違反の通知と報告期限
1)目的とエリア
データセキュリティ、決済/金融取引、規制要件、責任あるプレイ、パートナー統合、評判リスク:オペレーションとコンプライアンスの輪郭におけるインシデントと違反の場合には、必須の通知のための統一的で検証可能かつ再現可能な手順を確立します。文書は、締め切り、住所、フォーマット、および準備および管理手順を設定します。
2)主な用語
報告可能なインシデント:法律/ライセンス/契約によって外部に通知が必要なイベント。
DPAは、データ保護機関(GDPRおよびアナログ)です。
フィナンシャル・インテリジェンス(AML/CFT;SAR/STR)。
PSP/Acquirer/Card Scheme-支払いプロバイダ/acquirers/支払いシステム。
CERT/CSIRT-National/Industry Cyber Security Incident Response Center。
LEA-法執行機関。
ホールディングステートメント-基本的な事実と次の更新の時間との最初の短い通知。
3)通知可能なイベントのクラス(カテゴリ)
1.情報セキュリティ/機密性:PII/財務データの漏洩、アカウントの妥協。
2.ギャンブルレギュレータ:ゲームの可用性/整合性/残高に影響を与える不具合。ライセンス/広告/RG条項の違反。
3.AML/CFT: FIUの疑わしい操作/パターン→SAR/STR。
4.支払い:PSPの大規模な利用不能、高い偏差、支払者データの妥協。
5.消費者/プレーヤー:影響を受けた人への通知(データ侵害、金銭取引、対策)。
6.パートナー/アフィリエイト/プロバイダー:追跡、報告、金融決済への影響。
7.CERT/LEA:公的に重要なサイバーインシデント、フィッシング/ブランドクローニング。
8.監査/ライセンス保有者:SLAレポートのコンプライアンス、排除の確認。
4)タイムラインマトリックス(ベンチマーク)
5) RACIと役割
IC (Incident Commander)は、タイムラインと「戦争部屋」の所有者です。"(A)
リーガル/コンプライアンスリード-資格「報告可能」、住所と期限の選択、最終サイン。(R/A)
セキュリティリード-情報セキュリティの事実、妥協/PIIの量、CERT/LEAとの相互作用。(R)
支払いリード-PSP/銀行/スキーム、 PCIの問題、リターン/チャージバック。(R)
Comms Lead-テキストと送信チャンネル、ステータスページ、CSマクロ。(R)
データ/アナリティクス-影響を受ける対象/トランザクションのリスト、影響評価。(R)
CS/CRMリード-プレイヤーへの通知の配信、補償。(R)
Exec スポンサー/CEO-S1公開声明。(C/I)
6)エンドツーエンドのプロセス(検出から閉鎖まで)
A。 notifiableの定義:- 検出→法的資格→"報告可能?するには?タイミングは?».
- fact/artifactコレクション→重大度分類→テンプレート選択→和解(Legal/Comms/IC)。
- チャンネル経由の配信(レギュレータポータル、セキュアメール、API、用紙フォーム)→領収書の送信と確認の時間を記録します。
- schedule/milestones→text versioning→statusページと同期します。
- 最終報告→CAPAプラン→閉鎖とレトロ(≤ 7日)。
7)通知の最小構成(スケルトン)
1.インシデントID、日付/時刻(UTCおよびローカル)。
2.イベントと影響の半径の簡単な説明。
3.影響を受けるデータ/顧客/トランザクションのカテゴリ。
4.取られたアクション(封じ込め/回復)。
5.リスクアセスメントと現状。
6.次のステッププランと次のアップデートのETA。
7.コンタクトパーソン/フィードバックチャンネル。
8.ライセンス/会社の法的詳細(必要に応じて)。
9.適用:タイムライン、技術的なアーティファクト、主題のリスト。
8)テンプレート(クイックインサート)
8.1 DPA(データ侵害、初期通知):
ディスカバリーイベント/日付
データカテゴリ/ボリューム/地理
害の最小化対策(トークンリセット、MFA、モニタリング)
サブジェクト・リスク・アセスメント
件名通知プランと期間
DPO/Legalにお問い合わせください
8.2プレイヤーへ(データ侵害):
件名: アカウントのセキュリティに関する重要な情報
ボディ:何が起こった(技術なし。詳細とPIIなし)、どのような対策が講じられているか、今すぐプレーヤーのために何をすべきか(パスワードを変更し、MFAを有効にする)、アップデートに従う場所、ヘルプ/補償を得る方法。
8.3ギャンブルレギュレータ(アクセシビリティ/インテグリティ障害):
What: サービス/ゲーム/ウォレット、タイムスロット、ゾーン
影響: 金利/金利/残高の数
対策: ロールバック、リザーブ、セーフモードウォレット
期待される回復ETA、整合性/バランス制御
最終検証と報告計画
8.4 FIU (SAR/STR、短い):
事実と疑いの根拠(「顧客の警告」なし)
金額/リンクされたアカウント/行動
アプリケーション(トランザクション/リンクグラフ)
AML責任ある連絡先
8.5 PSP/Acquirer/カードスキーム:
何が起こったのか(スキーム/影響を受ける方法)、PCIリスクマーカー
ビジネスへの影響(認証率、障害/遅延)
測定/バイパス、共同診断の要求
顧客補償プラン/返品処理
8.6 CERT/CSIRT:
妥協の指標(IoC)、 TTP、ベクトル
施策と残りのリスク
テレメトリーコーディネート/シェアリクエスト
9)チェックリスト
最初の通知を送信する前に
- 確認された事実;除外された秘密/PII。
- 法令遵守に同意する。宛先/チャンネルが選択されています。
- 次の更新(date/time/channel)を指定します。
- スクリーンショット/ARTEFACTSとアプリハッシュがキャプチャされます。
- ローカライズ/言語(必要に応じて)をチェックしました。
送信後
- 受信確認/チケット番号/レジストリID。
- 作成したプランと所有者を更新します。
- ステータスページ/FAQ/CSマクロの同期テキスト。
閉じる
- 最終報告書の送付と確認。
- CAPAはタイムラインとパフォーマンス指標で登録されています。
- レトロ≤ 7日。
10)利用規約と住所の登録(データ構造)
テーブルの形でGit/Confluenceに格納されます(バージョン管理、所有者-法的):11)アーティファクトと保持
タイムライン(分精度)、すべての通知のバージョン、謝辞。
それは……アーティファクト:ログ、ダンプ、エクスポートのメトリクス、IoC、構成スナップショット。
通知/補償に使用されるエンティティ/トランザクションリスト。
保持:ライセンス/法律の要件に応じてストレージ(通常1-7年、管轄によって指定)。
12)コンプライアンス指標
適時性:時間通りに送信される通知の%(カテゴリ別)。
「完了」(Completion)-最初に受信した通知の割合(パッチリクエストなし)。
謝辞SLA:謝辞を受け取る平均時間。
更新規律:更新間隔の遵守。
CAPA有効性:時間通りに閉じたCAPAの割合。
13)ツールとオートメーション
Incident bot:コマンド'/notify <category>'、締め切り/チャンネルの自動置換、締め切りに関するリマインダー。
テンプレートエンジン:インシデントパラメータからの通知のアセンブリ;バージョン/ローカライズ。
ステータスページ:外部更新と同期します。TTS (time-to-statement)監視。
SOAR/SIEM: DPA/CERT用の自動アーティファクトコレクション。
DWH/CRM:影響を受ける被験者セグメント、配信および検出トラッキング。
14)ガバナンス
セクションオーナー:コンプライアンス責任者(リザーブ-リーガルカウンセル)。
リビジョンを登録する(第10条):少なくとも四半期ごとに、各S1/S2の後に。
演習:DPA/レギュレータ/AMLによるテーブルトップ-四半期ごと;ライブドリル情報セキュリティ-6ヶ月に1回。
監査:通知のタイミングと完全性の遵守の年間独立した検証。
15)クイックスタート(30日間の実装)
1.すべてのライセンス/マーケットの必須アドレスのリストを作成し、レジスタに入力します(第10条)。
2.通知テンプレート(第8条)を承認し、インシデントボットに接続します。
3.SLAメトリック(第12条)と「規制報告」ダッシュボードを構成します。
4.演習を実施:データ侵害→DPA+プレーヤー、決済危機→PSP、 AML-SAR→FIU。
5.締め切りリマインダーと自動生成の保持文を有効にします。
6.最初の練習の結果に続いてレトロを起動し、プレイブックを更新します。
- 危機管理とコミュニケーション
- インシデントプレイブックとスクリプト
- 事業継続計画(BCP)
- 災害復旧計画(DRP)
- エスカレーションマトリックス
- 通知とアラートシステム
- 責任あるプレーとプレーヤーの保護