GH GambleHub

Бөгде өнім берушілердің тәуекелдері және әріптестердің аудиті

1) Не үшін және кім үшін

Мақсаты: сыртқы жеткізушілер мен әріптестер арқылы келетін іркілістер, ағулар және реттеуші бұзушылықтар ықтималдығын төмендету.
Қамту: PSP/төлем шлюздері, КБК/санкциялар/РЕР, антифрод, ойын провайдерлері және студиялар, аффилиирленген желілер және трекинг, бұлттар/CDN/хостинг, BI/талдау, ретеншн-құралдар/маркетинг-SDK, call-орталықтар, сондай-ақ субпроцессорлар біздің вендорларымыз.

2) Тәуекелдер санаттары (домендік карта)

Ақпараттық қауіпсіздік және құпиялылық: PII/KYC/төлем белгілерінің жылыстауы, әлсіз TOMs, WORM/аудиттің болмауы.
Комплаенс: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI-аймақ, юрисдикциялардың жарнамалық/ойын талаптары.
Операциялық: қолжетімділік/SLA, бір жеткізушіге тәуелділік (concentration), әлсіз BCP/DR.
Қаржылық: жеткізушінің тұрақтылығы, кредиттік тәуекелдер, «chargeback-шоктар».
Санкциялық/геосаяси: экспортты/импортты шектеу, дата-орталықтардың орналасуы, иелену құрылымдарындағы ӨЖ/санкциялар.
Беделді және құқықтық: жарнама/жауапты ойын, IP-құқықтарды бұзу.
Техникалық: SDK/API осалдықтары, нұсқалаудың және тест ортасының болмауы.

3) Жеткізу тізбегін картаға түсіру

1. Inventory: иеленушімен бірге барлық вендорлардың/әріптестердің/субпроцессорлардың бірыңғай тізілімі (business owner).
2. Data Map: қандай деректер/юрисдикциялар/көлемдер кімнен өтеді; PII/қаржы/арнайы санат жалаулары.
3. Criticality: ақша/PII/аптайм әсері бойынша жіктеледі.

4) Жеткізушілердің тирингі (критерийлер мысалы)

ТирБелгілерМысалдарТалаптар
Tier 1 (сыни)PII/төлемдер, 24 × 7, GGR-ға тікелей әсеріPSP, КБК/санкциялар, антифрод, бұлтТолық due diligence, аудит, BCP/DR-тесттер, жыл сайынғы onsite/remote аудит
Tier 2 (жоғары)жанама әсер, PII masked, маңызды интеграцияларстудиялар/агрегаторлар, DWH-құралдарКеңейтілген сауалнама, іріктемелі аудит, жыл сайынғы шолу
Tier 3 (орташа/төмен)PII/ақша жоқ, маркетинг құралдарыe-mail, виджеттерЛайт-сауалнама, шарттық минимумдар

5) Тәуекел-скрининг және скоринг

Факторлар: қауіпсіздік (саясат, сертификаттау), құпиялылық (DPA/SCCs/DTIA), комплаенс (AML/PCI/ISO), операциялық тұрақтылық (SLA/BCP/DR), қаржы (аудит/есептілік), юрисдикциялар/санкциялар, жанжал тарихы, технологиялық жетілу (SDLC/DevSecOps).
Скоринг (мысал): әрбір фактор бойынша 0-5 → салмақталған қорытынды (W) → аймақ: жасыл/сары/қызыл.

Шекті шешімдер:
  • Green: стандартты келісімшарт.
  • Amber: Go-Live дейін бақылау/ремедиация.
  • Red: қосымша шаралары бар бас тарту немесе ұшқыш (segmentation, throttling, read-only, escrow, төмендетілген лимиттер).

6) Due diligence (кіре берісте не талап етіледі)

Артефакттар/бақылаулар (Tier 1-2 үшін минимум):
  • Қауіпсіздік/жекешелендіру саясаты, RoPA, қосалқы процессорлар тізілімі.
  • Аудит/сертификаттау есептері (ISO 27001/SOC 2 түрі II/PCI қолдануға болатын жағдайда), соңғы пентесттер.
  • BCP/DR және тест нәтижелері, RPO/RTO.
  • Инцидент-рәсімдер (72 сағаттық хабарламалар), 12-24 айдағы инциденттер журналы
  • DPA/трансшекаралық механизм (SCCs/IDTA) + DTIA, деректерді/кілттерді оқшаулау.
  • Интеграция қауіпсіздігі: mTLS/OIDC, қол қойылған веб-хаттар, кілттерді ротациялау, allow-list IP.
  • Қол жеткізу/экспорттау журналдары, WORM көшірмелері, hash тізбектері.
  • Ретеншн және жою саясаты, offboarding кезінде бэкаптарды жою туралы растау.
  • Қаржылық тұрақтылық (жария есептілік/анықтамалар), иелену құрылымы (санкциялық/РЕР-тексерулер).

Tier 2-3: sSIG/CAIQ-деңгейіне арналған лайт-сауалнама (20-60 сұрақ).

7) Шарттық талаптар (түйінді тармақтар)

SLA/SLO: аптайм (мысалы, 99. 9%), P95 жасырындылығы, оқиғаларға жауап беру уақыты, service credits.
Security/Privacy addendum: at rest/in transit шифрлау, кілттер/гео, журналдау, жасыру, деректерді қайталап пайдалануға тыйым салу.
DPA + субпроцессорлар: тізбектің кеңеюі туралы хабарлау міндеті; қарсылық білдіру/аудит құқығы.
Incident & Notification: хабарлама терезесі ≤ 72 сағ; логтарға/артефактілерге қол жеткізу; бірлескен war-room.
BCP/DR: міндетті тесттер жылына N рет, RPO/RTO.
Pen-test/Audit rights: жылына кемінде 1 рет (remote/onsite), есептерге қолжетімділік.
Change control: major-өзгерістер туралы хабарлама (SDK/API/сәулет/география).
Termination & Exit: деректерді экспорттау (пішімдер), жою/қайтару, күрделі интеграциялар үшін escrow, X күндік көші-қонды қолдау.
Liability/Indemnity: cap/cublimits, IP-кепілдіктер, SLA бұзушылықтары/ағуы үшін айыппұлдар.

8) Onboarding → Monitoring → Offboarding (өмірлік цикл)

8. 1 Onboarding

1. Бизнес негіздеме және owner → тиринг → сауалнама/артефактілер.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Go-Live дейін бақылау: сегментация (VPC/tenant), жүктеме/лимиттер, бүркемелеу/токенизациялау, feature-flags, тест-құмсалғыш.
4. Шарт/интеграция → ұшқыш → Go/No-Go.

8. 2 Continuous Monitoring

Техмониторинг: аптайм, қателер, жасырындылық, тәуекелдер бюджеті.
Қауіпсіздік: SIEM (аномальды экспорт/' purpose '-сіз кіру), вендордың есептері, SDK осалдығы.
Жекелік/комплаенс: субпроцессорлардың, орналасулардың өзгеруі, ретеншн; DSAR сыйысымдылығы.
Қаржы: конверсиялар бойынша KPI/refund/chargeback, SLA-айыппұлдар.
Tier 1-2 үшін тоқсан сайынғы review және жыл сайынғы re-due-diligence.

8. 3 Offboarding

Кілттерді/қолжетімділіктерді қайтарып алу, деректер мен бэкаптарды жою/қайтару, актілер, тикеттерді жабу, деректер тізілімдері мен карталарын жаңарту.

9) Әріптестер аудитінің рәсімдері

9. 1 Жоспар және облыс

Фокус: рұқсаттарды басқару, шифрлау/кілттер, журналдар, инциденттер, BCP/DR, DSAR-процестер, субпроцессорлар.

9. 2 әдістері

Сұхбат, құжаттарға/логтарға шолу, іріктеп тексерулер, техникалық тестілер (апи-rate-limit/mTLS/қолтаңбалар), tabletop-оқу.

9. 3 Есеп және CAPA

Табылған заттарды жіктеу (Critical/High/Medium/Low), ремедиация мерзімдері, жабуды бақылау және ретест.

10) Вендордың оқиғалары: playbook

1. Детект: вендор/біздің мониторинг/қоғамдастық сигналы.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: трафикті шектеу/SDK/кілттерді ажырату, уақытша шектеулер/канареялық пулдар.
4. Форензия: қоңыраулар журналы, вебхуктардың қолтаңбалары, WORM растаулары, қозғалған жазбалардың ауқымы.
5. Ескертулер: реттеушілер/пайдаланушылар/банктер (қажет болса), бірлескен мәтіндер.
6. CAPA: фикстер, мерзімдер, тиімділікті тексеру; скоринг пен шарттың талаптарын қайта қарау.

11) RACI (ірілендірілген)

БелсенділікBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Тиринг/бизнес кейсA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Шарттар (SLA/DPA/түзетулер)CCCA/RA/RIR
Интеграция/сегменттеуCA/RCCIRI
Мониторинг/аудитRA/RA/RA/RCRI
Оқиғалар/САРАCA/RA/RA/RCRI
Offboarding/экспорттау/жоюRA/RAACRI

12) Өлшемдер (KPI/KRI)

Coverage: тізілімдегі белсенді жеткізушілердің% ≥ 100%.
Assessment TTM: медиана уақыты due diligence Tier 1 ≤ 15 жұмыс күні.
Remediation SLA: сыни табылған заттар 30 күнге ≤ жабық (95% ≥).
Incident Notification: терезедегі хабарламалардың үлесі 72 сағат - 100%.
DPA/SCCs/DTIA Coverage: Tier 1-2 - 100% өзекті.
Concentration Risk: 1 PSP/провайдерге трафик/түсім үлесі ≤ X% (шекті).
BCP/DR Evidence: 12 ай ішінде расталған тесттермен% 1 - 100%.
Export Logging: 100% экспорт қол қойылды және қысқартылды.

13) Үлгілер мен фрагменттер

13. 1 Шағын сауалнама (Tier 1-2, ұстау)

Сертификаттау/аудиттер (ISO/SOC2/PCI), аяқталу күні.
Деректер архитектурасы: гео, субпроцессорлар, кілттер/KMS, шифрлау.
24 айдағы инциденттер (түрі/күні/шаралары).
Қолжетімділік және журналдар (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (тест күндері, RPO/RTO).
DSAR/ретеншн, RoPA, CMP/SDK.
API техникалық бақылауы: mTLS/OIDC, вебхук қолы, кілттердің ротациясы, rate-limit.

13. 2 SLA (фрагмент)

КөрсеткішМақсатыӨлшеуНесие
Аптайм (ай)99. 9%ештеңе. мониторинг жүргізу5–10% fee
Critical оқиғасы: жауап беру≤ 15 минwar-room хаттамасыфикс.
High ремедиациясы≤ 30 күнCAPA есебіфикс.

13. 3 Security & Privacy Addendum (үзінді клаузалар)

"Деректерді қайталап пайдалануға тыйым салу; Need-to-Know бойынша қатаң қол жеткізу; тек мақұлданған тізілімдерге экспорттау"

"Хэш-қолтаңбасы бар өзгермейтін журналдар (WORM); жылына бір рет сұрау салу бойынша аудит"

«Қосалқы процессорды ауыстыру кезінде - 30 күнге ≥ хабарлама, қарсылық білдіру құқығы, баламалы жоспар.»

"DTIA баламалы юрисдикциялардан тыс кез келген трансшекаралық беру кезінде; кілттер - EC/UK (per уағдаластығы)"

14) Чек парақтары

Жеткізушімен Go-Live алдында

  • Owner тағайындалған, тирлер анықталған
  • Сауалнама/артефактілер алынды және тексерілді
  • DPA/SLA/түзетулерге қол қойылды, субпроцессорлар декларацияланды
  • Сегментация/лимиттер/бүркемелеу қосылған, кілттер бөлек
  • Оқиға бойынша тест-құм/таблеткадан өтті
  • Шығу/көші-қон жоспары және escrow ресімделген

Тоқсан сайын (Tier 1-2)

  • SLA/инциденттер/SDK-осалдықтар мониторингі
  • Сертификаттарды/есептерді, қосалқы процессорлар тізілімін жаңарту
  • DR/BCP сынағы расталды
  • Фин-скрининг (тұрақтылық), санкциялық тексерулер
  • Шоғырландырылған тәуекелдер мен баламалар

Offboarding

  • Кілттер/рұқсаттар кері қайтарылды
  • Деректерді экспорттау аяқталды, өшіруді/бекаптарды растау
  • Жабу актілері, жаңартылған Data Мар/тізілімдер

15) Үлгілік сценарийлер мен шаралар

A) SDK маркетингінің осалдығы

Дереу өшіру, PII жинауға арналған блок, қажет болған жағдайда DPO/реттегіштерді хабарландыру, вендорда CAPA, ретест.

B) PSP SLA бойынша деградацияланады

Резервтік PSP-ге трафиктің авто-роутингі, лимиттерді төмендету, service credits белсендіру, шартты қайта қарау/экзит-жоспар.

C) KYC-провайдердің ағуы

Интеграцияны оқшаулау, токендерді ревакциялау, қозғалған жазбаларды картаға түсіру, хабарламалар, қолмен басқарылатын KYC high-risk, вендор аудиті, ықтимал ауыстыру.

16) TPRM енгізу жол картасы

1-2 апта: вендорларды түгендеу, Data Map, тиринг, базалық сауалнама және тізілім.
3-4 апта: SLA/DPA/қоспалар үлгілері, onboarding/monitoring/offboarding процесі, SIEM/CMDB/IDP интеграциясы.
Ай 2: Tier 1-2 ұшқышы, тоқсандық шолуларды іске қосу, сертификаттарды/мерзімдерді тексеруді автоматтандыру.
3 + айы: масштабтау, скоринг/дашбордтар, BCP/DR стресс-тестілері, шоғырлану тәуекелдерін оңтайландыру және баламалы бағыттар.

TL; DR

Күшті TPRM = вендорлардың толық картасы → тиринг және скоринг → қатаң шарттар (SLA/DPA/BCP/DTIA) → сегментация және қауіпсіз интеграция → үздіксіз мониторинг және аудит → жылдам экзит/ремедиация. Бұл ақшаны, деректерді және лицензияларды қорғайды - және әріптестер істен шыққан кезде де бизнестің орнықтылығын сақтайды.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.