GH GambleHub

Өнөктөштөр үчүн комплаенс колдонмо

1) Максаты жана иш чөйрөсү

Бул колдонмо өнөктөштөр/подрядчылар/аффилиаттар/провайдерлер үчүн комплаенс талаптарын аныктайт (анын ичинде төлөм жана хостинг платформалары, контент студиялары, антифрод кызматтары, колл-борборлор, маркетинг агенттиктери).

Максаттары:
  • Коопсуздуктун, купуялуулуктун, жөнгө салуунун жана жоопкерчиликтүү байланыштын бирдиктүү стандарттары.
  • Жеткирүү чынжырында операциялык/укуктук тобокелдиктерди азайтуу.
  • "Audit-ready" далил базасы жана өз ара текшерүү.

2) Терминдер

Өнөктөш - маалыматтарды иштеп чыгуучу же кызмат көрсөтүүчү ар кандай үчүнчү тарап.
Критикалык өнөктөш - коопсуздукка, төлөмдөргө, жеке маалыматтарга же жөнгө салуучу процесстерге олуттуу таасирин тийгизет.
Субпроцессор - маалыматтарды иштеп чыгууга катышкан өнөктөштүн контрагенти.

3) Принциптер ("design tenets")

Compliance-by-design: талаптар процесстерге жана архитектурага орнотулган.
Маалыматтарды минималдаштыруу жана юрисдикциялык эсепке алуу (data residency).
Trackable жана өзгөрүлбөстүк: Логи, WORM-архив, хеш-дүмүрчөктөр.
Proportionality: текшерүүлөрдүн тереңдиги тобокелдикке көз каранды.
"Чындыктын бир версиясы": тастыкталган экспонаттар, түшүнүктүү SLA жана RACI.

4) Ролдору жана RACI

РолуЖоопкерчилик
Vendor Management (A)Тобокелдик классификациясы, онбординг/оффбординг, мониторинг
Compliance/GRC (R)Талаптар, текшерүүлөр, CAPA, аудит даярдыгы
Legal/DPO (C)Келишимдер, DPA, купуялык, чек ара
SecOps/CISO (C/R)Тех. талаптар, инциденттер, детекциялар
Finance/Payments (C)Төлөм талаптары, chargeback/санкциялар
Business Owner (R)Өнөктөш менен иштөө, KPI
Internal Audit (I)Көз карандысыз баалоо

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Тобокелдик боюнча өнөктөштөрдү классификациялоо

Критерийлер: маалыматтардын түрү (PII/төлөм), транзакциялардын көлөмү, прод-системаларга жетүү, юрисдикциялар, чынжырдагы ролу (процессор/контролер), инциденттердин тарыхы, сертификаттар/аудиттер.
деңгээл: Low/Medium/High/Critical → Deep Due Diligence жана текшерүү жыштыгын аныктайт.

6) Onbording жана Due Diligence (DD)

Кадамдар:

1. DD анкетасы (ээлери, субпроцессорлор, маалыматтардын жайгашкан жерлери, сертификаттар, текшерүүлөр).

2. Санкцияларды/репутацияны/бенефициарларды текшерүү (screening).

3. Коопсуздук/купуялык баалоо: SOC/ISO/PCI/пентест, Retence саясаты, DSAR процесстери.

4. Техникалык текшерүү: SSO/OAuth, шифрлөө, жашыруун башкаруу, логин.

5. Төлөм/AML аспектилери (эгер колдонулса): chargeback-процесстер, антифрод, лимиттер.

6. Risk Report жана чечим: кабыл алуу/шарттуу/баш тартуу + SARA/компенсациялык чаралар.

7. Келишимдер: MSA, SLA/OLA, DPA, аудит укугу, күзгү артка чегинүү, окуя кабарлоо, off-рамп.

7) Өнөктөшүнө милдеттүү талаптар (минималдуу)

7. 1 Коопсуздук жана купуялык

In transit/at rest шифрлөө, ачкычтарды башкаруу (KMS/HSM).
RBAC/ABAC, МФА, административдик иш-аракеттер журналы, кайра кирүү мүмкүнчүлүгү.
Logs жана WORM архиви менен хеш-кол коюу; синхрондуу убакыт.
Retence саясаты, Юридикалык Hold, DSAR-жол-жоболору; PI masking/tokenization.
Алсыздык отчеттору/пентесттер; башкарылуучу жаңыртуулар саясаты.

7. 2 жөнгө салуу жана маркетинг

Жалган/агрессивдүү офферлерге тыюу салуу, милдеттүү дисклеймерлер.
Жоопкерчиликтүү оюн жана курактык текшерүү эрежелерин сактоо (эгерде колдонулса).
Лицензияларга жана жергиликтүү чектөөлөргө ылайык гео-таргетинг.
Байланыш үчүн документтештирилген макулдуктар/жооптор, пруфтарды сактоо.

7. 3 Төлөмдөр/AML/KYC (ролу боюнча)

KYC/KYB жол-жоболору, санкциялар/РЕР-скрининг, транзакцияларга мониторинг жүргүзүү.
Авторизация Логи/3DS, chargeback процесстери, тобокелдик лимиттери.
Блокировкалардын/иликтөөлөрдүн жана кайтаруулардын макулдашылган сценарийлери.

8) Техникалык интеграция

SSO/SAML/OIDC, SCIM-провижинг (мүмкүн болушунча).
Структураланган логика (JSON/OTel), трек (trace_id).
Вебхактар - кол тамгалар жана ретрациялар менен; жеткирүү кепилдиги/туруктуулук.
API-лимиттери, контракт-тесттер, backward compatibility, версиялоо.
Обочолонгон чөйрөлөр, ачкычтар жана сырлар - жашыруун сактагычтарда.

9) Келишимдик милдеттенмелер

SLA/OLA: uptime, TTR/MTTR, кечигүү, RPO/RTO үчүн маанилүү кызматтар.
Evidence & Audit: аудит укугу, PBC форматтары, жооп мөөнөтү, Data Room кирүү.
Окуялар: эскертүү ≤ X саат, отчет форматы жана убакыт, CAPA.
Retentia жана алып салуу: TTL, жок тастыктоо, субпроцессорлордо күзгү retentia.
Купуялуулук/NDA жана субподряд боюнча чектөөлөр.

10) Инциденттерди башкаруу (биргелешип)

Бирдиктүү эскертүү канал жана согуш-rhythm тактоо.
токтоосуз Legal Hold тиешелүү маалыматтар.
Биргелешкен таймлайн (ким/эмне/качан), хеш-квитанциялар менен экспонаттар.
Регуляторлорго/кардарларга билдирүүлөр - макулдашылган процесс аркылуу.
Post-Мортем, CAPA, 30-90 күндүн ичинде кайра аудит.

11) Отчеттуулук жана мониторинг

Чейректик отчеттор: сертификаттар, инциденттер, SLA, субпроцессорлор, маалымат ордун өзгөртүү.
privacy/DSAR Metrics, кардарлардын даттануулар, маркетинг бузуулар.
Каржылык/төлөм: chargeback ratio, антифрод натыйжалуулугу, win-rate даттануулар.

12) Контролдоо жана аудит укугу

Тобокелдик класстары боюнча пландуу ревизиялар; пландан тышкаркы - окуялар/сын өзгөрүүлөр боюнча.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Натыйжалары → CAPA, мөөнөтү жана жабуу текшерүү (WORM evidence).

13) Оффбординг өнөктөш

Миграция/алмаштыруу планы, экспонаттарды жана ачкычтарды өткөрүп берүү.
Өнөктөштүн жана субпроцессорлордун маалыматтарын жок кылууну ырастоо.
Кирүү/сырларды кайра чакыртып алуу, интеграция каналдарын жабуу.
Акыркы аудит/отчет жана далилдерди архивдөө.

14) Метрика жана KRI

Onboarding Lead Time (тобокелдик класстары боюнча).
Vendor Certificate Freshness (максаты: 100% сынчыл өнөктөштөр).
Өнөктөштөр боюнча SLA Compliance жана Incident Rate.
Privacy/DSAR SLA жана кардарлардын даттануулар.
Chargeback Ratio/Fraud Loss% (төлөм ролдору үчүн).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (координацияланбаган жер/субпроцессор өзгөрүүлөр).

15) Дашборд

Vendor Risk Heatmap: тобокелдик тез, күбөлүктөр, окуялар, өлкөлөр.
Compliance Coverage: DPA/SLA болушу, аудит укугу, Retence/Legal Hold.
SLA & Incidents: uptime, TTR/MTTR, жабылбаган окуялар.
Privacy & DSAR: мөөнөттөрү, көлөмү, даттануулар, багыттары.
Payments/Fraud: chargeback ratio, себептери, win-rate даттануулар.
CAPA & Re-аудит: статустар, кечигүүлөр, кайталап эскертүүлөр.

16) SOP (стандарттык жол-жоболор)

SOP-1: Өнөктөш Onbording

DD анкетасы → скринингдер → тех/купуялык/коопсуздук-баалоо → Risk Report → келишимдер (MSA/DPA/SLA) → интеграция жана логин орнотуу → учкуч → go-live.

SOP-2: Өнөктөш өзгөрүүлөр

Өзгөрүүлөр жөнүндө нотификация (субпроцессорлор/жайгашкан жер/архитектура) → тобокелдикти баалоо → жаңыртылган келишимдер/саясат → тесттер → прод.

SOP-3: Окуя

Бирдиктүү канал → Legal Hold → биргелешкен таймлайн/экспонаттар → эскертмелер → CAPA → re-audit.

SOP-4: Мезгил-мезгили менен текшерүү

Жылдык/чейректик тобокелдик цикли → PBC → ToD/ToE үлгүлөрү → отчет/SARA → метрика жарыялоо.

SOP-5: Оффбординг

Миграция планы → экспорт/өткөрүп берүү → жок кылуу ырастоо → кирүү чакыртып алуу → жыйынтыктоочу отчет.

17) Артефакттардын үлгүлөрү

17. 1 Vendor DD Checklist (үзүндү)

Кар. маалыматтар/бенефициарлар; санкциялык скрининг

Сертификаттар/аудиттер, коопсуздук/купуялык саясаты

Маалымат жайгашуусу/субпроцессорлор/ретенция

24 ай үчүн окуялар, CAPA

Тех. интеграция: SSO, Логин, коддоо, Webhook

17. 2 DPA/SLA - милдеттүү пункттар

Маалыматтарды иштетүү, максаттар, укуктук негиздер

Инциденттер жөнүндө кабарлоо мөөнөттөрү, отчеттордун форматы

Аудит укугу, PBC форматтары, Data Room

TTL/алып салуу, Юридикалык Hold, жок кылуу ырастоо

Субпроцессорлор жана макулдашуу тартиби

17. 3 далил пакети (evidence пакети)

Кирүү Логи/админ-аракеттер (структураланган, хеш-дүмүрчөктөр)

Алсыздык отчеттору/пентесттер/сканерлер

DSAR реестри/алып салуу/retentia

SLA/окуялар/калыбына келтирүү (RTO/RPO)

Кол коюлган келишимдердин/аддендумдардын версиялары

18) Антипаттерндер

Тунук эмес субпроцессорлор/маалымат жайгашуулары.
re-cert жана журналдар жок "аркылуу" жетүү.
Өзгөрбөстүгү жана хеш-тастыктоосу жок кол менен түшүрүү.
Жалган/тыюу салынган убадалар менен маркетинг.
Оффбординг учурунда маалыматтардын жок кылынгандыгын тастыктоонун жоктугу.
Түбөлүк waivers эч кандай мөөнөтү жана ордун толтуруу чаралары.

19) Жетилүү модели (M0-M4)

M0 Ad-hoc: бир жолку текшерүү, өнөктөштөр боюнча эч кандай тобокелдик реестри.
M1 Каталог: өнөктөштөрдүн тизмеси, базалык DD/келишимдер.
M2 Башкарылуучу: тобокелдик класстары, SLA/DPA, dashboard, пландаштырылган текшерүү.
M3 Integrated: Логин/evidence-шин, re-аудит, CAPA-линк, "аудит-ready".
M4 Туруктуу жардам: реалдуу убакыт мониторинг, сунуш текшерүүлөр, PBC/evidence-пакеттерди autogeneration.

20) Байланыштуу макалалар wiki

Кызмат көрсөтүүчүлөрдү тандоодо Due Diligence

Аутсорсинг тобокелдиктери жана подрядчыларды көзөмөлдөө

Үчүнчү жактын аудиторлору тарабынан тышкы текшерүүлөр

Далилдерди жана документтерди сактоо

Журнал жүргүзүү жана Audit Trail

Мыйзам бузууларды жоюу пландары (CAPA)

Кайталап аудиттер жана аткарылышын контролдоо

Саясатчылардын жана нормативдердин репозиторийи

Командаларда комплаенс-чечимдер менен байланыш

Жыйынтык

"Өнөктөштөр үчүн комплаенс колдонмо" башкарылуучу экосистемага жеткирүү чынжырын айландырат: бирдиктүү талаптар, алдын ала текшерүүлөр, өзгөрүлбөгөн далилдер жана ачык келишимдер. Бул тобокелдиктерди азайтат, интеграцияны тездетет жана кызматташтыкты масштабдуу жана текшерилүүчү кылат.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.