GH GambleHub

Лицензияларды узартуу жана аудит

1) Эмне үчүн маанилүү

Лицензия статикалык документ эмес, RG/AML, коопсуздук, маалыматтар жана отчеттуулук стандарттарын колдоо милдети болуп саналат. Ийгиликтүү узартуу жана аудит тобокелдиктердин башкаруучулугун, процесстердин жетилгендигин жана масштабга даярдыгын тастыктайт.

Негизги принциптери: evidence-first, no-humans-in-prod, policy-as-code, traceability.

2) Узартуунун жана аудиттин түрлөрү

Лицензияны узартуу (renewal): календар боюнча (адатта жыл сайын/жыл сайын N) - контролдоо боюнча формаларды, жыйымдарды жана далилдердин пакетин берүү.
Вариациялар/өзгөрүүлөр (variation): бенефициарларды алмаштыруу, вертикалдарды, хостингдин жайгашкан жерлерин, негизги адамдарды кошуу - өзүнчө макулдашууну талап кылат.
Регулятивдик аудит: саясат/отчеттуулук, маркетинг/аффилиаттар, RG/AML, инцидент журналдарын текшерүү.
Техаудит/лабораториялар: RNG/RTP, SDLC/релиздер, кемчиликтер/pentest, DR/BCP, хостинг жана логиндер.
Финансылык аудит: GGR/салыктар/резервдер, бонустук эсептен чыгаруулардын тууралыгы, төлөмдөрдүн реестрлери.
GDPR/DPA аудит: DPIA, иштеп чыгуу реестри, субъекттерине жооп, агып/билдирүүлөр.
PCI DSS (эгерде сиз PAN менен иштесеңиз): сегментация, токенизация, кирүү журналдары, ASV сканерлери.

3) узартуу календары: болжолдуу шкала

T-90...60 күн - gap-талдоо, саясатты жаңыртуу, лабораторияларды/аудиторлорду брондоо.
T-60...30 - экспонаттарды чогултуу (логи, SBOM, сканерлердин/пентесттердин отчеттору, DR-актылар), Key Persons тастыктоо.
T-30...14 - пакеттин акыркы, далилдерди ички тандоо (sampling), маек үчүн жооптуу даярдоо.
T-14...0 - renewal-пакетин берүү, төлөмдөрдү төлөө, SLA-терезелер жөнгө жооп.
T + 0... + 30 - Q & A/суроолор, ремедиация, узартуу ырастоо.

💡 Критикалык жол: Key Persons → саясат/жол-жоболор → техникалык далилдер (SDLC/Логи/DR) → лабораториялар/аудиторлор → Q&A

4) Evidence пакети: алдын ала даярдоо үчүн эмне

Орг/укук: ээлик структурасы, SoF/SoW (өзгөрүүлөр менен), CV жана Key Persons маалымдамасы, өткөрүп берүү реестри.
Саясат: учурдагы AML/CTF, RG, жарнама/аффилиаттар, маалыматтарды коргоо (DPIA), окуялар, DR/BCP; аудит жана тренингдердин журналы.

IT жана релиздер:
  • SBOM жана артефакттардын кол тамгалары менен релиздер журналы;
  • SAST/SCA/DAST отчеттору, ремедиация планы, активдүү өзгөчөлүктөрү жок "critical/high" жок;
  • байкоо: дашборддор SLO/SLI, синтетикалык текшерүүлөр "депозиттик/KUS/чыгаруу";
  • Логин: PII/PAN, retenshn жана издөө жок структураланган Логи;
  • DR/BCP: калыбына келтирүү сыноо актылары, RTO/RPO, шашылыш машыгуу протоколдору.
  • RG/AML: интервенциялар жана натыйжалар реестри, өз алдынча exclusion (жергиликтүү/улуттук), шектүү операциялардын отчеттору (STR/SAR), санкция/РЕР-лог.
  • Маркетинг/аффилиаттар: каналдардын ак тизмелери, апрувалдар менен чыгармаларды тандоо, мыйзам бузуулар жана чаралар журналы.
  • Финансы/салыктар: GGRдин вертикалдык отчеттору, бонустарды/джекпотторду тууралоо, PSP/банктар менен салыштыруу.

5) Формат жана трасса жөндөмдүүлүгү

Ар бир саясат-контролдоо-далилдерди (скриншоттор, жүктөр, хеш жана датасы менен отчеттор).
Бирдиктүү индекс "Evidence Map": көзөмөл → кайда сакталат → жооптуу → жаңылануу күнү.
Пакеттин версиясы (Git/Repository) + аудиторлор экспонаттарды тандап көрө алышы үчүн кирүү контролу.

6) IT/маалыматтар үчүн талаптар (көп карап)

SDLC/релиздер: staging-payplayns, кол/auto-гейт сапаты, кайтаруу саясаты, азык-түлүктө түздөн-түз өзгөрүүлөргө тыюу салуу.
Supply chain: кол экспонаттар, SBOM, admission текшерүү, алсыздык саясаты.
Secrets & Access: SSO/MFA/PAM, кыска мөөнөттүү токендер, артыкчылыктуу сессиялардын журналдары.
Тармак: сегментация, WAF/бот-менеджмент, DDoS, mTLS/egress-control.
байкоо: OTel-соода, SLO dashboards, alerty error-budget, SRM-чек эксперименттерде.
Маалыматтар: DPIA, минималдаштыруу, региондор боюнча маалыматтар (residency), PII/PAN кирүү журналдары.
DR/BCP: backaps, протоколдор менен үзгүлтүксүз калыбына келтирүү, которуу көнүгүүлөр.

7) Аудит өтүү: тактика

1. Kickoff жана scope: периметри, үлгүлөрүнүн тизмеси, далилдер формат боюнча макулдашуу.
2. Data room: Evidence картасына структураланган жеткиликтүүлүктү даярдоо.
3. Dry-run маек: MLRO/DPO/RG-Lead/CTO/SRE - прогон Q&A жана демонстрациялар.
4. Live-сессиялар: Биз Логи көрсөтүп, SLO-дашборддор, релиздик экспонаттар, DR-скрипттер.
5. Ремедиация: артыкчылыктарды жана мөөнөттөрдү макулдашып, трекерде белгилейбиз.
6. Closure: аудит отчет, сабактар, саясат/контролдоо, retro.

8) Ремедиация планы (шаблон)

IDТабууТобокелдикИш-аракеттерЭэсиМөөнөтүСтатус
SEC-012 сервисте сүрөттөрдүн кол тамгасы жокHighКол тамгаларды жана admission policy киргизүүPlatform Lead15 күнЖумушта
RG-02Интервенциялардын толук эмес телеметриясыMediumИш-чараларды/dashboard кеңейтүү, тренинг өткөрүүRG Lead10 күнПлан
AML-03Мөөнөтү өтүп кеткен 2 кемчиликтер боюнча өзгөчөлүктөрHighЖабуу/өзгөчөлүктөрдү жаңыртуу, SIEM отчетуSecurity Lead7 күнДаяр

9) RACI (мисалы: узартуу программасы)

АймакResponsibleAccountableConsultedInformed
Evidence Map жана Data-RoomCompliance PMHead of ComplianceSecurity, Platform, DataExec
Саясат жана тренингдерCompliance LeadCOOLegal, HRAll
SDLC/релиздер/SBOMPlatform/SRE LeadCTOSecurityCompliance
Пентест/алсыздыгыSecurity LeadCTOVendorsCompliance
RG/AML отчеттуулукRG Lead / MLROCOOSupport, DataExec
Маркетинг/аффилиаттарMarketing OpsCMOLegal, ComplianceFinance
Каржы/GGR/салыктарFinance LeadCFOPSP, ContentExec

10) Чек баракчалары

10. 1 Definition of Ready (мөөнөтүнөн мурда 60-90 күн)

  • AML/RG/жарнама/маалыматтар/окуялар саясатын жаңыртып; тренингдер өткөрүлдү.
  • Тастыкталган Key Persons, актуалдуу SoF/SoW (талап кылынса).
  • SAST/SCA/DAST жана пентест отчеттору чогултулган, мөөнөтү өтүп кеткен өзгөчөлүктөрү жок critical/high жабык.
  • SBOM/кол менен чыгаруу журналдары бар; admission-policy enforce абалында.
  • СЛО/SLI дашборддору жана синтетикалык текшерүү отчеттору "депозит/КТБ/чыгарып салуу" бар.
  • SLA RTO/RPO ичинде DR/калыбына келтирүү тесттер актылары.
  • RG/AML реестрлери: кийлигишүү, SAR/STR, өзүн-өзү аткаруу; санкциялар/РЭР боюнча отчеттор.
  • Маркетинг/аффилиаттар: каналдардын ак тизмелери, апрувалдар менен чыгармачылыкты тандоо.
  • GGR каржылык отчеттуулук/салыктар PSP/банктар менен салыштырылган.

10. 2 Definition of Done (узартуу/аудит тастыкталгандан кийин)

  • Кат/узартуу күбөлүк, жаңыланган реестрлер/сайт/документтер.
  • Жабык ремедиация планы, жаңыртылган саясат жана Evidence карта.
  • Ретро өткөрүлдү: сабактар, процесстердеги өзгөрүүлөр, жаңыланган календар.
  • Билдирүүлөр провайдерлерге/PSP (зарыл болсо) жөнөтүлдү.

11) Аудит мезгилинде аффилиаттар жана жарнама менен иштөө

Каналдардын реестрин, чыгармачылыктардын тандоосун, 18 +/21 + максаттуу далилдерди, макулдуктардын журналын даярдаңыз.
Бузган өнөктөштөр үчүн "stop-list" жол-жобосу, RG/AML-комплаенс келишимдериндеги шарттар.
Dashboard жыштык көрсөтүү/чектөөлөр жана блок-барактар.

12) Тобокелдиктерди тескөө (registry)

ТобокелдикЫктымалдуулук/ТаасирБелгиКонтролдооЭэси
Маанилүү алсыздыкты кечиктирүүM/HFindings> 14 күн"No critical/high" саясаты, автотрекингSecurity
Толук эмес RG журналдарM/MОкуялардагы боштуктарОкуялар каталогу, Data QARG Lead
SDLC жетишсиз далилдөөM/HРелиздерге суроолорSBOM/кол тамгалар, өзгөртүү журналыPlatform
туруксуз DR-жол-жоболоруL/HRTO/RPO жетишилген эмесЧейрек сайын калыбына келтирүү тесттерSRE
Жарнама/аффилиаттардын бузулушуM/MДаттануулар, айыптарАк тизмелер, чыгармачыл аудитMarketing

13) Mini үлгүлөрү

Evidence Map (CSV): 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
Аудит планы (1-бет):
  • Scope/максаттар
  • Тандоолордун тизмеси жана далил форматы
  • Сессия/интервью календары
  • Ролдор жана байланыштар
  • Канал Q&A жана SLA жооптор

14) Тез-тез суроолор

Бардык экспонаттарды бир эле учурда тапшыруу керекпи? Жок: базаны бериңиз, ал эми үлгүлөрдү суроо-талап боюнча бериңиз - бирок баарын даяр кармаңыз.
Логдордун бир бөлүгүнүн жоктугун компенсациялоо мүмкүнбү? Түшүндүрүлүүчү себеп жана оңдоо планы (жана мөөнөттөрү) менен гана.
Регулятор үчүн эмне маанилүү - саясат же далил? Ар дайым саясат чындап иштеп жатканын тастыктаган далилдер.

15) 30 күндүн кыскача планы (тездетилген трек)

Апта 1: Акыркы gap-талдоо, саясатты жаңылоо, SLO/логторду өлчөө, аудиторлорду брондоо.
Апта 2: SBOM/кол/релиз журналдарды чогултуу, алсыздык отчеттору/пентест, DR актылары.
Жума 3: RG/AML/маркетинг консолидациясы, кошулган дашборддор, dry-run интервью.
Апта 4: жеткирүү, Q&A, тез калыбына келтирүү жана узартуу ырастоо.

Кыскача корутунду

Узартуу жана аудит - бул бир жолку "отчет тапшыруу" эмес, процесстердин жетилгендигин үзгүлтүксүз көрсөтүү. Календарды куруу, Evidence картасын жүргүзүү, код катары көзөмөлдү автоматташтыруу, байкоону жана DRди жакшы абалда кармоо. Андан кийин узартуу тобокелдиктен күнүмдүк тартипке, ал эми аудит - жөнгө салуучу, өнөктөштөр жана оюнчулар тарабынан жакшыртуунун жана ишенимдин булагына айланат.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.