GH GambleHub

Үчүнчү тараптын камсыздоочуларынын тобокелдиктери жана өнөктөштөрдүн аудити

1) Эмне үчүн жана ким үчүн

Максаты: тышкы жеткирүүчүлөр жана өнөктөштөр аркылуу келген үзгүлтүктөрдүн, агып чыгуулардын жана жөнгө салуучу мыйзам бузуулардын ыктымалдыгын азайтуу.
Камтуусу: PSP/төлөм шлюздары, KUS/санкциялар/PER, антифрод, оюн жана студия провайдерлери, аффилиардык тармактар жана трекинг, булуттар/CDN/хостинг, BI/анализ, retenshn инструменттери/маркетинг-SDK, call-борборлор, ошондой эле субпроцессорлор биздин сатуучулар.

2) Тобокелдик категориялары (домендик карта)

Маалыматтык коопсуздук жана купуялуулук: PII/KYC/төлөм токендеринин агып чыгышы, алсыз TOMs, WORM/аудит жок.
Комплаенс: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI зонасы, жарнамалык/оюн юрисдикция талаптары.
Операциялык: жеткиликтүүлүк/SLA, бир жеткирүүчүгө көз карандылык (concentration), алсыз BCP/DR.
Каржылык: берүүчүнүн туруктуулугу, кредиттик тобокелдиктер, "chargeback-шок".
Санкциялар/геосаясий: экспорттук/импорттук чектөөлөр, маалымат борборлорунун жайгашкан жери, ээлик кылуу структураларында РЕР/санкциялар.
Абройлуу жана укуктук: жарнама/жоопкерчиликтүү оюн бузуу, IP-укуктар.
Техникалык: SDK/API кемчиликтери, эч кандай чыгаруу жана сыноо чөйрөлөрү.

3) Карталоо жеткирүү чынжыр

1. Inventory: ээси менен бардык сатуучулардын/өнөктөштөрдүн/субпроцессорлордун бирдиктүү реестри (business owner).
2. Data Map: кандай маалыматтар/юрисдикциялар/көлөмдөр кимден өтөт; PII желектери/финансы/атайын категориялар.
3. Criticality: акча/PII/аптайм таасири боюнча классификацияланат.

4) Тирлөө жөнөтүүчүлөр (критерийлер мисал)

ТирБелгилерМисалдарТалаптар
Tier 1 (критикалык)PII/төлөмдөр, 24 × 7, GGR түздөн-түз таасириPSP, КТБ/чаралар, антифрод, булутFull due diligence, аудит, BCP/DR тесттер, жылдык onsite/remote аудит
Tier 2 (бийик)кыйыр таасир, PII masked, маанилүү бириктирүүстудиялар/агрегаторлор, DWH куралдарAdvanced сурамжылоо, тандалма аудит, жылдык кароо
Tier 3 (орто/төмөнкү)эч кандай PII/акча, маркетинг куралдарыe-mail, виджеттерLight сурамжылоо, келишимдик минимумдар

5) Тобокелдик-скрининг жана скоринг

Факторлор: коопсуздук (саясат, сертификация), купуялык (DPA/SCCs/DTIA), комплаенс (AML/PCI/ISO), операциялык туруктуулук (SLA/BCP/DR), финансы (аудит/отчеттуулук), юрисдикциялар/санкциялар, инциденттик тарых, технологиялык жетилгендик (SDLC/DevSecOps).
эсеби (мисал): 0-5 ар бир жагдай → салмактуу натыйжасы (W) → аймак: жашыл/сары/кызыл.

Босого чечимдер:
  • Green: стандарттык келишим.
  • Amber: Go-Live чейин контролдоо/калыбына келтирүү.
  • Red: кошумча чаралар менен баш тартуу же учкуч (segmentation, throttling, read-only, escrow, төмөндөтүлгөн лимиттер).

6) Due diligence (кире талап кылуу)

Artefacts/контролдоо (Tier 1-2 үчүн минималдуу):
  • Коопсуздук/купуялык саясаты, RoPA, субпроцессорлордун реестри.
  • Аудит отчеттору/күбөлүк (ISO 27001/SOC 2 түрү II/PCI колдонулуучу), акыркы пентесттер.
  • BCP/DR жана тесттин жыйынтыгы, RPO/RTO.
  • Инцидент-процедуралар (72 сааттык билдирүүлөр), инциденттердин журналы 12-24 ай.
  • DPA/чек ара механизми (SCCs/IDTA) + DTIA, маалыматтарды/ачкычтарды локалдаштыруу.
  • Интеграциялардын коопсуздугу: mTLS/OIDC, кол коюлган вебхактар, ачкычтарды айлантуу, IP тизмеси.
  • Кирүү/экспорттун журналдары, WORM көчүрмөлөрү, хэш чынжырлары.
  • Retenshn жана алып салуу саясаты, offboarding учурунда backaps жок ырастоо.
  • Финансылык туруктуулук (ачык отчеттуулук/маалымкаттар), ээлик кылуу түзүмү (санкциялык/РЕР-текшерүүлөр).

Tier 2-3 үчүн Light сурамжылоо: sSIG/CAIQ-деңгээл (20-60 суроолор).

7) Келишимдик талаптар (негизги пункттар)

SLA/SLO: Аптайм (мисалы, 99. 9%), жашыруун P95, окуя жооп убактысы, service credits.
Security/Privacy addendum: on rest/in transit шифрлөө, ачкычтар/гео, журналдаштыруу, жашыруу, маалыматтарды экинчи жолу колдонууга тыюу салуу.
DPA + субпроцессорлор: чынжырдын кеңейиши жөнүндө кабарлоо милдети; каршы чыгуу/аудит укугу.
Incident & Notification: кабарлоо терезе ≤ 72 саат; логторго/артефакттарга жетүү; биргелешкен war-room.
BCP/DR: милдеттүү тесттер N жылына бир жолу, RPO/RTO.
Pen-test/Audit rights: жылына 1 жолудан кем эмес (remote/onsite), отчетторго жетүү.
Change control: негизги өзгөрүүлөр жөнүндө билдирүү (SDK/API/архитектура/география).
Termination & Exit: маалыматтарды экспорттоо (форматтар), өчүрүү/кайтаруу, маанилүү интеграциялар үчүн эскроу, X күндүк миграцияны колдоо.
Liability/Indemnity: cap/cublimits, IP-кепилдиктер, SLA/агып бузуулар үчүн айып.

8) Onboarding → мониторинг → Offboarding (жашоо айлампасы)

8. 1 Onboarding

1. Бизнес негиздемеси жана owner → тиринг → сурамжылоо/экспонаттар.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Go-Live Control: сегментация (VPC/tenant), жүктөр/лимиттер, masking/tokenization, feature-flags, test-sandbox.
4. Келишим/интеграция → учкуч → Go/No-Go.

8. 2 Continuous Monitoring

Техмониторинг: аптайм, каталар, жашыруун, тобокелдик бюджети.
Коопсуздук: SIEM (анормалдуу экспорт/' purpose 'жок кирүү), сатуучунун отчеттору, SDK алсыздыгы.
Купуялык/комплаенс: субпроцессорлорду, жайгашкан жерлерди өзгөртүү, ретеншна; DSAR шайкештиги.
Каржы: Конверсия/refund/chargeback боюнча KPI, SLA айыптары.
Чейректик review үчүн Tier 1-2 жана жылдык re-due-diligence.

8. 3 Offboarding

Ачкычтарды/жеткиликтүүлүктөрдү кайра чакыртып алуу, маалыматтарды жана backaps жок кылуу/кайтаруу, актылар, билеттерди жабуу, реестрлерди жана маалымат карталарын жаңылоо.

9) Өнөктөштөрдүн аудит жол-жоболору

9. 1 План жана аймак

Focus: жетүү башкаруу, шифрлөө/ачкычтар, журналдар, окуялар, BCP/DR, DSAR-процесстер, субпроцессорлор.

9. 2 ыкмалары

Интервью, документтерди/логдорду карап чыгуу, тандалма текшерүүлөр, техникалык тесттер (апи-rate-limit/mTLS/кол тамгалар), tabletop-окуу.

9. 3 Отчет жана CAPA

Табылгаларды классификациялоо (Critical/High/Medium/Low), ремедиация мөөнөтү, жабууну көзөмөлдөө жана ретест.

10) сатуучу окуялар: playbook

1. Detect: сатуучу сигнал/биздин мониторинг/коомчулук.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: жол кыймылын чектөө/SDK/ачкычтарды өчүрүү, убактылуу чектер/канар бассейндери.
4. Forensics: чалуу журналы, Webhook кол коюу, WORM ырастоо, жабыр тарткан жазуулардын диапазону.
5. Билдирүүлөр: жөнгө салуучулар/колдонуучулар/банктар (керек болсо), биргелешкен тексттер.
6. CAPA: фикстер, мөөнөттөр, натыйжалуулугун текшерүү; эсепти жана келишимдин шарттарын кайра карап чыгуу.

11) RACI (кеңейтилген)

АктивдүүлүкBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Тиринг/бизнес ишиA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Келишимдер (SLA/DPA/өзгөртүүлөр)CCCA/RA/RIR
Интеграция/сегменттөөCA/RCCIRI
Мониторинг/аудитRA/RA/RA/RCRI
Окуялар/SARACA/RA/RA/RCRI
Offboarding/экспорт/алып салууRA/RAACRI

12) Метрика (KPI/KRI)

Coverage: учурдагы баа менен реестринде активдүү берүүчүлөрдүн% ≥ 100%.
Assessment TTM: медиа убакыт due diligence Тир 1 ≤ 15 жумушчу күн.
Remediation SLA: маанилүү табылгалар ≤ 30 күн жабык (≥ 95%).
Incident Notification: 72 саат терезеде билдирмелердин үлүшү - 100%.
DPA/SCCs/DTIA Coverage: Tier 1-2 - 100% актуалдуу.
Concentration Risk: 1 PSP/провайдер үчүн трафиктин/кирешенин үлүшү ≤ X% (босого).
BCP/DR Evidence: 12 айдын ичинде тастыкталган тесттер менен% 1 - 100%.
Export Logging: 100% экспорттор кол коюлган жана кабарланган.

13) Үлгүлөр жана үзүндүлөр

13. 1 Mini сурамжылоо (Тирүү 1-2, үзүндү)

Сертификация/аудиттер (ISO/SOC2/PCI), мөөнөтү бүткөн күн.
Маалыматтар архитектурасы: гео, субпроцессорлор, ачкычтар/CMS, шифрлөө.
24 ай үчүн окуялар (түрү/датасы/чаралары).
Access жана журналдар (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (тест датасы, RPO/RTO).
DSAR/retenshn, RoPA, CMP/SDK.
API техникалык контролдоо: mTLS/OIDC, Webhook кол, ачкычтарды айлантуу, rate-limit.

13. 2 SLA (үзүндү)

КөрсөткүчМаксатыӨлүп калууНасыя
Аптайм (ай)99. 9%тышкы. мониторинг5–10% fee
Critical окуя: жооп≤ 15 минwar-room протоколуфикс.
Жогорку калыбына келтирүү≤ 30 күнCAPA отчетуфикс.

13. 3 Коопсуздук & Privacy Addendum (Clauses-үзүндүлөр)

"Маалыматтарды экинчи жолу пайдаланууга тыюу салуу; Need-to-Know боюнча так кирүү; бекитилген реестрлерге гана экспорттолот"

"Өзгөрүлбөгөн журналдар (WORM) хэш-кол менен; жылына бир жолу суроо-талап боюнча аудит"

"Субпроцессор алмаштырылганда - 30 күнгө ≥ билдирүү, каршы чыгуу укугу, альтернативдик план."

"DTIA адекваттуу юрисдикциялардан тышкары ар кандай трансчек аралык которууда; ачкычтар - EC/UK (per келишим)"

14) Чек-баракчалар

жөнөтүүчү менен Go-Live алдында

  • Owner дайындалган, атуу аныкталган
  • Сурамжылоо/экспонаттар алынган жана текшерилген
  • DPA/SLA/түзөтүүлөр кол коюлган, субпроцессорлор декларацияланган
  • Сегментация/лимиттер/камуфляж киргизилген, ачкычтар өзүнчө
  • Окуя боюнча кум сыноо/таблеткалар өттү
  • Чыгуу/миграция жана эскроу планы

Чейрек сайын (Tier 1-2)

  • Мониторинг SLA/окуялар/SDK-аялуу
  • Сертификаттарды/отчетторду, субпроцессорлордун реестрин жаңыртуу
  • DR/BCP тест тастыкталган
  • Финскрининг (туруктуулук), санкциялык текшерүүлөр
  • Review топтолуу тобокелдиктер жана альтернативалар

Offboarding

  • Ачкычтар/кирүү жокко чыгарылган
  • Берилиштерди экспорттоо аяктады, өчүрүү/backaps ырастоо
  • Жабуу актылары, жаңыланган Data Mar/реестрлери

15) Типтүү жагдайлар жана чаралар

A) SDK маркетинг аялуу

токтоосуз өчүрүү, PII чогултуу үчүн блок, зарыл болгон учурда DPO/жөнгө салуучу кабарлоо, сатуучудан CAPA, retest.

B) PSP SLA деградация

Резервдик PSP үчүн авто-роутинг трафиги, лимиттерди азайтуу, service кредиттерди активдештирүү, келишимди кайра карап чыгуу/экзит-план.

C) KYC-жөнөтүүчү агып

Интеграцияны изоляциялоо, токендерди ревокациялоо, таасир эткен жазууларды карталоо, билдирүүлөр, кол менен жасалган KYC жогорку тобокелдик, сатуучуну текшерүү, мүмкүн болгон алмаштыруу.

16) TPRM киргизүү жол картасы

Жумалар 1-2: сатуучулардын инвентаризациясы, Data Map, тиринг, негизги сурамжылоо жана реестр.
Жумалар 3-4: SLA/DPA/кошумчалар үлгүлөрү, onboarding/мониторинг/offboarding процесси, SIEM/CMDB/IDP менен интеграция.
Ай 2: 1-2-Тир учкуч, чейректик карап баштоо, күбөлүктөрдү/мөөнөттөрдү текшерүүнү автоматташтыруу.
Ай 3 +: масштабдоо, эсеби/dashboard, стресс-тесттер BCP/DR, топтолуу тобокелдиктерди оптималдаштыруу жана башка жолдор.

TL; DR

Күчтүү TPRM = толук сатуучулардын картасы → тирлөө жана эсеби → катуу келишимдер (SLA/DPA/BCP/DTIA) → сегментация жана коопсуз интеграция → үзгүлтүксүз мониторинг жана аудит → тез чыгуу/ремедиация. Бул акчаны, маалыматтарды жана лицензияларды коргойт - жана өнөктөштөр иштебей калса да бизнестин туруктуулугун сактайт.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.