GH GambleHub

ლიცენზიის გახანგრძლივება და აუდიტი

1) რატომ არის მნიშვნელოვანი

ლიცენზია არ არის სტატიკური დოკუმენტი, არამედ ვალდებულება მხარი დაუჭიროს RG/AML სტანდარტებს, უსაფრთხოებას, მონაცემებსა და ანგარიშგებას. წარმატებული გახანგრძლივება და აუდიტი ადასტურებს რისკების მართვას, პროცესების სიმწიფეს და მასშტაბის მზადყოფნას.

საკვანძო პრინციპები: evidence-first, no-humans-in-code, policy-as-code, traceability.

2) გაფართოებისა და აუდიტის ტიპები

ლიცენზიის გახანგრძლივება: კალენდრის მიხედვით (ჩვეულებრივ, ყოველწლიურად/წელიწადში ერთხელ) - ფორმის, მოსაკრებლების და მაკონტროლებელი მტკიცებულებების პაკეტის წარდგენა.
ვარიაციები/ცვლილებები: ბენეფიციარების შეცვლა, ვერტიკალების დამატება, ჰოსტინგის ადგილები, ძირითადი პირები - საჭიროა ცალკეული კოორდინაცია.
მარეგულირებელი აუდიტი: პოლიტიკის/ანგარიშგების, მარკეტინგის/აფილიატების, RG/AML, ინციდენტების ჟურნალების შემოწმება.
Techaudit/ლაბორატორიები: RNG/RTP, SDLC/გამოშვებები, დაუცველობა/პენტესტი, DR/BCP, ჰოსტინგი და ლოგოები.
ფინანსური აუდიტი: GGR/გადასახადები/რეზერვები, ბონუსის ჩამოწერის სისწორე, გადახდების რეესტრები.
GDPR/DPA აუდიტი: DPIA, დამუშავების რეესტრი, საგნების პასუხები, გაჟონვა/შეტყობინებები.
PCI DSS (თუ PAN- სთან მუშაობთ): სეგმენტი, ტოკენიზაცია, წვდომის ჟურნალები, ASV სკანერები.

3) გაფართოების კალენდარი: სავარაუდო მასშტაბი

T-90... 60 დღე - გაშვების ანალიზი, პოლიტიკოსის განახლება, ლაბორატორიების/აუდიტორების დაჯავშნა.
T-60... 30 - არტეფაქტების შეგროვება (logs, SBOM, სკანირების/პენტესტის მოხსენებები, DR აქტები), Key Persons- ის დადასტურება.
T-30... 14 - პაკეტის ფინალი, მტკიცებულებების შიდა ნიმუში, ინტერვიუში პასუხისმგებელი პირების მომზადება.
T-14... 0 - renewal პაკეტის მიწოდება, საფასურის გადახდა, რეგულატორის პასუხებზე SLA ფანჯრები.
T + 0... + 30 - Q & A/მოთხოვნები, რემედიაცია, გახანგრძლივების დადასტურება.

💡 კრიტიკული გზა: Key Persons არის ტექნიკური დეკლარაციის პოლიტიკის/პროცედურების (SDLC/logs/DR), ლაბორატორიების/აუდიტორების Q & A.

4) Evidence პაკეტი: რა უნდა გააკეთოთ წინასწარ

Org/კანონი: საკუთრების სტრუქტურა, SoF/SoW (ცვლილებების დროს), CV და Key Persons სერთიფიკატები, დელეგაციების რეესტრი.
პოლიტიკოსები: შესაბამისი AML/CTF, RG, რეკლამა/აფილიატები, მონაცემთა დაცვა (DPIA), ინციდენტები, DR/BCP; გადასინჯვისა და ტრენინგის ჟურნალი.

IT და გამოშვებები:
  • გამოცემა SBOM- ით და არტეფაქტების ხელმოწერებით;
  • SAST/SCA/DAST მოხსენებები, რემედიზაციის გეგმა, „კრიტიკული/მაღალი“ არარსებობა აქტიური გამონაკლისების გარეშე;
  • დაკვირვება: დაშბორდები SLO/SLI, სინთეზური შემოწმებები „ანაბრები/KUS/გამომავალი“;
  • ლოგიკა: სტრუქტურირებული ლოგოები PII/PAN, retenshny და ძებნა;
  • DR/BCP: restore ტესტების აქტები, RTO/RPO, გადაუდებელი წვრთნების ოქმები.
  • RG/AML: ინტერვენციისა და შედეგების რეესტრი, სელფ-ექსკლუზია (ადგილობრივი/ეროვნული), საეჭვო ოპერაციების მოხსენებები (STR/SAR), სანქციები/REP-log.
  • მარკეტინგი/აფილიატები: არხების თეთრი სიები, approvals კრეატიული ნიმუში, დარღვევებისა და ზომების ჟურნალი.
  • ფინანსები/გადასახადები: GGR ანგარიშები ვერტიკალურად, ბონუსების/ჯეკპოტის კორექტირება, კრეკერები PSP/ბანკებთან.

5) ფორმატი და ტრეკირება

თითოეულ პოლიტიკას აქვს კონტროლი და მტკიცებულებები (ეკრანის კადრები, გადმოტვირთვის, ჰაშის ანგარიშები და თარიღი).
ერთჯერადი „Evidence Map“ ინდექსი: კონტროლი, სადაც ინახება პასუხისმგებლობის მიღების თარიღი.
პაკეტის ვერსია (Git/საცავი) + წვდომის კონტროლი ისე, რომ აუდიტორებს შეუძლიათ შერჩევით ნახონ არტეფაქტები.

6) მოთხოვნები IT/მონაცემებისთვის (რასაც ყველაზე ხშირად უყურებენ)

SDLC/გამოშვებები: staging piplines, სახელმძღვანელო/ხარისხის კარიბჭეები, დაბრუნების პოლიტიკა, გაყიდვების პირდაპირი ცვლილებების აკრძალვა.
Supply chain: არტეფაქტების ხელმოწერები, SBOM, admission შემოწმება, დაუცველობის პოლიტიკა.
საიდუმლოებები და დაშვება: SSO/MFA/PAM, მოკლე ცხოვრების ნიშნები, პრივილეგირებული სესიების ჟურნალები.
ქსელი: სეგმენტი, WAF/bot მენეჯმენტი, DDoS, mTLS/egress კონტროლი.
დაკვირვება: OTel ტრეისი, SLO dashboards, alerror-budget, SRM ჩეკი ექსპერიმენტებში.
მონაცემები: DPIA, მინიმიზაცია, მონაცემები რეგიონების შესახებ (residence), წვდომის ჟურნალები PII/PAN.
DR/BCP: bacaps, რეგულარული restore პროტოკოლებით, გადართვის სავარჯიშოები.

7) აუდიტის გავლა: ტაქტიკა

1. Kickoff და scope: კოორდინაცია პერიმეტრის, ნიმუშების ჩამონათვალის, მტკიცებულებების ფორმატის შესახებ.
2. მონაცემთა ოთახი: მოამზადეთ სტრუქტურირებული წვდომა Evidence Map- ზე.
3. Dry-run ინტერვიუები: MLRO/DPO/RG-Lead/CTO/SRE - Q&A პროგონი და დემონსტრაციები.
4. Live სესიები: ჩვენ ვაჩვენებთ ლოგებს, SLO დაშბორდები, გამოშვებული არტეფაქტები, DR სკრიპტები.
5. რემედიაცია: ჩვენ შევთანხმდებით პრიორიტეტებსა და ვადებზე, ჩაწერეთ ტრეკერში.
6. Closure: აუდიტის ანგარიში, გაკვეთილები, პოლიტიკოსის/კონტროლის განახლება, რეტრო.

8) რემედიაციის გეგმა (შაბლონი)

IDპოვნარისკიმოქმედებებიმფლობელივადასტატუსი
SEC-01სურათების ხელმოწერა არ არის 2 სერვისშიHighჩართეთ ხელმოწერები და admission პოლიტიკაPlatform Lead15 დნსამსახურში
RG-02ინტერვენციების არასრული ტელემეტრიაMediumღონისძიებების/დაშბორდის გაფართოება, ტრენინგის ჩატარებაRG Lead10 დნგეგმა
AML-03დაუცველობის 2 გამონაკლისი ამოიწურაHighგამონაკლისების დახურვა/განახლება, ანგარიში SIEM- შიSecurity Lead7 დნდჲრჲგა

9) RACI (მაგალითი: გაფართოების პროგრამა)

რეგიონიResponsibleAccountableConsultedInformed
Evidence Map და მონაცემთა ბაზაCompliance PMHead of ComplianceSecurity, Platform, DataExec
პოლიტიკოსები და ტრენინგებიCompliance LeadCOOLegal, HRAll
SDLC/გამოშვებები/SBOMPlatform/SRE LeadCTOSecurityCompliance
პენტესტი/დაუცველობაSecurity LeadCTOVendorsCompliance
RG/AML ანგარიშიRG Lead / MLROCOOSupport, DataExec
მარკეტინგი/აფილიატებიMarketing OpsCMOLegal, ComplianceFinance
ფინანსები/GGR/გადასახადებიFinance LeadCFOPSP, ContentExec

10) ჩეკის ფურცლები

10. 1 Ready Definition (ვადამდე 60-90 დღით ადრე)

  • განახლებულია AML/RG/რეკლამა/მონაცემები/ინციდენტები; ტრენინგი ჩატარდა.
  • დაადასტურა Key Persons, რომელიც აქტუალურია SoF/SoW (საჭიროების შემთხვევაში).
  • შეაგროვეთ SAST/SCA/DAST და პენტესტი, დახურულია კრიტიკული/მაღალი, ვადაგადაცილებული გამონაკლისების გარეშე.
  • ჟურნალები SBOM/ხელმოწერებით არის ხელმისაწვდომი; admission-policy enforce.
  • ხელმისაწვდომია SLO/SLI დაშბორდები და სინთეზური შემოწმების მოხსენებები „ანაბრები/KUS/გამომავალი“.
  • DR/restore ტესტები SLA RTO/RPO ფარგლებში.
  • RG/AML რეესტრები: ჩარევა, SAR/STR, სელფ-ექსკლუზია; ანგარიშები სანქციების/RES.
  • მარკეტინგი/აფილიატები: არხების თეთრი სიები, შემოქმედებითი ნიმუშები.
  • GGR/გადასახადების ფინანსური ანგარიშგებები შემცირებულია PSP/ბანკებთან.

10. 2 Done Definition (აუდიტის გახანგრძლივების/აუდიტის დადასტურების შემდეგ)

  • მიიღო წერილი/გაფართოების სერთიფიკატი, განახლდა რეესტრები/ვებსაიტები/დოკუმენტები.
  • რემედიზაციის გეგმა დაიხურა, განახლდა პოლიტიკოსები და Evidence Map.
  • ჩატარდა რეტრო: გაკვეთილები, პროცესებში ცვლილებები, განახლდა კალენდარი.
  • გაგზავნილი შეტყობინებები პროვაიდერებს/PSP (საჭიროების შემთხვევაში).

11) აუდიტის დროს აფილიატებთან მუშაობა და რეკლამირება

მოამზადეთ არხების რეესტრი, კრეატიული ნიმუში, 18 +/21 + მიზნის მტკიცებულებები, კოორდინაციის ლოგო.
არღვევს პარტნიორების „stop-list“ პროცედურა, RG/AML შესაბამისობის ხელშეკრულებებში პირობები.
შოუს/შეზღუდვების სიხშირე და ბლოკის ფურცლები.

12) რისკების მენეჯმენტი

რისკიალბათობა/იმპაქტინიშანიკონტროლიმფლობელი
კრიტიკული დაუცველების შეფერხებაM/HFindings> 14 დღეპოლიტიკა „არა კრიტიკული/მაღალი“, ავტო რემონტიSecurity
არასრული RG ჟურნალებიM/Mმოვლენების ხარვეზებიმოვლენების კატალოგი, მონაცემთა QARG Lead
არასაკმარისი მტკიცებულება SDLCM/Hგამოცემის კითხვებიSBOM/ხელმოწერები, ცვლილების ჟურნალიPlatform
არასტაბილური DR პროცედურებიL/HRTO/RPO ვერ იქნა მიღწეულიკვარტალური ტესტებიSRE
რეკლამირების/აფილატების დარღვევაM/Mსაჩივრები, ჯარიმებითეთრი სიები, კრეატიული აუდიტიMarketing

13) მინი შაბლონები

ქუდი Evidence Map (CSV): 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
აუდიტის გეგმა (1 გვერდი):
  • სკოპი/მიზნები
  • ნიმუშების სია და მტკიცებულებების ფორმატი
  • სესია/ინტერვიუ
  • როლები და კონტაქტები
  • არხი Q&A და SLA პასუხები

14) ხშირი კითხვები

დაუყოვნებლივ უნდა წარადგინოთ ყველა ნივთი? არა: შეიტანეთ ბაზა, მაგრამ მოდით ნიმუშები მოთხოვნით - მაგრამ შეინახეთ ყველაფერი მზად.
შესაძლებელია თუ არა ზოგიერთი ლოგის არარსებობის ანაზღაურება? მხოლოდ გასაგები მიზეზით და გამოსწორების გეგმით (და ვადებით).
რა არის მარეგულირებლისთვის უფრო მნიშვნელოვანი - პოლიტიკა თუ მტკიცებულება? ყოველთვის არის მტკიცებულება, რომ პოლიტიკა ნამდვილად მუშაობს.

15) მოკლე გეგმა 30 დღის განმავლობაში (დაჩქარებული ბილიკი)

კვირა 1: საბოლოო გაშვების ანალიზი, პოლიტიკოსის განახლება, SLO/ლოგოების გაზომვა, აუდიტორების დაჯავშნა.
კვირა 2: SBOM/ხელმოწერების/გამოცემების შეგროვება, დაუცველების/პენტესტის მოხსენებები, DR აქტები.
კვირა 3: RG/AML/მარკეტინგის კონსოლიდაცია, კონსოლიდირებული დაშბორდები, dry-run ინტერვიუები.
კვირა 4: მომსახურება, Q&A, სწრაფი რემედიაცია და გახანგრძლივების დადასტურება.

მოკლე დასკვნა

გაფართოება და აუდიტი არ არის ერთჯერადი „ანგარიშის ჩაბარება“, არამედ პროცესების სიმწიფის რეგულარული დემონსტრირება. ააშენეთ კალენდარი, ჩაატარეთ Evidence Map, ავტომატურად აკონტროლებთ კოდს, შეინახეთ დაკვირვება და DR კარგ ფორმაში. შემდეგ გახანგრძლივება რისკის რუტინად გადაიქცევა, ხოლო აუდიტი გადაიქცევა რეგულატორების, პარტნიორებისა და მოთამაშეების მიერ გაუმჯობესებისა და ნდობის წყაროდ.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.