GH GambleHub

파트너 준수 안내서

1) 목적과 범위

이 안내서는 파트너/계약자/제휴사/제공자 (결제 및 호스팅 플랫폼, 컨텐츠 스튜디오, 사기 방지 서비스, 콜센터, 마케팅 대행사 포함) 의 준수 요구 사항을 정의합니다.

목표:
  • 보안, 개인 정보 보호, 규제 및 책임있는 커뮤니케이션의 통일 표준.
  • 공급망의 운영/법적 위험을 줄입니다.
  • "감사 준비" 증거 기반 및 상호 검증 가능성.

2) 용어

파트너-모든 타사 처리 데이터 또는 서비스 제공.
중요한 파트너-보안, 지불, 개인 데이터 또는 규제 프로세스에 중대한 영향을 미칩니다.
서브 프로세서-데이터 처리와 관련된 파트너의 거래자.

3) 원칙 ("디자인 신조")

설계 별 준수 요구 사항은 프로세스 및 아키텍처에 내장되어 있습니다.
데이터 최소화 및 관할권 회계 (데이터 상주).
추적 성 및 불변성: 로그, WORM 아카이브, 해시 영수증.
비례: 점검 깊이는 위험에 따라 다릅니다.
"진실의 한 버전": SLA와 RACI가 이해 한 확인 된 인공물.

4) 역할 및 RACI

역할책임
공급 업체 관리 (A)위험 분류, 온 보드/오프 보드, 모니터링
준수/GRC (R)요구 사항, 수표, CAPA, 감사 준비
법률/DPO (C)계약, DPA, 개인 정보 보호, 국경 간
SecOps/CISO (C/R)그것들. 요구 사항, 사고, 탐지
금융/지불 (C)결제 요청, 청구 거절/제재
사업자 (R)파트너, KPI와의 운영 작업
내부 감사 (I)독립적 인 준수 평가

(R - 책임; A - 책임; C-컨설팅; I-정보)

5) 위험 파트너 분류

기준: 데이터 유형 (PII/결제), 거래량, 생산 시스템 액세스, 관할 구역, 체인에서의 역할 (프로세서/컨트롤러), 사고 기록, 인증서/감사.
레벨: 낮음/중간/높음/중요 → 는 실사의 깊이와 수정 빈도를 결정합니다.

6) 온보드 및 실사 (DD)

단계:

1. DD 설문지 (소유자, 하위 프로세서, 데이터 위치, 인증서, 제어).

2. 제재/평판/수혜자 심사.

3. 보안/개인 정보 보호 평가: SOC/ISO/PCI/침투 테스트, 보존 정책, DSAR 프로세스.

4. 기술 점검: SSO/OAuth, 암호화, 비밀 관리, 로깅.

5. 지불/AML 측면 (해당되는 경우): 채권 회수 프로세스, 사기 방지, 제한.

6. 위험 보고서 및 솔루션: 입학/조건부/거부 + CAPA/보상 조치.

7. 계약: MSA, SLA/OLA, DPA, 감사 권리, 미러 보유, 사고 알림, 오프 램프.

7) 필수 파트너 요구 사항 (최소)

7. 1 보안 및 개인 정보 보호

대중 교통/휴식 시간에 암호화, 키 관리 (KMS/HSM).
RBAC/ABAC, MFA, 관리자 로그, 재 인증 액세스.
해시 서명이있는 로그 및 WORM 아카이브; 동기화 된 시간.
보존 정책, 법적 보류, DSAR 절차; 마스킹/토큰 화 PI.
취약성 보고서/침투 테스트; 관리 업데이트 정책.

7. 2 규제 및 마케팅

신뢰할 수없는/공격적인 제안, 의무 면책 조항 금지.
책임있는 놀이 및 연령 확인 규칙을 준수합니다 (해당되는 경우).
라이센스 및 지역 제한에 따른 지리 타겟팅.
커뮤니케이션, 증거 저장에 대한 문서화 된 동의/비밀 유지.

7. 3 지불/AML/KYC (역할 별)

KYC/KYB 절차, 제재/PEP 심사, 거래 모니터링.
승인 로그/3DS, 청구 처리 프로세스, 위험 제한.
일관된 차단/조사 및 반환 시나리오.

8) 기술 통합

SSO/SAML/OIDC, SCIM 프로비저닝 (가능한 경우).
구조화 된 로깅 (JSON/OTel), 추적 (trace _ id).
웹 후크-서명 및 레트라 포함; 배송 보증/dedempotency.
API의 한계, 계약 테스트, 이전 버전과의 호환성, 버전화.
고립 된 환경, 열쇠 및 비밀은 비밀 저장소에 있습니다.

9) 계약 의무

SLA/OLA: 중요한 서비스를위한 가동 시간, TTR/MTTR, 대기 시간, RPO/RTO.
증거 및 감사: 감사 권리, PBC 형식, 응답 시간, 데이터 룸 액세스.
인사이트: 알림 보이스 X 시간, 보고서 및 타임 라인 형식, CAPA.
보존 및 제거: TTL, 파괴 확인, 서브 프로세서의 미러 보존.
기밀 유지/AOI 및 하도급 제한.

10) 사건 관리 (공유)

단일 알림 채널 및 전투 리듬 업데이트.
관련 데이터의 즉각적인 법적 보류.
공동 타임 라인 (누가/무엇을/언제), 해시 영수증이있는 아티팩트.
합의 된 프로세스를 통해 규제 기관/고객에게 알리기.
사후 부검, CAPA, 30-90 일 후에 재감사.

11) 보고 및 모니터링

분기 별 보고서: 인증서, 사고, SLA, 하위 프로세서, 데이터 위치 변경.
개인 정보 보호/DSAR 지표, 고객 불만, 마케팅 위반.
재무/지불: 요금 환급 비율, 사기 방지 효율성, 상금 항소.

12) 통제 및 감사 권

위험 클래스 별 예정된 감사; 계획되지 않음-사고/중요한 변경.
Data Room, PBC-ли님도, ToD/ToE/Walkthrough/Reperform.
CAPA → 결과, 일정 및 폐쇄 증거 (WORM).

13) 파트너 오프 보드

마이그레이션/교체 계획, 아티팩트 및 키 전송.

파트너 및 서브 프로세서 데이터 파괴를 확인하십시오

액세스/비밀, 긴밀한 통합 채널을 취소하십시오.
증거의 최종 감사/보고 및 보관.

14) 측정 및 KRI

온 보딩 리드 타임 (위험 클래스 별).
공급 업체 인증서 신선도 (대상: 100% 중요 파트너).
파트너 별 SLA 준수 및 사건 비율.
개인 정보 보호/DSAR SLA 및 고객 불만.
Chargeback Ratio/Fraud Loss% (결제 역할).
CAPA 온타리오! 결과를 반복하십시오.
국소화/관할권 드리프트 (위치/하위 프로세서의 일관되지 않은 변경).

15) 대시 보드

공급 업체 위험 히트맵: 위험률, 인증서, 사건, 국가.
준수 범위: DPA/SLA 가용성, 감사 권한, 유지/법적 보류.
SLA 및 사건: 가동 시간, TTR/MTTR, 비공개 사건.
개인 정보 보호 및 DSAR: 용어, 볼륨, 불만, 동향.
지불/사기: 요금 환급 비율, 이유, 상금 항소.
CAPA 및 재감사: 상태, 지연, 반복 된 의견.

16) SOP (표준 절차)

SOP-1: 파트너 온 보딩

DD 설문지 → 심사 → 해당/개인 정보 보호/보안 평가 → 위험 보고서 → 계약 (MSA/DPA/SLA) → 통합 및 로깅 → 파일럿 → 생생한 설정.

SOP-2: 파트너 변경

알림 변경 (하위 프로세서/위치/아키텍처) → 위험 평가 → 계약/정책 업데이트 → 테스트 → Prod.

SOP-3: 사건

단일 채널 → Legal Hold → 공동 타임 라인/아티팩트 → 알림 → CAPA → 재감사.

SOP-4: 정기 개정

연간/분기 별 위험주기 → PBC → ToD/ToE 샘플 → 보고서/CAPA → 메트릭 게시물.

SOP-5: 오프 보드

마이그레이션 계획 → 수출/이전 → 파괴 확인 → 액세스 취소 → 최종 보고서.

17) 아티팩트 패턴

17. 1 공급 업체 DD 점검표 (스 니펫)

유르. 데이터/수혜자; 제재 심사

인증서/감사, 보안/개인 정보 보호 정책

데이터 위치/하위 프로세서/보존

CAPA, 24 개월 만에 발생한 사건

그것들. 통합: SSO, 로깅, 암호화, 웹 후크

17. 2 DPA/SLA-필수 품목

데이터 처리, 목표, 법적 근거

사건 알림 타이밍, 보고서 형식

감사 오른쪽, PBC 형식, 데이터 룸

TTL/제거, 법적 보류, 파괴 확인

하위 프로세서 및 승인 순서

17. 3 증거 팩

로그/관리 작업 액세스 (구조화, 해시 영수증)

취약성/침투/스캔 보고서

DSAR 레지스트리/삭제/보존

SLA/Incident/Recovery (RTO/RPO)

계약/부록의 서명 된 버전

18) 안티 패턴

Opaque 서브 프로세서/데이터 위치.
"End-to-end" 는 재 인증 및 로그없이 액세스합니다.
불변성 및 해시 확인없이 수동 업로드.
비정규/금지 약속으로 마케팅.
오프 보드시 데이터 파괴의 증거가 없습니다.
마감일과 보상 조치없이 영원한 면제.

19) 성숙도 모델 (M0-M4)

M0 Hell-hoc: 일회성 점검, 파트너의 위험 등록 없음.
M1 디렉토리: 파트너 목록, 기본 DD/계약.
M2 관리: 위험 클래스, SLA/DPA, 대시 보드, 예정된 개정.
M3 통합: 로깅/증거 버스, 재감사, CAPA 연결, "감사 준비".
M4 연속 보증: 실시간 모니터링, 권장 사항 확인, PBC/증거 패키지 자동 생성.

20) 관련 위키 기사

공급자를 선택할 때 실사

아웃소싱 위험 및 계약자 통제

외부 감사인의 외부 감사

증거 및 문서 저장

벌목 및 감사 트레일

치료 계획 (CAPA)

재감사 및 후속 조치

정책 및 준수 저장소

팀의 규정 준수 솔루션 커뮤니케이

합계

"파트너 준수 안내서" 는 공급망을 균일 한 요구 사항, 예측 가능한 점검, 불변의 증거 및 투명한 배치와 같은 관리 생태계로 전환합니다. 이를 통해 위험을 줄이고 통합 속도를 높이며 협업을 확장 가능하고 검증 할 수 있습니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

Telegram
@Gamble_GC
통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.