GH GambleHub

Лицензияларды ұзарту және аудит

1) Бұл не үшін маңызды

Лицензия - статикалық құжат емес, RG/AML, қауіпсіздік, деректер және есептілік стандарттарын қолдау міндеттемесі. Сәтті ұзарту және аудит тәуекелдердің басқарылуын, процестердің жетілгендігін және ауқымға дайындығын растайды.

Негізгі қағидаттар: evidence-first, no-humans-in-prod, policy-as-code, traceability.

2) Ұзарту және аудит түрлері

Лицензияны ұзарту (renewal): күнтiзбе бойынша (әдетте жыл сайын/жылына бiр рет) - бақылау бойынша нысанды, алымдарды және дәлелдемелер пакетiн беру.
Вариациялар/өзгерістер (variation): бенефициарларды ауыстыру, вертикалдарды, хостингтің орналасуын, негізгі тұлғаларды қосу - жеке келісуді талап етеді.
Реттеушілік аудит: саясат/есептілік, маркетинг/аффилиаттар, RG/AML, инцидент журналдарын тексеру.
Техаудит/зертханалар: RNG/RTP, SDLC/релиздер, осалдықтар/пентест, DR/BCP, хостинг және логи.
Қаржылық аудит: GGR/салықтар/резервтер, бонустық есептен шығарудың дұрыстығы, төлемдер тізілімі.
GDPR/DPA аудит: DPIA, өңдеу тізілімі, субъектілерге жауаптар, ағып кету/хабарламалар.
PCI DSS (егер PAN-мен жұмыс істесеңіз): сегментация, токенизация, кіру журналдары, ASV сканерлері.

3) Ұзарту күнтізбесі: болжамды шкала

T-90...60 күн - gap-талдау, саясатты жаңарту, зертханаларды/аудиторларды брондау.
T-60...30 - артефактілерді жинау (логтар, SBOM, сканерлердің/пентесттердің есептері, DR-актілер), Key Persons растауы.
T-30...14 - пакеттің финалы, дәлелдемелердің ішкі іріктемесі (sampling), жауаптыларды сұхбатқа дайындау.
T-14...0 - renewal-пакетті беру, алымдарды, SLA-терезелерді реттеушіге жауап ретінде төлеу.
T + 0... + 30 - Q & A/сұрау салулар, ремедиациялар, ұзартуды растау.

💡 Сындарлы жол: Key Persons → саясат/рәсімдер → техникалық дәлелдер (SDLC/логи/DR) → зертханалар/аудиторлар → Q&A

4) Evidence-пакеті: алдын ала не дайындау керек

Орг/құқық: иелену құрылымы, SoF/SoW (өзгерістер кезінде), CV және Key Persons анықтамалары, өкілеттіктер тізілімі.
Саясат: өзекті AML/CTF, RG, жарнама/аффилиаттар, деректерді қорғау (DPIA), инциденттер, DR/BCP; ревизиялар мен тренингтер журналы.

АТ және релиздер:
  • SBOM және артефактілердің қолдары бар релиздер журналы;
  • SAST/SCA/DAST есептері, ремедиация жоспары, белсенді ерекшеліктерсіз «critical/high» болмауы;
  • бақылау қабілеті: SLO/SLI дашбордтар, синтетикалық тексерулер «депозит/АКҚ/шығару»;
  • логизация: PII/PAN, ретеншн және іздеу жоқ құрылымдалған логтар;
  • DR/BCP: restore-тест актілері, RTO/RPO, авариялық оқу-жаттығу хаттамалары.
  • RG/AML: интервенциялар мен нәтижелер тізілімі, self-exclusion (жергілікті/ұлттық), күдікті операциялардың есептері (STR/SAR), санкциялар/ТБР-лог.
  • Маркетинг/аффилиаттар: арналардың ақ тізімі, аппрувалды креативтерді іріктеу, бұзушылықтар мен шаралар журналы.
  • Қаржы/салықтар: тігінен GGR есептері, бонустарды/джекпоттарды түзету, PSP/банктермен салыстыру.

5) Форматы және трассалануы

Әрбір саясат өз дәлелдемелерін бақылайды (скриншоттар, жүктеулер, хеш және күні бар есептер).
«Evidence Map» бірыңғай индексі: бақылау → қайда сақталады → жауапты → жаңарту күні.
Пакетті нұсқалау (Git/репозиторий) + аудиторлар артефактілерді іріктеп көру үшін қолжетімділікті бақылау.

6) АТ/деректерге қойылатын талаптар (бұл жиі қаралады)

SDLC/релиздері: staging-пайплайндар, қолмен/авто-гейттер сапасы, кері қайтару саясаты, өнімдегі тікелей өзгерістерге тыйым салу.
Supply chain: артефактілердің қолтаңбалары, SBOM, admission тексеру, осалдықтар саясаты.
Құпиялар және қол жетімділік: SSO/MFA/PAM, қысқа өмір сүретін токендер, артықшылықты сессиялар журналдары.
Желі: сегментация, WAF/бот-менеджмент, DDoS, mTLS/egress-бақылау.
Байқалуы: OTel-трейдерлер, SLO dashboards, error-budget алерталары, эксперименттерде SRM-чек.
Деректер: DPIA, барынша азайту, өңірлер бойынша деректер (residency), PII/PAN қол жеткізу журналдары.
DR/BCP: бэкаптар, протоколдары бар тұрақты restore, ауыстыру бойынша жаттығулар.

7) Аудиттен өту: тактика

1. Kickoff және scope: периметрді, таңдау тізімін, дәлел пішімін келісу.
2. Data room: Evidence Map бағдарламасына құрылымдық қатынауды дайындау.
3. Dry-run сұхбат: MLRO/DPO/RG-Lead/CTO/SRE - Q&A прогоны және демонстрациялар.
4. Live-сессиялар: логтар, SLO-дашбордтар, релиздік артефакттар, DR-сценарийлер.
5. Ремедиация: басымдықтар мен мерзімдерді келісеміз, трекерде белгілейміз.
6. Closure: аудит есебі, сабақтар, саясатты/бақылауды жаңарту, ретро.

8) Ремедиация жоспары (шаблон)

IDОрналасқан жеріТ уекелӘрекеттерИесіМерзіміКүй- жайы
SEC-012 сервисте бейнелердің қолтаңбасы жоқHighҚолтаңбалар мен admission policy қосуPlatform Lead15 күнЖұмыста
RG-02Интервенцияның толық емес телеметриясыMediumОқиғаларды/дашбордты кеңейту, тренинг өткізуRG Lead10 күнЖоспар
AML-03Осалдықтар бойынша 2 ерекшелік мерзімі өткенHighSIEM есебін жабу/жаңартуSecurity Lead7 күнДайын

9) RACI (мысалы: ұзарту бағдарламасы)

АумақResponsibleAccountableConsultedInformed
Evidence Map және дата-румCompliance PMHead of ComplianceSecurity, Platform, DataExec
Саясат және тренингтерCompliance LeadCOOLegal, HRAll
SDLC/релиздер/SBOMPlatform/SRE LeadCTOSecurityCompliance
Пентест/осалдықтарSecurity LeadCTOVendorsCompliance
RG/AML есептілігіRG Lead / MLROCOOSupport, DataExec
Маркетинг/аффилиаттарMarketing OpsCMOLegal, ComplianceFinance
Қаржы/GGR/салықтарFinance LeadCFOPSP, ContentExec

10) Чек парақтары

10. 1 Definition of Ready (мерзімінен 60-90 күн бұрын)

  • AML/RG/жарнама/деректер/инциденттер саясаты жаңартылды; тренингтер өткізілді.
  • Key Persons расталды, SoF/SoW өзекті (егер қажет болса).
  • SAST/SCA/DAST және пентест есептері жиналды, мерзімі өткен ерекшеліктерсіз critical/high жабылды.
  • SBOM/қолтаңбалары бар релиздер журналдары қол жетімді; admission-policy enforce күйінде.
  • SLO/SLI дашбордтары және «депозит/АКҚ/шығару» синтетикалық тексеру есептері қол жетімді.
  • SLA RTO/RPO шегіндегі DR/restore-тесттер актілері.
  • RG/AML тізілімдері: интервенциялар, SAR/STR, self-exclusion; санкциялар/ӨР бойынша есептер.
  • Маркетинг/аффилиаттар: каналдардың ақ тізімдері, апрувалмен креативтерді іріктеу.
  • GGR/салықтардың қаржылық есептілігі PSP/банктермен салыстырылды.

10. 2 Definition of Done (ұзарту/аудит расталғаннан кейін)

  • Хат/ұзарту сертификаты алынды, тізілімдер/сайт/құжаттар жаңартылды.
  • Ремедиация жоспары жабылды, саясат пен Evidence Map жаңартылды.
  • Ретро өткізілді: сабақтар, процестердегі өзгерістер, күнтізбе жаңартылды.
  • Провайдерлерге/PSP хабарламалары жіберілді (қажет болған жағдайда).

11) Аудит кезеңінде аффилиирлермен және жарнамамен жұмыс істеу

Арналар тізілімін, креативтердің іріктемесін, 18 +/21 + таргет дәлелдерін дайындаңыз.
Бұзушы серіктестерге арналған «stop-list» рәсімі, RG/AML-комплаенс туралы шарттардағы шарттар.
Көрсету/шектеу жиілігінің және блок-парақтардың дашборды.

12) Тәуекелдерді басқару (registry)

Т уекелЫқтималдық/ИмпактБелгісіБақылауИесі
Сыни осалдықтарды кешіктіруM/HFindings> 14 күн«no critical/high» саясаты, автотрекингSecurity
Толық емес RG журналдарыM/MОқиғалардағы бос орындарОқиға каталогы, Data QARG Lead
SDLC жеткіліксіз дәлелденуіM/HШығарылым сұрақтарыSBOM/қолтаңбалар, өзгерістер журналыPlatform
Тұрақсыз DR процедураларыL/HRTO/RPO қол жеткізілмегенТоқсан сайынғы restore-тесттерSRE
Жарнама/аффилиаттар бұзушылықтарыM/MШағымдар, айыппұлдарАқ тізімдер, креативтер аудитіMarketing

13) Шағын үлгілер

Evidence Map (CSV) құлақшыны: 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
Аудит жоспары (1 бет):
  • Scope/мақсаттар
  • Таңдау тізімі және дәлел пішімі
  • Сессия/сұхбат күнтізбесі
  • Рөлдер мен контактілер
  • Q&A және SLA жауап арнасы

14) Жиі қойылатын сұрақтар

Барлық артефактілерді бірден тапсыру керек пе? Жоқ: дерекқор беріңіз, ал сұрату бойынша іріктеме беріңіз - бірақ бәрін дайын ұстаңыз.
Логтардың бір бөлігінің жоқтығын өтеуге бола ма? Тек түсінікті себептермен және түзету жоспарымен (және мерзімдерімен).
Реттеуші үшін не маңызды - саясат пе, әлде дәлелдеме ме? Әрқашан саясаттың шынайы жұмыс істейтінін растайтын дәлелдер.

15) 30 күнге қысқаша жоспар (жеделдетілген трек)

1-апта: соңғы gap-талдау, саясатты жаңарту, SLO/логтарды өлшеу, аудиторларды брондау.
2-апта: SBOM/қолтаңбаларды/релиздік журналдарды жинау, осалдықтар есебі/пентест, DR актілері.
Апта 3: RG/AML/маркетингті шоғырландыру, жиынтық дашбордтар, dry-run сұхбат.
4-апта: беру, Q&A, жылдам ремедиация және ұзартуды растау.

Қысқаша қорытынды

Ұзарту және аудит - бұл бір реттік «есеп тапсыру» емес, процестердің жетілгендігін үнемі көрсету. Күнтізбені жасаңыз, Evidence Map-ты жүргізіңіз, бақылауларды код ретінде автоматтандырыңыз, бақылауды және DR-ны қалыпты ұстаңыз. Сонда ұзарту қатерден дағдыға, ал аудит реттеушілер, әріптестер мен ойыншылар тарапынан жақсару мен сенім көзіне айналады.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.