GH GambleHub

타사 위험 및 파트너 감사

1) 왜 그리고 누구를위한

목표는 외부 공급 업체 및 파트너를 통해 발생하는 고장, 누출 및 규제 위반 가능성을 줄이는 것입니다.
적용 범위: PSP/결제 게이트웨이, CCM/제재/RAP, 사기 방지, 게임 제공 업체 및 스튜디오, 제휴 네트워크 및 추적, 클라우드/CNC/호스팅, BI/분석, 보존 도구/마케팅 -SDK, 콜 센터 및 공급 업체의 서브 프로세서.

2) 위험 범주 (도메인 맵)

정보 보안 및 개인 정보 보호: PII/KYC/결제 토큰 누출, 약한 TOM, WORM/감사 부족.
준수: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI 구역, 관할 구역의 광고/게임 요구 사항.
운영: 가용성/SLA, 농도, 약한 BCP/DR.
재무: 공급 업체의 안정성, 신용 위험, 요금 환급 충격.
제재/지정 학적: 수출/수입 제한, 데이터 센터의 위치, 소유권 구조의 REP/제재.
평판 및 법적: 광고/책임 놀이 위반, IP 권리.
기술: SDK/API 취약점, 버전 설정 부족 및 테스트 환경.

3) 공급망 매핑

1. 인벤토리: 소유자 (비즈니스 소유자) 와 모든 공급 업체/파트너/하위 프로세서의 단일 레지스터.
2. 데이터 맵: 데이터/관할권/볼륨이 누구를 통과하는지; PII 플래그/금융/특별 카테고리.
3. 비판: 돈/PII/가동 시간에 미치는 영향으로 분류됩니다.

4) 공급 업체 지루함 (예 기준)

촬영 갤러리표지판요구 사항
1 단계 (중요)PII/결제, 24 × 7, GGR에 직접적인 영향PSP, CCM/제재, 사기 방지, 클라우드전체 실사, 감사, BCP/DR 테스트, 연간 현장/원격 감사
2 단계 (높음)간접 충격, PII 마스크, 중요한 통합스튜디오/애그리 게이터, DWH 도구확장 된 설문지, 무작위 감사, 연례 검토
3 단계 (중간/낮음)PII/돈, 마케팅 도구 없음이메일, 위젯Name가벼운 설문지, 계약 최소

5) 위험 심사 및 득점

요인: 보안 (정책, 인증), 개인 정보 보호 (DPA/SCC/DTIA), 규정 준수 (AML/PCI/ISO), 운영 탄력성 (SLA/BCP/DR), 재무 (감사/보고), 관할권/제재, 사고 이력, 기술 성숙 (SDLC/DevSec Ops).
점수 (예): 각 계수에 대해 0-5 → 가중 합계 (W) → 영역: 녹색/노랑/빨간색.

임계 값 솔루션:
  • 녹색: 표준 계약.
  • 앰버: Go-Live에 대한 제어/치료.
  • 빨간색: 추가 조치가있는 고장 또는 파일럿 (세분화, 스로틀 링, 읽기 전용, 에스크로, 한계 감소).

6) 실사 (입구에서 필요한 것)

아티팩트/컨트롤 (1 단계 최소):
  • 보안/개인 정보 보호 정책, RoPA, 하위 프로세서 레지스트리.
  • 감사 보고서/인증 (해당되는 경우 ISO 27001/SOC 2 유형 II/PCI), 최신 침투 테스트.
  • BCP/DR 및 테스트 결과, RPO/RTO.
  • 사건 절차 (72 시간 알림), 12-24 개월 동안의 사건 기록.
  • DPA/국경 간 메커니즘 (SCC/IDTA) + DTIA, 데이터/키 현지화.
  • 통합 보안: mSL/OIDC, 서명 된 웹 후크, 키 회전, 허용 목록 IP.
  • 액세스/내보내기 로그, WORM 사본, 해시 체인.
  • 보존 및 삭제 정책, 오프 보드 중 백업 파괴 확인.
  • 재무 안정성 (공개보고/인증서), 소유권 구조 (제재/POP 수표).

2-3 단계에 대한 설문지: sSIG/CAIQ 수준 (20-60 질문).

7) 계약 요구 사항 (핵심 포인트)

SLA/SLO: 가동 시간 (예: 99. 9%), P95 대기 시간, 사고 대응 시간, 서비스 크레딧.
보안/개인 정보 보호 부록: 휴식/운송 중 암호화, 키/지오, 로깅, 마스킹, 데이터 재활용 금지.
DPA + 서브 프로세서: 체인 확장을 알리는 의무; 이의 제기/감사의 권리.
인시던트 및 알림: 알림 창 로그/아티팩트에 액세스; 공동 전쟁 실.
BCP/DR: 1 년에 한 번 필수 테스트 N, RPO/RTO.
펜 테스트/감사 권한: 1 년에 1 회 이상 (원격/현장), 보고서 액세스.
제어 변경: 주요 변경 사항 알림 (SDK/API/아키텍처/지리).
종료 및 종료: 데이터 내보내기 (형식), 삭제/반환, 중요한 통합을위한 에스크로, X-day 마이그레이션 지원.
책임/보상: 캡/큐비 미트, IP 보증, SLA 위반/누출에 대한 처벌.

8) 온 보딩 → 모니터링 → 오프 보드

8. 온보드 1 개

1. 비즈니스 사례 및 소유자 → 찢어짐 → 설문지/아티팩트.
2. 위험 검토 (보안/개인 정보 보호/준수/법률/금융).
3. Go-Live 이전의 컨트롤: 세분화 (VPC/테넌트), 부하/제한, 마스킹/토큰 화, 기능 플래그, 테스트 샌드 박스.
4. 계약/통합 → 파일럿 → Go/No-Go.

8. 2 지속적인 모니터링

기술 모니터링: 가동 시간, 오류, 대기 시간, 위험 예산.
보안: SIEM 경고 ('목적없이 비정상적인 수출/액세스'), 공급 업체 보고서, SDK 취약점.
개인 정보 보호/준수: 서브 프로세서, 위치, 보존 변경; DSAR 호환성.
재무: 전환/환불/요금 환급, SLA 처벌에 의한 KPI.
Tier 1-2 및 연간 재실사에 대한 분기 별 검토.

8. 3 오프 보드

키/액세스 취소, 데이터 및 백업 파괴/반환, 행위, 티켓 폐쇄, 레지스터 및 데이터 맵 업데이트.

9) 파트너 감사 절차

9. 1 계획 및 지역

초점: 액세스 관리, 암호화/키, 로그, 사건, BCP/DR, DSAR 프로세스, 하위 프로세서.

9. 2 가지 방법

인터뷰, 문서/로그 검토, 현장 점검, 기술 테스트 (api-rate-limited/mSL/sign), 탁상용 연습.

9. 3 보고서 및 CAPA

결과 분류 (중요/높음/중간/낮음), 치료 타이밍, 폐쇄 제어 및 재테스트.

10) 공급 업체의 사건: 플레이 북

1. 탐지: 공급 업체/모니터링/커뮤니티 신호.
2. 전쟁 실: 소유자 + 보안 + DPO + 법률 + 제품.
3. 격리: 트래픽 제한/비활성화 SDK/키, 시간 제한/카나리아 풀.
4. 법의학: 통화 로그, 웹 후크 서명, WORM 확인, 영향을받는 레코드 범위.
5. 알림: 규제 기관/사용자/은행 (필요한 경우), 공동 텍스트.
6. CAPA: 수정, 마감일, 효과 점검; 점수 및 계약 조건의 개정.

11) RACI (확대)

활동사업자보안DPO/프라이버시준수/법률금융SRE/데이터조달
지루한/비즈니스 사례A/RCCCCCC
실사RA/RA/RA/RCCC
계약 (SLA/DPA/편집)CCCA/RA/R나는R
통합/세분화CA/RCC나는R나는
모니터링/감사RA/RA/RA/RCR나는
사건/CAPACA/RA/RA/RCR나는
오프 보드/내보내기/삭제RA/RAACR나는

12) 측정 항목 (KPI/KRI)

적용 범위: 최신 점수가 100% 이상인 레지스트리에서 활성 공급 업체의%.
평가 TTM: 중간 실사 1 자리 영업일.
치료 SLA: 중요한 결과가 30 일 동안 마감되었습니다 (행정 95%).
사건 알림: 창의 알림 비율은 72 시간 - 100% 입니다.
DPA/SCC/DTIA 적용 범위: 1-2 단계 - 100% 관련.
농도 위험: 1 PSP/공급자 당 트래픽/수익의 비율은 X% (임계 값) 입니다.
BCP/DR 증거: 12 개월 확인 테스트가있는 1 단계-100%.
수출 로깅: 수출의 100% 가 서명 및 기록됩니다.

13) 템플릿 및 조각

13. 1 미니 설문지 (1-2 단계, 노출)

인증/감사 (ISO/SOC2/PCI), 만료일.
데이터 아키텍처: 지오, 서브 프로세서, 키/KMS, 암호화.
24 개월 이내의 사건 (유형/날짜/측정).
액세스 및 저널 (RBAC/ABAC, 브레이크 글래스, JIT, WORM).
BCP/DR (테스트 날짜, RPO/RTO).
DSAR/보존, RoPA, CMP/SDK.
API 기술 제어: mSL/OIDC, 웹 후크 서명, 키 회전, 속도 제한.

13. SLA 2 개 (조각)

표시기목적측정크레딧
가동 시간 (달)99. 9%외부 모니터링5-10% 수수료
중요한 사건: 응답10 분의 1 분전쟁 실 프로토콜수정.
치료 높음소 30 일CAPA 보고서수정.

13. 3 보안 및 개인 정보 보호 부록

"데이터 재활용 금지; 알아야 할 사항에 의한 엄격한 액세스; 승인 된 레지스터로만 내보내기 "

"해시 시그니처가있는 고정 로그 (WORM); 1 년에 한 번 요청에 대한 감사 "

"하위 프로세서 교체-30 일도 알림, 이의 제기 권리, 대체 계획".

"적절한 관할 구역 외부의 국경 간 전송에서 DTIA; 키-EC/UK (계약 당) "

14) 점검표

공급 업체와 함께 생활하기 전에

  • 소유자 할당, 촬영 범위 정의
  • 설문지/아티팩트 수신 및 확인
  • DPA/SLA/편집 서명 된 서브 프로세서 선언
  • 세그먼트/제한/마스킹 활성화, 키 분리
  • 사고 통과에 의한 샌드 박스/탁상 테스트
  • 종료/마이그레이션 계획 및 에스크로 공식화

분기 별 (1-2 단계)

  • SLA/Incident/SDK 취약성 모니터링
  • 인증서/보고서, 하위 프로세서 레지스트리 업데이트
  • DR/BCP 검증
  • 핀 스크리닝 (저항), 제재 점검
  • 집중 위험 및 대안 검토

오프 보드

  • 키/액세스 취소
  • 데이터 내보내기 완료, 삭제/백업 확인
  • 데이터 마르/레지스터에 의해 업데이트 된 폐쇄 인증서

15) 전형적인 시나리오 및 측정

A) 마케팅 SDK의 취약성

즉시 종료, PII 수집 블록, 필요한 경우 DPO/레귤레이터 알림, 공급 업체 CAPA, 재테스트.

B) PSP가 SLA를 통해 분해 됨

백업 PSP로 트래픽을 자동 라우팅하여 한도를 낮추고 서비스 크레딧을 활성화하며 계약/종료 계획을 수정합니다.

C) KYC 제공 업체의 누출

통합 격리, 토큰 취소, 영향을받는 레코드 매핑, 알림, 수동 KYC 고위험, 공급 업체 감사, 가능한 교체.

16) TPRM 구현 로드맵

1-2 주: 공급 업체 목록, 데이터 맵, 찢어짐, 기본 설문지 및 레지스트리.
3-4 주: SLA/DPA/부가 템플릿, 온 보딩/모니터링/오프 보딩 프로세스, SIEM/CMDB/IDP 통합.
2 단계: 1-2 단계 파일럿, 분기 별 리뷰 시작, 인증서/마감일 확인 자동화.
3 개월 이상: 스케일링, 스코어링/대시 보드, BCP/DR 스트레스 테스트, 집중 위험 최적화 및 대체 경로.

TL; DR

강력한 TPRM = 전체 공급 업체 맵 → 계층 및 채점 → 하드 계약 (SLA/DPA/BCP/DTIA) → 세분화 및 안전한 통합 → 지속적인 모니터링 및 감사 → 빠른 종료/치료. 이는 돈, 데이터 및 라이센스를 보호하며 파트너가 충돌 할 때에도 비즈니스 탄력성을 유지합니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

Telegram
@Gamble_GC
통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.