GH GambleHub

Գործընկերների համակրանքի ղեկավարությունը

1) Նշանակումը և գործողությունների տարածքը

Այս ղեկավարությունը որոշում է գործընկերների/կապալառուների/աֆֆիլիատների/պրովայդերների պահանջները (ներառյալ հիբրիդային և հոստինգի պլատֆորմները, բովանդակության ստուդիան, հակաֆրոդ ծառայությունները, զանգերի կենտրոնները, մարքեթինգային գործակալությունները)։

Նպատակները

Անվտանգության, գաղտնիության, կարգավորող և պատասխանատու հաղորդակցության միասնական ստանդարտներ։

Վիրահատական/իրավական ռիսկերի նվազումը մատակարարման շղթայում։

Audit-ready-ը ապացույցային հիմքն է և փոխադարձ ստուգումը։

2) Տերմիններ

Գործընկերը ցանկացած երրորդ կողմն է, որը մշակում է տվյալները կամ ծառայություններ է մատուցում։

Քննադատական գործընկեր, մեծ ազդեցություն է ունենում անվտանգության, վճարումների, անձնական տվյալների կամ կարգավորող գործընթացների վրա։

Ենթահամակարգիչը գործընկերոջ գործընկերն է, որը ներգրավված է տվյալների մշակման մեջ։

3) Սկզբունքներ («desportenets»)

Compliance-by-design-ը 'պահանջները ներկառուցված են գործընթացներում և ճարտարապետությունում։

Տվյալների նվազեցումը և միգրաֆիկ կարգավորումը (residency)։

Ուղեղն ու անփոփոխ 'լոգներ, WORM արխիվը, հեշ քվիտանիան։

Proportionality: Ստուգումների խորությունը կախված է ռիսկի։

«Ճշմարտության մի տարբերակ» 'ապացուցված արտեֆակտներ, որոնք հասկանալի են SLA և RACI-ի համար։

4) Դերեր և RACI

ԴերըՊատասխանատվություն
Vendor Management (A)Ռիսկի դասակարգում, onbording/offbording, 2019
Compliance/GRC (R)Պահանջներ, ստուգումներ, CAPA, աուդիտ պատրաստակամություն
Legal/DPO (C)Պայմանագրեր, DPA, մասնավորություն, ինքնավստահություն
SecOps/CISO (C/R)Նրանք։ պահանջներ, միջադեպեր, դետեկտիվներ
Finance/Payments (C)Վճարային պահանջներ, chargeback/սանկցիաներ
Business Owner (R)Վիրահատական աշխատանք գործընկերոջ հետ, KPI
Internal Audit (I)Անկախ գնահատական

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Ռիսկի գործընկերների դասակարգումը

Չափանիշները ՝ տվյալների տեսակը (PII/ստացիոնար), գործարքների ծավալը, հասանելիությունը պրոդ համակարգերին, իրավասություններին, շղթայում (պրոցեսոր/վերահսկիչ), մրցույթի պատմությունը, հավաստագրերը/աուդիտները։

Մակարդակները ՝ Low/Windows/High/Critical-ը որոշում են Due Diligence խորությունը և վերանայման հաճախությունը։

6) Onbording և Due Diligence (DD)

Քայլերը

1. Anceta DD (սեփականատերեր, ենթահամակարգեր, տվյալների վայրեր, հավաստագրեր, վերահսկիչներ)։

2. Ֆիլտրի/հեղինակության ստուգումը (screening)։

3. Անվտանգության/գաղտնիության գնահատումը 'SOC/CSI/PCI/pentest, վերականգնման քաղաքականությունը, DSAR գործընթացները։

4. Տեխնոլոգիական ստուգում ՝ SSO/OAuth, ծածկագրում, գաղտնագիր-կառավարում, լոգիստիա։

5. Հիբրիդային/AML ասպեկտները (եթե կիրառելի է) 'chargeback գործընթացներ, հակաֆրոդ, լիմիտներ։

6. Risk Report-ը և լուծումը ՝ 108/պայմանական/մերժումը + SARA/փոխհատուցող միջոցներ։

7. Պայմանագրեր ՝ SNA, SLA/OLA, DPA, միգրանցների իրավունք, հայելային վերականգնումը, միջադեպերի մասին ծանուցումները, off-ramp։

7) Պարտքի պարտադիր պահանջները (նվազագույն)

7. 1 Անվտանգություն և մասնավոր

In transit/at rest, բեկորների կառավարում (KFC/HSM)։

RBAC/ABAC, MFA, admin-գործողությունների ամսագիր, re-cript հասանելի։

Լոգները և WORM արխիվը հեշ ստորագրությամբ։ համաժամեցված ժամանակը։

Ռետենցիայի քաղաքականությունը, Legal Hold, DSAR ընթացակարգերը։ PI-ի դիմակավորում/հյուսացում։

Խոցելիության/պենտեստայի հաշվետվությունները։ կառավարվող խորհրդատվությունների քաղաքականությունը։

7. 2 Կարգավորիչ և մարքեթինգ

Կեղծ/ագրեսիվ օֆֆերի արգելքը, պարտադիր դիսլեյմերը։

Պատասխանատու խաղի կանոնները և տարիքային հավատալիքները պահպանելը (եթե կիրառելի է)։

Geo-targeting համաձայն և տեղական սահմանափակումների։

Փաստաթղթավորված համաձայնությունները/հաղորդագրությունները հաղորդակցությունների, լճակների պահպանման համար։

7. 3 Վճարումներ/AML/KYC (դերի միջոցով)

KYC/KYB, սանկցիոն/RER սկրինինգը, գործարքների իրականացումը։

Հեղինակային իրավունքի/3DS, chargeback գործընթացներ, ռիսկի սահմաններ։

Արգելափակման/հետաքննության և վերադարձման սցենարները։

8) Տեխնիկական ինտեգրումը

SSO/SAML/OIDC, SCMS պրովիզինինգը (հնարավորության դեպքում)։

Կառուցվածքային տրամաբանությունը (JSON/OTel), ճանապարհը (trace _ id)։

Ուեբհուկի 'ստորագրությամբ և ելույթներով։ առաքման երաշխիք/idempotent։

API-limits, պայմանագիր-թեստեր, backward compatibility, տարբերակումը։

Մեկուսացված միջավայրերը, բանալիները և գաղտնիքները գաղտնի պահեստներում են։

9) Պայմանագրային պարտավորություններ

SLA/OLA 'aptaim, TTR/MTTR, ուշացումներ, RPO/RTO կրիտիկական ծառայությունների համար։

Evidence & Audit: Մրցույթի իրավունք, PBC-2019, պատասխանելու ժամանակը, Windows Room-ի հասանելիությունը։

Միջադեպերը 'ծանուցում X ժամ, զեկույցի ձևաչափը և թայմլայնը, CAPA-ն։

Ռոտենցիա և հեռացում ՝ TTL, ոչնչացման հաստատում, սուզանավերի հայելային վերականգնումը։

Գաղտնիությունը/NDA-ն և ենթաբաժնի սահմանափակումները։

10) Միջադեպերի կառավարումը (միասին)

Մեկ նախազգուշացման ալիք և battle-rhythm apdeits։

Նշված Legal Hold revant տվյալները։

Միասին թայմլայնը (ով/ինչ/երբ), արտեֆակտները հեշ քվիտանների հետ։

Կարգավորողների/հաճախորդների ծանուցումները համաձայնեցված գործընթացի միջոցով են։

Փոստի մորտեմը, CAPA, re-audit 30-90 օրվա ընթացքում։

11) Հաշվետվություններ և առաջարկություններ

Եժեքվարտալ հաշվետվությունները 'հավաստագրեր, միջադեպեր, SLA, ենթահամակարգեր, տվյալների բաղադրիչների փոփոխություններ։

Privacy/DSAR-ը, հաճախորդների բողոքները, մարքեթինգային խախտումները։

Ֆինանսական/հիբրիդային 'chargeback ratio, հակաֆրոդ արդյունավետություն, win-rate խմբակցություններ։

12) Վերահսկողություն և իրավունք

Պլանավորված պարամետրերը ռիսկի դասարաններում։ չնախատեսված 'պատահականներով/քննադատական փոփոխություններով։

Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.

CAPA-ի մրցույթի արդյունքները, փակման ժամանակը և վերականգնումը (evidence WORM)։

13) Օֆբորդինգը գործընկեր

Պլանը 2019/փոխարինում, արտեֆակտների փոխանցումը և իրականացումը։

Տվյալների ոչնչացման ապացույցը գործընկերոջ և ենթահամակարգերի մոտ։

Հասանելի/գաղտնիքների վերանայումը, կոդավորման ալիքները։

Վերջնական աուդիտը/զեկույցը և ապացույցների արխիվացումը։

14) Մետրիկի և KRI

Onboarding Lead Time (ռիսկային դասարաններում)։

Vendor Certificate Freshness (նպատակը ՝ 100 տոկոսը քննադատական գործընկերներ)։

SLA Compliance և Incident Rate-ը։

Privacy/DSAR SLA և հաճախորդների բողոքները։

Chargeback Ratio/Fraud Loss% (հիբրիդային դերերի համար)։

CAPA On-time и Repeat Findings.

Systalization/Jurisdiction Drift (միգրացիայի/ենթահամակարգերի չհամաձայնեցված փոփոխություններ)։

15) Դաշբորդի

Vendor Risk Heatmap 'ռիսկի սկոր, հավաստագրեր, միջադեպեր, երկրներ։

Compliance Coverage: DPA/SLA-ի առկայությունը, մրցույթի իրավունքը, վերականգնումը/Legal Hold։

SLA & Incidents: aptaim, TTR/MTTR, անպարկեշտ միջադեպեր։

Privacy & DSAR 'ժամկետներ, ծավալներ, բողոքներ, միտումներ։

Payments/Fraud: chargeback ratio, պատճառները, win-rate խմբակցությունները։

CAPA & Re-audit 'արձաններ, ուշացումներ, կրկնվող մեկնաբանություններ։

16) SOP (տեխնիկական ընթացակարգ)

SOP-1: Onbording գործընկեր

Risk Reports-ի (MSA/DPA/SLA) կոդավորման/սեփականատիրության/անվտանգության գնահատականներն են։

SOP-2 'զուգընկերոջ փոփոխությունները

Փոփոխությունների մասին նոտիֆիկացիան (ենթահամակարգեր/վայրեր/ճարտարապետություն) բացատրում է պայմանագրերի ռիսկի գնահատումը։

SOP-3: Պատահականություն

Express Legal Hold-ի միասնական ալիքը ցույց է տալիս միասին թայմլինը/արտեֆակտները CAPA www.re-audit-ն։

SOP-4: Պարբերական ստուգում

Տարեկան/եռամսյակային ռիսկի ցիկլը PBC մոդելի WinD/Windows E-ն հաստատեց զեկույցը/SARA-ը։

SOP-5: Օֆբորդինգը

Ռուսական էքսպորտը/փոխանցման պլանը ապացուցում է, որ ոչնչացումը համապատասխանում է հասանելիության վերանայման վերջնական զեկույցին։

17) Արտեֆակտների օրինակները

17. 1 Vendor DD Syklist (հատված)

Յուրը։ տվյալները/Բուլգարները; սանկցիոն սկրինինգը

Հավաստագրեր/աուդիտներ, անվտանգության քաղաքականություն/մասնավոր

Տվյալների գտնվելու վայրերը/ենթահամակարգերը/վերականգնումը

24 մեզ, CAPA

Նրանք։ ինտեգրումը 'SSO, լոգոն, ծածկագրում, webhuks: SSO, լոգոն, կոդավորում

17. 2 DPA/SLA - պարտադիր կետեր

Տվյալների մշակումը, նպատակները, իրավական հիմքերը

Դեպքի մասին ծանուցման ժամկետները, ձևաչափը

Մրցույթի իրավունքը, PBC-2019, DireCroom

TTL/հեռացում, Legal Hold, ոչնչացման ապացույց

Ենթահամակարգերը և համաձայնեցման կարգը

17. 3 Ապացույցների փաթեթ (evidence pack)

Մուտքի լոգներ/admin-գործողություններ (կառուցվածքային, հեշ-քվիտանիա)

Խոցելիության/պենտեստների/սկանների զեկույցները

DSAR-2019/2019/retention

SLA/միջադեպեր/վերականգնումներ (RTO/RPO)

Պայմանագրերի/addendum ստորագրված տարբերակները

18) Անտիպատերնի

Անթափանց սուզանավերը/տվյալների տեղերը։

«Միջով» հասանելի են առանց re-cript և ամսագրերի։

Ձեռքի հանումը առանց անփոփոխ և հեշ ապացույցների։

Մարքեթինգը անճիշտ/արգելված խոստումներով։

Տվյալների ոչնչացման ապացույցների բացակայությունը օֆբորդինգում։

Հավիտենական waivers առանց գործողությունների և փոխհատուցող միջոցառումների։

19) Հասունության մոդելը (M0-M4)

M0 Ad-hoc-hoc-ը ՝ տարբեր ստուգումներ, ոչ մի ռիսկերային ռիսկ չկա։

M1 Կատալոգը 'գործընկերների ցանկը, հիմնական DD/պայմանագրերը։

M2 Կառավարվող 'ռիսկի դասարաններ, SLA/DPA, dashbords, պլանավորված պարամետրեր։

M3 Ինտեգրված ՝ տրամաբանություն/evidence-shina, re-audit, CAPA-linkovka, audit-ready։

M4 Medinuous Assurance-ը 'իրական ժամանակում, խորհրդատվական ստուգումներ, PBC/evidence-2019-ի ավտոմատ արտադրություն։

20) Կապված wiki հոդվածները

Due Diligence ընտրելիս

Աուտսորսինգի ռիսկերը և կապալառուների վերահսկումը

Արտաքին ստուգումները կողմնակի ագրեսորներին

Ապացույցների և փաստաթղթերի պահպանումը

Ամսագրեր և Audit Trail

Խախտումները վերացնելու պլանները (CAPA)

Կրկնվող աուդիտներ և կատարման վերահսկողություն

Ռեպոզիտորիա քաղաքական և ստանդարտներ

Կոմունիստական լուծումների հաղորդակցությունը թիմերում

Արդյունքը

«Գործընկերների համար համակարգչային ղեկավարությունը» վերածում է մատակարարման շղթայի կառավարման էկոհամակարգին 'մեկ պահանջներ, կանխատեսելի ստուգումներ, անփոփոխ ապացույցներ և թափանցիկ պայմանագրեր։ Սա նվազեցնում է ռիսկերը, արագացնում է ձեռնարկությունները և համագործակցում է լայնացված և ստուգված։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։