GH GambleHub

Бұзушылықтар туралы хабарламалар және есептілік мерзімдері

1) Мақсаты және саласы

Операциялар мен Комплаенс контурларындағы инциденттер мен бұзушылықтар кезінде міндетті хабарламалардың бірыңғай, тексерілетін және қайталанатын тәртібін белгілеу: деректер қауіпсіздігі, төлемдер/қаржылық операциялар, реттеуші талаптар, жауапты ойын, әріптестік интеграциялар, бедел тәуекелдері. Құжат мерзімдерді, адресаттарды, форматтарды, сондай-ақ дайындау және бақылау рәсімдерін белгілейді.

💡 Дисклеймер: бөлім - операциялық нұсқаулық. Заң консультациясын алмастырмайды. Әрбір юрисдикция үшін жергілікті заң/лицензия ережелері қолданылады; қорытынды мәтіндер/мерзімдер Legal/Compliance-пен келісіледі.

2) Негізгі терминдер

Reportable incident (хабарланатын инцидент): заң/лицензия/шарт бойынша сыртқы тараптарға хабарлау талап етілетін оқиға.
DPA - деректерді қорғау жөніндегі орган (GDPR және аналогтар).
FIU - қаржылық барлау (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme - төлем провайдерлері/эквайерлері/төлем жүйелері.
CERT/CSIRT - киберқауіпсіздік инциденттеріне ден қоюдың ұлттық/салалық орталықтары.
LEA - құқық қорғау органдары.
Holding statement - базалық фактілер мен келесі аптаның уақыты бар алғашқы қысқаша хабарлама.

3) Хабарланатын оқиғалардың сыныптары (санаттар)

1. АҚ/құпиялылық: PII/қаржы деректерінің жылыстауы, есептік жазбалардың компромисстері.
2. Құмар ойындарын реттеуші: ойынның қолжетімділігіне/адалдығына/теңгеріміне әсер ететін іркілістер; лицензия/жарнама/RG шарттарының бұзылуы.
3. AML/CFT: күмәнді операциялар/паттерндер → SAR/STR FIU.
4. Төлемдер: PSP жаппай қолжетімсіздігі, жоғары ауытқулар, төлеушілік деректердің компромисі.
5. Тұтынушы/ойыншы: қозғалған тұлғаларға хабарламалар (data breach, ақша операциялары, компл. шаралар).
6. Әріптестер/аффилиаттар/провайдерлер: трекингке, есептілікке, қаржылық есептеулерге әсері.
7. CERT/LEA: қоғамдық маңызы бар кибер оқиғалар, брендті фишинг/клондау.
8. Аудит/лицензия иелері: SLA есептілігіне сәйкестігі, жойылғанын растау.

4) Мерзімдер матрицасы (бағдарлар)

💡 Нақты мерзімдер тізілімдегі әрбір лицензия/юрисдикция бойынша нақтыланады (§ 10 қараңыз). Төменде - жоспарлауға арналған үлгі жақтау:
Адресат санатыТриггерБірінші ескертуКелесі апдейттерСоңғы есеп
DPA (GDPR түрі)деректер субъектілерінің құқықтары/бостандықтары үшін расталған тәуекеланықталған сәттен бастап 72 сағатқа дейіннегізгі фактілердің дайындығы бойынша (әдетте әрбір 24-72 сағат)30 күнге дейін немесе талап ету бойынша
Қозғалған субъектілер (ойыншылар)құқықтар/бостандықтар үшін жоғары қауіпнегізсіз кідіріссіз (әдетте DPA-дан кейін 72 сағаттан ≤)ремедиация кезеңдері бойыншажағдай жабылғанда
Құмар ойын реттегішіадалдыққа/қол жетімділікке/есепке алуға әсер ететін тосын оқиғамүмкіндігінше тезірек, шамамен 24 сағSLA лицензиясы бойынша (мысалы, әр 24 сағат/кезең бойынша)реттегіш форматы бойынша (жиі 7-30 күн ≤)
FIU (AML SAR/STR)терроризмді жылыстатуға/қаржыландыруға күдіккүдік қалыптасқаннан кейін кідіріссіз (көбінесе күніне)қосымша деректер түскен кездеFIU сұрауы бойынша
Төлем схемалары/PSP/банкжаппай ақаулықтар/PAN/PCI оқиғасыдереу (шамамен <24 сағ)келісілген жоспар бойыншашаралармен жабылатын есеп
CERT/CSIRTелеулі кибер оқиға/қауіпasap (жиі <24 сағ)тергеу кезеңдері бойыншаCERT талаптары бойынша
Әріптестер/аффилиаттартрекингке/есеп айырысуға әсер ету<24 сағтүзету сатылары бойыншақорытынды reconciliation

5) RACI және рөлдері

IC (Incident Commander) - таймлайн және «war room» иесі. (A)

Legal/Compliance Lead - «reportable» біліктілігі, адресаттар мен мерзімдерді таңдау, соңғы белгі. (R/A)

Security Lead - АҚ фактілері, компромат/PII көлемі, CERT/LEA-мен өзара іс-қимыл. (R)

Payments Lead - PSP/банк/схемалар, PCI-сұрақтар, қайтарымдар/chargebacks. (R)

Comms Lead - мәтін және жіберу арнасы, мәртебе-бет, CS макростары. (R)

Data/Analytics - қозғалған субъектілердің/транзакциялардың тізбесі, ықпалды бағалау. (R)

CS/CRM Lead - ойыншыларға хабарламаларды, өтемақыларды жеткізу. (R)

Exec Sponsor/CEO - S1 жария мәлімдемелері. (C/I)

6) Өтпелі үдеріс (анықтаудан жабуға дейін)

А. Хабарлауды анықтау:
  • анықтау → заңгерлік біліктілік (Legal) → шешім "reportable? кімге? мерзімдері? ».
B. дайындау:
  • фактілерді/артефактілерді жинау → күрделілік жіктемесі → үлгілерді таңдау → келісу (Legal/Comms/IC).
C. жіберу және логин жасау:
  • арналар арқылы жеткізу (реттегіш порталдары, қорғалған пошта, API, қағаз нысандары) → жіберу және алу уақытын белгілеу.
D. апдейттер:
  • кесте/кезеңдер бойынша → мәтін нұсқаларын басқару → статус-парақпен үндестіру.
E. аяқтау:
  • соңғы есеп → CAPA-жоспар → жабу және ретро (≤ 7 күн).

7) Хабарламаның ең аз құрамы (скелет)

1. Оқиға идентификаторы, күні/уақыты (UTC және жергілікті).
2. Оқиғаның және әсер ету радиусының қысқаша сипаттамасы.
3. Деректердің/клиенттердің/операциялардың қозғалған санаттары.
4. Қабылданған шаралар (контейнмент/қалпына келтіру).
5. Тәуекел-бағалау және ағымдағы мәртебе.
6. Алдағы қадамдар жоспары және келесі жаңартудың ETA.
7. Кері байланыс үшін байланысатын адам/арна.
8. Лицензияның/компанияның заңды деректемелері (егер талап етілсе).
9. Қосымшалар: таймлайн, техникалық артефактілер, субъектілердің тізбелері.

8) Үлгілер (жылдам кірістіру)

8. 1 DPA (деректердің жылыстауы, бастапқы хабарлама):

Оқиға/табылған күні

Деректер санаттары/көлемі/географиясы

Зиянды барынша азайту жөніндегі шаралар (токендерді тастау, MFA, мониторинг)

Субъектілер үшін тәуекелдерді бағалау

Субъектілерді хабардар ету жоспары және мерзімдері

DPO/Legal контактісі

8. 2 Ойыншыларға (data breach):

Тақырып: Тіркелгіңіздің қауіпсіздігі туралы маңызды ақпарат

Денесі: не болды (техникасыз) егжей-тегжейлі және PII-сіз), қандай шаралар қабылданды, ойыншыға қазір не істеу керек (құпия сөзді өзгерту, MFA қосу), жаңартуларды қайда бақылау керек, көмекті/өтемақыны қалай алу керек.

8. 3 Құмар ойындарын реттеуші (қолжетімділік/адалдық сәтсіздігі):

Не: қызмет/ойындар/әмиян, уақыт аралығы, аймақтар

Әсері: пайыздар/ставкалар/теңгерімдер саны

Шаралар: қайтару, резерв, safe-mode әмиян

Күтілетін қалпына келтіру ETA, адалдықты/балансты бақылау

Түпкілікті верификация және есептілік жоспары

8. 4 FIU (SAR/STR, қысқаша):

Күдікті фактілер мен негіздер («клиентті ескертусіз»)

Сомалар/байланысты шоттар/мінез-құлық модельдері

Қосымшалар (транзакциялар/байланыстар бағандары)

AML үшін жауапты адамның контактісі

8. 5 PSP/Acquirer/Card Scheme:

Не болды (схемалар/әдістер қозғалды), PCI-тәуекелдер маркерлері

Бизнес-әсер (auth-rate, бас тарту/latency)

Қабылданған шаралар/байпастар, бірлескен диагностика туралы өтініш

Клиенттердің өтемақы жоспары/қайтарымдарды өңдеу

8. 6 CERT/CSIRT:

Компрометация индикаторлары (IoC), TTP, векторлар

Қабылданған шаралар және қалған тәуекелдер

Телеметрияны үйлестіру/тарату сұранысы

9) Чек парақтары

Бастапқы хабарламаны жіберер алдында

  • Фактілер расталды; құпиялар алынып тасталды/PII.
  • Legal/Compliance компаниясымен келісілді; Адресат/арна таңдалды.
  • Келесі жаңарту көрсетілген (күні/уақыты/арнасы).
  • Скриншоттар/ARTEFACTS және қосымшалардың хэш-сомалары тіркелген.
  • Локализация/тіл тексерілді (қажет болса).

Жіберілгеннен кейін

  • Қабылдау растамасы/тикет нөмірі/тізілімдік ID алынды.
  • Жаңартулар мен иелер жоспары жасалды.
  • Мәртебе/FAQ/CS макростарындағы мәтіндер үндестірілді.

Жабу

  • Соңғы есеп жіберілді және расталды.
  • CAPA тиімділік мерзімдерімен және өлшемдерімен тіркелген.
  • Ретро ≤ 7 күн өткізілді.

10) Мерзімдер мен адресаттар тізілімі (деректер құрылымы)

Git/Confluence бағдарламасында кесте түрінде сақталады (нұсқаланады, иесі - Legal):
ӨрісМысал
Юрисдикция/ЛицензияMT/MGA B2C
СанатDPA / Gaming Regulator / FIU / PSP / CERT
Бастапқы хабарлау мерзімі72h / 24h / asap
АрнаПортал/Қорғалған пошта/API/Факс
ТілEN/жергілікті
ПішімЕркін/Форма № .../JSON схемасы
Міндетті өрістертізбе, тізбе
Байланыс/аккредитацияe-mail, ID порталы
Негізінормаға/лицензиялық тармаққа сілтеме
Ескертулеререкшеліктері (мереке күндері, сағат белдеуі және т.б.)

11) Артефактілер мен ретенция

Таймлайн (минуттық дәлдік), барлық хабарламалардың нұсқасы, қабылдауды растау.
Тех. артефакттар: түсірілімдер, дампалар, метриктер экспорты, IoC, конфигурация суреттері.
Хабарлама/өтемақы үшін пайдаланылатын субъектілердің/транзакциялардың тізімдері.
Ретенция: лицензиялардың/заңдардың талаптарына сәйкес сақтау (әдетте 1-7 жыл, юрисдикция бойынша нақтыланады).

12) Сәйкестік өлшемдері

Timeliness: мерзімінде жіберілген хабарламалар% (санаттар бойынша).
Completeness: бірінші реттен қабылданған хабарламалардың үлесі (түзетулерді сұраусыз).
Acknowledgement SLA: растауды алудың орташа уақыты.
Update Discipline: ауқым аралықтарын сақтау.
CAPA Efficacy: мерзімінде жабық CAPA үлесі.

13) Құралдар және автоматтандыру

Инцидент-бот: '/notify <санат> ', мерзімдер/арналарды автоматты түрде алмастыру, мерзімсіз ескертулер.
Шаблонизатор: инцидент параметрлерінен хабарламаларды жинау; нұсқалары/локализациясы.
Мәртебе-бет: сыртқы жаңартулары бар синхрон; TTS бақылау (time-to-statement).
SOAR/SIEM: DPA/CERT үшін артефактілерді автоматты түрде жинау.
DWH/CRM: қозғалған субъектілердің сегменттері, жеткізу және ашу трекингі.

14) Өзгерістерді басқару (governance)

Бөлімнің иесі: Head of Compliance (резерв - Legal Counsel).
Тізілімді тексеру (§ 10): тоқсан сайын және әрбір S1/S2 кейін.
Жаттығулар: DPA/Regulator/AML бойынша table-top - тоқсан сайын; live-drill АҚ - жарты жылда бір рет.
Аудит: хабарламалардың мерзіміне және толықтығына сәйкестігін жыл сайын тәуелсіз тексеру.

15) Жылдам бастау (30 күнде енгізу)

1. Барлық лицензиялар/рыноктар бойынша мiндеттi адресаттардың тiзiмiн қалыптастыру және тiзiлiмге енгiзу (§ 10).
2. Хабарламалардың үлгілерін бекіту (§ 8) және оларды инцидент-ботқа қосу.
3. SLA-метриканы (§ 12) және «Regulatory Reporting» дашбордын баптау.
4. Жаттығуды өткізу: data breach → DPA + ойыншылар, төлем дағдарысы → PSP, AML-SAR → FIU.
5. holding statements ұзақтығы мен автогенерациясы туралы ескертулерді қосу.
6. Алғашқы оқу-жаттығудың қорытындысы бойынша ретроны іске қосу, плейбуктерді жаңарту.

Байланысты бөлімдер:
  • Дағдарыстық басқару және коммуникация
  • Инциденттік ойнатқыштар мен сценарийлер
  • Бизнестің үздіксіздігі жоспары (BCP)
  • Disaster Recovery Plan (DRP)
  • Эскалация матрицасы
  • Хабарламалар мен ескертулер жүйесі
  • Жауапты ойын және ойыншыларды қорғау
Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.