परीक्षण रिपोर्ट बहाल करें।
- आरजी/एएमएल रजिस्ट्रियां: हस्तक्षेप, एसएआर/एसटीआर, स्व-बहिष्करण; प्रतिबंध/पीईपी रिपोर्ट।
- विपणन/सहयोगी: व्हाइटलिस्टिंग चैनल, अनुमोदन के साथ क्रिएटिव का नमूना।
- जीजीआर वित्तीय विवरण/कर पीएसपी/बैंकों के साथ सामंजस्य स्थापित करता है।
10. 2 की परिभाषा (नवीकरण/लेखा परीक्षा पुष्टि के बाद)
- पत्र/नवीकरण प्रमाणपत्र प्राप्त, रजिस्टर/साइट/दस्तावेज अद्यतन।
- विमुद्रीकरण योजना बंद, नीतियां और साक्ष्य मानचित्र अद्यतन।
- रेट्रो सबक, प्रक्रिया परिवर्तन, कैलेंडर अद्यतन।
- आईएसपी/पीएसपी को भेजी गई सूचनाएं (यदि आवश्यक हो)।
11) ऑडिट अवधि के दौरान सहयोगी और विज्ञापन के साथ काम करें
चैनलों का एक रजिस्टर तैयार करें, क्रिएटिव का एक नमूना, 18 +/21 + लक्ष्य का प्रमाण, अनुमोदन का एक लॉग।
आरजी/एएमएल अनुपालन अनुबंधों में भागीदारों के उल्लंघन के लिए स्टॉप-सूची प्रक्रिया।
आवृत्ति/प्रतिबंध डैशबोर्ड और ब्लॉक सूची दिखाएँ।
12) जोखिम प्रबंधन (रजिस्ट्री)
13) मिनी टेम्पलेट्स
साक्ष्य मानचित्र (सीएसवी) कैप:
Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m- स्कोप/लक्ष्य
- नमूनों और साक्ष्य के प्रारूप की सूची
- सत्र/साक्षात्कार कैलेंडर
- भूमिकाएँ और संपर्क
- क्यू एंड ए चैनल और एसएलए प्रतिक्रियाएँ
14) लगातार सवाल
क्या मुझे एक ही बार में सभी कलाकृतियों को प्रस्तुत करने की आवश्यकता है? नहीं: एक आधार प्रस्तुत करें, और मांग पर नमूने दें - लेकिन सब कुछ तैयार रखें।
क्या कुछ लॉग की अनुपस्थिति की भरपाई संभव है? केवल एक व्याख्यात्मक कारण और उपचारात्मक योजना (और समयरेखा) के साथ।
नियामक के लिए अधिक महत्वपूर्ण क्या है - राजनीति या सबूत? यह साबित करने के लिए हमेशा सबूत हैं कि राजनीति वास्तव में काम करती है
15) 30 दिन की लघु योजना (फास्ट ट्रैक)
सप्ताह 1: अंतिम अंतर विश्लेषण, नीति अद्यतन, एसएलओ/लॉग माप, लेखा परीक्षक आरक्षण।
सप्ताह 2: SBOM/हस्ताक्षर/रिलीज़लॉग, भेद्यता रिपोर्ट/प्रवेश परीक्षण एकत्र करना, DR कार्य करता है।
सप्ताह 3: आरजी/एएमएल/मार्केटिंग समेकन, सारांश डैशबोर्ड, ड्राई-रन साक्षात्कार।
सप्ताह 4: फाइलिंग, क्यू एंड ए, त्वरित उपचार और नवीकरण की पुष्टि।
संक्षिप्त निष्कर्ष
नवीनीकरण और ऑडिटिंग एक-बंद "रिपोर्ट डिलीवरी" नहीं है, बल्कि प्रक्रिया परिपक्वता का एक नियमित प्रदर्शन है। एक कैलेंडर बनाएं, साक्ष्य मानचित्र रखें, कोड जैसे स्वचालित नियंत्रण रखें, अवलोकन और डीआर को अच्छे आकार में रखें। फिर विस्तार जोखिम से दिनचर्या में बदल जाएगा, और ऑडिट नियामकों, भागीदारों और खिलाड़ियों से सुधार और विश्वास के स्रोत में बदल जाएगा।