जोखिम मूल्यांकन और खतरा स्तर

1) उद्देश्य और दायरा

लक्ष्य iGaming संचालन, अनुपालन और समग्र व्यवसाय भेद्यता को कम करने के जोखिमों की पहचान करने, मापने और प्रबंधन करने के लिए एक सुसंगत, दोहराने योग्य और सत्यापित दृष्टिकोण प्रदान करना है।

कवरेज: एएमएल/केवाईसी/केवाईबी, प्रतिबंध और पीईपी स्क्रीनिंग, भुगतान और व्यवहार धोखाधड़ी योजनाएं, डेटा उल्लंघन और साइबर खतरे, मंच पहुंच (एसएलए/एसएलओ), नियामक परिवर्तन, साझेदार/प्य नाटक (आरजी)।

2) बुनियादी अवधारणाएं और तराजू

जोखिम = क्षति की घटना × मात्रा की संभावना (वित्त, कानूनी परिणाम, एसएलए/खिलाड़ीअनुभव, प्रतिष्ठा)।

खतरा - घटना का स्रोत (बाहरी/आंतरिक अभिनेता, प्रक्रिया, भेद्यता)।

• सूचनात्मक (जानकारी) - तत्काल प्रभाव, निगरानी के बिना संकेत।
• कम स्थानीय घटनाएं, बदलाव के भीतर उन्मूलन।
• एक क्षेत्र/प्रक्रिया पर मध्यम प्रभाव, 4 घंटे के भीतर वृद्धि की आवश
• उच्च - क्रॉस-सेवा प्रभाव/हानि वृद्धि, अनिवार्य वृद्धि ≤ 1 एच।
• महत्वपूर्ण - महत्वपूर्ण क्षति/नियामक जोखिम/बड़ेपैमाने पर अ तत्काल घटना-पुल, प्रबंधन और वकीलों को नोटिस।

• 1 - अत्यंत दुर्लभ; 2 - शायद ही कभी; 3 - संभव; 4 - संभावना; 5 - लगभग निश्चित रूप से।

• 1 - महत्वहीन; 2 - कम; 3 - औसत; 4 - उच्च; 5 - महत्वपूर्ण।

3) 5 × 5-मैट्रिक्स और वृद्धि थ्रेसहोल्ड

जोखिम स्कोर = एल × I (1-25)।

• 1-5 ग्रीन (स्वीकार्य): निगरानी, रोकथाम।
• 6-10 येलो (एक योजना की आवश्यकता है): समय सीमा और जिम्मेदारी।
• 11-15 ऑरेंज (त्वरित गिरावट): स्प्रिंट चुनौतियां, लगातार नियंत्रण।
• 16-25 रेड (अस्वीकार्य): तत्काल वृद्धि, अस्थायी "ओवरलैप" और सुरक्षात्मक उपाय।

• पीला: 24 घंटे तक - जोखिम मालिक।
• नारंगी: 4 घंटे तक - अनुशासन के प्रमुख के लिए।
• लाल: ≤ 15 मिनट → घटना-पुल, सी-स्तर/कानूनी सेवा/पीआर/अनुपालन।

4) आईगेमिंग के लिए जोखिम श्रेणियां

1. एएमएल/प्रतिबंध/पीईपी: झूठी/सकारात्मक सकारात्मकता, प्रतिबंधों की परिधि, "मुलिंग", साधनों का मिश्रण।

2. KYC/KYB: नकली दस्तावेज, सिंथेटिक पहचान, भागीदारों/सहयोगियों की धोखाधड़ी।

3. भुगतान धोखाधड़ी: चार्जबैक, बोनस दुरुपयोग, "नकद बाहरी के माध्यम से धोना", बहु-लेखांकन।

4. साइबर सुरक्षा/डेटा: फ़िशिंग, एटीओ (खाता हैकिंग), पीआईआई लीक, डीडीओएस, एपीआई कमजोरियां।

5. परिचालन लचीलापन: एसएलए गिरावट, रिलीज की घटनाएं, भुगतान श्रृंखला विफलताएं।

6. नियामक और जुर्माना: स्थानीय नियमों, रिपोर्टिंग, विज्ञापन का अनुपालन न करना।

7. जिम्मेदार नाटक (आरजी): निर्भरता वृद्धि, आत्म-विघटन, सीमा।

8. तीसरा सर्किट/विक्रेता: आपूर्तिकर्ता ड्रॉप, डेटा प्रोसेसिंग उल्लंघन, मंजूरी जोखिम।

5) मूल्यांकन पद्धति (अंत-से-अंत चक्र)

1. पहचान:

स्रोत: एंटी-फ्रॉड लॉग, SIEM/SOAR, केस मैनेजमेंट, रेगुलेटरी रिपोर्ट, प्लेयर शिकायतें, पार्टनर मॉनिटरिंग, पेन्टेस्ट रिपोर्ट।

2. कारणों और परिदृश्यों का विश्लेषण:

"क्या होगा" चैनलों के माध्यम से: पंजीकरण → सत्यापन → जमा → बोनस → निष्कर्ष → समर्थन।

3. परिमाणीकरण:

SLE/ALE: एक बार और वार्षिक अपेक्षित क्षति;

रेंज: P10/P50/P90 (मौसमी सहित);

तनाव परीक्षण: यातायात/अभियान/खेल की घटनाओं में वृद्धि।

4. नियंत्रण मूल्यांकन: निवारक, जासूस, सुधारात्मक उपाय; दक्षता (ताले का अनुपात, एफपीआर/एफएनआर)।

5. प्रसंस्करण योजना: स्वीकार/कम/हस्तांतरण (बीमा/आउटसोर्सिंग )/उन्मूलन (प्रक्रिया परिवर्तन)।

6. निगरानी और रिपोर्टिंग: केआरआई/केपीआई, डैशबोर्ड, पोस्ट-इवेंट रेट्रोस्पेक्टिव।

6) मुख्य जोखिम संकेतक (केआरआई) और केपीआई

• 1k पंजीकरण के लिए प्रतिबंधों/पीओपी अलर्ट का हिस्सा; मैनुअल चेक टाइम;% गलत सकारात्मक.

• चार्जबैक दर; जीजीआर का नेट फ्रॉड लॉस%;% बोनस दुरुपयोग; अवरुद्ध करने के लिए धोखाधड़ी संकेत का रूपांतरण।

• 1k लॉगिन के लिए ATO दर; पता लगाने का समय (एमटीटीडी) और वसूली का समय (एमटीटीआर); महत्वपूर्ण कमजोरियों की संख्या

• एसएलओ अपटाइम; प्रति रिहाई की घटनाओं की आवृत्ति; रोलबैक सफलता।

• % आत्म-डिस्कनेक्शन; सीमा से अधिक खिलाड़ियों का अनुपात; प्रतिक्रिया समय का समर्थन

7) खतरे का स्तर और कार्रवाई मानचित्रण

8) थ्रेसहोल्ड (अनुमानित स्थल - न्यायालयों के अनुकूल)

प्रतिबंध/पीओपी: हिट-रेट> 1। 5% पंजीकरण (मध्यम), 3% (उच्च)।

केवाईसी एफपीआर: > 8% (मध्यम), 12% (उच्च)।

चार्जबैक दर: > 0। 8% (मध्यम), 1। 2% (उच्च), 1। 5% (महत्वपूर्ण)।

ATO: > 0। 3 प्रति 1k लॉगिन (मध्यम), 0। 6 (उच्च)।

भुगतान प्रदाताओं का SLA: अपटाइम <99। 5% सप्ताह (मध्यम), 99। 0% (उच्च)।

वृद्धि आरजी: निर्भरता शिकायत> बेसलाइन द्वारा 50% (उच्च)।

9) नियंत्रण उपाय और वास्तुशिल्प पैटर्न

निवारक: मंजूरी/पीईपी स्क्रीनिंग ऑन-बोर्डिंग और भुगतान से पहले; व्यवहार संबंधी बायोमेट्रिक्स; डिवाइस-फिंगरप्रिंटिंग; जमा/निकासी सीमा; 2FA/WebAuthn; नेटवर्क विभाजन; पीआईआई एन्क्रिप्शन; सत्यापन में "दो-आंख"।

जासूस: वास्तविक समय विरोधी धोखाधड़ी नियम; SIEM सहसंबंध; केआरआई द्वारा विसंगति अलर्ट; हनीपोट खाते।

सुधारात्मक: कार्यों के समय ब्लॉक (बोनस/भुगतान), एएमएल जांच के स्तर में वृद्धि, कटस्क्रिप्ट, कुंजी/गुप्त रोटेशन, गर्म सुधार।

प्रक्रियाएं: घटनाओं के लिए आरएसीआई, अनिवार्य पोस्टमार्टम (5 व्हिस के साथ), नियंत्रण (सीएबी), नियमित टेबलटॉप अभ्यास।

10) जोखिम रजिस्टर (फील्ड टेम्पलेट)

आईडी, श्रेणी, परिदृश्य, कारण/कमजोरियां, मालिक (व्यवसाय/टेक), एल, आई, स्कोर, जोन, नियंत्रण (वर्तमान/योजना), केआरआई थ्रेशोल्ड, स्थिति, समय सीमा, संशोधन तिथि।

उदाहरण प्रविष्टि

11) परिदृश्य विश्लेषण और तनाव परीक्षण

एक प्रमुख टूर्नामेंट के दौरान बोनस बोनस: शुरुआती में उछाल, एक कार्ड/डिवाइस के लिए जमा में तेज वृद्धि - वेग नियमों को कड़ा करना, पदोन्नति पर सीमा, मैनुअल चेक।

केवाईसी विक्रेता का इनकार: बैकअप प्रदाता को चालू करें, अनुमेय सीमाओं के गलियारे को संकीर्ण करें, यदि आवश्यक हो - अस्थायी रूप से त्वरित निष्कर्ष पर प्रतिबंध लगाएं।

DDoS/अपटाइम क्षरण: WAF/दर-सीमा सक्रियण, भू-कटऑफ, ट्रैफिक रूटिंग, रिलीज़ फ्रीजिंग।

12) रिपोर्टिंग और संचार

डैशबोर्ड: डोमेन द्वारा केआरआई, "ट्रैफिक लाइट" ज़ोन, वर्तमान उच्च/महत्वपूर्ण मामले।

ताल: दैनिक ऑपरेटर रिपोर्ट, साप्ताहिक प्रवृत्ति पुल, मासिक जोखिम समिति (रजिस्टर अद्यतन, डाउनग्रेड योजनाएं)।

अनिवार्य सूचनाएं: एएमएल उल्लंघन/लीक/बड़ेपैमाने पर घटनाओं के मामले में नियामक/बैंक/भुगतान भागीदार - स्थानीय आवश्यकताओं के अनुसार।

डॉक ट्रेल: निर्णय लॉग, पोस्टमार्टम कलाकृतियां, CAPA (सुधारात्मक और निवारक क्रियाएं) नियंत्रण।

13) भूमिकाएँ और जिम्मेदारियाँ (RACI, एकत्र)

व्यवसाय/अनुपालन: L/I स्कोर, शमन योजना, रिपोर्टिंग।

सुरक्षा/एफआरएम: पहचान, धोखाधड़ी विरोधी नियम, एसओएआर प्लेबुक।

डेटा/एमएल: स्कोरिंग मॉडल, थ्रेशोल्ड अंशांकन, ए/बी नियम।

ऑप्स/एसआरई: स्थिरता, एसएलओ, ऑटोकैट/फीचर फ्लैग्स।

कानूनी/पीआर: नियामकों/बैंकों/सार्वजनिक के साथ संचार।

समर्थन/वीआईपी: खिलाड़ी के मामलों पर प्रारंभिक प्रतिक्रि

14) कार्यान्वयन (रोड मैप)

1. सप्ताह 1-2: जोखिम सूची, तराजू की मंजूरी, मूल 5 × 5 मैट्रिक्स का लॉन्च और रजिस्टर।

2. सप्ताह 3-4: केआरआई ऑनबोर्डिंग, अलर्ट एकीकरण, आरएसीआई और पोस्टमार्टम पैटर्न।

3. महीना 2: आरक्षित प्रदाता (CCP/प्रतिबंध), SOAR प्लेबुक, बैकटेस्ट नियम।

4. महीना 3 +: परिदृश्य तनाव परीक्षण, प्रदर्शन ऑडिट, थ्रेसहोल्ड का संशोधन और जोखिम भूख।

15) परिशिष्ट

• संभावना: {1: ≤1/god, 2: त्रैमासिक, 3: मासिक, 4: साप्ताहिक, 5: दैनिक}
• प्रभाव (वित्त): {1: , 2: -25k, 3: -100k, 4: -500k, 5:>}
• प्रभाव (नियामक): {1: कोई नहीं, 2: पूछताछ, 3: पर्चे, 4: दंड जोखिम, 5: रिकॉल का उच्च जोखिम/बड़ाललित}

• एएमएल/केवाईसी ↔ प्रतिबंध/पीईपी ↔ आरजी ↔ डीएलपी/पीआईआई ↔ एसआरई/रिलीज ↔ भुगतान/एफआरएम।

• तराजू/मैट्रिक्स सुसंगत हैं; केआरआई प्रवाह गणना; थ्रेसहोल्ड तय हैं; SOAR प्लेबुक का परीक्षण किया; बैकअप प्रदाता जुड़े हुए हैं; मासिक जोखिम समिति सक्रिय है; CAPA ट्रैकर चल रहा है।

लघु टीएल; डीआर

एकल 5 × 5-मैट्रिक्स + स्पष्ट केआरआई और थ्रेसहोल्ड → स्वचालित अलर्ट और स्पष्ट प्लेबुक 'और → रैपिड लेवल एस्केलेशन (Info→Critical) → नियमित पोस्टमार्टम और जोखिम पुनर्मूल्यांकन। यह नुकसान को कम करता है, प्रतिक्रियाओं को गति देता है और आईगेमिंग में अनुपालन की स्थिति को मजबूत करता है।