GH GambleHub

შესაბამისობის სახელმძღვანელო პარტნიორებისთვის

1) დანიშნულება და მოქმედების სფერო

ეს მენეჯმენტი განსაზღვრავს შესაბამისობის მოთხოვნებს პარტნიორებისთვის/კონტრაქტორებისთვის/აფილიატებისთვის/პროვაიდერებისთვის (მათ შორის გადახდისა და ჰოსტინგის პლატფორმები, შინაარსის სტუდიები, ანტიფროდიული სერვისები, ქოლ-ცენტრები, მარკეტინგული სააგენტოები).

მიზნები:
  • უსაფრთხოების, კონფიდენციალურობის, მარეგულირებელი და პასუხისმგებელი კომუნიკაციის ერთიანი სტანდარტები.
  • ოპერაციული/იურიდიული რისკების შემცირება მიწოდების ქსელში.
  • „Audit-ready“ არის მტკიცებულებათა საფუძველი და ურთიერთგამომრიცხავი.

2) ტერმინები

პარტნიორი არის ნებისმიერი მესამე მხარე, რომელიც აწარმოებს მონაცემებს ან უზრუნველყოფს მომსახურებას.
კრიტიკული პარტნიორი - მნიშვნელოვან გავლენას ახდენს უსაფრთხოებაზე, გადასახადებზე, პერსონალურ მონაცემებზე ან მარეგულირებელ პროცესებზე.
სუბპროცესორი არის პარტნიორის კონტრაქტორი, რომელიც მონაწილეობს მონაცემთა დამუშავებაში.

3) პრინციპები

კომპლექსი-დიზაინი: მოთხოვნები ინტეგრირებულია პროცესებსა და არქიტექტურაში.
მონაცემთა შემცირება და იურისდიქციის აღრიცხვა (მონაცემთა აღდგენა).
ტრეკინგი და უცვლელი: ლოგოები, WORM არქივი, ჰაშის ქვითრები.
Proportionality: შემოწმების სიღრმე დამოკიდებულია რისკზე.
„ჭეშმარიტების ერთი ვერსია“: დადასტურებული ნიმუშები, რომლებიც გასაგებია SLA და RACI.

4) როლები და RACI

როლიპასუხისმგებლობა
Vendor Management (A)რისკის კლასიფიკაცია, onboarding/offboarding, მონიტორინგი
Compliance/GRC (R)მოთხოვნები, შემოწმება, CAPA, აუდიტის მზადყოფნა
Legal/DPO (C)ხელშეკრულებები, DPA, კონფიდენციალურობა, ტრანსსასაზღვრო
SecOps/CISO (C/R)ესენი. ინციდენტები, დეტექტივები
Finance/Payments (C)გადახდის მოთხოვნები, chargeback/სანქციები
Business Owner (R)ოპერატიული მუშაობა პარტნიორთან, KPI
Internal Audit (I)დამოუკიდებელი შესაბამისობის შეფასება

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) რისკის მქონე პარტნიორების კლასიფიკაცია

კრიტერიუმები: მონაცემთა ტიპი (PII/გადახდა), გარიგების მოცულობა, სარეკლამო სისტემებზე წვდომა, იურისდიქცია, ჯაჭვში (პროცესორი/მაკონტროლებელი) როლი, ინციდენტების ისტორია, სერთიფიკატები/აუდიტი.
დონე: დაბალი/საშუალო/საშუალო/მაღალი/Critical, განსაზღვრავს Due Diligence სიღრმეს და გადასინჯვის სიხშირეს.

6) ონბორდინგი და Due Diligence (DD)

ნაბიჯები:

1. DD კითხვარი (მფლობელები, ქვე-პროცესორები, მონაცემთა ადგილმდებარეობა, სერთიფიკატები, მაკონტროლებლები).

2. სანქციების/რეპუტაციის/ბენეფიციარების შემოწმება.

3. უსაფრთხოების/კონფიდენციალურობის შეფასება: SOC/ISO/PCI/პენტესტი, რეტენციალური პოლიტიკა, DSAR პროცესები.

4. ტექნიკური შემოწმება: SSO/OAuth, დაშიფვრა, საიდუმლო მენეჯმენტი, ლოჯისტიკა.

5. გადახდის/AML ასპექტები (თუ გამოიყენება): chargeback პროცესები, ანტიფროდი, ლიმიტები.

6. Risk Report და გადაწყვეტილება: მიღება/პირობითად/უარი + SARA/კომპენსაციის ზომები.

7. ხელშეკრულებები: MSA, SLA/OLA, DPA, აუდიტის უფლება, სარკის რემისია, ინციდენტების შეტყობინებები, off-ramp.

7) სავალდებულო მოთხოვნები პარტნიორისთვის (მინიმალური)

7. 1 უსაფრთხოება და კონფიდენციალურობა

დაშიფვრა transit/at rest, კლავიშების მართვა (KMS/HSM).
RBAC/ABAC, MFA, Admin სამოქმედო ჟურნალი, re-cert წვდომა.
ლოგოები და WORM არქივი ჰაშის ხელმოწერით; სინქრონიზებული დრო.
რეტენციის პოლიტიკოსები, ლეგალური ჰოლდი, DSAR პროცედურები; შენიღბვა/ტოქსიკაცია PI.
დაუცველობის/პენტესტის მოხსენებები; მართვადი განახლების პოლიტიკა.

7. 2 მარეგულირებელი და მარკეტინგი

ყალბი/აგრესიული ოფისის აკრძალვა, სავალდებულო დისკლეიმერები.
საპასუხისმგებლო თამაშის წესების დაცვა და ასაკობრივი გადამოწმება (თუ გამოიყენება).
გეო-მიზნობრივი ლიცენზიების და ადგილობრივი შეზღუდვების შესაბამისად.
დოკუმენტირებული თანხმობები/შეტყობინებები კომუნიკაციებისთვის, პრუფების შენახვა.

7. 3 გადახდა/AML/KYC (როლისთვის)

პროცედურები KYC/KYB, სანქციები/REP სკრინინგი, გარიგების მონიტორინგი.
საავტორო უფლებების ლოგოები/3DS, chargeback პროცესები, რისკის შეზღუდვები.
დაბლოკვის/გამოძიებისა და დაბრუნების შეთანხმებული სკრიპტები.

8) ტექნიკური ინტეგრაცია

SSO/SAML/OIDC, SCIM დებულებები (თუ ეს შესაძლებელია).
სტრუქტურირებული ლოგიკა (JSON/OTel), ტრეკი (ტრეკი _ id).
ვებჰუკი - ხელმოწერით და შენიშვნებით; მიწოდების/idempotence გარანტია.
API ლიმიტები, კონტრაქტის ტესტები, საბანკეტო კომპოზიცია, ვერსიები.
იზოლირებული გარემო, გასაღებები და საიდუმლოებები საიდუმლო საცავებშია.

9) სახელშეკრულებო ვალდებულებები

SLA/OLA: აფთიაქი, TTR/MTTR, შეფერხებები, RPO/RTO კრიტიკული მომსახურებისთვის.
Evidence & Audit: აუდიტის უფლება, PBC ფორმატები, პასუხის დრო, მონაცემთა ოთახი.
ინციდენტები: შეტყობინება X საათი, მოხსენების ფორმატი და დრო, CAPA.
Retention და მოცილება: TTL, განადგურების დადასტურება, SLR რეტენცია სუბპროცესორებში.
კონფიდენციალურობა/NDA და ქვეკონტრაქტზე შეზღუდვები.

10) ინციდენტის მენეჯმენტი (ერთად)

გამაფრთხილებელი არხი და battle-rhythm apdates.
შესაბამისი მონაცემების დაუყოვნებლივი Legal Hold.
ერთობლივი დრო (ვინმეს/რა/როდის), არტეფაქტები ჰაშის ქვითრებით.
შეტყობინებები რეგულატორებს/მომხმარებლებს - შეთანხმებული პროცესის საშუალებით.
პოსტ-mortem, CAPA, re-audit 30-90 დღეში.

11) ანგარიშები და მონიტორინგი

კვარტალური ანგარიშები: სერთიფიკატები, ინციდენტები, SLA, სუბპროცესორები, მონაცემთა ადგილმდებარეობის ცვლილებები.
პირადი/DSAR მეტრიკა, მომხმარებელთა საჩივრები, მარკეტინგული დარღვევები.
ფინანსური/გადახდა: chargeback ratio, ანტიფროდიული ეფექტურობა, გასაჩივრების win-rate.

12) აუდიტის კონტროლი და უფლება

დაგეგმილი გადასინჯვები რისკის კლასებში; დაუგეგმავი - ინციდენტებზე/კრიტიკულ ცვლილებებზე.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
CAPA- ს შედეგები, დახურვის დრო და გადამოწმება (evidence WORM- ში).

13) პარტნიორის ოფთალმოლოგია

მიგრაციის/ჩანაცვლების გეგმა, არტეფაქტების და გასაღებების გადაცემა.
მონაცემთა განადგურების დადასტურება პარტნიორსა და ქვე-პროცესორებს შორის.
წვდომის/საიდუმლოებების მიმოხილვა, ინტეგრაციის არხების დახურვა.
საბოლოო აუდიტი/ანგარიში და მტკიცებულებების არქივი.

14) მეტრიკი და KRI

Onboarding Lead Time (სარისკო კლასებში).
Vendor Certificate Freshness (მიზანი: კრიტიკული პარტნიორების 100%).
SLA Compliance და Incident Rate პარტნიორი.
პირადი/DSAR SLA და მომხმარებლის საჩივრები.
Chargeback Ratio/Fraud Loss% (გადახდის როლებისთვის).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (არაკოორდინირებული ცვლილებები ადგილმდებარეობებში/ქვე-პროცესორებში).

15) დაშბორდი

Vendor Risk Heatmap: რისკი, სერთიფიკატები, ინციდენტები, ქვეყნები.
კომპლემენტაცია: DPA/SLA- ს არსებობა, აუდიტის უფლება, რენტგენოლოგია/იურიდიული ჰოლდი.
SLA & Incidents: აფთიაქი, TTR/MTTR, დაუცველი ინციდენტები.
Privacy & DSAR: ვადები, მოცულობა, საჩივრები, ტენდენციები.
Payments/Fraud: chargeback ratio, მიზეზები, გასაჩივრების win-rate.
CAPA & Re-audit: სტატუსები, შეფერხებები, განმეორებითი კომენტარები.

16) SOP (სტანდარტული პროცედურები)

SOP-1: პარტნიორის ონბორდი

DD კითხვარი - სკრინინგი/კონფიდენციალურობა/უსაფრთხოება Risk Report ხელშეკრულებების (MSA/DPA/SLA) ინტეგრაციისა და გაუმჯობესების კონფიგურაციის მიზნით.

SOP-2: პარტნიორის ცვლილებები

ნოტიფიკაცია ცვლილებების შესახებ (სუბპროცესორები/ადგილმდებარეობები/არქიტექტურა) - რისკის შეფასება ხელშეკრულებების/პოლიტიკის, ტესტებისა და პროდის შესახებ.

SOP-3: ინციდენტი

ერთი არხი Legal Hold არის ერთობლივი დრო/არტეფაქტები CAPA-re-audit შეტყობინებების შესახებ.

SOP-4: პერიოდული გადასინჯვა

PBC რისკის წლიური/კვარტალური ციკლი ToD/ToE ნიმუშის ანგარიში/SARA - მეტრის გამოქვეყნება.

SOP-5: Offboarding

მიგრაციის გეგმა, ექსპორტი/გადაცემა, განადგურების დადასტურება, წვდომის გაუქმება საბოლოო დასკვნამდე.

17) არტეფაქტების შაბლონები

17. 1 Vendor DD Checklist (ფრაგმენტი)

იური მონაცემები/ბენეფიციარები; სანქციების სკრინინგი

სერთიფიკატები/აუდიტი, უსაფრთხოების პოლიტიკა/კონფიდენციალურობა

მონაცემთა Lockets/სუბპროცესორები/retention

ინციდენტები 24 თვის განმავლობაში, CAPA

ესენი. ინტეგრაცია: SSO, ლოგიკა, დაშიფვრა, ვებჰუკი

17. 2 DPA/SLA - სავალდებულო პუნქტები

მონაცემთა დამუშავება, მიზნები, სამართლებრივი საფუძვლები

ინციდენტის შეტყობინების ვადები, მოხსენების ფორმატი

აუდიტის უფლება, PBC ფორმატები, მონაცემთა ოთახი

TTL/მოცილება, Legal Hold, განადგურების დადასტურება

სუბპროცესორები და დამტკიცების პროცედურა

17. 3 მტკიცებულების პაკეტი

წვდომის/ადმინის მოქმედებების ლოგოები (სტრუქტურირებული, ჰაშის ქვითრები)

დაუცველობის/პენტესტის/სკანირების ცნობები

DSAR რეესტრი/წაშლა/რეპეტიცია

SLA/ინციდენტები/აღდგენა (RTO/RPO)

ხელშეკრულებების/addendum- ის ხელმოწერილი ვერსიები

18) ანტიპატერები

გაუმჭვირვალე სუბპროცესორები/მონაცემთა ადგილმდებარეობა.
„გავლა“ ხელმისაწვდომია re-cert და ჟურნალების გარეშე.
ხელით გადმოტვირთვა უცვლელი და ჰაშის დადასტურების გარეშე.
მარკეტინგი ყალბი/აკრძალული დაპირებებით.
ოფშორული მონაცემების განადგურების მტკიცებულებების არარსებობა.
მარადიული ტალღები ვადების გარეშე და კომპენსაციის ზომების გარეშე.

19) სიმწიფის მოდელი (M0-M4)

M0 AD-hoc: ერთჯერადი შემოწმება, არ არსებობს პარტნიორული რისკების რეესტრი.
M1 კატალოგი: პარტნიორთა სია, ძირითადი DD/ხელშეკრულებები.
M2 კონტროლირებადი: რისკების კლასები, SLA/DPA, დაშბორდები, დაგეგმილი გადასინჯვები.
M3 ინტეგრირებული: ლოგიკა/evidence-ავტობუსი, re-audit, CAPA-link, „audit-ready“.
M4 Continuous Assurance: რეალურ დროში მონიტორინგი, რეკომენდაციების შემოწმება, PBC/evidence პაკეტების ავტომატური წარმოება.

20) ვიკის დაკავშირებული სტატიები

Due Diligence პროვაიდერების არჩევისას

აუთსორსინგის რისკები და კონტრაქტორების კონტროლი

გარე აუდიტი მესამე მხარის აუდიტორების მიერ

მტკიცებულებებისა და დოკუმენტაციის შენახვა

ჟურნალების მართვა და Audit Trail

დარღვევების აღმოფხვრის გეგმები (CAPA)

განმეორებითი აუდიტი და შესრულების კონტროლი

საცავი პოლიტიკოსი და სტანდარტები

შესაბამისობის გადაწყვეტილებების კომუნიკაცია გუნდებში

შედეგი

„პარტნიორებისთვის შესაბამისობის სახელმძღვანელო“ მიწოდების ჯაჭვს მენეჯმენტ ეკოსისტემად აქცევს: ერთიანი მოთხოვნები, პროგნოზირებადი შემოწმებები, უცვლელი მტკიცებულებები და გამჭვირვალე შეთანხმებები. ეს ამცირებს რისკებს, აჩქარებს ინტეგრაციას და თანამშრომლობას ფართომასშტაბიანი და გადამოწმებულად აქცევს.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.