GH GambleHub

Guida alla compilazione per i partner

1) Assegnazione e ambito

Questo manuale definisce i requisiti di compilazione per i partner/appaltatori/affiliati/provider (incluse piattaforme di pagamento e di hosting, studi di contenuti, servizi antifrode, call center, agenzie di marketing).

Obiettivi:
  • Standard uniformi di sicurezza, privacy, regolazione e comunicazione responsabile.
  • Riduzione dei rischi operativi/legali nella catena di approvvigionamento.
  • «Audit'ready» base di prova e verifica reciproca.

2) Termini

Il partner è qualsiasi terza parte che elabora i dati o fornisce servizi.
Partner critico - ha un impatto significativo sulla sicurezza, sui pagamenti, sui dati personali o sui processi regolatori.
Il subprocessore è un partner associato all'elaborazione dei dati.

3) Principi («design tenets»)

Compliance-by-design - I requisiti sono integrati nei processi e nell'architettura.
Riduzione dei dati e contabilità giurisdizionale (data residency).
Tracciabilità e invariabilità: fogli, archivio WORM, ricevute hash.
Proportionality - La profondità dei controlli dipende dal rischio.
«Una versione della verità», gli artefatti confermati capiti da SLA e RACI.

4) Ruoli e RACI

RuoloResponsabilità
Vendor Management (A)Classificazione dei rischi, onboording/off, monitoraggio
Compliance/GRC (R)Requisiti, verifiche, CAPE, verifica-disponibilità
Legal/DPO (C)Trattati, DPA, privacy, transfrontaliera
SecOps/CISO (C/R)Di quelli. richieste, incidenti, rilevazioni
Finance/Payments (C)Requisiti di pagamento, conformeback/sanzioni
Business Owner (R)Lavoro operativo con partner, KPI
Internal Audit (I)Valutazione indipendente del rispetto

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Classificazione dei partner a rischio

I criteri sono: tipo di dati (PII/pagamenti), quantità di transazioni, accesso ai sistemi prod, giurisdizione, ruolo nella catena (processore/controller), cronologia degli incidenti, certificati/verifiche.
I livelli: Low/Medium/High/Critical → determinano la profondità della Due Diligence e la frequenza delle revisioni.

6) Onboording e DD (DD)

Passi:

1. Questionario DD (proprietari, subprocessori, località dati, certificati, controlli).

2. Verifica sanzioni/reputazione/beneficiari (screening).

3. Valutazione sicurezza/privacy: SOC/ISO/PCI/pentest, regole di reticenza, processi DSAR.

4. Controllo tecnico: SSO/OAuth, crittografia, gestione segreta, loging.

5. Gli aspetti di pagamento/AML (se applicabile) sono i processi di conformeback, antifrode, limiti.

6. Risk Report e la soluzione: ammissione/libertà vigilata/rifiuto + SARAH/misure compensative.

7. Contratti: MSA, SLA/OLA, DPA, controllo, mirroring, notifiche di incidenti, off-ramp.

7) Requisiti obbligatori per il partner (minimo)

7. 1 Sicurezza e privacy

Crittografia in transit/at rest, gestione chiavi (KMS/HSM).
RBAC/ABAC, MFA, registro di azioni adminate, re-cert accessibili.
Login e archivio WORM con firma hash Ora sincronizzata.
Regole di rettificazione, Legale Hold, procedure DSAR; Masking/Tokening PI.
Rapporti di vulnerabilità/pentest; Criteri per gli aggiornamenti gestiti.

7. 2 Regolazione e marketing

Divieto di offshore non credibili/aggressivi, display obbligatori.
Rispetto delle regole del gioco responsabile e della verifica dell'età (se applicabile).
Geo-targeting in base alle licenze e ai vincoli locali.
Consenso documentato per le comunicazioni, conservazione dei prati.

7. 3 Pagamenti/AML/KYC (per ruolo)

Procedure KYC/KYB, sanzioni/screening RR, monitoraggio transazioni.
Logi di autorizzazioni/3DS, processi di conformeback, limiti di rischio.
Scenari coerenti per blocchi/indagini e rimborsi.

8) Integrazione tecnica

SSO/SAML/OIDC, SCIM-Provider (se possibile).
Loging strutturato (JSON/OTEL), traccia (trace _ id).
Webhook con firma e retrai; garanzia di consegna/idampotenza.
limiti API, test di contratto, backward compatibility, versioning.
Ambienti isolati, chiavi e segreti sono il segreto-storage.

9) Obblighi contrattuali

SLA/OLA: farmacia, TTR/MTTR, ritardi, RPO/RTO per servizi critici.
Evidence & Audit: abilitazione del controllo, formati PBC, tempi di risposta, accesso a Data Room.
Incidenti: notifica X ore, formato di rapporto e timeline, CAPA.
Ritenzione e rimozione: TTL, conferma di distruzione, mirroring nei sottoprocessori.
Privacy/NDA e restrizioni di subappalto.

10) Gestione degli incidenti (congiunta)

Un unico canale di notifica e battle-rhythm update.
Dati legali immediati.
Timeline congiunta (chi/cosa/quando), manufatti con ricevute hash.
Notifiche a regolatori/clienti attraverso un processo coerente.
Post mortem, CAPA, re-audit tra 30-90 giorni.

11) Reporting e monitoraggio

Rapporti trimestrali: certificati, incidenti, SLA, sottoprocessori, modifiche alle posizioni dei dati.
Metriche privacy/DSAR, lamentele dei clienti, violazioni di marketing.
Finanziari/Pagamenti: chargeback ratio, efficacia antifrode, win-rate appelli.

12) Controllo e controllo

Revisioni pianificate per classi di rischio non programmati per incidenti o cambiamenti critici.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Risultati della CAPE, tempi e convalida della chiusura (evidence in WORM).

13) Offboarding partner

Programma di migrazione/sostituzione, trasferimento di artefatti e chiavi.
Conferma la distruzione dei dati da parte del partner e dei sottoprocessori.
Recensione di accesso/segreto, chiusura dei canali di integrazione.
Verifica/rapporto finale e archiviazione delle prove.

14) Metriche e KRI

Onboarding Lead Time (classi rischiose).
Vendor Certificate Freshness (obiettivo: 100% partner critici).
SLA Compliance e Invident Rate per partner.
Privacy/DSAR SLA e le lamentele dei clienti.
Marceback Ratio/Fraud Loss% (per ruoli di pagamento).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (modifiche incoerenti alle posizioni/sottoprocessori).

15) Dashboard

Vendor Risk Heatmap: rischio-score, certificati, incidenti, paesi.
Compliance Coverage: DPA/SLA, controllo, retenza/Legale Hold.
SLA & Incidents: farmacia, TTR/MTTR, incidenti non risolti.
Privacy & DSAR: tempi, volumi, lamentele, tendenze.
Payments/Fraud: marceback ratio, motivi, win-rate appelli.
CAPE & Re-audit - Stati, scadenze, ripetute osservazioni.

16) SOP (procedure standard)

SOP-1 - Onboording partner

Il questionario DD-screening di quelli/privacy/sicurezza-valutazione del Risk Report-Contratti (MSA/DPA/SLA) consente di configurare l'integrazione e la logica del pilota go-live.

SOP-2 - Modifiche al partner

Notifica dei cambiamenti (subprocessori/localizzazioni/architettura): valutazione del rischio del contratto/regole/apdate, test di protesi.

SOP-3: Incidente

Un unico canale della Hold una

SOP-4 Revisione periodica

Ciclo annuale/trimestrale per il rischio di PBC di un campione di , rapporto/SARAH, pubblicazione delle metriche.

SOP-5: Offboarding

Il piano di migrazione, l'esportazione/trasferimento, la conferma della distruzione, la revoca delle disponibilità, il rapporto finale.

17) Modelli di manufatti

17. 1 Vendor DD Checklist (sezione)

Eur. dati/beneficiari; screening delle sanzioni

Certificati/verifiche, criteri di sicurezza/privacy

Localizzazioni dati/sottoprocessori/retensioni

Incidenti in 24 mes, CAPA

Di quelli. integrazione: SSO, loging, crittografia, webhoop

17. 2 DPA/SLA - voci obbligatorie

Elaborazione dei dati, obiettivi, basi legali

Data di notifica degli incidenti, formato dei report

Diritti di verifica, formati PBC, Data Room

TTL/rimozione, Legale Hold, conferma distruzione

Sottoprocessori e ordine delle negoziazioni

17. 3 Pacchetto prove (evidence pack)

Logi di accesso/admine-azione (strutturati, ricevute hash)

Report vulnerabilità/pentesti/scene

Registro DSAR/Rimozione/Retensione

SLA/incidenti/ripristino (RTO/RPO)

Versioni firmate di contratti/addendi

18) Antipattern

Sottoprocessori/posizioni dati opachi.
Accessibilità «completa» senza e-cert o registri.
Scarichi manuali senza immutabilità e conferme hash.
Marketing con promesse false/proibite.
Nessuna conferma della distruzione dei dati durante l'off-boarding.
Eterni waivers senza tempi e misure compensative.

19) Modello di maturità (M0-M4)

M0 Ad-hoc: verifiche singole, nessun registro dei rischi per partner.
M1 Catalogo: elenco dei partner, DD/contratti base.
M2 Gestibile: classi di rischio, SLA/DPA, dashboard, revisioni pianificate.
M3 Integrato: Loging/evidence-Bus, Re-Auditel, CAPA, Audit-ready.
M4 Continuous Assurance - Monitoraggio in tempo reale, controlli di raccomandazione, generazione automatica di pacchetti PBC/evidence.

20) Articoli wiki collegati

Due Diligence quando si selezionano i provider

Rischi di esternalizzazione e controllo degli appaltatori

Controlli esterni da parte di revisori di terze parti

Archiviazione di prove e documentazione

Registrazione e AuditTrail

Piani di risoluzione delle violazioni (CAPA)

Verifiche ripetute e controllo dell'esecuzione

Repository di regole e regolamenti

Comunicazione delle soluzioni di compilazione in team

Totale

La Guida alla compilazione dei partner trasforma la catena di approvvigionamento in un ecosistema gestito: requisiti uniformi, verifiche prevedibili, prove invariate e accordi trasparenti. Ciò riduce i rischi, accelera l'integrazione e rende la collaborazione scalabile e verificabile.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.