GH GambleHub

थर्ड पार्टी रिस्क एंड पार्टनर ऑडिट

1) क्यों और किसके लिए

लक्ष्य: बाहरी आपूर्तिकर्ताओं और भागीदारों के माध्यम से आने वाली विफलताओं, लीक और नियामक उल्लंघनों की संभावना को कम करने के लिए।

कवरेज: पीएसपी/भुगतान प्रवेश द्वार, सीसीएम/प्रतिबंध/आरएपी, धोखाधड़ी-विरोधी, खेल प्रदाता और स्टूडियो, संबद्ध नेटवर्क और ट्रैकिंग, बादल/सीडीएन/होस्टिंग, बीआई/विश्लेषण, प्रतिधारण उपकरण/एसडीके साथ।

2) जोखिम श्रेणियां (डोमेन मानचित्र)

सूचना सुरक्षा और गोपनीयता: PII/KYC/भुगतान टोकन लीक, कमजोर TOMs, WORM/ऑडिट की कमी।

अनुपालन: जीडीपीआर/यूके जीडीपीआर/ईप्राइवेसी, एएमएल/केवाईसी, पीसीआई ज़ोन, विज्ञापन/गेमिंग आवश्यकताओं के क्षेत्राधिकार।

परिचालन: उपलब्धता/एसएलए, एकाग्रता, कमजोर बीसीपी/डीआर।

वित्तीय: आपूर्तिकर्ता स्थिरता, क्रेडिट जोखिम, चार्जबैक झटके।

प्रतिबंध/भू-राजनीतिक: निर्यात/आयात प्रतिबंध, डेटा केंद्रों का स्थान, स्वामित्व संरचनाओं में आरईपी/प्रतिबंध।

प्रतिष्ठित और कानूनी: विज्ञापन/जिम्मेदार नाटक, आईपी अधिकारों का उल्लंघन।

तकनीकी: एसडीके/एपीआई कमजोरियां, संस्करण और परीक्षण वातावरण की कमी।

3) आपूर्ति श्रृंखला मानचित्रण

1. इन्वेंट्री: मालिक (व्यवसाय के मालिक) के साथ सभी विक्रेताओं/भागीदारों/उप-प्रोसेसर का एक रजिस्टर।

2. डेटा मानचित्र: क्या डेटा/न्यायालय/खंड किससे गुजरते हैं; पीआईआई झंडे/वित्त/विशेष श्रेणियां।

3. आलोचना: धन/पीआईआई/अपटाइम पर प्रभाव से वर्गीकृत।

4) विक्रेता टायरिंग (उदाहरण मानदंड)

शूटिंग गैलरीसंकेतउदाहरणआवश्यकताएं
टियर 1 (महत्वपूर्ण)पीआईआई/भुगतान, 24 × 7, जीजीआर पर प्रत्यक्ष प्रभावपीएसपी, सीसीएम/प्रतिबंध, धोखाधड़ी विरोधी, बादलपूर्ण कारण परिश्रम, लेखा परीक्षा, बीसीपी/डीआर परीक्षण, वार्षिक ऑनसाइट/रिमोट ऑडिट
टियर 2 (उच्च)अप्रत्यक्ष प्रभाव, पीआईआई नकाबपोश, महत्वपूर्ण एकीकरणस्टूडियो/एग्रीगेटर्स, DWH टूल्सविस्तारित प्रश्नावली, यादृच्छिक लेखा परीक्षा, वार्षिक समी
टियर 3 (मध्यम/निम्न)कोई PII/पैसा, विपणन उपकरणई-मेल, विजेट्सप्रकाश प्रश्नावली, संविदात्मक न्यूनतम

5) जोखिम स्क्रीनिंग और स्कोरिंग

कारक: सुरक्षा (नीतियां, प्रमाणन), गोपनीयता (डीपीए/एससीसी/डीटीआईए), अनुपालन (एएमएल/पीसीआई/आईएसओ), परिचालन लचीलापन (एसएलए/बीसीपी/डीआर), वित्त (लेखा परीक्षा/रिपोर्टिंग), इतिहास परिपक्वता (SDLC/DevSec Ops)।

स्कोरिंग (उदाहरण): प्रत्येक कारक के लिए 0-5 → भारित कुल (डब्ल्यू) → ज़ोन: हरा/पीला/लाल।

थ्रेशोल्ड समाधान:
  • हरा: मानक अनुबंध।
  • एम्बर: गो-लाइव के लिए नियंत्रण/उपचारात्मक।
  • लाल: अतिरिक्त उपायों (विभाजन, थ्रॉटलिंग, रीड-ओनली, एस्क्रो, कम सीमा) के साथ विफलता या पायलट।

6) उचित परिश्रम (प्रवेश द्वार पर क्या आवश्यकता है)

कलाकृतियाँ/नियंत्रण (टियर 1-2 के लिए न्यूनतम):
  • सुरक्षा/गोपनीयता नीतियां, आरओपीए, उप-प्रोसेसर रजिस्ट्री।
  • ऑडिट रिपोर्ट/प्रमाणन (आईएसओ 27001/SOC 2 प्रकार II/पीसीआई यदि लागू हो), नवीनतम प्रवेश परीक्षण।
  • बीसीपी/डीआर और परीक्षण परिणाम, आरपीओ/आरटीओ।
  • हादसा प्रक्रियाएं (72 घंटे की सूचनाएं), घटना 12-24 महीने के लिए लॉग इन करें।
  • DPA/सीमा पार तंत्र (SCCs/IDTA) + DTIA, डेटा/कुंजी स्थानीयकरण।
  • एकीकरण सुरक्षा: mTLS/OIDC, हस्ताक्षरित वेबहूक, कुंजी रोटेशन, अनुमति-सूची IP।
  • अभिगम/निर्यात लॉग, WORM प्रतियां, हैश चेन।
  • प्रतिधारण और विलोपन नीति, ऑफबोर्डिंग के दौरान बैकअप के विनाश की पुष्टि।
  • वित्तीय स्थिरता (सार्वजनिक रिपोर्टिंग/प्रमाणपत्र), स्वामित्व संरचना (प्रतिबंध/पीओपी जांच)

टियर 2-3 के लिए प्रकाश प्रश्नावली: sSIG/CAIQ-स्तर (20-60 प्रश्न)।

7) संविदात्मक आवश्यकताएं (प्रमुख बिंदु)

SLA/SLO: अपटाइम (जैसे) 99. 9%), P95 विलंबता, घटना प्रतिक्रिया समय, सेवा क्रेडिट।

सुरक्षा/गोपनीयता परिशिष्ट: आराम/पारगमन में एन्क्रिप्शन, कुंजी/भू, लॉगिंग, मास्किंग, डेटा रीसाइक्लिंग निषेध।

DPA + उप-प्रोसेसर: श्रृंखला विस्तार को सूचित करने का कर्तव्य; आपत्ति/लेखापरीक्षा का अधिकार।

हादसा और अधिसूचना: अधिसूचना विंडो ≤ 72 घंटे; लॉग/कलाकृतियों तक पहुंच; संयुक्त युद्ध कक्ष

BCP/DR: वर्ष में एक बार अनिवार्य परीक्षण N, RPO/RTO।

पेन-टेस्ट/ऑडिट अधिकार: वर्ष में कम से कम 1 बार (रिमोट/ऑनसाइट), रिपोर्ट तक पहुंच।

परिवर्तन नियंत्रण: प्रमुख परिवर्तनों की अधिसूचना (एसडीके/एपीआई/आर्किटेक्चर/भूगोल)।

समाप्ति और निकास: डेटा निर्यात (प्रारूप), हटाएं/वापसी, महत्वपूर्ण एकीकरण के लिए एस्क्रो, एक्स-डे माइग्रेशन समर्थन।

देयता/क्षतिपूर्ति: टोपी/cublimits, आईपी गारंटी, एसएलए उल्लंघन/लीक के लिए दंड।

8) ऑनबोर्डिंग → मॉनिटरिंग → ऑफबोर्डिंग

8. 1 ऑनबोर्डिंग

1. व्यावसायिक मामला और मालिक प्रश्नावली/कलाकृतियाँ।

2. जोखिम की समीक्षा (सुरक्षा/गोपनीयता/अनुपालन/कानूनी/वित्त)।

3. गो-लाइव से पहले नियंत्रण: विभाजन (वीपीसी/किरायेदार), भार/सीमा, मास्किंग/टोकन, सुविधा-झंडे, परीक्षण सैंडबॉक्स।

4. अनुबंध/एकीकरण → पायलट → गो/नो-गो।

8. 2 निरंतर निगरानी

तकनीकी निगरानी: अपटाइम, त्रुटियां, विलंबता, जोखिम बजट।

सुरक्षा: SIEM अलर्ट ('उद्देश्य के बिना असामान्य निर्यात/पहुंच'), विक्रेता रिपोर्ट, SDK कमजोरियां।

गोपनीयता/अनुपालन: सबप्रोसेसर, स्थान, प्रतिधारण में परिवर्तन; DSAR संगतता।

वित्त: केपीआई रूपांतरण/वापसी/चार्जबैक, एसएलए दंड द्वारा।

टियर 1-2 और वार्षिक पुन: परिश्रम के लिए त्रैमासिक समीक्षा।

8. 3 ऑफबोर्डिंग

चाबियों/पहुंच का निरसन, डेटा और बैकअप का विनाश/वापसी, कार्य, टिकट बंद करना, रजिस्टरों और डेटा मानचित्रों को अद्यतन करना।

9) साझेदार लेखा परीक्षा प्रक्रिया

9. 1 योजना और क्षेत्र

फोकस: अभिगम प्रबंधन, एन्क्रिप्शन/कुंजी, लॉग, घटनाएं, बीसीपी/डीआर, डीएसएआर प्रक्रियाएं, उप-प्रोसेसर।

9. 2 तरीके

साक्षात्कार, दस्तावेज ़/लॉग समीक्षा, स्पॉट चेक, तकनीकी परीक्षण (एपी-दर-सीमा/एमटीएलएस/हस्ताक्षर), टेबलटॉप अभ्यास।

9. 3 रिपोर्ट और CAPA

निष्कर्षों का वर्गीकरण (क्रिटिकल/हाई/मीडियम/लो), रिमेडिएशन टाइमिंग, क्लोजर कंट्रोल और रिटेस्ट।

10) विक्रेता की घटनाएं: प्लेबुक

1. पता लगाना: विक्रेता/हमारी निगरानी/सामुदायिक संकेत।

2. युद्ध-कक्ष: मालिक + सुरक्षा + डीपीओ + कानूनी + उत्पाद।

3. नियंत्रण: ट्रैफिक/एसडीके/कुंजियों को अक्षम करना, समय सीमा/कैनरी पूल।

4. फोरेंसिक: कॉल लॉग, वेबहुक हस्ताक्षर, WORM पुष्टि, प्रभावित रिकॉर्ड की सीमा।

5. सूचनाएं: नियामक/उपयोगकर्ता/बैंक (यदि आवश्यक हो), संयुक्त ग्रंथ।

6. CAPAs: फिक्स, डेडलाइन, प्रभावशीलता जांच; स्कोरिंग और अनुबंध शर्तों में संशोधन।

11) आरएसीआई (बढ़ाहुआ)

गतिविधिव्यवसाय स्वामीसुरक्षाडीपीओ/गोपनीयताअनुपालन/कानूनीवित्तएसआरई/डाटाखरीद
टारिंग/बिजनेस केसA/Rसीसीसीसीसीसी
परिश्रम के कारणआरA/RA/RA/Rसीसीसी
संविदा (SLA/DPA/संपादन)सीसीसीA/RA/Rमैंआर
एकीकरण/विभाजनसीA/Rसीसीमैंआरमैं
निगरानी/लेखा परीक्षाआरA/RA/RA/Rसीआरमैं
घटनाएं/CAPAसीA/RA/RA/Rसीआरमैं
ऑफबोर्डिंग/निर्यात/मिटाएँआरA/Rसीआरमैं

12) मेट्रिक्स (केपीआई/केआरआई)

कवरेज: रजिस्ट्री में सक्रिय विक्रेताओं का% एक अप-टू-डेट स्कोर ≥ 100% के साथ।

मूल्यांकन TTM: मंझला कारण परिश्रम टियर 1 ≤ 15 कार्य दिवस।

उपचारात्मक एसएलए: महत्वपूर्ण निष्कर्ष ≤ 30 दिन (≥ 95%) बंद।

हादसा अधिसूचना: विंडो में सूचनाओं का अनुपात 72 h - 100%।

डीपीए/एससीसी/डीटीआईए कवरेज: टियर 1-2 के लिए - 100% प्रासंगिक।

एकाग्रता जोखिम: प्रति 1 PSP/प्रदाता% (सीमा) यातायात/राजस्व का हिस्सा।

बीसीपी/डीआर साक्ष्य: 12 महीने की पुष्टि के साथ% टियर 1 - 100%।

निर्यात लॉगिंग: 100% निर्यात हस्ताक्षरित और लॉग इन हैं।

13) टेम्पलेट और टुकड़े

13. 1 मिनी-प्रश्नावली (टियर 1-2, एक्सपोज़र)

प्रमाणन/लेखा परीक्षा (आईएसओ/एसओसी2/पीसीआई), समाप्ति तिथि।

डेटा आर्किटेक्चर: जियो, सब-प्रोसेसर, कुंजी/केएमएस, एन्क्रिप्शन।

24 महीनों के भीतर घटनाएं (प्रकार/तिथि/उपाय)।

एक्सेस और जर्नल (RBAC/ABAC, ब्रेक-ग्लास, JIT, WORM)।

बीसीपी/डीआर (परीक्षण तिथियां, आरपीओ/आरटीओ)।

DSAR/प्रतिधारण, RoPA, CMP/SDK।

एपीआई तकनीकी नियंत्रण: एमटीएलएस/ओआईडीसी, वेबहूक के हस्ताक्षर, प्रमुख रोटेशन, दर-सीमा।

13. 2 एसएलए (टुकड़ा)

संकेतकउद्देश्यमापनक्रेडिट
अपटाइम (महीने)99. 9%बाह्य निगरानी5-10% शुल्क
महत्वपूर्ण घटना: प्रतिक्रिया≤ 15 मिनटयुद्ध-कक्ष प्रोटोकॉलठीक करें।
उपचारात्मक उच्च≤ 30 दिनCAPA रिपोर्टठीक करें।

13. 3 सुरक्षा और गोपनीयता परिशिष्ट

"डेटा रीसाइक्लिंग का निषेध; जरूरत-से-ज्ञान द्वारा सख्ती से पहुंच; केवल अनुमोदित रजिस्टरों को निर्यात क

"हैश हस्ताक्षर के साथ फिक्स्ड लॉग (WORM); वर्ष में एक बार अनुरोध पर लेखा परीक्षा"

"उप-प्रोसेसर प्रतिस्थापन - 30 ≥ दिन की अधिसूचना, आपत्ति का अधिकार, वैकल्पिक योजना।"

"पर्याप्त न्यायालयों के बाहर किसी भी सीमा पार संचरण में डीटीआईए; कुंजियाँ - ईसी/यूके (प्रति समझौते) में "

14) चेकलिस्ट

विक्रेता के साथ गो-लाइव से पहले

  • मालिक नियत, शूटिंग रेंज परिभाषित
  • प्रश्नावली/कलाकृतियों को प्राप्त और सत्यापित किया गया
  • DPA/SLA/संपादन हस्ताक्षरित, उप-प्रोसेसर घोषित
  • विभाजन/सीमा/मास्किंग सक्षम, कुंजियाँ अलग
  • सैंडबॉक्स/टेबलटॉप परीक्षण घटना द्वारा पारित
  • बाहर निकलें/प्रवासन योजना और एस्क्रो औपचारिक

त्रैमासिक (टियर 1-2)

  • SLA/हादसा/SDK भेद्यता निगरानी
  • प्रमाणपत्र/रिपोर्ट अद्यतन, उप-प्रोसेसर रजिस्ट्री
  • DR/BCP मान्य
  • फिन स्क्रीनिंग (प्रतिरोध), मंजूरी की जाँच
  • एकाग्रता जोखिमों और विकल्पों की समीक्षा

ऑफबोर्डिंग

  • कुंजी/पहुँच निरस्त
  • डेटा निर्यात पूरा, हटाएँ/बैकअप पुष्टि
  • बंद प्रमाणपत्र, डेटा मार्च/रजिस्टरों द्वारा अद्यतन

15) विशिष्ट परिदृश्य और उपाय

ए) विपणन एसडीके में भेद्यता

तत्काल शटडाउन, पीआईआई संग्रह ब्लॉक, डीपीओ/नियामक अधिसूचना यदि आवश्यक हो, तो विक्रेता सीएपीए, रिटेस्ट।

B) PSP SLA पर गिरावट

बैकअप पीएसपी के लिए ऑटो-रूटिंग ट्रैफिक, सीमा कम करना, सेवा क्रेडिट को सक्रिय करना, अनुबंध/निकास योजना को संशोधित करना।

C) केवाईसी प्रदाता से रिसाव

एकीकरण अलगाव, टोकन निरसन, प्रभावित रिकॉर्ड की मैपिंग, सूचनाएं, मैनुअल केवाईसी उच्च जोखिम, विक्रेता ऑडिट, संभावित प्रतिस्थापन।

16) टीपीआरएम कार्यान्वयन रोडमैप

सप्ताह 1-2: विक्रेताओं की सूची, डेटा मैप, फाड़ ना, बुनियादी प्रश्नावली और रजिस्ट्री।

सप्ताह 3-4: SLA/DPA/additive टेम्पलेट, ऑनबोर्डिंग/मॉनिटरिंग/ऑफबोर्डिंग प्रक्रिया, SIEM/CMDB/IDP एकीकरण।

महीना 2: टियर 1-2 पायलट, तिमाही समीक्षाओं का शुभारंभ, प्रमाणपत्र/समय सीमा की जांच का स्वचालन।

महीना 3 +: स्केलिंग, स्कोरिंग/डैशबोर्ड, बीसीपी/डीआर तनाव परीक्षण, एकाग्रता जोखिम अनुकूलन और वैकल्पिक मार्ग।

टीएल; डीआर

मजबूत TPRM = पूर्ण विक्रेता मानचित्र हार्ड कॉन्ट्रैक्ट्स (SLA/DPA/BCP/DTIA) विभाजन और सुरक्षित एकीकरण - निरंतर निगरानी और ऑडिटिंग तेजी निकार/रिडेशन। यह पैसे, डेटा और लाइसेंस की रक्षा करता है - और भागीदारों के दुर्घटनाग्रस्त होने पर भी व्यवसाय को लचीला रखता है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।