GH GambleHub

Серіктестер үшін комплаенс жөніндегі нұсқаулық

1) Мақсаты және қолданылу саласы

Бұл басшылық әріптестер/мердігерлер/аффилиаттар/провайдерлер үшін (төлем және хостинг-платформаларды, контент студияларын, антифрод-сервистерді, колл-орталықтарды, маркетингтік агенттіктерді қоса алғанда) комплаенске қойылатын талаптарды айқындайды.

Мақсаттары:
  • Қауіпсіздіктің, жекешеліктің, реттеушілік пен жауапты коммуникацияның бірыңғай стандарттары.
  • Жеткізу тізбегінде операциялық/құқықтық тәуекелдерді төмендету.
  • «Audit-ready» дәлелдеу базасы және өзара тексерілу.

2) Терминдер

Әріптес - деректерді өңдейтін немесе қызметтер көрсететін кез келген үшінші тарап.
Сындарлы әріптес - қауіпсіздікке, төлемдерге, дербес деректерге немесе реттеуші процестерге елеулі әсер етеді.
Субпроцессор - деректерді өңдеуге тартылған әріптестің контрагенті.

3) Қағидаттар («design tenets»)

Compliance-by-design: талаптар процестер мен архитектураға енгізілген.
Деректерді барынша азайту және юрисдикциялық есепке алу (data residency).
Трассалануы және өзгермеуі: логи, WORM-мұрағат, хеш-түбіртектер.
Proportionality: тексеру тереңдігі тәуекелге байланысты.
«Ақиқаттың бір нұсқасы»: SLA және RACI түсінікті расталған артефактілер.

4) Рөлдер және RACI

РөліЖауапкершілік
Vendor Management (A)Тәуекелді жіктеу, онбординг/оффбординг, мониторинг
Compliance/GRC (R)Талаптар, тексерулер, CAPA, аудит дайындығы
Legal/DPO (C)Шарттар, DPA, құпиялылық, трансшекаралық
SecOps/CISO (C/R)Тех. талаптар, тосын оқиғалар, детекциялар
Finance/Payments (C)Төлем талаптары, chargeback/санкциялар
Business Owner (R)Серіктеспен операциялық жұмыс, KPI
Internal Audit (I)Сақтауды тәуелсіз бағалау

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Тәуекел бойынша әріптестерді жіктеу

Өлшемдер: деректер түрі (PII/төлем), транзакциялар көлемі, прод-жүйелерге қолжетімділік, юрисдикциялар, тізбектегі рөлі (процессор/бақылаушы), инциденттер тарихы, сертификаттар/аудиттер.
Деңгейлер: Low/Medium/High/Critical → Due Diligence тереңдігін және тексеру жиілігін анықтайды.

6) Онбординг және Due Diligence (DD)

Қадамдар:

1. DD сауалнамасы (иелері, қосалқы процессорлар, деректердің орналасуы, сертификаттар, бақылаулар).

2. Санкцияларды/беделді/бенефициарларды тексеру (screening).

3. Қауіпсіздік/құпиялылық бағасы: SOC/ISO/PCI/пентест, ретенция саясаты, DSAR-процестер.

4. Техникалық тексеру: SSO/OAuth, шифрлау, құпия менеджмент, логинг.

5. Төлем/AML-аспектілері (егер қолданылатын болса): chargeback-процестер, антифрод, лимиттер.

6. Risk Report және шешім: рұқсат/шартты бас тарту + САРА/өтеу шаралары.

7. Шарттар: MSA, SLA/OLA, DPA, аудит құқығы, айналық ретенция, инциденттер туралы хабарламалар, off-ramp.

7) Әріптеске қойылатын міндетті талаптар (ең аз)

7. 1 Қауіпсіздік және құпиялылық

in transit/at rest шифрлау, кілттерді басқару (KMS/HSM).
RBAC/ABAC, MFA, әкімшілік әрекеттер журналы, re-cert кіру.
Хеш-қолтаңбасы бар логтар мен WORM-мұрағаты; үндестірілген уақыт.
Ретенция саясаты, Legal Hold, DSAR-процедуралар; PI бүркемелеу/токенизациялау.
Осалдықтар/пентесттер есептері; басқарылатын жаңартулар саясаты.

7. 2 Реттеуіш және маркетинг

Дәйексіз/агрессивті офферлерге тыйым салу, міндетті дисклеймерлер.
Жауапты ойын және жастық верификация қағидаларын сақтау (егер қолданылса).
Лицензиялар мен жергілікті шектеулерге сәйкес гео-таргетинг.
Коммуникацияларға арналған құжатталған келісімдер/қайтарулар, пруфтарды сақтау.

7. 3 Төлемдер/AML/KYC (рөлі бойынша)

KYC/KYB рәсімдері, санкциялық/РЕР-скрининг, транзакциялар мониторингі.
Авторизация логтары/3DS, chargeback-процестер, тәуекел лимиттері.
Бұғаттаудың/тергеудің және қайтарудың келісілген сценарийлері.

8) Техникалық интеграция

SSO/SAML/OIDC, SCIM-провижининг (мүмкіндігінше).
Құрылымдалған логизация (JSON/OTel), трассировка (trace_id).
Вебхактар - қол қоюмен және ретралармен; жеткізу кепілдігі/сәйкестік.
API-лимиттер, келісімшарт-тестілер, backward compatibility, нұсқалау.
Оқшауланған орталар, кілттер мен құпиялар - құпия қоймаларда.

9) Шарттық міндеттемелер

SLA/OLA: аптайм, TTR/MTTR, кідірістер, сындарлы сервистер үшін RPO/RTO.
Evidence & Audit: аудит құқығы, PBC форматтары, жауап беру мерзімі, Data Room-ға қол жеткізу.
Тосын оқиғалар: хабарлама ≤ X сағат, есеп форматы және тайм-лайн, CAPA.
Ретенция және жою: TTL, жойылғанын растау, субпроцессорлардағы айналы ретенция.
Құпиялылық/ҰҒА және қосалқы мердігерлікке шектеулер.

10) Инциденттерді басқару (бірлесіп)

Хабарландырудың бірыңғай арнасы және жаңартулардың battle-rhythm.
Дереу Legal Hold релевантты деректер.
Бірлескен таймлайн (кім/не/қашан), хеш-түбіртектері бар артефактілер.
Реттеушілерге/клиенттерге хабарламалар - келісілген процесс арқылы.
Пост-мортем, CAPA, re-audit 30-90 күннен кейін.

11) Есептілік және мониторинг

Тоқсан сайынғы есептер: сертификаттар, инциденттер, SLA, субпроцессорлар, деректер орналасуының өзгеруі.
privacy/DSAR өлшемдері, клиенттердің шағымдары, маркетингтік бұзушылықтар.
Қаржылық/төлем: chargeback ratio, антифрод-тиімділік, win-rate апелляциялары.

12) Бақылау және аудит құқығы

Тәуекел сыныптары бойынша жоспарлы тексерулер; жоспардан тыс - тосын оқиғалар/сыни өзгерістер бойынша.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Нәтижелері → CAPA, мерзімдері және жабу верификациясы (WORM-де evidence).

13) Әріптестің оффбордингі

Көші-қон/ауыстыру жоспары, артефактілер мен кілттерді беру.
Әріптес пен қосалқы процессорлардың деректерін жоюды растау.
Қолжетімділіктерді/құпияларды қайтарып алу, интеграция арналарын жабу.
Соңғы аудит/есеп және дәлелдемелерді мұрағаттау.

14) Метрика және KRI

Onboarding Lead Time (тәуекел сыныптары бойынша).
Vendor Certificate Freshness (мақсаты: 100% сындарлы серіктестер).
SLA Compliance және Incident Rate серіктестері бойынша.
Privacy/DSAR SLA және клиенттердің шағымдары.
Chargeback Ratio/Fraud Loss% (төлем рөлдері үшін).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (орналасу/субпроцессорлардың келісілмеген өзгерістері).

15) Дашбордтар

Vendor Risk Heatmap: тәуекел жылдамдығы, сертификаттар, оқиғалар, елдер.
Compliance Coverage: DPA/SLA болуы, аудит құқығы, ретенция/Legal Hold.
SLA & Incidents: аптайм, TTR/MTTR, жабылмаған оқиғалар.
Privacy & DSAR: мерзімдер, көлемдер, шағымдар, трендтер.
Payments/Fraud: chargeback ratio, себептері, win-rate апелляциялары.
CAPA & Re-audit: мәртебелер, кешіктірулер, қайталанған ескертулер.

16) SOP (стандартты рәсімдер)

SOP-1: Серіктестің онбордингі

DD → скринингтер → тех/құпиялылық/қауіпсіздік-бағалау → Risk Report → шарттар (MSA/DPA/SLA) → интеграция мен логингті баптау → ұшқыш → go-live.

SOP-2: Әріптестің өзгерістері

Өзгерістер туралы нотификация (субпроцессорлар/орналасу/сәулет) → тәуекелді бағалау → шарттар апдейт/саясат → тесттер → прод.

SOP-3: Оқиға

Бірыңғай арна → Legal Hold → бірлескен таймлайн/артефактілер → хабарламалар → CAPA → re-audit.

SOP-4: Мерзімді ревизия

Тәуекел бойынша жылдық/тоқсандық цикл → PBC → ToD/ToE іріктемесі → есеп/САРА → метриканы жариялау.

SOP-5: Оффбординг

Көші-қон жоспары → экспорт/беру → жойылғанын растау → рұқсаттарды қайтарып алу → қорытынды есеп.

17) Артефактілердің үлгілері

17. 1 Vendor DD Checklist (үзік)

Юр. деректер/бенефициарлар; санкциялық скрининг

Сертификаттар/аудиттер, қауіпсіздік/құпиялылық саясаты

Деректердің орналасуы/субпроцессорлар/ретенция

24 айдағы оқыс оқиғалар, CAPA

Тех. интеграция: SSO, логин жасау, шифрлау, вебхактар

17. 2 DPA/SLA - міндетті тармақтар

Деректерді өңдеу, мақсаттар, құқықтық негіздер

Оқыс оқиғалар туралы хабарлау мерзімдері, есеп форматы

Аудит құқығы, PBC пішімдері, Data Room

TTL/жою, Legal Hold, жойылғанын растау

Субпроцессорлар және келісу тәртібі

17. 3 Дәлелдемелер пакеті (evidence pack)

Қол жеткізу/әкімшілік әрекеттер логтары (құрылымдалған, хеш-түбіртектер)

Осалдықтар/пентесттер/сканерлер есептері

DSAR тізілімі/жою/ретенция

SLA/инциденттер/қалпына келтіру (RTO/RPO)

Шарттардың/аддендумдардың қол қойылған нұсқалары

18) Антипаттерндер

Мөлдір емес субпроцессорлар/деректер орналасулары.
re-cert және журналдарсыз «өтпелі» қатынас.
Өзгермейтін және хеш-растаусыз қолмен түсіру.
Дәйексіз/тыйым салынған уәделермен маркетинг.
Оффбординг кезінде деректерді жоюды растаудың болмауы.
Мерзімсіз және өтемдік шараларсыз мәңгілік waivers.

19) Жетілу моделі (M0-M4)

M0 Ad-hoc: бір реттік тексерулер, серіктестер бойынша тәуекелдер тізілімі жоқ.
M1 Каталог: әріптестер тізімі, базалық DD/шарттар.
M2 Басқарылатын: тәуекел сыныптары, SLA/DPA, дашбордтар, жоспарлы тексерулер.
M3 Біріктірілген: логизация/evidence-шина, re-audit, CAPA-линковка, «audit-ready».
M4 Continuous Assurance: нақты уақыт мониторингі, ұсынымдық тексерулер, PBC/evidence-пакеттердің автогенерациясы.

20) Байланысты wiki баптары

Провайдерлерді таңдау кезінде Due Diligence

Аутсорсинг тәуекелдері және мердігерлерді бақылау

Сыртқы аудиторлардың сыртқы тексерулері

Дәлелдемелер мен құжаттаманы сақтау

Журналдар мен Audit Trail жүргізу

Бұзушылықтарды жою жоспарлары (CAPA)

Қайталама аудиттер және орындалуын бақылау

Саясат пен нормативтердің репозиторийі

Командалардағы комплаенс-шешімдерді коммуникациялау

Жиынтығы

«Серіктестерге арналған комплаенс жөніндегі нұсқау» жеткізу тізбегін басқарылатын экожүйеге айналдырады: бірыңғай талаптар, болжамды тексерулер, өзгермейтін дәлелдемелер және ашық уағдаластықтар. Бұл тәуекелдерді төмендетеді, интеграцияны жеделдетеді және ынтымақтастықты ауқымды әрі тексерілетін етеді.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.