GH GambleHub

Кызмат көрсөтүүчүлөрдү тандоодо Due Diligence

1) Эмне үчүн керек Due Diligence провайдерлер

Провайдер - сиздин ишеним чынжырыңыздын уландысы. тандоо ката = жөнгө салуучу айып, агып, токтоп жана кадыр-баркын жоготуу. Due Diligence (DD) мүмкүндүк берет:
  • Продукт/өлкө/маалыматтар боюнча мүнөздүү тобокелдикти аныктоо.
  • Келишим түзүлгөнгө чейин комплаенс жана коопсуздукту текшерүү.
  • Келишим стадиясында SLA/SLO жана аудит укуктарын бекитүү.
  • маалыматтардын бүтүндүгүн сактоо менен мониторинг жана чыгуу планын (offboarding) орнотуу.

2) Качан өткөрүлөт жана эмнени камтыйт

Көз ирмемдер: алдын ала тандоо, кыска тизме, келишим алдында, олуттуу өзгөрүүлөр менен, жыл сайын кайра карап чыгуу.
Камтуусу: юридикалык статусу, каржылык туруктуулук, коопсуздук, купуялык, техникалык жетилгендик, эксплуатация/колдоо, комплаенс (GDPR/PCI/AML/SOC 2 ж.б.), география жана санкциялык тобокелдиктер, ESG/этика, субподрядчылар.

3) Ролдору жана RACI

РолуЖоопкерчилик
Business Owner (A)Бизнес-негиздеме, бюджет, тобокелдикти эске алуу менен акыркы чечим
Procurement/Vendor Mgmt (R)DD жараяны, тендер, сунуштарды салыштыруу, реестр
Compliance/DPO (C/R)Privacy, иштетүү мыйзамдуулугу, DPA/SCC
Legal (R/C)Келишимдер, жоопкерчилик, аудит укуктары, IP/лицензиялар
Security/CISO (R)Техникалык көзөмөл, тесттер, инциденттерге талаптар
Data Platform/IAM/IT (C)Интеграция, архитектура, SSO, Логи
Finance (C)Төлөө жөндөмдүүлүгү, төлөө шарттары/валюта/салыктар
Internal Audit (I)Толук жана байкоо

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Баалоо критерийлеринин картасы (эмнени текшерип жатабыз)

4. 1 Юридикалык жана юридикалык кароо

Каттоо, бенефициарлар (KYB), соттук талаш-тартыштар, санкциялык тизмелер.
Жөнгө салынуучу кызмат көрсөтүүлөр үчүн лицензиялар/сертификаттар.

4. 2 Каржы жана туруктуулук

Аудиттелген отчеттуулук, карыз жүгү, негизги инвесторлор/банктар.
Бир кардарга/аймакка көз карандылык, үзгүлтүксүз план (BCP).

4. 3 Коопсуздук жана купуялык

ISMS (саясат, RACI), тышкы тесттердин натыйжалары, кемчиликтерди башкаруу.
On Rest/In Transit, KMS/HSM шифрлөө, сырларды башкаруу.
DLP/EDRM, журнал, Юридикалык Hold, Retentia жана алып салуу.
Инцидент-менеджмент: SLA эскертмелер, playbook, post-mortems.

4. 4 шайкештик жана күбөлүк

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (мөөнөттөрү жана көлөмү).
GDPR/жергиликтүү эрежелер: ролдору (контроллер/процессор), DPA, SCC/BCR, DPIA.
AML/санкциялык контур (эгерде колдонулса).

4. 5 Техникалык жетилгендик жана интеграция

Архитектура (көп, изоляция, SLO, DR/HA, RTO/RPO).
API/SDK, чыгаруу, rate limits, observability (Логи/метрика/соода).
Өзгөрүүлөрдү башкаруу, релиздер (blue-green/canary), тескери шайкештик.

4. 6 Операциялар жана колдоо

24 × 7/Follow-the-sun, жооп/калыбына келтирүү убактысы, онкология.
Онбординг/оффбординг жол-жоболору, айып пулсуз маалыматтарды экспорттоо.

4. 7 Субпроцессорлор жана жеткирүү чынжыры

Субподрядчылардын, юрисдикциялардын, алардын контролдоолорунун жана өзгөрүүлөр жөнүндө билдирмелердин тизмеси.

4. 8 Этикалык/ESG

Коррупцияга каршы саясат, жүрүм-турум кодекси, эмгек практикасы, отчеттуулук.

5) Due Diligence жараяны (SOP)

1. Демилге: керектөө карточкасы (максаттар, маалыматтар, юрисдикциялар, критикалуулук).
2. Квалификациясы: кыска анкета (алдын ала экран) + санкция/лицензия чеги.
3. Терең баа берүү: сурамжылоо, экспонаттар (саясатчылар, отчеттор, сертификаттар), интервьюлар.
4. Техникалык текшерүү: security-review, демо айлана-чөйрөнү коргоо, китеп окуу/метрика, PoC.
5. эсеби жана тобокелдиктер: мүнөздүү тобокелдик → контролдук кароо → калдык тобокелдик.
6. Ремедиация: контрактка чейинки шарттар/оңдоолор (мөөнөт менен gap-тизме).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Onbording: Access/SSO, маалымат каталогдору, интеграция, мониторинг планы.
9. Үзгүлтүксүз мониторинг: жыл сайын кайра карап чыгуу/триггерлер (окуя, субпроцессор алмаштыруу).
10. Оффбординг: экспорт, алып салуу/анонимдештирүү, кирүү мүмкүнчүлүгүн кайра чакыртып алуу, жок кылууну ырастоо.

6) Провайдердин анкетасы (суроолордун өзөгү)

Кар. жак, бенефициарлар, санкциялык текшерүүлөр, 3 жыл ичиндеги талаш-тартыштар.
Тастыктоо (SOC 2 түрү/мезгил, ISO, PCI), акыркы отчеттор/топтому.
Коопсуздук саясаты, маалымат, классификация, DLP/EDRM.
Техникалык изоляция: tenant-isolation, тармактык саясат, шифрлөө, ачкычтар.
Логи жана аудит: сактоо, кирүү, WORM/immutability, SIEM/SOAR.
24 ай үчүн окуялар: түрлөрү, таасири, сабактар.
Retence/алып салуу/Юридикалык Hold/DSAR-агым.
Субпроцессорлор: тизме, өлкөлөр, функциялар, келишимдик кепилдиктер.
DR/BCP: RTO/RPO, акыркы тесттердин натыйжалары.
Колдоо/SLA: жооп убакыт/чечим, эскалация, кредит схемасы.
Exit-план: маалыматтарды экспорттоо, форматтар, наркы.

7) Скоринг модели (мисал)

Октор: Укук/Каржы/Коопсуздук/Купуялык/Техника/Операциялар/Комплаенс/Чынжыр/ESG.
Ар бир огу боюнча 1-5 упай; кызматтын критикалуулугу жана маалыматтардын түрү боюнча салмак.

Жыйынтыктоочу тобокелдик-скор:
  • 'RR = Σ (салмагы _ i × балл _ i)' → категориялар: Low/Medium/High/Critical.

High/Critical: милдеттүү түрдө келишим, күчөтүлгөн SLA шарттары жана мониторинг чейин калыбына келтирүү.
Low/Medium: стандарттык талаптар + жылдык кайра карап чыгуу.

8) Келишимдин милдеттүү жоболору (must-have)

DPA: ролдору (контроллер/процессор), максаты, берилиштер категориялары, чегинүү жана алып салуу, Юридикалык Hold, DSAR жардам.
чек ара берүү үчүн SCC/BCR (колдонулса).
Security Appendix: шифрлөө, логиндер, алсыздыктар/патчинг, пентесттер, ачыкка алсыздыктар.
SLA/SLO: жооп убакыт/жоюу (sev-деңгээл), кредиттер/айып, жеткиликтүүлүк, RTO/RPO.
Audit Rights: аудит/сурамжылоо/далилдер укугу; контролчулардын/субпроцессорлордун өзгөрүүлөрү жөнүндө билдирмелерди.
Breach Notification: кабарлоо мөөнөтү (мисалы, ≤ 24-72 саат), формат, тергөө кызматташуу.
Subprocessor Clause: тизме, билдирүү/макулдашуу боюнча өзгөртүү, жоопкерчилик.
Exit & Data Return/Deletion: экспорт форматы, мөөнөтү, жок кылуу ырастоо, миграцияны колдоо.
Liability/Indemnity: лимиттер/өзгөчөлүктөр (PI агып, лицензияларды бузуу, жөнгө салуучу айыптар).
IP/License: иштеп чыгуу/конфигурация/маалымат/мета-маалымат укугу.

9) Мониторинг жана триггерлер кайра карап чыгуу

Сертификаттардын мөөнөтү/жаңыланышы (SOC/ISO/PCI), отчеттук статустун өзгөрүшү.
Субпроцессорлорду/маалыматтарды сактоо жерлерин/юрисдикцияларды алмаштыруу.
Коопсуздук инциденттери/олуттуу үзгүлтүктөр SLA.
Биригүү/сатып алуу, финансылык көрсөткүчтөрдүн начарлашы.
Релиздер изоляция/шифрлөө/жетүү таасир этет.
Жөнгө салуучу суроолор, Аудиттер Findings.

10) Метриктер жана дашборддор Vendor Risk Mgmt

Coverage DD: толук DD өткөн сын провайдерлер%.
Time-to-Onboard: медиана өтүнмөдөн контрактка чейин (тобокелдик категориялары боюнча).
Open Gaps: провайдерлер боюнча активдүү ремедиациялар (мөөнөттөр/ээлери).
SLA Breach Rate: убакыт/жеткиликтүүлүк боюнча SLA бузуулар үлүшү.
Incident Rate: окуялар/12 ай жөнөтүүчүлөр жана олуттуу.
Audit Evidence Readiness: учурдагы отчеттордун/күбөлүктөрдүн болушу.
Subprocessor Drift: эскертүү жок өзгөртүү (максаты - 0).

11) Категориялаштыруу жана текшерүү деңгээли

Провайдер категориясыМисалМаалыматтарDD тереңдикКайра карап чыгуу
Сынчылнегизги хостинг, KYC/AML, PSPPI/каржыТолук (On-сайт/RoS)Жыл сайын + триггерлер
Бийиканалитика, DWH, ЛогиPI/psevdoPIКеңейтилген12-18 ай
Ортомаркетинг, электрондук почта, колдоочектелгенНегизги18-24 ай
Төмөнкүокутуу, мазмунPI иштететEasy алдын ала экран24 ай

12) Чек-баракчалар

DD ишке киргизүү

  • Карточка керектөө жана тобокелдик-класс кызматы.
  • Pre-screen: санкциялар, лицензиялар, негизги профиль.
  • Сурамжылоо + экспонаттар (саясат, отчеттор, күбөлүктөр).
  • Коопсуздук/Privacy review + PoC интеграциялоодо.
  • Мөөнөтү жана ээлери менен GAP тизмеси.
  • Келишим: DPA/SLA/audit rights/liability/exit.
  • Онбординг жана мониторинг планы (метриктер, алерталар).

Жылдык кайра карап чыгуу

  • Жаңыланган сертификаттар жана отчеттор.
  • Субпроцессорлорду/жайгашкан жерлерди/юрисдикцияларды текшерүү.
  • Ремедиация статусу, жаңы тобокелдиктер/окуялар.
  • DR/BCP тесттер жана натыйжалары.
  • Dry-run аудит: evidence чогултуу "баскычы боюнча".

13) Кызыл желектер (Red flags)

SOC/ISO/PCI же отчеттордун маанилүү бөлүмдөрүн берүүдөн баш тартуу.
Шифрлөө/логдор/маалыматтарды өчүрүү боюнча бүдөмүк жооптор.
DR/BCP пландары жок же алар текшерилбейт.
Постмортем жана сабактар жок жабык окуялар.
Субпроцессорлорго/гарантиясыз чет өлкөгө чексиз маалымат берүү.
PI агып үчүн агрессивдүү жоопкерчилик чектөөлөр.

14) Антипаттерндер

PoC жана техникалык текшерүү жок "кагаз" DD.
Тобокелдик/юрисдикцияларды эске албаганда универсалдуу чек тизмеси.
DPA/SLA/аудит укугу жана чыгуу планы жок келишим.
Провайдерлердин реестринин жана өзгөрүүлөрдүн мониторингинин жоктугу.
"Түбөлүккө" берилген жеткиликтүүлүктөр/токендер ротациясыз жана кайра аттестациясыз.

15) Байланыштуу макалалар wiki

Комплаенс жана отчеттуулукту автоматташтыруу

Үзгүлтүксүз шайкештик мониторинг (CCM)

Мыйзамдуу Hold жана маалыматтарды тоңдуруу

Саясаттардын жана процедуралардын жашоо цикли

KYC/KYB жана санкцияларды текшерүү

Маалыматтарды сактоо жана өчүрүү графиктери

Үзгүлтүксүз планы (BCP) жана DRP

Жыйынтык

Тобокелчиликке багытталган Due Diligence - бул "белги" эмес, башкарылуучу процесс: туура категориялаштыруу, негизги октор боюнча терең текшерүү, так келишимдик кепилдиктер жана үзгүлтүксүз мониторинг. Ошентип, жөнөтүүчүлөр сиздин чынжырыңыздын ишенимдүү бөлүгү болуп калышат жана сиз бизнести жайлатпастан талаптарга жооп бересиз.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.