GH GambleHub

Zawiadomienia o naruszeniach i terminach sprawozdawczych

1) Cel i obszar

Ustanowienie jednolitej, możliwej do zweryfikowania i powtarzalnej procedury obowiązkowych powiadomień w przypadku incydentów i naruszeń w kontekście operacji i zgodności: bezpieczeństwo danych, płatności/transakcje finansowe, wymogi regulacyjne, odpowiedzialna gra, integracja partnerów, ryzyko reputacyjne. Dokument określa terminy, adresatów, formaty, jak również procedury przygotowania i kontroli.

💡 Zastrzeżenie: sekcja - instrukcja obsługi. To nie substytut porady prawnej. W odniesieniu do każdej jurysdykcji zastosowanie mają lokalne przepisy prawne/licencyjne; teksty podsumowujące/terminy są zgodne z przepisami prawa/zgodności.

2) Kluczowe warunki

Zdarzenie podlegające zgłoszeniu: zdarzenie, w którym powiadomienie stron zewnętrznych jest wymagane prawem/licencją/umową.
DPA jest organem ochrony danych (RODO i analogi).
FIU - wywiad finansowy (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme - dostawcy/nabywcy/systemy płatnicze.
CERT/CSIRT - Krajowe/branżowe centra reagowania na incydenty cyberbezpieczeństwa.
LEA - organy ścigania.
Oświadczenie o posiadaniu - pierwsze krótkie zawiadomienie z podstawowymi faktami i godziną następnej aktualizacji.

3) Klasy zdarzeń podlegających zgłoszeniu (kategorie)

1. Bezpieczeństwo/poufność informacji: wyciek danych PII/finansowych, kompromis w zakresie rachunków.
2. Regulator hazardu: usterki wpływające na dostępność/integralność/równowagę gry; naruszenie warunków licencji/reklamy/RG.
3. AML/CFT: podejrzane operacje/wzory → SAR/STR w FIU.
4. Płatności: ogromna niedostępność PSP, duże odchylenia, kompromis danych płatnika.
5. Konsument/gracz: powiadomienia osób dotkniętych (naruszenie danych, transakcje pieniężne, środki porównawcze).
6. Partnerzy/podmioty powiązane/dostawcy: wpływ na śledzenie, sprawozdawczość, rozliczenia finansowe.
7. CERT/LEA: cybernetyczne incydenty o znaczeniu publicznym, klonowanie marki/phishing.
8. Posiadacze audytu/licencji: zgodność z raportem SLA, potwierdzenie wyeliminowania.

4) Macierz linii czasowej (wartości odniesienia)

💡 Dokładne daty są określone dla każdej licencji/jurysdykcji w rejestrze (patrz § 10). Poniżej znajduje się typowa rama planowania:
Kategoria miejsca przeznaczeniaWyzwalaczPierwsze zawiadomienieKolejne aktualizacjeSprawozdanie końcowe
DPA (typ RODO)potwierdzone ryzyko dla praw/wolności osób, których dane dotycządo 72 godzin od wykryciana temat gotowości kluczowych faktów (zwykle co 24-72 godziny)do 30 dni lub na żądanie
Osoby dotknięte chorobą (gracze)wysokie ryzyko dla praw/wolnościbez zbędnej zwłoki (zwykle ≤ 72 h po DPA)przez etapy rekultywacjiw przypadku zamknięcia sprawy
Regulator hazarduincydent wpływający na integralność/dostępność/księgowośćjak najszybciej, punkt orientacyjny 24 hLicencja SLA (np. co 24 h/kamień milowy)według formatu regulatora (często ≤ 7-30 dni)
FIU (AML SAR/STR)podejrzewane pranie pieniędzy/finansowanie terroryzmubezzwłocznie po powstaniu podejrzenia (często codziennie)po otrzymaniu dodatkowych danychna wniosek FIU
Systemy płatności/PSP/bankawarie masowe/kompromis PAN/wydarzenie PCInatychmiast (punkt odniesienia <24 h)zgodnie z uzgodnionym planemSprawozdanie końcowe ze środkami
CERT/CSIRTznaczący incydent cybernetyczny/zagrożeniejak najszybciej (często <24h)przez kamienie milowe śledztwawedług wymogów CERT
Partnerzy/Partnerzywpływ na śledzenie/obliczenia<24 hprzez etapy rekultywacjiostateczne pojednanie

5) RACI i role

IC (Incydent Commander) jest właścicielem linii czasowej i "pokój wojenny. "(A)

Legal/Compliance Lead - kwalifikacja „raportowalna”, wybór adresatów i terminów, znak końcowy. (R/A)

Security Lead - fakty dotyczące bezpieczeństwa informacji, wolumen kompromisu/PII, interakcje z CERT/LEA. (R)

Płatności prowadzą - PSP/bank/systemy, problemy PCI, zwroty/obciążenia zwrotne. (R)

Comms Lead - tekst i kanał wysyłania, strona stanu, makro CS. (R)

Dane/Analityka - wykaz dotkniętych tematów/transakcji, ocena wpływu. (R)

CS/CRM Lead - dostarczanie powiadomień graczom, odszkodowanie. (R)

Exec Sponsor/CEO - S1 oświadczenia publiczne. (C/I)

6) Proces końcowy (od wykrywania do zamknięcia)

A. Definicja podlegająca zgłoszeniu:
  • wykrywanie → Kwalifikacja prawna → "raportowane? do? wyczucie czasu? ».
B. Przygotowanie:
  • fact/artifact collection → severity classification → template selection → reconciliation (Legal/Comms/IC).
C. Wysyłanie i rejestrowanie:
  • dostawa za pośrednictwem kanałów (portale regulacyjne, bezpieczna poczta, API, formularze papierowe) → rejestrowanie czasu wysyłania i potwierdzania odbioru.
D. Aktualizacje:
  • harmonogram/kamienie milowe → wersioning tekstu → synchronizacja ze stroną stanu.
E. Zakończenie:
  • raport końcowy → plan CAPA → zamknięcie i retro (≤ 7 dni).

7) Minimalny skład ogłoszenia (szkielet)

1. Identyfikator incydentu, data/godzina (UTC i lokalne).
2. Krótki opis zdarzenia i promień wpływu.
3. Kategorie danych/klienci/transakcje dotknięte.
4. Podjęte działania (ograniczanie/odzyskiwanie).
5. Ocena ryzyka i obecny status.
6. Następny plan krokowy i ETA następnej aktualizacji.
7. Osoba kontaktowa/kanał zwrotny.
8. Dane prawne licencji/firmy (jeśli jest to wymagane).
9. Zastosowania: linia czasowa, artefakty techniczne, listy przedmiotów.

8) Szablony (szybkie wkładki)

8. 1 DPA (naruszenie danych, wstępne powiadomienie):

Zdarzenie/data odkrycia

Kategorie danych/objętość/geografie

Środki minimalizacji szkód (reset tokenu, MFA, monitorowanie)

Ocena ryzyka podmiotu

Plan zgłoszenia przedmiotu i ramy czasowe

Kontakt DPO/Legal

8. 2 Do graczy (naruszenie danych):

Przedmiot: Ważne informacje dotyczące bezpieczeństwa konta

Ciało: co się stało (bez technologii. szczegóły i bez PII), jakie środki zostały podjęte, co zrobić dla gracza teraz (zmienić hasło, włączyć MFA), gdzie śledzić aktualizacje, jak uzyskać pomoc/rekompensatę.

8. 3 Regulator hazardu (brak dostępności/integralności):

Co: serwis/gry/portfel, slot czasowy, strefy

Wpływ: odsetki/liczba stóp/sald

Środki: rolka, rezerwy, portfel w trybie bezpiecznym

Oczekiwane odzyskanie ETA, integralność/kontrola równowagi

Ostateczny plan weryfikacji i sprawozdawczości

8. 4 FIU (SAR/STR, krótki):

Fakty i podstawy podejrzenia (bez „ostrzeżenia klienta”)

Kwoty/powiązane konta/zachowania

Aplikacje (transakcje/wykres łącza)

Odpowiedzialny kontakt AML

8. 5 PSP/Acquirer/Card Scheme:

Co się stało (programy/metody dotknięte), wskaźniki ryzyka PCI

Wpływ działalności gospodarczej (automatyczna szybkość, awaria/opóźnienie)

Podjęte środki/obwodnice, wniosek o wspólną diagnostykę

Plan kompensacji klienta/przetwarzanie zwrotów

8. 6 CERT/CSIRT:

Wskaźniki kompromisu (IoC), TTP, wektory

Podjęte środki i pozostałe zagrożenia

Prośba o koordynację/udostępnianie telemetrii

9) Listy kontrolne

Przed wysłaniem pierwszego powiadomienia

  • Potwierdzone fakty; wyłączone sekrety/PII.
  • Uzgodnione z prawem/przestrzeganiem; Wybrany cel/kanał.
  • Podano następującą aktualizację (data/czas/kanał).
  • Zrzuty ekranu/ARTEFACTS i hash aplikacji są przechwytywane.
  • Zaznaczona lokalizacja/język (jeśli wymagane).

Po wysłaniu

  • Otrzymane potwierdzenie/numer biletu/identyfikator rejestru.
  • Stworzony plan aktualizacji i właściciele.
  • Zsynchronizowane teksty na stronie stanu/FAQ/CS makro.

Zamknięcie

  • Sprawozdanie końcowe przesłane i potwierdzone.
  • CAPA są rejestrowane z liniami czasowymi i wskaźnikami wydajności.
  • Retro ≤ 7 dni.

10) Rejestr terminów i adresatów (struktura danych)

Przechowywane w Git/Confluence w formie tabeli (w wersji, właściciel - Legal):
PolePrzykład
Jurysdykcja/licencjaMT/MGA B2C
KategoriaRegulator DPA/Gaming/FIU/PSP/CERT
Okres początkowego zgłoszenia72h/24h/asap
KanałPortal/Bezpieczna poczta/API/faks
JęzykEN/Local
FormatBezpłatny/Formularz nr .../System JSON
Wymagane polalista
Kontakt/akredytacjae-mail, portal ID
Podstawaodniesienie do klauzuli normatywnej/licencyjnej
Uwagicechy (wakacje, strefa czasowa itp.)

11) Artefakty i zachowanie

Linia czasu (dokładność minuty), wersje wszystkich powiadomień, potwierdzenia.
Te. artefakty: dzienniki, dumps, metryki eksportowe, IoC, migawki konfiguracyjne.
Listy podmiotów/transakcji wykorzystywane do powiadomienia/odszkodowania.
Przechowywanie: przechowywanie zgodnie z wymogami licencji/ustaw (zwykle 1-7 lat, określonych przez jurysdykcję).

12) Wskaźniki zgodności

Terminowość:% powiadomień wysłanych na czas (według kategorii).
Zakończenie - odsetek otrzymanych powiadomień po raz pierwszy (bez żądań łatki).
Potwierdzenie SLA: średni czas na otrzymanie potwierdzenia.
Aktualizacja dyscypliny: zgodność z zaktualizowanymi odstępami czasu.
Skuteczność CAPA: odsetek zamkniętych CAPA na czas.

13) Narzędzia i automatyzacja

Bot incydent: polecenia '/notify <category> ', automatyczne zastępowanie terminów/kanałów, przypomnienia o terminach.
Silnik szablonu: montaż powiadomień z parametrów incydentu; wersje/lokalizacja.
Strona statusu: synchroniczna z zewnętrznymi aktualizacjami; Monitorowanie TTS (czasu do oświadczenia).
SOAR/SIEM: automatyczna kolekcja artefaktów dla DPA/CERT.
DWH/CRM: Segmenty dotkniętych tematów, dostawa i śledzenie odkryć.

14) Zarządzanie

Właściciel sekcji: kierownik ds. zgodności (rezerwa - radca prawny).
Zmiana rejestru (§ 10): co najmniej raz na kwartał i po każdym S1/S2.
Ćwiczenia: table-top by DPA/Regulator/AML - co kwartał; bezpieczeństwo informacji na żywo - raz na pół roku.
Audyt: coroczna niezależna weryfikacja zgodności z terminem i kompletnością powiadomień.

15) Szybki start (30-dniowa realizacja)

1. Utwórz listę adresatów obowiązkowych dla wszystkich licencji/rynków i wpisz je do rejestru (§ 10).
2. Zatwierdź szablony zgłoszeń (§ 8) i podłącz je do bot incydentu.
3. Konfiguracja mierników SLA (§ 12) i tablicy rozdzielczej „Raportowanie regulacyjne”.
4. Ćwiczenie: naruszenie danych → DPA + gracze, kryzys płatniczy → PSP, AML-SAR → FIU.
5. Włącz przypomnienia o terminach i deklaracje posiadania automatycznej generacji.
6. Uruchom retro po wynikach pierwszego ćwiczenia, zaktualizuj playbooks.

Sekcje powiązane:
  • Zarządzanie kryzysowe i komunikacja
  • Playbooks incydentów i skryptów
  • Plan ciągłości działania (BCP)
  • Plan naprawy klęsk żywiołowych (DRP)
  • Matryca eskalacji
  • System powiadamiania i ostrzegania
  • Odpowiedzialna gra i ochrona gracza
Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.