GH GambleHub

Хабарлаушыларға арналған арна және деректерді қорғау

1) Мақсаты және саласы

Қызметкерлер, мердігерлер, аффилиаттар және өзге де стейкхолдерлер үшін бұзушылықтар (сыбайлас жемқорлық, алаяқтық, AML/санкциялар, RG, GDPR/PII, PCI/АҚ, жарнама/аффилиаттар, мүдделер қақтығыстары, кемсітушілік және т.б.) туралы хабарлаудың қауіпсіз, қолжетімді және сенімді тәсілін қамтамасыз ету қудалау, лицензияларды/заңды бұзу). Құжат арналарды, анонимділікті, деректерді өңдеуді, тергеу рәсімдерін және қуғын-сүргіннен қорғауды реттейді.

2) Қағидаттар

Қуғын-сүргінге нөлдік төзімділік. Кез келген қарсы шараларға тыйым салынады.
Деректердің құпиялылығы және барынша азайтылуы. Жинау - need-to-know қағидаты бойынша тек қажетті.
Хабарлаушының таңдауы бойынша анонимділік. Тұлғаны ашпай сөйлесу мүмкіндігі.
Уақтылығы және әділдігі. SLA қабылдау/қарау; құжатталған, бейтарап әдіснама.
Тәуелсіздік. Рөлдерді бөлу: хабарламаларды қабылдау, тергеу, санкциялар.
Процестің ашықтығы. Мәртебені қадағалау, кері байланыс, жеке адамдарсыз жария статистика.

3) Рөлдер және RACI

Whistleblowing Officer (WBO) - процесс иесі, триаж, тергеуді үйлестіру, есептілік. (A/R)

Compliance/Legal/DPO - құқықтық бағалау, деректерді қорғау, құпиялылық саясаты. (R/C)

InfoSec/CISO - арналар қауіпсіздігі, шифрлау, кіруді бақылау, журналдау. (R)

HR/ER (Employee Relations) - этика/мінез-құлық кейстері, қолдау шаралары. (R)

Internal Audit (IA) - тергеулер мен CAPA сапасын тәуелсіз бақылау. (C)

Security/Trust & Safety - техникалық/фрод кейстер, сандық артефактілерді жинау. (R)

Exec Sponsor (CEO/COO) - «tone from the top», ресурстар, эскалациялар S1. (I/A)

4) Хабарламаларды қабылдау арналары

1. Веб-нысан (негізгі ұсынылатын): жасырын болуды қолдау; токен/пин бойынша қорғалған хат алмасу.
2. Электрондық пошта: автоматты шифрлау, мазмұнын ашпай автоквитанциясы бар бөлінген жәшік.
3. Жедел желі/телефон: деректерді жасыра отырып жүйеге жазылу.
4. Корпоративтік мессенджердегі чат-бот: жасырын емес (немесе прокси-механизмі бар).
5. Пошта мекенжайы/жеке жәшік: офлайн хабарламалар үшін (сканерлеу және Жүйеге жүктеу).
6. WBO/IA-мен тікелей байланыс: жеке кездесу - хабарлаушының қалауы бойынша.

Арналарға қойылатын талаптар: TLS end-to-end, шифрланған сақтау орнында сақтау, RBAC, қол жеткізу журналдары өзгермейді, анонимді нысандағы IP/құрылғылар трекингінің болмауы, cookie/логтардың ашық саясаты.

5) Деректерді қорғау және құқықтық негіздер

Lawful basis: заңды міндеттерді орындау, компанияның заңды мүдделері, қоғамдық мүдде (юрисдикциясына байланысты).
DPIA: іске қосылғанға дейін - құпиялылыққа әсерін бағалау; тәуекелдерді және төмендету шараларын белгілеу.
Деректерді жіктеу: дербес, сезімтал (денсаулық, этникалық және т.б.), коммерциялық құпия, тергеу артефактілері.
Барынша азайту: артық жинамау; сәйкес келмейтін құжаттарды жою.
Трансшекаралық берулер: құқықтық негiздер мен шарттық кепiлдiктер болған кезде ғана.
Деректер субъектілерінің құқықтары: DSAR DPO арқылы өңделеді; ерекшелік: хабарлаушының жеке басын және тергеуге/үшінші тұлғаларға қауіп төндіретін деректерді ашпау.
Ретенция: хабарламалар мен артефактілер - әдетте 5 жыл немесе саясат/заң/лицензия бойынша; содан кейін қауіпсіз жою (crypto-shred/журналмен логикалық өшіру).

6) Қауіпсіздік және техникалық шаралар

Шифрлау: at-rest (KMS/HSM), in-transit (TLS), кілттер - ротациямен және шектеумен.
Қолжетімділік: RBAC/ABAC, ең аз артықшылықтар қағидаты, анонимді кейстерге арналған жеке домендер.
Журналдар: өзгермейтін (WORM), әдеттен тыс кіру мониторингі, алерталар.
Сегментация: хабарлар жүйесі прод-жүйелерден оқшауланған; қалпына келтіруді тексеретін жеке бэкаптар.
Метадеректер: бүркемелеу, тіркемелерден EXIF жою, хабарлаушыны автоматты түрде сәйкестендіру туралы ескерту.
Құпия байланыс арналары: екі жақты жасырын хат алмасу үшін қорғалған пошта жәшігі/веб-пошта.

7) Кейстерді жіктеу және басымдықтар

S1 (Сындарлы): сыбайлас жемқорлық/пара, ірі фрод, PII/PCI ағымы, өмірге/қауіпсіздікке қатер, лицензиялардың/заңдардың елеулі бұзылуы.
S2 (Жоғары): саясаттың жүйелі бұзылуы (AML/RG/GDPR/АҚ), елеулі мүдделер қақтығысы, кемсітушілік/қудалау.
S3 (Орташа): процедуралардың жергілікті бұзылуы, жарнамадағы/аффилиаттардағы қателер, мінез-құлықтың бір реттік бұзылуы.
S4 (Төмен): жақсарту бойынша ұсыныстар, төмен тәуекелді инциденттер.

SLA:
  • Қабылдау туралы түбіртек: S1/S2 - 24 сағатқа ≤; S3/S4 - ≤ 3 р.дн.
  • Алғашқы бағалау (triage): S1 - 48 сағ ≤; S2 - ≤ 5 р.дн.; S3/S4 - ≤ 10 р.дн.
  • Тексеру жоспары: S1 - ≤ 3 р.дн.; S2 - ≤ 10 р.дн.

8) Хабардан жабуға дейінгі процесс

1 қадам - Қабылдау және түбіртек. ID беру, арнаны белгілеу, дәлелдемелерді «бұрынғыдай» сақтау.
2-қадам - Триаж және тәуелсіздік. Тағайындалатын адамдардың мүдделерінің қақтығысын тексеру; қақтығыс кезінде - қайта бөлу.
3-қадам - Тәуекелді бағалау және жоспар. Көлемі, гипотезалары, әдістердің заңдылығы, артефактілердің тізімі, жол картасы.
4-қадам - Дәлелдемелерді жинау. Құжаттар, журналдар, сұхбаттар, транзакциялардың іріктемелері; chain-of-custody.
5-қадам - Талдау және қорытындылар. Факт → критерий (саясат/заң/лицензия) → тәуекел → әсер ету.
6-қадам - Ұсынымдар және CAPA. Түзету/ескерту іс-әрекеттері, иелері, мерзімдері, сәттілік өлшемдері.
7-қадам - Коммуникациялар және кері байланыс. Хабарлаушының жеке басын ашусыз; ұқыпты тіл (ақтық сынға дейін айыптаусыз).
8-қадам - Жабу және ретенция. Соңғы есеп, артефактілердің мәртебесі, сақталуы, иесіздендірілген статистиканың шығарылымы.

9) Коммуникация және хабарлаушыны қорғау

Ешқандай tipping-off. Болжамды бұзушыларға хабарлама/тергеу фактісін ашпау.
Қуғын-сүргіннен қорғау. Төмендетуге, жұмыстан шығаруға, бонустардан айыруға, зорлауға және т.б. тыйым салынады, Жауап шаралары жеке S1/S2-бұзушылық ретінде қаралады.
Қолдау: қажет болған жағдайда - басқа командаға ауыстыру, демалыс, HR/заңгерлердің кеңестері/психологиялық қолдау.
Екі жақты жасырын байланыс: хабарлаушы веб-инбокс/токен арқылы сұрақ қойып, мәртебе ала алады.

10) Басқа саясаткерлермен өзара байланыс

Этика және мінез-құлық кодексі - стандарттар мен арналар.
Сыбайлас жемқорлыққа қарсы саясат - due diligence, сыйлықтар, делдалдар.
GDPR/PII - өңдеудің заңдылығы, DSAR, ретенция.
AML/RG/PCI/ІБ - бейінді рәсімдер мен триаж.
Ішкі аудит - тергеу сапасын тәуелсіз бақылау.

11) Чек парақтары

11. 1 Арнаны іске қосар алдында

  • DPIA және құпиялылық саясаты DPO/Legal бекіткен.
  • Техникалық сәулет: шифрлау, RBAC, WORM журналдары.
  • Жасырын веб-пішін және екі жақты токен байланысы теңшелді.
  • Зерттеу әдіснамасы бойынша WBO/триаж командасын оқыту.
  • Үлгілер дайындалды (түбіртек, тергеу жоспары, есеп, жабу туралы хат).
  • Коммуникациялық науқан: «tone from the top», постерлер, интранет, FAQ.

11. 2 Хабарды қабылдау

  • ID берілді, күні/арнасы/S-деңгейі жазылған.
  • Ақпаратшыға растау егжей-тегжейлі ашылмай жіберілді.
  • Орындаушылардың мүдделер қақтығысын тексеру жүргізілді.
  • Барлық тіркемелер/метадеректер тіркелген, сәйкестендіру орындалған.

11. 3 Тергеу

  • Жоспар мен гипотезалар бекітілді (Legal/DPO/InfoSec - қажеттілігіне қарай).
  • Chain-of-custody әрбір артефакт үшін жүргізіледі.
  • Сұхбат хаттамаланады; құпиялылық туралы ескерту.
  • Қорытындылар тексерілетін фактілерге негізделген, peer-review жүргізілді.

11. 4 Жабу

  • CAPA тағайындалған, мерзімдері мен өлшемдері анықталған.
  • Хабарлаушы (мүмкіндік) иесіз кері байланыс алды.
  • Ретенция/жіктелім белгіленді; артефактілер мұрағатқа орналастырылған.
  • Статистика дашбордта жаңартылды.

12) Құжат үлгілері (жылдам кірістіру)

А) Ақпарат берушіге түбіртек

💡 Хабар үшін рахмет. Сіздің ID: WB-XXXX. Біз ақпаратты зерттейміз және қажет болған жағдайда осы қауіпсіз арна арқылы байланысамыз. Жасырын болып қалуға болады. Тексеру аяқталғанға дейін ақпаратты жария етпеңіз.

B) Тексеру жоспары (one-pager)

Кейс: WB-XXXX Басымдығы: S1/S2/S3/S4 Иесі:... Мерзімі:...
Гипотезалар/критерийлер:...
Деректер/жәдігерлер:...

Сұхбат: тізім/кесте

Құпиялылық тәуекелдері/заңдық шектеулер:...
Коммуникациялар және бақылау нүктелері:...

С) Қорытынды есеп (құрылым)

Түйіндеме Фактілер Критерийлер (саясат/заң) Талдау Қорытындылар Ұсынымдар CAPA Қосымшалар (артефактілер).

D) Жабу туралы хат

💡 WB-XXXX кейсін қарау аяқталғанын хабарлаймыз. Сәйкестік шаралары қабылданды. Компанияның этикалық және қауіпсіз жұмысына қосқан үлесі үшін алғыс айтамыз.

13) Метрика және дашборд

Intake Volume: санаттар мен арналар бойынша хабарлар саны.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA S-деңгейлері бойынша сақтау.
CAPA Progress: орындалды/жұмыста/мерзімі өтіп кетті, жабу медианы.
Retaliation Index: жауап шараларына тіркелген шағымдар (мақсат - 0).
Anonymity Rate: жасырын хабарламалардың үлесі және олардың расталған кейстерге конверсиясы.
Repeat Findings: тақырыптардың 12 айда қайталануы.
Awareness Impact: науқаннан кейін өтініштердің өсуі; NPS арнасына сенім.

14) Тәуекелдер және бақылау шаралары

Метадеректер арқылы деанонимизациялау. → де-идентификация, EXIF жою, анық ескертулер.
Кейстерге қолжетімділіктің жылыстауы. → RBAC, сегментация, WORM журналдары, тұрақты қолжетімділік тексерістері.
Жалған хабарламалар/теріс пайдаланулар. → сыпайы сүзгі және фактілерді тексеру; көрінеу жалған мәлімдемелер үшін санкциялар (қорқыту әсерінсіз).
Тергеудегі мүдделер қақтығысы. → орындаушыларды ротациялау, IA/Legal қатысуы.
Қуғын-сүргін. → шағымдардың жеке ағыны; HR/Compliance жылдам жауап береді.

15) Оқыту және хабардар болу

Онбординг: канал, анонимділік және деректерді қорғау туралы модуль (тест ≥ 85%).
Барлығына арналған жыл сайынғы қайта аттестаттау; WBO/тергеушілер үшін қосымша тренингтер.
Тоқсан сайынғы науқандар (плакаттар/бот-квизалар/бейне): қалай беру керек, не күтілуде, мысалдар.

16) 30 күндік енгізу жоспары

1 апта

1. WBO және жұмыс тобын тағайындау (Compliance/Legal/DPO/InfoSec/HR/IA).
2. DPIA өткiзу, жекешелiк және ретенция саясатын бекiту.
3. Арналарды (веб-нысан/пошта/желі), жасырын сөздерге және логтарға қойылатын талаптарды ерекшелеу.

2 апта

4. Техникалық платформаны іске асыру: шифрлау, RBAC, WORM журналдары, жасырын веб-инбокс.
5. Үлгілер мен SOP дайындау: түбіртек, жоспар, есеп, жабу туралы хат, CAPA.
6. WBO/триаж командасын оқыту; RACI және SLA жазу.

3 апта

7. Пилот: 1-2 тестілік кейс (table-top), дәлелдер мен ретенциялар тізбегін тексеру.
8. Менеджмент/комитет үшін дашбордты және есептілікті теңшеу.
9. Коммуникациялар: CEO хаты, интранеттегі бет, FAQ, плакаттар.

4 апта

10. Арнаны іске қосу; SLA/жүктеме мониторингі; ыстық қолдау.
11. S1/S2 және CAPA-мәртебелері кейстерінің апта сайынғы шолулары.
12. Ретро және түзетулер v1. 1 (саясат, нысандар, оқыту).

17) Байланысты бөлімдер

Этика және мінез-құлық кодексі

Сыбайлас жемқорлыққа қарсы саясат

AML-тренингтер және қызметкерлерді оқыту/Қызметкерлердің комплаенс туралы хабардарлығы

Инциденттік ойнатқыштар мен сценарийлер

Дашборд комплаенс және мониторинг

Ішкі аудит және сыртқы аудит

Бұзушылықтар туралы хабарламалар және есептілік мерзімдері

Реттеуші есептер және деректер форматтары

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.