GH GambleHub

მესამე მხარის მომწოდებლების რისკები და პარტნიორების აუდიტი

1) რატომ და ვისთვის

მიზანი: შეამციროს წარუმატებლობის, გაჟონვის და მარეგულირებელი დარღვევების ალბათობა, რომლებიც მოდის გარე მომწოდებლებისა და პარტნიორების მეშვეობით.
გაშუქება: PSP/გადახდის საკეტები, KUS/სანქციები/REP, ანტიფროდი, თამაშების და სტუდიის პროვაიდერები, აფილიატის ქსელები და ტრეკინგი, ღრუბლები/CDN/მასპინძლობა, BI/ანალიზი, რეტენის ინსტრუმენტები/მარკეტინგის-SDK, ქოლ ცენტრები, აგრეთვე ჩვენი ქურდების ქვესორები.

2) რისკის კატეგორიები (აფეთქების ღუმელის ბარათი)

ინფობეზი და კონფიდენციალურობა: PII/KYC/გადახდის ნიშნები, სუსტი TOMs, WORM/აუდიტის არარსებობა.
შესაბამისობა: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI ზონა, სარეკლამო/თამაშის იურისდიქციის მოთხოვნები.
ოპერაციული: წვდომა/SLA, დამოკიდებულება ერთი მიმწოდებლისგან (concentration), სუსტი BCP/DR.
ფინანსური: მიმწოდებლის სტაბილურობა, საკრედიტო რისკები, chargeback შოკები.
სანქციები/გეოპოლიტიკური: ექსპორტის/იმპორტის შეზღუდვები, მონაცემთა ცენტრების ადგილმდებარეობა, REP/სანქციები საკუთრების სტრუქტურებში.
რეპუტაცია და სამართლებრივი: რეკლამირების/პასუხისმგებლობის თამაშის დარღვევა, IP უფლებები.
ტექნიკური: დაუცველობა SDK/API, ვერსიების არარსებობა და ტესტის მედია.

3) მიწოდების ჯაჭვის კარტაცია

1. ინვენტორი: ყველა გამყიდველის/პარტნიორის/ქვე-პროცესორების ერთიანი რეესტრი მფლობელთან (ბიზნეს owner).
2. Data Map: რომელი მონაცემები/იურისდიქცია/მოცულობა გადის ვის მიერ; დროშები PII/ფინანსები/სპეციალური კუბურები.
3. კრიტიკა: ჩვენ კლასიფიკაციას ვაძლევთ გავლენას ფულზე/PII/აფთიაქზე.

4) მომწოდებლების ტირინგი (კრიტერიუმების მაგალითი)

ტირინიშნებიმაგალითებიმოთხოვნები
Tier 1 (კრიტიკული)PII/გადახდა, 24 × 7, პირდაპირი გავლენა GGR- ზეPSP, KUS/სანქციები, ანტიფროდი, ღრუბელისრული due diligence, აუდიტი, BCP/DR ტესტები, ყოველწლიური onsite/remote აუდიტი
Tier 2 (მაღალი)არაპირდაპირი გავლენა, PII masked, მნიშვნელოვანი ინტეგრაციასტუდიები/აგრეგატორები, DWH ინსტრუმენტებიგაფართოებული კითხვარი, შერჩევითი აუდიტი, ყოველწლიური მიმოხილვა
Tier 3 (საშუალო/დაბალი)არა PII/ფული, მარკეტინგის ინსტრუმენტებიელექტრონული ფოსტა, ვიჯეტებიმსუბუქი კითხვარი, სახელშეკრულებო მინიმუმი

5) რისკის სკრინინგი და მორიელი

ფაქტორები: უსაფრთხოება (პოლიტიკა, სერთიფიკაცია), კონფიდენციალურობა (DPA/SCCs/DTIA), შესაბამისობა (AML/PCI/ISO), ოპერაციული სტაბილურობა (SLA/BCP/DR), ფინანსები (აუდიტი/ანგარიშები), იურისახსნა/სანქციები, ინციდენტის ისტორია, ტექნოლოგიური სიმწიფება (SDLC/DevSecOps).
სკორინგი (მაგალითი): 0-5 თითოეული ფაქტორისთვის - შეწონილი შედეგი (W) - ზონა: მწვანე/ყვითელი/წითელი.

ბარიერი გადაწყვეტილებები:
  • მწვანე: სტანდარტული კონტრაქტი.
  • ამბერი: კონტროლი/რემონტი Go-Live- მდე.
  • Red: უკმარისობა ან მფრინავი დამატებითი ზომებით (segmentation, throttling, read-only, escrow, შემცირებული ლიმიტები).

6) Due diligence (რომელიც მოითხოვს შესასვლელში)

არტეფაქტები/კონტროლი (მინიმალური Tier 1-2):
  • უსაფრთხოების/კონფიდენციალურობის პოლიტიკოსები, RoPA, სუბპროცესორების რეესტრი.
  • აუდიტის/სერტიფიკაციის ანგარიშები (ISO 27001/SOC 2 ტიპი II/PCI გამოყენებისას), ბოლო პენტესტები.
  • BCP/DR და ტესტის შედეგები, RPO/RTO.
  • ინციდენტის პროცედურები (72-საათიანი შეტყობინებები), ინციდენტების ჟურნალი 12-24 თვის განმავლობაში.
  • DPA/ტრანსსასაზღვრო მექანიზმი (SCCs/IDTA) + DTIA, მონაცემთა/გასაღებების ლოკალიზაცია.
  • ინტეგრაციის უსაფრთხოება: mTLS/OIDC, ხელმოწერილი ვებჰუკები, გასაღების როტაცია, ალოუს სია IP.
  • წვდომის/ექსპორტის ჟურნალები, WORM ასლები, hash ჯაჭვები.
  • დაბინძურების და წაშლის პოლიტიკა, დადასტურება ბომბების განადგურების დროს.
  • ფინანსური სტაბილურობა (საჯარო მოხსენებები/ცნობები), საკუთრების სტრუქტურა (სანქციების/REP შემოწმება).

მსუბუქი კითხვარი Tier 2-3: sSIG/CAIQ დონეზე (20-60 საკითხი).

7) სახელშეკრულებო მოთხოვნები (ძირითადი პუნქტები)

SLA/SLO: აფთიაქი (მაგ. 99. 9%), ლატენტობა P95, ინციდენტებზე რეაგირების დრო, სერვისის კრედიტები.
უსაფრთხოება/პირადი addendum: დაშიფვრა at rest/in transit, გასაღებები/გეო, ჟურნალისტიკა, შენიღბვა, მონაცემების მეორადი გამოყენების აკრძალვა.
DPA + სუბპროცესორები: ჯაჭვის გაფართოების შესახებ ინფორმირების ვალდებულება; წინააღმდეგობის/აუდიტის უფლება.
Incident & Notification: შეტყობინების ფანჯარა 72 საათი; ლოგებზე/არტეფაქტებზე წვდომა; ერთობლივი ომის ოთახი.
BCP/DR: სავალდებულო ტესტები წელიწადში ერთხელ, RPO/RTO.
Pen-test/Audit rights: მინიმუმ წელიწადში 1 ჯერ (remote/onsite), ანგარიშებზე წვდომა.
Change Control: შეტყობინება ძირითადი ცვლილებების შესახებ (SDK/API/არქიტექტურა/გეოგრაფია).
Termination & Exit: მონაცემთა ექსპორტი (ფორმატები), მოცილება/დაბრუნება, კრიტიკული ინტეგრაციისთვის escrow, მიგრაციის მხარდაჭერა X დღეს.
Liability/Indemnity: cap/cublimits, IP გარანტიები, ჯარიმები SLA/გაჟონვის დარღვევებისთვის.

8) სასიცოცხლო ციკლი

8. 1 Onboarding

1. ბიზნესის დასაბუთება და owner ტირინგი - კითხვარი/არტეფაქტები.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. კონტროლდება Go-Live- მდე: სეგმენტი (VPC/tenant), დატვირთვა/ლიმიტები, შენიღბვა/ტოქსიკაცია, feature-flags, საცდელი ქვიშის ყუთი.
4. ხელშეკრულება/ინტეგრაცია - მფრინავი Go/No-Go.

8. 2 Continuous Monitoring

Techmonitoring: აფთიაქი, შეცდომები, ლატენტობა, რისკების ბიუჯეტი.
უსაფრთხოება: SIEM ალერტები (არანორმალური ექსპორტი/წვდომა 'purpose' გარეშე), მოვაჭრე ანგარიშები, SDK დაუცველობა.
კონფიდენციალურობა/შესაბამისობა: სუბპროცესორების ცვლილებები, ადგილმდებარეობები, რეტენსი; DSAR თავსებადობა.
ფინანსები: KPI კონვერტაციებში/რეფუნდ/chargeback, SLA ჯარიმები.
კვარტალური მიმოხილვა Tier 1-2- ისთვის და ყოველწლიური re-due-diligence.

8. 3 Offboarding

გასაღებების/წვდომის მიმოხილვა, მონაცემების განადგურება/დაბრუნება, აქტები, თიკეტების დახურვა, რეესტრების განახლება და მონაცემთა რუქები.

9) პარტნიორების აუდიტის პროცედურები

9. 1 გეგმა და რეგიონი

ფოკუსი: წვდომის კონტროლი, დაშიფვრა/გასაღებები, ჟურნალები, ინციდენტები, BCP/DR, DSAR პროცესები, სუბპროცესორები.

9. 2 მეთოდები

ინტერვიუები, დოკუმენტების/ლოგოების მიმოხილვა, ნიმუშების შემოწმება, ტექნიკური ტესტები (api-rate-limit/mTLS/ხელმოწერები), tabletop სწავლება.

9. 3 ანგარიში და CAPA

აღმოჩენის კლასიფიკაცია (Critical/High/Medium/Low), რემედიაციის დრო, დახურვის კონტროლი და retest.

10) გამყიდველის ინციდენტები: playbook

1. დეტაჟი: მოვაჭრე/ჩვენი მონიტორინგი/საზოგადოება.
2. War-room: owners + Security + DPO + Legal + Product.
3. შინაარსი: ტრაფიკის შეზღუდვა/SDK/გასაღებების გამორთვა, დროებითი ლიმიტები/კანარის აუზები.
4. Forenzic: ზარის ჟურნალი, ვებჰუკების ხელმოწერა, WORM- ის დადასტურება, დაზარალებული ჩანაწერების დიაპაზონი.
5. შეტყობინებები: რეგულატორები/მომხმარებლები/ბანკები (საჭიროების შემთხვევაში), ერთობლივი ტექსტები.
6. CAPA: ფიქსაცია, ვადები, ეფექტურობის შემოწმება; ხელშეკრულების სკორპინგისა და პირობების გადასინჯვა.

11) RACI (გაფართოებული)

აქტივობაBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
ტირინგი/საქმიანი შემთხვევაA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
ხელშეკრულებები (SLA/DPA/რედაქტირება)CCCA/RA/RIR
ინტეგრაცია/სეგმენტიCA/RCCIRI
მონიტორინგი/აუდიტიRA/RA/RA/RCRI
ინციდენტები/SARACA/RA/RA/RCRI
ოფშორული/ექსპორტი/მოცილებაRA/RAACRI

12) მეტრიკი (KPI/KRI)

Coverage: რეესტრში აქტიური მომწოდებლების%, შესაბამისი შეფასებით, 100% -ით.
Assessment TTM: საშუალო დრო due diligence Tier 1 15 სამუშაო დღის განმავლობაში.
Remediation SLA: კრიტიკული აღმოჩენები დახურულია 30 დღის განმავლობაში (95% ევრო).
Incident Notification: შეტყობინებების წილი ფანჯარაში 72 საათი - 100%.
DPA/SCCs/DTIA Coverage: Tier 1-2 - 100% აქტუალურია.
Concentration Risk: ტრეფიკის/შემოსავლის წილი 1 PSP/პროვაიდერზე X% (ბარიერი).
BCP/DR Evidence:% Tier 1 დადასტურებული ტესტებით 12 თვის განმავლობაში - 100%.
Export Logging: ექსპორტის 100% გაფორმებულია და დამწვარია.

13) შაბლონები და ფრაგმენტები

13. 1 მინი კითხვარი (Tier 1-2, ჩამკეტი)

სერტიფიკაცია/აუდიტი (ISO/SOC2/PCI), გასვლის თარიღი.
მონაცემთა არქიტექტურა: გეო, სუბპროცესორები, გასაღებები/KMS, დაშიფვრა.
ინციდენტები 24 თვის განმავლობაში (ტიპი/თარიღი/ზომები).
ხელმისაწვდომი და ჟურნალები (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (ტესტის თარიღები, RPO/RTO).
DSAR/ჭრელი, RoPA, CMP/SDK.
ტექნიკური API: mTLS/OIDC, ვებჰუკების ხელმოწერა, გასაღებების როტაცია, საბაზო-ლიმიტი.

13. 2 SLA (ფრაგმენტი)

მაჩვენებელიმიზანიგაზომვასესხი
აფთიაქი (თვე)99. 9%უარყოფითი. მონიტორინგი5–10% fee
Critical ინციდენტი: გამოხმაურება15 წუთზე მეტი ხნის წინომის ოთახი პროტოკოლიფიქსირებული.
რემედიაცია მაღალი30 დღეზე მეტი ხნით ადრეCAPA ანგარიშიფიქსირებული.

13. 3 Security & Privacy Addendum (ჩამკეტის კლაუსი)

"მონაცემების მეორადი გამოყენების აკრძალვა; დაშვება მკაცრად Need-to-Know; ექსპორტი მხოლოდ დამტკიცებულ რეესტრებში. „“

"უცვლელი ჟურნალები (WORM) ჰეშტის ხელმოწერით; აუდიტი მოთხოვნით წელიწადში ერთხელ. „“

„სუბპროცესორის შეცვლისას - შეტყობინება 30 დღე, წინააღმდეგობის უფლება, ალტერნატიული გეგმა.“

"DTIA ნებისმიერი ტრანსსასაზღვრო გადაცემისთვის ადეკვატური იურისდიქციების მიღმა; გასაღებები - EC/UK- ში (per შეთანხმება)"

14) ჩეკის ფურცლები

Go-Live- ის მიმწოდებელთან

  • Owner დაინიშნა, სროლა განისაზღვრა
  • კითხვარი/არტეფაქტები
  • DPA/SLA/რედაქტორები გაფორმებულია, გამოცხადებულია სუბპროცესორები
  • სეგმენტები/ლიმიტები/ნიღბები შედის, გასაღებები ცალკეულია
  • ტესტის ქვიშის ყუთები/ინციდენტის ტაბლეტები გაიარა
  • გასასვლელი/მიგრაციის გეგმა და escrow შედგენილია

კვარტალი (Tier 1-2)

  • SLA/ინციდენტების მონიტორინგი/SDK დაუცველობა
  • სერტიფიკატების/მოხსენებების განახლება, სუბპროცესორების რეესტრი

დადასტურებულია DR/BCP ტესტი

  • ფინ სკრინინგი (სტაბილურობა), სანქციების შემოწმება

საკონცენტრაციო რისკებისა და ალტერნატივების მოშლა

Offboarding

  • გასაღებები/წვდომა გაიხსენეს
  • მონაცემთა ექსპორტი დასრულებულია, წაშლა/შემცირების დადასტურება
  • დახურვის აქტები, განახლებულია Data Mar/რეესტრები

15) ტიპიური სცენარები და ზომები

ა) SDK მარკეტინგის დაუცველობა

დაუყოვნებლივი გათიშვა, ბლოკი PII- ის შეგროვებისთვის, საჭიროების შემთხვევაში DPO/რეგულატორების შეტყობინება, გამყიდველის CAPA, retest.

B) PSP დეგრადაციას ახდენს SLA

ავტო-ტრაფიკი სარეზერვო PSP- ზე, ლიმიტების შემცირება, სერვისის კრედიტების გააქტიურება, ხელშეკრულების გადახედვა/ეგზიტპოლის გეგმა.

C) გაჟონვა KYC პროვაიდერზე

ინტეგრაციის იზოლაცია, ტოქსინების გადაკვეთა, დაზარალებული ჩანაწერების კადრირება, შეტყობინებები, KYC high-risk სახელმძღვანელო, მოვაჭრის აუდიტი, შესაძლო ჩანაცვლება.

16) TPRM განხორციელების გზის რუკა

კვირები 1-2: მოვაჭრეების ინვენტარიზაცია, Data Map, ტირინგი, ძირითადი კითხვარი და რეესტრი.
კვირები 3-4: SLA/DPA/დანამატების შაბლონები, onboarding/monitoring/offoarding პროცესი, ინტეგრაცია SIEM/CMDB/IDP- სთან.
თვე 2: Tier 1-2 მფრინავი, კვარტალური მიმოხილვების წამოწყება, სერთიფიკატების/ვადების შემოწმების ავტომატიზაცია.
თვე 3 +: სკალირება, სკალირება/დაშბორდები, BCP/DR სტრესის ტესტები, კონცენტრაციის რისკების ოპტიმიზაცია და ალტერნატიული მარშრუტები.

TL; DR

ძლიერი TPRM = გამყიდველების სრული რუკა - ტირინგი და მორიელი - მკაცრი კონტრაქტები (SLA/DPA/BCP/DTIA), სეგმენტაცია და უსაფრთხო ინტეგრაცია, უწყვეტი მონიტორინგი და აუდიტი - სწრაფი ეგზიტ/რემედიაცია. ეს იცავს ფულს, მონაცემებსა და ლიცენზიებს - და ინარჩუნებს ბიზნესის სტაბილურობას პარტნიორების წარუმატებლობის დროსაც კი.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.