पार्टनर अनुपालन गाइड

1) उद्देश्य और दायरा

यह गाइड भागीदारों/ठेकेदारों/सहयोगियों/प्रदाताओं (भुगतान और होस्टिंग प्लेटफार्मों, सामग्री स्टूडियो, धोखाधड़ी रोधी सेवाओं, कॉल सेंटर, विपणन एजेंसियों सहित) के लिए अनुपालन आवश्यकताओं को परिभावित करता है।

• सुरक्षा, गोपनीयता, विनियमन और जिम्मेदार संचार के समान मानक।
• आपूर्ति श्रृंखला में परिचालन/कानूनी जोखिमों को कम करना
• "ऑडिट-रेडी" साक्ष्य आधार और आपसी सत्यापन।

2) शर्तें

भागीदार - कोई तीसरा पक्ष डेटा प्रसंस्करण या सेवाएं प्रदा

महत्वपूर्ण साझेदार - सुरक्षा, भुगतान, व्यक्तिगत डेटा या नियामक प्रक्रियाओं पर महत्वपू

डेटा प्रोसेसिंग में शामिल सबप्रोसेसर - पार्टनर का समकक्ष।

3) सिद्धांत ("डिजाइन सिद्धांत")

अनुपालन-दर-डिजाइन-आवश्यकताओं को प्रक्रियाओं और वास्तुकला में बनाया गया है।

डेटा न्यूनतम और क्षेत्राधिकार लेखांकन (डेटा निवास)।

ट्रेसिबिलिटी और अपरिवर्तनीयता: लॉग, WORM संग्रह, हैश रसीदें।

आनुपातिकता: चेक की गहराई जोखिम पर निर्भर करती है।

"सत्य का एक संस्करण": SLA और RACI द्वारा समझी गई कलाकृतियों की पुष्टि।

4) भूमिकाएँ और आरएसीआई

(R - जिम्मेदार; ए - जवाबदेह; सी - परामर्श; I - सूचित)

5) जोखिम भागीदार वर्गीकरण

मानदंड: डेटा प्रकार (पीआईआई/भुगतान), लेनदेन की मात्रा, उत्पादन प्रणाली तक पहुंच, न्यायालय, श्रृंखला में भूमिका (प्रोसेसर/नियंत्रक), घटना इतिहास, प्रमाणपत्र/ऑडिट।

स्तर: निम्न/मध्यम/उच्च/महत्वपूर्ण - नियत परिश्रम की गहराई और संशोधनों की आवृत्ति का निर्धारण।

6) ऑनबोर्डिंग और ड्यू डिलिजेंस (डीडी)

1. डीडी प्रश्नावली (मालिक, उप-प्रोसेसर, डेटा स्थान, प्रमाणपत्र, नियंत्रण)।

2. प्रतिबंधों/प्रतिष्ठा/लाभार्थियों की जांच।

3. सुरक्षा/गोपनीयता मूल्यांकन: एसओसी/आईएसओ/पीसीआई/पैठ परीक्षण, प्रतिधारण नीति, डीएसएआर प्रक्रियाएं।

4. तकनीकी जाँच: SSO/OAuth, एन्क्रिप्शन, गुप्त प्रबंधन, लॉगिंग।

5. भुगतान/एएमएल पहलू (यदि लागू हो): चार्जबैक प्रक्रियाएं, धोखाधड़ी विरोधी, सीमाएं।

6. जोखिम रिपोर्ट और समाधान: प्रवेश/सशर्त/इनकार + CAPA/प्रतिपूरक उपाय।

7. अनुबंध: एमएसए, एसएलए/ओएलए, डीपीए, ऑडिट राइट, मिरर रिटेंशन, घटना सूचनाएं, ऑफ-रैंप।

7) अनिवार्य भागीदार आवश्यकताएं (न्यूनतम)

7. 1 सुरक्षा और गोपनीयता

पारगमन/विश्राम पर, कुंजी प्रबंधन (KMS/HSM) में एन्क्रिप्शन।

RBAC/ABAC, MFA, एडमिन लॉग, री-सर्टिफिकेट एक्सेस।

हैश हस्ताक्षर के साथ लॉग और WORM संग्रह; तुल्यकालित समय।

प्रतिधारण नीतियां, कानूनी पकड़, डीएसएआर प्रक्रियाएं; मास्किंग/टोकन PI।

भेद्यता रिपोर्ट/प्रवेश परीक्षण; प्रबंधित अद्यतन नीति

7. 2 नियामक और विपणन

अविश्वसनीय/आक्रामक ऑफ़ र, अनिवार्य अस्वीकरण का निषेध।

जिम्मेदार खेल और आयु सत्यापन के नियमों का अनुपालन (यदि लागू हो)।

लाइसेंस और स्थानीय प्रतिबंधों के अनुसार भू-लक्ष्यीकरण।

संचार, प्रमाणों के भंडारण के लिए प्रलेखित सहमति/असंस्क्रिप्शन।

7. 3 भुगतान/एएमएल/केवाईसी (भूमिका द्वारा)

केवाईसी/केवाईबी प्रक्रियाएं, स्वीकृति/पीईपी स्क्रीनिंग, लेनदेन निगरानी।

प्राधिकरण logs/3DS, चार्जबैक प्रक्रियाएं, जोखिम सीमा।

लगातार अवरोधन/जांच और वापसी परिदृश्य।

8) तकनीकी एकीकरण

SSO/SAML/OIDC, SCIM-provisioning (यदि संभव हो)।

संरचित लॉगिंग (JSON/OTel), ट्रेसिंग (trace_id)।

वेबहूक - हस्ताक्षर और रेट्रास के साथ; सुपुर्दगी की गारंटी/पहचान।

एपीआई सीमा, अनुबंध परीक्षण, पिछड़े संगतता, संस्करण।

पृथक वातावरण, कुंजी और रहस्य गुप्त भंडारण में हैं।

9) संविदात्मक दायित्व

SLA/OLA: महत्वपूर्ण सेवाओं के लिए अपटाइम, TTR/MTTR, विलंबता, RPO/RTO।

साक्ष्य और ऑडिट: ऑडिट राइट, पीबीसी प्रारूप, प्रतिक्रिया समय, डेटा रूम तक पहुंच।

घटनाएं: अधिसूचना - एक्स घंटे, रिपोर्ट और समयरेखा प्रारूप, CAPA।

प्रतिधारण और हटाना: टीटीएल, विनाश की पुष्टि, सबप्रोसेसर में दर्पण प्रतिधारण।

गोपनीयता/एओआई और उपमहाद्वीप प्रतिबंध।

10) हादसा प्रबंधन (साझा)

एक एकल सूचना चैनल और युद्ध-ताल अपडेट।

प्रासंगिक डेटा की तत्काल कानूनी पकड़।

संयुक्त समयरेखा (कौन/क्या/कब), हैश रसीदों के साथ कलाकृतियां।

नियामकों/ग्राहकों को अधिसूचना - एक सहमत प्रक्रिया के माध्यम से।

पोस्टमार्टम, CAPA, 30-90 दिनों में फिर से ऑडिट।

11) रिपोर्टिंग और निगरानी

त्रैमासिक रिपोर्ट: प्रमाणपत्र, घटनाएं, एसएलए, उप-प्रोसेसर, डेटा स्थान परिवर्तन।

गोपनीयता/डीएसएआर मैट्रिक्स, ग्राहक शिकायतें, विपणन उल्लंघन।

वित्तीय/भुगतान: चार्जबैक अनुपात, धोखाधड़ी विरोधी दक्षता, जीत-दर अपील।

12) नियंत्रण और लेखा परीक्षा अधिकार

जोखिम वर्गों द्वारा अनुसूचित लेखा प अनियोजित - घटनाओं/महत्वपूर्ण परिवर्तनों के लिए।

डेटा रूम, PBC- лист, ToD/ToE/Walkthrough/Reperform।

CAPA - बंद होने के परिणाम, समयसीमा और सबूत (WORM)।

13) साथी ऑफबोर्डिंग

प्रवासन/प्रतिस्थापन योजना, कलाकृतियों और कुंजियों का हस्तांतरण।

भागीदार और उप-प्रोसेसर डेटा विनाश की पुष्टि करें।

पहुँच/रहस्य, बंद एकीकरण चैनलों को निरस्त करें।

अंतिम लेखा परीक्षा/रिपोर्ट और साक्ष्य संग्रह।

14) मेट्रिक्स और केआरआई

ऑनबोर्डिंग लीड टाइम (जोखिम वर्ग द्वारा)।

विक्रेता प्रमाणपत्र ताजगी (लक्ष्य: 100% महत्वपूर्ण भागीदार)।

पार्टनर द्वारा एसएलए अनुपालन और हादसा दर।

गोपनीयता/DSAR SLA और ग्राहक शिकायतें।

चार्जबैक अनुपात/धोखाधड़ीहानि% (भुगतान भूमिकाओं के लिए)।

CAPA ऑन-टाइम и रिपीट निष्कर्ष।

स्थानीयकरण/अधिकार क्षेत्र बहाव (स्थानों/उप-प्रोसेसर में असंगत परिवर्तन)।

15) डैशबोर्ड

विक्रेता जोखिम हीटमैप: जोखिम दर, प्रमाण पत्र, घटनाएं, देश।

अनुपालन कवरेज: डीपीए/एसएलए उपलब्धता, ऑडिट अधिकार, प्रतिधारण/कानूनी पकड़।

SLA और घटनाएँ: अपटाइम, TTR/MTTR, अनियंत्रित घटनाएँ।

गोपनीयता और DSAR: शब्द, खंड, शिकायतें, रुझान।

भुगतान/धोखाधड़ी: चार्जबैक अनुपात, कारण, जीत-दर अपील।

CAPA और री-ऑडिट: स्टेटस, देरी, बार-बार टिप्पणी।

16) एसओपी (मानक प्रक्रियाएं)

SOP-1: पार्टनर ऑनबोर्डिंग

डीडी प्रश्नावली → स्क्रीनिंग → उन/गोपनीयता/सुरक्षा-मूल्यांकन → जोखिम रिपोर्ट → अनुबंध (एमएसए/डीपीए/एसएलए) → एकीकरण और लॉगिंग → पायलट → गो-लाइव की स्थापना।

SOP-2: साथी परिवर्तन

परिवर्तन अधिसूचना (उप-प्रोसेसर/स्थान/वास्तुकला) → जोखिम मूल्यांकन → अनुबंध/नीति अद्यतन → परीक्षण → प्रोड।

SOP-3: हादसा

एकल चैनल → लीगल होल्ड → संयुक्त समयरेखा/कलाकृतियाँ → अधिसूचना → CAPA → री-ऑडिट।

SOP-4: आवधिक संशोधन

वार्षिक/तिमाही जोखिम चक्र → PBC → ToD/ToE नमूना → रिपोर्ट/CAPA → मेट्रिक्स प्रकाशन।

SOP-5: ऑफबोर्डिंग

प्रवासन योजना → निर्यात/अंतरण → विनाश की पुष्टि → पहुंच का निरसन → अंतिम रिपोर्ट।

17) कलाकृतियाँ पैटर्न

17. 1 विक्रेता डीडी चेकलिस्ट (स्निपेट)

यूर। डेटा/लाभार्थियों; स्वीकृति स्क्रीनिंग

प्रमाणपत्र/लेखा परीक्षा, सुरक्षा/गोपनीयता नीति

डेटा स्थान/उप-प्रोसेसर/प्रतिधारण

24 महीनों में घटनाएं, CAPA

वे। एकीकरण: एसएसओ, लॉगिंग, एन्क्रिप्शन, वेबहूक

17. 2 डीपीए/एसएलए - अनिवार्य आइटम

डेटा प्रोसेसिंग, उद्देश्य, कानूनी आधार

घटना अधिसूचना का समय, रिपोर्ट का प्रारूप

ऑडिट राइट, पीबीसी प्रारूप, डेटा रूम

टीटीएल/हटाना, कानूनी पकड़, विनाश की पुष्टि

उप-प्रोसेसर और अनुमोदन आदेश

17. 3 साक्ष्य पैक

अभिगम लॉग/व्यवस्थापक क्रिया (संरचित, हैश रसीदें)

भेद्यता/प्रवेश/स्कैन रिपोर्ट

डीएसएआर रजिस्ट्री/विलोपन/प्रतिधारण

एसएलए/हादसा/वसूली (आरटीओ/आरपीओ)

संविदाओं/परिशिष्टों के हस्ताक्षरित संस्करण

18) एंटीपैटर्न

अपारदर्शी उप-प्रोसेसर/डेटा स्थान।

"एंड-टू-एंड" री-सर्ट और लॉग के बिना एक्सेस करता है।

मैनुअल अपरिवर्तनीयता और हैश पुष्टि के बिना अपलोड करता है।

अमानवीय/निषिद्ध वादों के साथ विपणन।

ऑफबोर्डिंग के दौरान डेटा विनाश का कोई सबूत नहीं।

समय सीमा और प्रतिपूरक उपायों के बिना अनन्त छूट।

19) परिपक्वता मॉडल (M0-M4)

M0 हेल-तदर्थ: एक बार की जाँच, साथी द्वारा कोई जोखिम रजिस्टर नहीं।

एम 1 निर्देशिका: भागीदारों की सूची, मूल डीडी/अनुबंध।

एम 2 प्रबंधित: जोखिम वर्ग, एसएलए/डीपीए, डैशबोर्ड, अनुसूचित संशोधन।

M3 एकीकृत: लॉगिंग/साक्ष्य-बस, री-ऑडिट, CAPA-लिंकिंग, "ऑडिट-रेडी"।

एम 4 कंटीन्यूअस एश्योरेंस: रियल-टाइम मॉनिटरिंग, सिफारिश चेक, पीबीसी/साक्ष्य पैकेज की ऑटो-जनरेशन।

20) संबंधित विकी लेख

प्रदाताओं का चयन करते समय कारण परिश्रम

आउटसोर्सिंग जोखिम और ठेकेदार नियंत्रण

बाहरी लेखा परीक्षकों द्वारा बाहरी लेखा परीक्

साक्ष्य और प्रलेखन का भंडारण

लॉगिंग और ऑडिट ट्रेल

उपचारात्मक योजनाएं (CAPAs)

री-ऑडिट और फॉलो-अप

नीति और अनुपालन भंडार

टीमों में अनुपालन समाधानों का संचार

कुल

"पार्टनर अनुपालन गाइड" आपूर्ति श्रृंखला को एक प्रबंधित पारिस्थितिकी तंत्र में बदल देता है: समान आवश्यकताएं, पूर्वानुमान योग्य जांच, अपरिवर्तनीय सबूत और पारदर्शी व् यह जोखिम को कम करता है, एकीकरण को गति देता है और सहयोग को स्केलेबल और सत्यापन योग्य बनाता है।