GH GambleHub

არხი ინფორმატორებისთვის და მონაცემთა დაცვა

1) დანიშვნა და რეგიონი

უზრუნველყოს უსაფრთხო, ხელმისაწვდომი და სანდო გზა თანამშრომლებისთვის, კონტრაქტორებისთვის, აფილიატებისთვის და სხვა სტეიკჰოლდერებისთვის, შეატყობინონ დარღვევები (კორუფცია, თაღლითობა, AML/სანქციები, RG, GDPR/PII, PCI/IB, რეკლამა/აფილატები, ინტერესთა კონფლიქტები, დისკრიმინაცია და შევიწროების დარღვევა, კანონის დარღვევა/დარღვევა). დოკუმენტი არეგულირებს არხებს, ანონიმურობას, მონაცემთა დამუშავებას, გამოძიების პროცედურებს და რეპრესიებისგან დაცვას.

2) პრინციპები

რეპრესიების ნულოვანი ტოლერანტობა. აკრძალულია ნებისმიერი პასუხი.
კონფიდენციალურობა და მონაცემების შემცირება. შეგროვება მხოლოდ აუცილებელი პრინციპია.
ინფორმატორის არჩევის ანონიმურობა. კომუნიკაციის შესაძლებლობა პიროვნების გამჟღავნების გარეშე.
დროულობა და სამართლიანობა. SLA მიღება/განხილვა; დოკუმენტირებული, მიუკერძოებელი მეთოდოლოგია.
დამოუკიდებლობა. როლების გამიჯვნა: შეტყობინებების მიღება, გამოძიება, სანქციები.
პროცესის გამჭვირვალობა. სტატუსის თვალყურის დევნება, უკუკავშირი, საჯარო სტატისტიკა პიროვნებების გარეშე.

3) როლები და RACI

Whistleblowing Officer (WBO) - პროცესის მფლობელი, სამჯერ, გამოძიების კოორდინაცია, მოხსენებები. (A/R)

Compliance/Legal/DPO - იურიდიული შეფასება, მონაცემთა დაცვა, კონფიდენციალურობის პოლიტიკა. (R/C)

InfoSec/CISO - არხის უსაფრთხოება, დაშიფვრა, წვდომის კონტროლი, ჟურნალისტიკა. (R)

HR/ER (Employee Relations) - ეთიკის/ქცევის შემთხვევები, დამხმარე ზომები. (R)

Internal Audit (IA) არის დამოუკიდებელი გამოძიების ხარისხის კონტროლი და CAPA. (C)

Security/Trust & Safety - ტექნიკური/ფროიდის შემთხვევა, ციფრული არტეფაქტების შეგროვება. (R)

Exec Sponsor (CEO/COO) - „tone from the the top“, რესურსები, S1 ესკალაცია. (I/A)

4) შეტყობინებების მიღების არხები

1. ვებ - ფორმა (რეკომენდებული ძირითადი): ანონიმურობის მხარდაჭერა; დაცული მიმოწერა dochen/ping.
2. ელ.ფოსტა: გამოყოფილი ყუთი მანქანის დაშიფვრით, ავტოკატასტროფით შინაარსის გამჟღავნების გარეშე.
3. ცხელი ხაზი/ტელეფონი: სისტემაში ჩაწერა მონაცემთა შენიღბვით.
4. ჩატ-ბოტი კორპორატიულ მესინჯერში: არა ანონიმურისთვის (ან მარიონეტული მექანიზმით).
5. საფოსტო მისამართი/ფიზიკური ყუთი: ოფლაინ შეტყობინებებისთვის (სკანირება და დატვირთვა სისტემაში).
6. პირდაპირი კონტაქტი WBO/IA- სთან: პირადი შეხვედრა - ინფორმატორის მოთხოვნით.

არხების მოთხოვნები: TLS end-to-end, დაშიფრული საცავის შენახვა, RBAC, წვდომის ჟურნალები უცვლელი, ანონიმური ფორმით IP/მოწყობილობების ტრეკინგის არარსებობა, ქუქი-ფაილების/ლოგების გამჭვირვალე პოლიტიკა.

5) მონაცემთა დაცვა და სამართლებრივი საფუძვლები

Lawful basis: იურიდიული მოვალეობების შესრულება, კომპანიის კანონიერი ინტერესები, საზოგადოებრივი ინტერესი (იურისდიქციიდან გამომდინარე).
DPIA: დაწყებამდე - კონფიდენციალურობაზე გავლენის შეფასება; რისკების დაფიქსირება და შემცირების ზომები.
მონაცემთა კლასიფიკაცია: პერსონალური, მგრძნობიარე (ჯანმრთელობა, ეთნიკურობა და ა.შ.), კომერციული საიდუმლოება, გამოძიების ნიმუშები.
მინიმიზაცია: არ შეაგროვოთ ზედმეტი; შეუსაბამო დოკუმენტების წაშლა.
ტრანსსასაზღვრო გადაცემები: მხოლოდ იურიდიული საფუძვლებისა და სახელშეკრულებო გარანტიების თანდასწრებით.
მონაცემთა სუბიექტების უფლებები: DSAR დამუშავებულია DPO; გამონაკლისი: არ გამჟღავნდეს ინფორმატორის ვინაობა და მონაცემები, რომლებიც საფრთხეს უქმნის გამოძიებას/მესამე.
რეცენზია: შეტყობინებები და არტეფაქტები - ჩვეულებრივ 5 წელი ან პოლიტიკა/კანონი/ლიცენზია; შემდეგ უსაფრთხო მოცილება (crypto-shred/ლოგიკური წაშლა ჟურნალთან).

6) უსაფრთხოება და ტექნიკური ზომები

დაშიფვრა: at-rest (KMS/HSM), in-transit (TLS), გასაღებები - როტაციით და დემარკაციით.
წვდომა: RBAC/ABAC, მინიმალური შეღავათების პრინციპი, ინდივიდუალური დომენები ანონიმური შემთხვევებისთვის.
ჟურნალები: უცვლელი (WORM), უჩვეულო წვდომის მონიტორინგი, ალერტები.
სეგმენტი: შეტყობინებების სისტემა იზოლირებულია პრო-სისტემებისგან; ცალკეული ზურგჩანთები აღდგენის შემოწმებით.
მეტამონაცემები: შენიღბვა, EXIF ინვესტიციების ამოღება, ინფორმატორის გაფრთხილება ავტომატური დე იდენტიფიკაციის შესახებ.
საიდუმლო საკომუნიკაციო არხები: დაცული საფოსტო ყუთი/ვებ ფოსტა ორმხრივი ანონიმური კორესპონდენციისთვის.

7) შემთხვევების კლასიფიკაცია და პრიორიტეტები

S1 (კრიტიკულად): კორუფცია/ქრთამი, დიდი ფროიდი, PII/PCI გაჟონვა, სიცოცხლის/უსაფრთხოების საფრთხეები, ლიცენზიების/კანონების სერიოზული დარღვევა.
S2 (მაღალი): პოლიტიკის სისტემური დარღვევები (AML/RG/GDPR/IB), სერიოზული ინტერესთა კონფლიქტები, დისკრიმინაცია/შევიწროება.
S3 (შუა): პროცედურების ადგილობრივი დარღვევები, შეცდომები რეკლამაში/აფილიატებში, ერთჯერადი ქცევის დარღვევა.
S4 (დაბალი): გაუმჯობესების წინადადებები, დაბალი რისკის ინციდენტები.

SLA:
  • მიღების ქვითარი: S1/S2 - 24 საათის განმავლობაში; S3/S4 - 3 გვ.
  • პირველადი შეფასება: S1 - 48 საათი; S2 - 5 გვ.; S3/S4 - 10 გვ.
  • გამოძიების გეგმა: S1 - 3 გვ.; S2 - 10 გვ.

8) კომუნიკაციიდან დახურვის პროცესი

ნაბიჯი 1 - მიღება და ქვითარი. ID- ის მინიჭება, არხის დაფიქსირება, მტკიცებულებების შენარჩუნება „როგორც არის“.
ნაბიჯი 2 - სამება და დამოუკიდებლობა. დანიშნული პირების ინტერესთა კონფლიქტის შემოწმება; კონფლიქტის დროს - გადანაწილება.
ნაბიჯი 3 - რისკის შეფასება და გეგმა. მოცულობა, ჰიპოთეზა, მეთოდების კანონიერება, არტეფაქტების სია, საგზაო რუკა.
ნაბიჯი 4 - მტკიცებულებების შეგროვება. დოკუმენტები, ლოგოები, ინტერვიუები, გარიგების ნიმუშები; დაცვა.
ნაბიჯი 5 - ანალიზი და დასკვნები. კრიტერიუმების (პოლიტიკა/კანონი/ლიცენზია) ფაქტი საფრთხეს უქმნის გავლენას.
ნაბიჯი 6 - რეკომენდაციები და CAPA. მაკორექტირებელი/გამაფრთხილებელი მოქმედებები, მფლობელები, ვადები, წარმატების მეტრიკა.
ნაბიჯი 7 - კომუნიკაციები და უკუკავშირი. ინფორმატორის პიროვნების გამჟღავნების გარეშე; სისუფთავე ენა (ფინალამდე ბრალდებების გარეშე).
ნაბიჯი 8 - დახურვა და გადაკეთება. საბოლოო ანგარიში, სტატუსი, არტეფაქტების შენახვა, ანონიმური სტატისტიკის გამოცემა.

9) კომუნიკაციები და ინფორმატორის დაცვა

ნვმა რპთოჲრ. არ გაამჟღავნოთ სავარაუდო მოძალადეებისთვის გაგზავნის/გამოძიების ფაქტი.
რეპრესიებისგან დაცვა. აკრძალულია შემცირება, განთავისუფლება, პრემიების ჩამორთმევა, დევნა და ა.შ. საპასუხო ზომები განიხილება, როგორც ცალკეული S1/S2 დარღვევა.
მხარდაჭერა: საჭიროების შემთხვევაში - სხვა გუნდში გადაყვანა, შვებულება, კონსულტაციები HR/იურისტებისთვის/ფსიქოლოგიური მხარდაჭერა.
ორმხრივი ანონიმური კომუნიკაცია: ინფორმატორს შეუძლია დასვას კითხვები და მიიღოს სტატუსი ვებ - inbox/ნიშნის საშუალებით.

10) სხვა პოლიტიკოსებთან ურთიერთობა

ეთიკისა და ქცევის კოდექსი არის სტანდარტები და არხები.
ანტიკორუფციული პოლიტიკა - due diligence, საჩუქრები, შუამავლები.
GDPR/PII - დამუშავების კანონიერება, DSAR, რეტენსია.
AML/RG/PCI/IB - სპეციალიზირებული პროცედურები და სამჯერ.
შიდა აუდიტი დამოუკიდებელი გამოძიების ხარისხის კონტროლია.

11) ჩეკის ფურცლები

11. 1 არხის დაწყებამდე

  • DPIA და კონფიდენციალურობის პოლიტიკა დამტკიცებულია DPO/Legal.
  • ტექნიკური არქიტექტურა: დაშიფვრა, RBAC, ჟურნალები WORM.
  • შედგენილია ანონიმური ვებ - ფორმა და ორმხრივი კომუნიკაცია.
  • ტრენინგი WBO/სამასი გუნდი გამოძიების მეთოდოლოგიის შესახებ.
  • მომზადდა შაბლონები (ქვითარი, გამოძიების გეგმა, მოხსენება, დახურვის წერილი).
  • საკომუნიკაციო კამპანია: „ზემოთ“, პლაკატები, ინტრანეტა, FAQ.

11. 2 გზავნილის მიღება

  • დაინიშნა ID, ჩაწერილია თარიღი/არხი/S- დონე.
  • დადასტურება ინფორმატორს გაუგზავნეს დეტალების გამჟღავნების გარეშე.
  • გადამოწმდა შემსრულებლების ინტერესთა კონფლიქტი.
  • დაფიქსირდა ყველა ინვესტიცია/მეტამონაცემი, განხორციელდა დე იდენტიფიკაცია.

11. 3 გამოძიება

  • დამტკიცებულია გეგმა და ჰიპოთეზა (საჭიროების შემთხვევაში Legal/DPO/InfoSec).
  • ქცევა ხორციელდება თითოეული არტეფაქტისთვის.
  • ინტერვიუები პროტოკოლირებულია; კონფიდენციალურობის გაფრთხილება.
  • დასკვნები ემყარება გადამოწმებულ ფაქტებს, ჩატარდა გულწრფელი მიმოხილვა.

11. 4 დახურული

  • CAPA დაინიშნა, განისაზღვრება ვადები და მეტრიკა.
  • ინფორმატორმა (შესაძლებლობამ) მიიღო ანონიმური გამოხმაურება.
  • რეტენცია/კლასიფიკაცია დამონტაჟებულია; არტეფაქტები მოთავსებულია არქივში.
  • სტატისტიკა განახლებულია დაშბორდზე.

12) დოკუმენტების შაბლონები (სწრაფი ჩანართები)

ა) Quitantia ინფორმატორი

💡 მადლობა შეტყობინებისთვის. თქვენი ID: WB-XXXX. ჩვენ შევისწავლით ინფორმაციას და საჭიროების შემთხვევაში დავუკავშირდებით ამ უსაფრთხო არხს. შეგიძლიათ ანონიმური დარჩეთ. გთხოვთ, საჯაროდ არ გაამჟღავნოთ ინფორმაცია აუდიტის დასრულებამდე.

B) გამოძიების გეგმა (ერთი პაგერი)

შემთხვევა: WB-XXXX პრიორიტეტი: S1/S2/S3/S4 მფლობელი:... ვადები:...
ჰიპოთეზები/კრიტერიუმები:...
მონაცემები/არტეფაქტები:...

ინტერვიუ: სია/გრაფიკი

კონფიდენციალურობის რისკები/იურიდიული შეზღუდვები:...
კომუნიკაციები და საკონტროლო წერტილები:...

C) საბოლოო ანგარიში (სტრუქტურა)

რეზიუმე ფაქტები კრიტერიუმები (პოლიტიკა/კანონი) CAPA პროგრამის რეკომენდაციების დასკვნების ანალიზი (არტეფაქტები).

D) დახურვის წერილი

💡 ჩვენ ვაცნობებთ, რომ WB-XXXX საქმის განხილვა დასრულებულია. მიღებულია შესაბამისობის ზომები. მადლობა კომპანიის ეთიკურ და უსაფრთხო მუშაობაში შეტანილი წვლილისთვის.

13) მეტრიკი და დაშბორდი

Intake Volume: შეტყობინებების რაოდენობა კატეგორიებსა და არხებზე.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA შესაბამისობა S- დონეზე.
CAPA Progress: დასრულებულია/სამსახურში/ამოიწურა, დახურვის საშუალო.
Retaliation Index: რეგისტრირებული საჩივრები საპასუხო ზომების შესახებ (მიზანი - 0).
Anonymity Rate: ანონიმური შეტყობინებების წილი და მათი კონვერტაცია დადასტურებულ შემთხვევებში.
Repeat Findings: თემების განმეორება 12 თვის განმავლობაში.
Awareness Impact: კამპანიების შემდეგ ზარების ზრდა; NPS ნდობა არხზე.

14) რისკები და კონტროლის ზომები

Deanomizations მეტამონაცემების საშუალებით. - დე-იდენტიფიკაცია, EXIF მოცილება, აშკარა გაფრთხილებები.
წვდომის გაჟონვა. RBAC, სეგმენტი, WORM ჟურნალები, წვდომის რეგულარული აუდიტი.
გამოგონილი შეტყობინებები/ბოროტად გამოყენება. - თავაზიანი ფილტრი და ფაქტების შემოწმება; სანქციები მცდარი განცხადებებისთვის (დაშინების ეფექტის გარეშე).
ინტერესთა კონფლიქტი გამოძიებაში. შემსრულებლების როტაცია, IA/Legal- ის მონაწილეობა.
რეპრესიები. საჩივრების ცალკეული ნაკადი; სწრაფი პასუხი HR/Compliance.

15) განათლება და ცნობიერება

ონბორდი: არხის მოდული, ანონიმურობა და მონაცემთა დაცვა (ტესტი 85%).
ყოველწლიური ხელახალი მომზადება ყველასთვის; დამატებითი ტრენინგები WBO/გამომძიებლებისთვის.
კვარტალური კამპანიები (პლაკატები/bot-quizes/ვიდეო): როგორ უნდა მივცეთ მაგალითები.

16) 30-დღიანი განხორციელების გეგმა

კვირა 1

1. დანიშნეთ WBO და სამუშაო ჯგუფი (Compliance/Legal/DPO/InfoSec/HR/IA).
2. გამართეთ DPIA, დაამტკიცეთ კონფიდენციალურობისა და რეტენციის პოლიტიკა.
3. არხების (ვებ - ფორმა/ფოსტა/ხაზი) სპეციფიკაცია, ანონიმურობის მოთხოვნები და ლოგოები.

კვირა 2

4. ტექნიკური პლატფორმის განხორციელება: დაშიფვრა, RBAC, WORM ჟურნალები, ანონიმური ვებ - ინბოქსი.
5. მოამზადეთ შაბლონები და SOP: ქვითარი, გეგმა, ანგარიში, დახურვის წერილი, CAPA.
6. გაწვრთნა WBO/სამჯერადი გუნდი; დანიშნეთ RACI და SLA.

კვირა 3

7. მფრინავი: 1-2 საცდელი შემთხვევა (ტაბ-ტოპი), მტკიცებულებათა ჯაჭვის შემოწმება და ჭრილობა.
8. Dashboard metrick და ანგარიშგების კონფიგურაცია მენეჯმენტის/კომიტეტისთვის.
9. კომუნიკაციები: CEO წერილი, გვერდი ინტრანეტში, FAQ, პლაკატები.

კვირა 4

10. არხის გაშვება; SLA/დატვირთვის მონიტორინგი; ცხელი მხარდაჭერა.
11. ყოველკვირეული შემთხვევების მიმოხილვები S1/S2 და CAPA სტატუსები.
12. რეტრო და კორექტირება v1. 1 (პოლიტიკა, ფორმები, ტრენინგი).

17) დაკავშირებული მონაკვეთები

ეთიკისა და ქცევის კოდექსი

ანტიკორუფციული პოლიტიკა

AML ტრენინგი და ტრენინგი/პერსონალის ინფორმირება შესაბამისობის შესახებ

ინციდენტის ფლეიბუქები და სკრიპტები

Dashbord Complaence და მონიტორინგი

შიდა აუდიტი და გარე აუდიტი

შეტყობინებები დარღვევებისა და ანგარიშგების ვადების შესახებ

მარეგულირებელი ანგარიშები და მონაცემთა ფორმატები

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.