GH GambleHub

Маалымат жана маалыматтарды коргоо үчүн канал

1) Максаты жана аймагы

Кызматкерлерди, подрядчыларды, аффилиаттарды жана башка стейкхолдерлерди бузуулар (коррупция, алдамчылык, AML/санкциялар, RG, GDPR/PII, PCI/IB, жарнама/аффилиаттар, кызыкчылыктардын кагылышуулары, басмырлоо жана куугунтуктоо, лицензияларды/мыйзамды бузуу). Документ каналдарды, анонимдүүлүктү, маалыматтарды иштеп чыгууну, тергөөнүн жол-жоболорун жана репрессиядан коргоону жөнгө салат.

2) Принциптер

Репрессияга нөлдүк толеранттуулук. Ар кандай жооп чараларына тыюу салынат.
Маалыматтардын купуялуулугу жана минималдаштыруу. Жыйноо - need-to-know принциби боюнча гана зарыл.
Маалыматчынын тандоосу боюнча анонимдүүлүк. Инсанды ачыкка чыгарбастан баарлашуу мүмкүнчүлүгү.
Өз убагында жана адилеттүүлүк. SLA кабыл алуу/кароо; документтештирилген, калыс методология.
Көз карандысыздык. Ролдорду бөлүштүрүү: билдирүүлөрдү кабыл алуу, тергөө, санкциялар.
Процесстин ачыктыгы. Статус, пикир, инсандыгы жок коомдук статистика.

3) Ролдору жана RACI

Whistleblowing Officer (WBO) - процесстин ээси, триаж, иликтөөлөрдү координациялоо, отчеттуулук. (A/R)

Compliance/Legal/DPO - укуктук баа берүү, маалыматтарды коргоо, купуялык саясаты. (R/C)

InfoSec/CISO - каналдардын коопсуздугу, шифрлөө, кирүү көзөмөлү, журнал жүргүзүү. (R)

HR/ER (Employee Relations) - этика/жүрүм-турум учурлары, колдоо чаралары. (R)

Эл аралык аудит (IA) - көз карандысыз тергөө сапатын көзөмөлдөө жана CAPA. (C)

Security/Trust & Safety - техникалык/Frod Cases, санариптик экспонаттарды чогултуу. (R)

Exec Sponsor (CEO/COO) - "tone from the top", ресурстар, эскалация S1. (I/A)

4) Билдирүүлөрдү кабыл алуу каналдары

1. Веб-форма (негизги сунушталган): анонимдүүлүктү колдоо; токен/пин боюнча корголгон кат алышуу.
2. Электрондук почта: auto-шифрлөө менен атайын куту, мазмунун ачыкка чыгарбастан автоквитанция.
3. Ишеним телефону: маалыматтарды жашыруу менен системага жазуу.
4. Корпоративдик мессенджердеги чат-бот: анонимдүү эмес (же прокси механизми менен).
5. Почта дареги/физикалык куту: оффлайн билдирүүлөр үчүн (Системага сканерлөө жана жүктөө).
6. WBO/IA менен түз байланыш: жеке жолугушуу - маалыматчынын каалоосу боюнча.

Каналдарга талаптар: TLS end-to-end, шифрленген сактоодо сактоо, RBAC, кирүү журналдары өзгөрбөйт, анонимдүү формада IP/түзмөктөрдүн трекингинин жоктугу, cookie/логдордун ачык-айкын саясаты.

5) Маалыматтарды коргоо жана укуктук негиздер

Lawful basis: юридикалык милдеттерин аткаруу, компаниянын мыйзамдуу кызыкчылыктары, коомдук кызыкчылык (юрисдикциясына жараша).
DPIA: башталганга чейин - купуялыкка тийгизген таасирин баалоо; тобокелдиктерди жана төмөндөтүү чараларын бекитүү.
Маалыматтарды классификациялоо: жеке, сезимтал (ден соолук, этностук ж.б.), коммерциялык сыр, иликтөөлөрдүн артефакттары.
Минималдаштыруу: ашыкча чогултуу эмес; тиешелүү эмес документтерди алып салуу.
Чек ара өткөрмөлөрү: укуктук негиздер жана келишимдик кепилдиктер болгондо гана.
Маалыматтар субъекттеринин укуктары: DSAR DPO тарабынан иштетилет; өзгөчө: маалыматчынын ким экендигин жана тергөөгө/үчүнчү жактарга коркунуч туудурган маалыматтарды ачыкка чыгарбоо.
Ретенция: билдирүүлөр жана экспонаттар - адатта 5 жыл же саясат/мыйзам/лицензия боюнча; андан кийин коопсуз алып салуу (крипто-shred/журнал менен логикалык өчүрүү).

6) Коопсуздук жана техникалык чаралар

Шифрлөө: ат-rest (KMS/HSM), in-transit (TLS), ачкычтар - айлануу жана ажыратуу менен.
Access: RBAC/ABAC, минималдуу артыкчылыктар принциби, анонимдүү учурлар үчүн өзүнчө домендер.
Журналдар: өзгөрүлбөс (WORM), адаттан тыш жеткиликтүүлүктөргө мониторинг, алерталар.
Сегментация: байланыш системасы прод-системалардан обочолонгон; калыбына келтирүү текшерүү менен өзүнчө backaps.
Метадеректер: маскировка, тиркемелерден EXIFти алып салуу, автоматтык де-идентификация жөнүндө маалымат берүүчү эскертүү.
Жашыруун байланыш каналдары: эки тараптуу анонимдүү кат алышуу үчүн коопсуз почта кутусу/веб-почта.

7) Cases классификациясы жана артыкчылыктары

S1 (критикалык): паракорчулук/паракорчулук, ири жемкорлук, PII/PCI агып, өмүргө/коопсуздукка коркунуч, олуттуу лицензия/мыйзам бузуулар.
S2 (жогорку): системалуу саясат бузуулар (AML/RG/GDPR/МБ), олуттуу кызыкчылыктардын чыр-чатактар, басмырлоо/куугунтуктоо.
S3 (Ортоңку): процедуралардын жергиликтүү бузулушу, жарнама/аффилиациядагы каталар, жүрүм-турумдун бир жолку бузулушу.
S4 (төмөн): жакшыртуу боюнча сунуштар, төмөн тобокелдик окуялар.

SLA:
  • Кабыл алуу жөнүндө квитанция: S1/S2 - ≤ 24 саат; S3/S4 - ≤ 3 р.д.
  • Баштапкы баа (triage): S1 - ≤ 48 саат; S2 - ≤ 5 р.д.; S3/S4 - ≤ 10 р.д.
  • Иликтөө планы: S1 - ≤ 3 р.д.; S2 - ≤ 10 р.д.

8) Билдирүүдөн жабууга чейинки процесс

Кадам 1 - Кабыл алуу жана квитанция. ID ыйгаруу, каналды бекитүү, далилдерди сактоо "бар".
2-кадам - Triage жана көз карандысыздык. Дайындалган адамдардын кызыкчылыктарынын кагылышын текшерүү; карама-каршылыкта - кайра бөлүштүрүү.
3-кадам - Тобокелдикти баалоо жана план. Көлөм, гипотезалар, ыкмалардын мыйзамдуулугу, артефакттардын тизмеси, жол картасы.
4-кадам - далилдерди чогултуу. Документтер, протоколдор, интервьюлар, транзакциялардын үлгүлөрү; chain-of-custody сактоо.
5-кадам - Анализ жана корутундулар. Факт → критерий (саясат/мыйзам/лицензия) → тобокелдик → таасир.
6-кадам - Сунуштар жана CAPA. Түзөтүүчү/эскертүү иш-аракеттери, ээлери, мөөнөттөрү, ийгиликтин метрикасы.
7-кадам - Байланыш жана пикир. Маалыматчынын инсандыгын ачыкка чыгарбастан; так тил (финалга чейин айыпсыз).
Кадам 8 - Жабуу жана ретенция. Акыркы отчет, статусу, артефакттарды сактоо, жекелештирилген статистиканы чыгаруу.

9) Байланыш жана маалыматчыны коргоо

Эч кандай tipping-off. Билдирүүнүн/тергөөнүн фактысын болжолдуу бузгандарга ачыкка чыгарбоого.
Репрессиядан коргоо. Төмөндөтүүгө, иштен бошотууга, бонустардан ажыратууга, куугунтуктоого ж.б. Жооп чаралары өзүнчө S1/S2 бузуу катары каралат.
Колдоо: керек болсо - башка командага которуу, эс алуу, кадрдык/юристтердин консультациялары/психологиялык колдоо.
Эки тараптуу анонимдүү байланыш: маалымат берүүчү суроолорду берип, веб-инбокс/токен аркылуу статус ала алат.

10) Башка саясатчылар менен байланыш

Этика жана жүрүм-турум кодекси - стандарттар жана каналдар.
Коррупцияга каршы саясат - due diligence, белектер, ортомчулар.
GDPR/PII - иштетүүнүн мыйзамдуулугу, DSAR, retentia.
AML/RG/PCI/IB - адистештирилген жол-жоболор жана триаж.
Ички аудит - иликтөөлөрдүн сапатын көз карандысыз контролдоо.

11) Чек-баракчалар

11. 1 Канал башталганга чейин

  • DPIA жана купуялык саясаты DPO/мыйзамдуу тарабынан бекитилген.
  • техникалык архитектура: коддоо, RBAC, WORM журналдар.
  • Анонимдүү веб-форма жана эки тараптуу токен байланышы.
  • тергөө методологиясы боюнча WBO/триаж командасы окутуу.
  • Даярдалган шаблондор (дүмүрчөк, тергөө планы, отчет, жабуу кат).
  • Байланыш кампаниясы: "tone from the top", плакаттар, intranet, FAQ.

11. 2 Кабарды кабыл алуу

  • ID дайындалган, күнү/канал/S-деңгээл жазылган.
  • Тастыктоо маалымат ачыкка жок жөнөтүлгөн.
  • Аткаруучулардын кызыкчылыктарынын кагылышын текшерүү жүргүзүлдү.
  • Бардык тиркемелер/мета-маалыматтар жазылган, де-идентификация аткарылган.

11. 3 Иликтөө

  • План жана гипотезалар бекитилген (мыйзамдуу/DPO/InfoSec - зарыл).
  • Chain-of-custody ар бир артефакт үчүн жүргүзүлөт.
  • Интервью жазылат; купуялуулук жөнүндө эскертүү.
  • Жыйынтыктар текшерилген фактыларга негизделген, peer-review өткөрүлдү.

11. 4 Жабуу

  • CAPA дайындалган, мөөнөттөрү жана көрсөткүчтөрү аныкталган.
  • Маалымат берүүчү (мүмкүнчүлүк) жеке пикир алды.
  • Retence/классификация белгиленген; экспонаттар архивге коюлган.
  • Статистика дашборддо жаңыланды.

12) документтердин үлгүлөрү (тез киргизүү)

A) Маалымат берүүчүгө квитанция

💡 Билдирүү үчүн рахмат. Сиздин ID: WB-XXXX. Биз маалыматты изилдеп, керек болсо бул коопсуз канал аркылуу байланышабыз. Сиз анонимдүү бойдон кала аласыз. Текшерүү аяктаганга чейин маалыматты ачык айтпаңыз.

B) Иликтөө планы (one-pager)

Case: WB-XXXX артыкчылыгы: S1/S2/S3/S4 Ээси:... Мөөнөтү:...
Гипотезалар/критерийлер:...
Маалыматтар/экспонаттар:...

Интервью: тизме/график

Купуялык тобокелдиктери/юридикалык чектөөлөр:...
Байланыш жана контролдоо пункттары:...

C) Жыйынтыктоочу отчет (түзүм)

Резюме Фактылар Критерийлер (саясат/мыйзам) Анализ Корутундулар CAPA Сунуштар Тиркемелер (экспонаттар).

D) Жабуу каты

💡 WB-XXXX ишти кароо аяктаганын билдиребиз. Шайкештик чаралары көрүлдү. Компаниянын этикалык жана коопсуз ишине кошкон салымы үчүн ыраазычылык билдиребиз.

13) Метрика жана дашборд

Intake Volume: категориялар жана каналдар боюнча билдирүүлөрдүн саны.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA S-деңгээл боюнча сактоо.
CAPA Progress: аткарылган/жумушта/мөөнөтү өтүп кеткен, медиа жабуу.
Retaliation Index: жооп катталган даттануулар (максаты - 0).
Anonymity Rate: жашыруун билдирүүлөрдүн үлүшү жана тастыкталган учурларда аларды которуу.
Repeat Findings: 12 айдын ичинде темалардын кайталанышы.
Awareness Impact: кампаниялардан кийин кайрылуулардын өсүшү; NPS ишеним канал.

14) Тобокелдиктер жана контролдук чаралар

Метадеректер аркылуу деанонимизация. → де-идентификация, EXIFти алып салуу, ачык эскертүүлөр.
учурларда жетүү агып. → RBAC, сегменттөө, WORM журналдар, үзгүлтүксүз кирүү текшерүү.
ойдон чыгарылган билдирүүлөр/кыянаттык. → сылыктык чыпкасы жана текшерүү; атайылап жалган билдирүүлөр үчүн санкциялар (коркутуу эффектисиз).
Тергөөдө кызыкчылыктардын кагылышуусу. → аткаруучулардын ротациясы, IA/Legal катышуусу.
Репрессия. → даттануулардын өзүнчө агымы; тез жооп HR/Compliance.

15) Окутуу жана маалымдуулук

Onbording: Канал, анонимдүүлүк жана маалыматтарды коргоо модулу (тест ≥ 85%).
Ар бир адам үчүн жылдык кайра аттестациялоо; WBO/тергөөчүлөр үчүн кошумча тренингдер.
Чейректик кампаниялар (плакаттар/бот-квиз/видео): кантип берүү керек, бул күтүлүп жаткан мисалдар.

16) 30 күндүк ишке ашыруу планы

1-жума

1. WBO жана жумушчу топту дайындоо (Compliance/Legal/DPO/InfoSec/HR/IA).
2. DPIA өткөрүү, купуялык жана ретенция саясатын бекитүү.
3. Каналдарды (веб-форма/почта/линия), анонимдүү жана логикалык талаптарды аныктоо.

Жума 2

4. Техникалык платформаны ишке ашыруу: шифрлөө, RBAC, WORM журналдары, анонимдүү веб-инбокс.
5. Шаблондорду жана SOPти даярдоо: квитанция, план, отчет, жабуу каты, CAPA.
6. Окутуу WBO/триаж командасы; RACI жана SLA жазып.

Жума 3

7. Учкуч: 1-2 сыноо иши (table-top), далилдер жана ката чынжыр текшерүү.
8. Башкаруу/комитет үчүн dashboard метрика жана отчеттуулукту орнотуу.
9. Байланыш: CEO кат, intranet бет, FAQ, плакаттар.

4-жума

10. Каналды ишке киргизүү; SLA/жүк мониторинг; ысык колдоо.
11. Жумалык S1/S2 жана CAPA-статусун карап чыгуу.
12. Ретро жана түзөтүүлөр v1. 1 (саясат, формалар, окуу).

17) Байланыштуу бөлүмдөр

Этика жана жүрүм-турум кодекси

Коррупцияга каршы саясат

AML-тренингдер жана кызматкерлерди окутуу/Кызматкерлердин комплаенс маалымдуулугу

Окуя ойнотмо жана скрипттер

Дашборд комплаенс жана мониторинг

Ички аудит жана тышкы аудит

Бузуулар жөнүндө билдирүүлөр жана отчеттуулук мөөнөттөрү

Регулятивдик отчеттор жана маалымат форматтары

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.