GH GambleHub

Бузуулар жөнүндө билдирүүлөр жана отчеттуулук мөөнөттөрү

1) Максаты жана аймагы

Операциялар жана Комплаенс контурларындагы инциденттер жана бузуулар учурунда милдеттүү билдирмелердин бирдиктүү, текшерилүүчү жана кайталануучу тартибин белгилөө: маалыматтардын коопсуздугу, төлөмдөр/финансылык операциялар, жөнгө салуу талаптары, жоопкерчиликтүү оюн, өнөктөштүк интеграциялары, репутациялык тобокелдиктер. Документ мөөнөттөрдү, адресаттарды, форматтарды, ошондой эле даярдоо жана контролдоо жол-жоболорун белгилейт.

💡 Дисклеймер: бөлүм - операциялык колдонмо. Юридикалык консультацияны алмаштырбайт. Ар бир юрисдикция үчүн жергиликтүү мыйзам/лицензия эрежелери колдонулат; жыйынтыктоочу тексттер/мөөнөттөр Юридикалык/макулдашуу менен шайкеш келет.

2) Негизги терминдер

Reportable incident (билдирилүүчү окуя): мыйзам/лицензия/келишим боюнча тышкы тараптарга билдирүү талап кылынган окуя.
DPA - маалыматтарды коргоо органы (GDPR жана аналогдору).
FIU - финансылык чалгындоо (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme - төлөм провайдерлери/эквайерлери/төлөм системалары.
CERT/CSIRT - киберкоопсуздук инциденттерине улуттук/тармактык жооп берүү борборлору.
LEA - укук коргоо органдары.
Holding statement - негизги фактылар жана кийинки күндүн убактысы менен биринчи кыскача билдирүү.

3) Билдирилүүчү окуялардын класстары (категориялар)

1. IB/купуялуулук: PII/каржылык маалыматтардын ачыкка чыгышы, эсептердин компромисстери.
2. Кумар контролеру: оюндун жеткиликтүүлүгүнө таасир этүүчү мүчүлүштүктөр/чынчылдык/баланстар; лицензия/жарнама/RG шарттарын бузуу.
3. AML/CFT: FIUдагы шектүү операциялар/үлгүлөр → SAR/STR.
4. Төлөмдөр: PSP массалык жеткиликсиздиги, жогорку четтөөлөр, төлөөчү маалыматтардын компромисс.
5. Керектөөчү/оюнчу: таасир эткен адамдарга билдирүүлөр (data breach, акча операциялары, компл. чаралар).
6. Өнөктөштөр/аффилиаттар/провайдерлер: трекингге, отчеттуулукка, финансылык эсептешүүлөргө таасир этүү.
7. CERT/LEA: коомдук мааниге ээ кибер окуялар, фишинг/клон бренд.
8. Аудит/лицензия ээлери: SLA отчеттуулуктун шайкештиги, жоюуну ырастоо.

4) Убакыт матрицасы (ориентирлер)

💡 Так мөөнөттөр реестрдеги ар бир лицензия/юрисдикция боюнча такталат (§ 10 караңыз). Төмөндө - типтүү пландаштыруу алкагы:
Адресаттын категориясыТриггерБиринчи билдирүүКийинки апдейттерАкыркы отчет
DPA (GDPR түрү)маалымат субъекттеринин укуктары/эркиндиктери үчүн тастыкталган тобокелдиктабылган учурдан тартып 72 саатка чейинНегизги фактылардын даярдыгы боюнча (адатта ар бир 24-72 саат)30 күнгө чейин же талабы боюнча
Таасир субъекттер (оюнчулар)укуктар/эркиндиктер үчүн жогорку тобокелдикнегизсиз кечигүү жок (адатта ≤ 72 саат DPA кийин)ремедиация этаптары боюнчаучур жабылганда
Кумар контролеручынчылдыкка/жеткиликтүүлүккө/эсепке таасир этүүчү окуямүмкүн болушунча тезирээк, ориентир 24 саатSLA лицензия боюнча (мисалы, ар бир 24 саат/этап)жөнгө салуу форматы боюнча (көбүнчө 7-30 күн ≤)
FIU (AML SAR/STR)терроризмди адалдоого/каржылоого шектенүүшектенүү пайда болгондон кийин кечиктирбестен (көбүнчө күнүнө)кошумча маалыматтар келип түшкөндөFIU талабы боюнча
Төлөм схемалары/PSP/банкмассалык мүчүлүштүктөр/компромисс PAN/PCI-окуядароо (ориентир <24 ч)макулдашылган план боюнчачаралар менен отчетту жабуу
CERT/CSIRTолуттуу кибер окуя/коркунучasap (көбүнчө <24 ч)тергөөнүн этаптары боюнчаCERT талаптарына ылайык
Өнөктөштөр/аффилиаттартрекингге/эсептөөлөргө таасир этүү<24 саатоңдоо стадиялары боюнчаакыркы reconciliation

5) RACI жана ролдору

IC (Incident Commander) - таймлайн жана "war room" ээси. (A)

Legal/Compliance Lead - "кабарлануучу" квалификация, даректерди жана мөөнөттөрдү тандоо, акыркы белги. (R/A)

Security Lead - маалымат каражаттары, компроматтар көлөмү/PII, CERT/LEA менен өз ара аракеттенүү. (R)

Payments Lead - PSP/банк/схемалар, PCI-суроолор, кайтарымдар/chargebacks. (R)

Comms Lead - текст жана жөнөтүү каналы, статус-бет, CS макростор. (R)

Data/Analytics - таасир этүүчү субъекттердин/транзакциялардын тизмеси, таасирди баалоо. (R)

CS/CRM Lead - оюнчуларга билдирүүлөрдү жеткирүү, компенсация. (R)

Exec Sponsor/CEO - коомдук билдирүүлөр S1. (C/I)

6) бүтүрүү жараяны (аныктоо чейин жабуу)

A. Билдирүүнү аныктоо:
  • аныктоо → Юридикалык квалификация (мыйзамдуу) → чечим "кабарлануучу? кимге? мөөнөтү? ».
B. даярдоо:
  • фактыларды/экспонаттарды чогултуу → олуттуулуктун классификациясы → шаблондорду тандоо → макулдашуу (Мыйзамдуу/Comms/IC).
C. жөнөтүү жана каттоо:
  • каналдар аркылуу жеткирүү (жөнгө порталдары, коопсуз почта, API, кагаз формалары) → жөнөтүү жана кабыл алуу убактысын бекитүү.
D. апдейт:
  • тартиби/этаптары → текст нускаларын башкаруу → статус-бет менен синхрондоштуруу.
E. аяктоо:
  • акыркы отчет → CAPA-план → жабуу жана ретро (≤ 7 күн).

7) Билдирүүнүн минималдуу курамы (скелет)

1. окуя ID, датасы/убактысы (UTC жана жергиликтүү).
2. Окуянын кыскача сүрөттөлүшү жана таасир радиусу.
3. Маалыматтардын/кардарлардын/операциялардын категориялары.
4. Кабыл алынган чаралар (контейнер/калыбына келтирүү).
5. Тобокелдик-баа берүү жана учурдагы абалы.
6. Кийинки кадам жана ETA планы.
7. Пикир үчүн байланыш/канал.
8. Лицензиянын/компаниянын юридикалык реквизиттери (талап кылынса).
9. Тиркемелер: таймлайн, техникалык экспонаттар, субъекттердин тизмелери.

8) Үлгүлөр (тез киргизүү)

8. 1 DPA (маалыматтардын ачыкка чыгышы, баштапкы билдирүү):

Окуя/датасы

Маалымат категориялары/көлөм/география

Зыянды азайтуу боюнча чаралар (токендерди чыгаруу, MFA, мониторинг)

Субъекттер үчүн тобокелдиктерди баалоо

Субъекттерге кабарлоо планы жана мөөнөттөрү

Байланыш DPO/Юридикалык

8. 2 Оюнчулар (data breach):

Тема: Сиздин эсеп коопсуздугу жөнүндө маанилүү маалымат

Дене: эмне болгон (жок. майда-чүйдөсүнө чейин жана PII жок), кандай чаралар көрүлдү, оюнчу азыр эмне кылуу керек (сырсөздү өзгөртүү, MFAны күйгүзүү), кайда жаңылыктарды ээрчүү, кантип жардам/компенсация алуу керек.

8. 3 кумар контролеру (жеткиликтүүлүк/чынчылдык ката):

Эмне: кызмат/оюндар/капчык, убакыт аралыгы, зоналар

Таасири: пайыздар/чендердин/баланстардын саны

Чаралар: артка, камдык, капчык safe-mode

Күтүлгөн калыбына ETA, чынчылдыкты/балансты көзөмөлдөө

Акыркы верификация жана отчеттуулук планы

8. 4 FIU (SAR/STR, кыскача):

Шектенүү фактылары жана негиздери ("кардардын эскертүүсүз")

Суммалар/байланыштуу эсептер/жүрүм-турум моделдери

Тиркемелер (транзакциялар/байланыштар тилкеси)

AML үчүн жооптуу адам менен байланыш

8. 5 PSP/Acquirer/Card Scheme:

Эмне болду (схемалар/ыкмалар таасир этет), PCI тобокелдик маркерлери

Бизнес таасири (auth-rate, баш тартуу/latency)

Көрүлгөн чаралар/байпастар, биргелешкен диагностика жөнүндө өтүнүч

Кардарлардын ордун толтуруу планы/кайра иштетүү

8. 6 CERT/CSIRT:

Компромисс көрсөткүчтөр (IoC), TTP, векторлор

Кабыл алынган чаралар жана калган тобокелдиктер

Телеметрияны координациялоо/издөө

9) Чек-баракчалар

Баштапкы билдирүүнү жөнөтүүнүн алдында

  • Фактылар тастыкталды; сырлар алынып салынды/PII.
  • Юридикалык/макулдашуу менен макулдашылган; дарек/канал тандалды.
  • Төмөнкү жаңыртуу көрсөтүлгөн (дата/убакыт/канал).
  • Белгиленген скриншоттор/ARTEFACTS жана хэш суммадагы тиркемелер.
  • Текшерилген локализация/тил (керек болсо).

Жөнөткөндөн кийин

  • Кабыл алуу тастыктамасы/билет номери/реестр ID алынды.
  • Update планы жана ээлери түзүлгөн.
  • Статус-беттеги тексттер синхрондуу/FAQ/CS макрос.

Жабуу

  • Акыркы отчет жөнөтүлдү жана тастыкталды.
  • CAPA мөөнөтү жана натыйжалуулук көрсөткүчтөрү менен катталган.
  • Retro ≤ 7 күн өттү.

10) Мөөнөттөрдүн жана даректердин реестри (маалыматтардын түзүмү)

Git/Confluence боюнча таблица түрүндө сакталат (версияланган, ээси - мыйзамдуу):
ТалааМисал
Юрисдикция/ЛицензияMT/MGA B2C
КатегорияDPA / Gaming Regulator / FIU / PSP / CERT
Баштапкы билдирүүнүн мөөнөтү72h / 24h / asap
КаналPortal/корголгон почта/API/факс
ТилEN/жергиликтүү
ФорматFree/Form No .../JSON схемасы
Милдеттүү талаалартизме
Байланыш/аккредитацияe-mail, ID порталы
Негизнормага/лицензиялык пунктка шилтеме
Эскертүүөзгөчөлүктөрү (майрам күндөрү, убакыт зонасы ж.б.)

11) Артефакттар жана ретенция

Таймлайн (мүнөттүк тактык), бардык билдирүүлөрдүн версиялары, кабыл алууну ырастоо.
Тех. артефакттар: казыналар, дампалар, экспорттук метриктер, IoC, конфигурациялардын сүрөттөрү.
Билдирме/компенсация үчүн колдонулган субъекттердин/транзакциялардын тизмелери.
Ретенция: лицензиялардын/мыйзамдардын талаптарына ылайык сактоо (адатта 1-7 жыл, юрисдикция боюнча такталат).

12) шайкештик метрика

Timeliness:% убагында жөнөтүлгөн билдирүүлөр (категориялары боюнча).
Completeness: биринчи жолу кабыл алынган билдирмелердин үлүшү (түзөтүүлөрдү талап кылбастан).
Acknowledgement SLA: ырастоо үчүн орточо убакыт.
Update Discipline: update интервалдарын сактоо.
CAPA Efficacy: өз убагында жабык CAPA үлүшү.

13) Инструменттер жана автоматташтыруу

Окуя-бот: командалар '/notify <категория> ', мөөнөттөрдү/каналдарды автоматтык түрдө алмаштыруу, мөөнөттөрдү эскертүүлөр.
Шаблон: окуя параметрлерин билдирүүлөрдү чогултуу; версиялар/локализация.
Статус-бет: Тышкы такталар менен синхрон; TTS (time-to-statement) контролдоо.
SOAR/SIEM: DPA/CERT үчүн экспонаттарды автоматтык чогултуу.
DWH/CRM: тийген субъекттердин сегменттери, жеткирүү жана ачылыштар.

14) Өзгөрүүлөрдү башкаруу (governance)

Бөлүм ээси: Head of Compliance (резерв - Legal Counsel).
Реестрге ревизия (§ 10): чейрек сайын жана ар бир S1/S2 кийин.
көнүгүүлөр: стол-top DPA/жөнгө салуучу/AML - чейрек сайын; live-drill МБ - жарым жылда бир жолу.
Аудит: билдирмелердин мөөнөттөрүнө жана толуктугуна ылайык келүүсүн жыл сайын көз карандысыз текшерүү.

15) Тез баштоо (30 күндүн ичинде киргизүү)

1. Бардык лицензиялар/базарлар боюнча милдеттүү адресаттардын тизмесин түзүү жана реестрге киргизүү (§ 10).
2. Эскертмелердин шаблондорун бекитүү (§ 8) жана аларды окуя-ботко туташтыруу.
3. SLA-метрика (§ 12) жана dashboard "Regulatory отчет".
4. окутуу өткөрүү: маалымат breach → DPA + оюнчулар, төлөм кризиси → PSP, AML-SAR → FIU.
5. holding statements мөөнөтү жана автогенерация жөнүндө эскертүүлөрдү киргизүү.
6. Биринчи машыгуунун жыйынтыгы боюнча ретро баштоо, плейбуктарды жаңыртуу.

Байланыштуу бөлүмдөр:
  • Кризистик башкаруу жана коммуникациялар
  • Окуя ойнотмо жана скрипттер
  • Бизнес үзгүлтүксүздүгү планы (BCP)
  • Disaster Recovery Plan (DRP)
  • Эскалация матрицасы
  • Билдирүүлөр жана алерттер системасы
  • Жоопкерчиликтүү оюн жана оюнчуларды коргоо
Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.