GH GambleHub

Przewodnik zgodności partnera

1) Cel i zakres

Przewodnik ten określa wymagania dotyczące zgodności dla partnerów/wykonawców/podmiotów powiązanych/dostawców (w tym platformy płatnicze i hostingowe, studia treści, usługi zwalczania nadużyć finansowych, call centers, agencje marketingowe).

Cele:
  • Jednolite standardy bezpieczeństwa, prywatności, regulacji i odpowiedzialnej komunikacji.
  • Ograniczenie ryzyka operacyjnego/prawnego w łańcuchu dostaw.
  • Baza dowodów „gotowych do kontroli” i wzajemna weryfikowalność.

2) Warunki

Partner - każda osoba trzecia przetwarza dane lub świadczy usługi.
Partner krytyczny - ma znaczący wpływ na bezpieczeństwo, płatności, dane osobowe lub procesy regulacyjne.
Subprocesor - kontrahent partnera zaangażowany w przetwarzanie danych.

3) Zasady („zasady projektowania”)

Zgodność z wymaganiami są wbudowane w procesy i architekturę.
Minimalizacja danych i rachunkowość jurysdykcyjna (rezydencja danych).
Identyfikowalność i niezmienność: dzienniki, archiwum WORM, potwierdzenia hash.
Proporcjonalność: głębokość kontroli zależy od ryzyka.
„Jedna wersja prawdy”: potwierdzone artefakty rozumiane przez SLA i RACI.

4) Role i RACI

RolaOdpowiedzialność
Zarządzanie sprzedawcą (A)Klasyfikacja ryzyka, wsiadanie/wysiadanie, monitorowanie
Zgodność/GRC (R)Wymagania, kontrole, CAPA, gotowość audytu
Prawny/DPO (C)Umowy, DPA, prywatność, transgraniczne
SecOps/CISO (C/R)Te. wymagania, incydenty, wykrywalności
Finanse/płatności (C)Wnioski o płatność, obciążenie zwrotne/sankcje
Właściciel firmy (R)Praca operacyjna z partnerem, KPI
Audyt wewnętrzny (I)Niezależna ocena zgodności

(R - Odpowiedzialny; A - Odpowiedzialność; C - Konsultowane; I - Poinformowany)

5) Klasyfikacja partnerów ryzyka

Kryteria: rodzaj danych (PII/płatność), wielkość transakcji, dostęp do systemów produkcyjnych, jurysdykcje, rola w łańcuchu (procesor/administrator), historia incydentów, certyfikaty/audyty.
Poziomy: niski/średni/wysoki/krytyczny → określić głębokość Due Diligence i częstotliwość korekt.

6) Wejście na pokład i należyta staranność (DD)

Kroki:

1. Kwestionariusz DD (właściciele, podwykonawcy, lokalizacje danych, certyfikaty, kontrole).

2. Kontrola sankcji/reputacji/beneficjentów.

3. Ocena bezpieczeństwa/prywatności: test SOC/ISO/PCI/penetracja, polityka retencji, procesy DSAR.

4. Kontrola techniczna: SSO/OAuth, szyfrowanie, tajne zarządzanie, rejestrowanie.

5. Aspekty płatności/AML (w stosownych przypadkach): procesy obciążeń zwrotnych, przeciwdziałanie oszustwom, limity.

6. Sprawozdanie z ryzyka i rozwiązanie: przyjęcie/warunkowe/odmowa + CAPA/środki wyrównawcze.

7. Umowy: MSA, SLA/OLA, DPA, prawo audytu, zatrzymanie lustra, powiadomienia o incydentach, off-ramp.

7) Obowiązkowe wymagania partnerskie (minimum)

7. 1 Bezpieczeństwo i prywatność

Szyfrowanie w tranzycie/w spoczynku, zarządzanie kluczami (KMS/HSM).
RBAC/ABAC, MFA, dziennik administracyjny, dostęp ponownie cert.
Dzienniki i archiwum WORM z podpisem hash; zsynchronizowany czas.
Polityka w zakresie zatrzymywania, kontrola prawna, procedury DSAR; maskowanie/tokenizowanie PI.
Raporty dotyczące podatności/testy penetracyjne; zarządzana polityka aktualizacji.

7. 2 Regulacja i marketing

Zakaz nierzetelnych/agresywnych ofert, obowiązkowe zastrzeżenia.
Zgodność z zasadami odpowiedzialnej zabawy i weryfikacji wieku (w stosownych przypadkach).
Ukierunkowanie geograficzne zgodnie z licencjami i lokalnymi ograniczeniami.
Udokumentowane zgody/niepodpisy do komunikacji, przechowywanie dowodów.

7. 3 Płatności/AML/KYC (według roli)

Procedury KYC/KYB, kontrola sankcji/PEP, monitorowanie transakcji.
logs/3DS autoryzacji, procesy obciążeń zwrotnych, ograniczenia ryzyka.
Spójne scenariusze blokowania/dochodzenia i powrotów.

8) Integracja techniczna

SSO/SAML/OIDC, rezerwa SCIM (jeśli to możliwe).
Rejestrowanie strukturalne (JSON/OTel), odwzorowanie (trace_id).
Webhaki - z podpis i retras; gwarancja dostawy/poręczenie.
Limity API, testy kontraktowe, kompatybilność wsteczna, wersioning.
Odizolowane środowiska, klucze i sekrety są w tajnych magazynach.

9) Zobowiązania umowne

SLA/OLA: czas uptime, TTR/MTTR, latency, RPO/RTO dla usług krytycznych.
Dowody i audyt: prawo audytu, formaty PBC, czas odpowiedzi, dostęp do pokoju danych.
Incydenty: powiadomienie ≤ X godzin, format raportu i harmonogramu, CAPA.
Zatrzymanie i usunięcie: TTL, potwierdzenie zniszczenia, retencja lustrzana w podtekstach.
Poufność/AOI i ograniczenia podwykonawstwa.

10) Zarządzanie incydentami (wspólne)

Pojedynczy kanał powiadomień i aktualizacje battle-rhythm.
Natychmiastowe przechowywanie danych.
Wspólna linia czasu (kto/co/kiedy), artefakty z potwierdzeniami skrótu.
Powiadomienia do organów regulacyjnych/klientów - w drodze uzgodnionego procesu.
Pośmiertnie, CAPA, ponowny audyt za 30-90 dni.

11) Sprawozdawczość i monitorowanie

Raporty kwartalne: certyfikaty, incydenty, SLA, sub-procesory, zmiany lokalizacji danych.
Wskaźniki prywatności/DSAR, reklamacje klientów, naruszenia przepisów marketingowych.
Finansowa/płatnicza: wskaźnik obciążenia zwrotnego, efektywność zwalczania nadużyć finansowych, apelacje o zwycięstwo.

12) Prawo do kontroli i audytu

zaplanowane audyty według klas ryzyka; nieplanowane - dla incydentów/zmian krytycznych.
Data Room, PBC-лиса, ToD/ToE/Walkthrough/Reperform.
CAPA → wyniki, terminy i dowody zamknięcia (WORM).

13) Partner off-boarding

Plan migracji/wymiany, transfer artefaktów i kluczy.
Potwierdź zniszczenie danych partnera i podwykonawcy.
Odwołaj dostęp/sekrety, zamknij kanały integracji.
Kontrola końcowa/sprawozdanie i archiwizacja dowodów.

14) Metryka i KRI

Czas wejścia na pokład (według klasy ryzyka).
Świeżość certyfikatu dostawcy (cel: 100% partnerzy krytyczni).
Zgodność SLA i wskaźnik incydentów według partnera.
Prywatność/DSAR SLA i reklamacje klientów.
Wskaźnik obciążenia zwrotnego/utrata oszustwa% (dla ról płatniczych).
CAPA na czas, powtórzyć ustalenia.
Lokalizacja/jurysdykcja Drift (niespójne zmiany w lokalizacjach/sub-procesorach).

15) Deski rozdzielcze

Heatmap ryzyka dostawcy: wskaźnik ryzyka, certyfikaty, incydenty, kraje.
Zakres zgodności: dostępność DPA/SLA, prawo audytu, zatrzymanie/blokada prawna.
SLA & Incydenty: uptime, TTR/MTTR, nieskuteczne incydenty.
Prywatność i DSAR: warunki, woluminy, reklamacje, trendy.
Płatności/oszustwa: stosunek obciążeń zwrotnych, przyczyny, apelacje o zwycięstwo.
CAPA & Re-audit: statusy, opóźnienia, powtarzające się komentarze.

16) SOP (standardowe procedury)

SOP-1: Partner na pokładzie

Kwestionariusz DD → pokazy → te/prywatność/bezpieczeństwo-ocena → Sprawozdanie z ryzyka → umowy (MSA/DPA/SLA) → utworzenie integracji i logowania → pilot → go-live.

SOP-2: Zmiany partnerskie

Zmiana powiadomienia (Sub-Processors/Locations/Architecture) → Ocena ryzyka → Umowa/Aktualizacja polityki → Testy → Prod.

SOP-3: Incydent

Pojedynczy kanał → Legal Hold → wspólna linia czasowa/artefakty → powiadomienie → CAPA → ponowny audyt.

SOP-4: Przegląd okresowy

Roczny/kwartalny cykl ryzyka → PBC → Próbka ToD/ToE → raport/CAPA → publikacja metryki.

SOP-5: Offboarding

Plan migracji → eksport/transfer → potwierdzenie zniszczenia → cofnięcie dostępu → raport końcowy.

17) Wzory artefaktów

17. 1 Lista kontrolna dostawcy DD (snippet)

Yur. dane/beneficjenci; kontrola sankcji

Certyfikaty/Audyty, Bezpieczeństwo/Polityka prywatności

Lokalizacje/podwykonawcy danych/zatrzymywanie

Incydenty w ciągu 24 miesięcy, CAPA

Te. integracja: SSO, logowanie, szyfrowanie, haki internetowe

17. 2 DPA/SLA - pozycje obowiązkowe

Przetwarzanie danych, cele, podstawy prawne

Termin powiadomienia o incydencie, format sprawozdań

Prawo audytu, formaty PBC, Data Room

TTL/usunięcie, blokada prawna, potwierdzenie zniszczenia

Podwykonawcy przetwórcy i zlecenie zatwierdzenia

17. 3 Opakowanie dowodowe

Rejestry dostępu/akcje administratora (ustrukturyzowane, potwierdzenia skrótu)

Podatność/penetracja/raporty skanowania

Rejestr DSAR/usunięcia/zatrzymanie

SLA/Incydent/Recovery (RTO/RPO)

Podpisane wersje umów/uzupełnień

18) Antypattery

Nieprzezroczyste sub-procesory/lokalizacje danych.
Dostęp „end-to-end” bez ponownego certowania i logów.
Ręcznie przesyłane bez niezmienności i potwierdzenia hash.
Marketing z nieautentycznymi/zakazanymi obietnicami.
Brak dowodów na zniszczenie danych podczas wysiadania.
Wieczne zwolnienia bez terminów i środków wyrównawczych.

19) Model zapadalności (M0-M4)

M0 Hell-hoc: jednorazowe kontrole, brak rejestru ryzyka przez partnera.
Katalog M1: lista partnerów, podstawowe DD/umowy.
M2 Managed: klasy ryzyka, SLA/DPA, deski rozdzielcze, zaplanowane zmiany.
M3 Zintegrowane: logowanie/bus dowodowy, ponowny audyt, połączenie CAPA, „audyt gotowy”.
M4 Ciągłe zapewnienie: monitorowanie w czasie rzeczywistym, kontrole zaleceń, automatyczna generacja pakietów PBC/dowodowych.

20) Powiązane artykuły wiki

Należyta staranność przy wyborze dostawców

Ryzyko outsourcingu i kontrola wykonawcy

Audyty zewnętrzne przeprowadzane przez audytorów zewnętrznych

Przechowywanie dowodów i dokumentacji

Ścieżka rejestrowania i audytu

Plany rekultywacji (CAPA)

Ponowne audyty i działania następcze

Repozytorium polityki i zgodności

Przekazywanie rozwiązań w zakresie zgodności w zespołach

Razem

„Przewodnik dotyczący zgodności partnerów” przekształca łańcuch dostaw w zarządzany ekosystem: jednolite wymagania, przewidywalne kontrole, niezmienne dowody i przejrzyste ustalenia. Zmniejsza to ryzyko, przyspiesza integrację i sprawia, że współpraca jest skalowalna i weryfikowalna.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.