GH GambleHub

Ryzyka osób trzecich i audyty partnerów

1) Dlaczego i dla kogo

Cel: zmniejszenie prawdopodobieństwa niepowodzeń, wycieków i naruszeń przepisów, które wynikają z zewnętrznych dostawców i partnerów.
Zasięg: PSP/bramy płatności, CCM/sankcje/RAP, zwalczanie oszustw, dostawcy gier i studia, sieci partnerskie i śledzenie, chmury/CDN/hosting, BI/analiza, narzędzia retencyjne/marketing-SDK, call centers, a także subprocesory Nasi sprzedawcy.

2) Kategorie ryzyka (mapa domeny)

Bezpieczeństwo informacji i prywatność: PII/KYC/wycieki tokenów płatniczych, słabe TOM, brak WORM/audyt.
Zgodność: RODO/UK RODO/ePrywatność, AML/KYC, strefa PCI, wymagania dotyczące reklamy/gier w jurysdykcjach.
Działanie: dostępność/SLA, koncentracja, słabe BCP/DR.
Finanse: stabilność dostawcy, ryzyko kredytowe, wstrząsy zwrotne.
Sankcje/geopolityczne: ograniczenia eksportu/przywozu, lokalizacja centrów danych, REP/sankcje w strukturach własności.
Reputacja i prawo: naruszenia reklamy/odpowiedzialna zabawa, prawa IP.
Techniczne: luki SDK/API, brak środowiska wersioning i testów.

3) Odwzorowanie łańcucha dostaw

1. Inwentaryzacja: pojedynczy rejestr wszystkich sprzedawców/partnerów/podwykonawców z właścicielem (właścicielem przedsiębiorstwa).
2. Mapa danych: jakie dane/jurysdykcje/woluminy przechodzą przez kogo; Flagi PII/finanse/kategorie specjalne.
3. Krytyczność: klasyfikowane według wpływu na pieniądze/PII/czas spłaty.

4) Opętanie dostawcy (przykładowe kryteria)

Galeria strzelaniaZnakiPrzykładyWymagania
Poziom 1 (krytyczny)PII/płatności, 24 × 7, bezpośredni wpływ na GGRPSP, CCM/sankcje, zwalczanie nadużyć finansowych, chmuraPełna należyta staranność, audyt, testy BCP/DR, roczne audyty na miejscu/zdalne
Poziom 2 (wysoki)pośrednie uderzenie, zamaskowane PII, ważne integracjestudia/agregatory, narzędzia DWHRozszerzony kwestionariusz, wyrywkowy audyt, przegląd roczny
Poziom 3 (średni/niski)brak PII/pieniądze, narzędzia marketingowee-mail, widżetyKwestionariusz lekki, minima umowne

5) Kontrola ryzyka i punktacja

Czynniki: bezpieczeństwo (polityka, certyfikacja), prywatność (DPA/SCC/DTIA), zgodność (AML/PCI/ISO), odporność operacyjna (SLA/BCP/DR), finanse (audyt/sprawozdawczość), jurysdykcje/sankcje, historia incydentów, dojrzałość technologiczna (SDd LC/DevSec Ops).
Punktacja (przykład): 0-5 dla każdego czynnika → całkowita ważona (W) → strefa: zielony/żółty/czerwony.

Rozwiązania progowe:
  • Zielony: standardowy kontrakt.
  • Bursztyn: sterowanie/remediacja do Go-Live.
  • Czerwony: awaria lub pilot z dodatkowymi środkami (segmentacja, przepuszczanie, odczytywanie, zasilanie, zmniejszone limity).

6) Należyta staranność (czego należy wymagać przy wejściu)

Artefakty/kontrole (minimum dla poziomu 1-2):
  • Polityka bezpieczeństwa/prywatności, RoPA, rejestr podwykonawców.
  • Sprawozdania z audytu/certyfikacja (ISO 27001/SOC 2 typ II/PCI, jeżeli ma zastosowanie), najnowsze badania penetracyjne.
  • BCP/DR i wyniki badań, RPO/RTO.
  • Procedury incydentów (72-godzinne powiadomienia), dziennik incydentów przez 12-24 miesiące.
  • Mechanizm DPA/transgraniczny (SCC/IDTA) + DTIA, lokalizacja danych/kluczy.
  • Bezpieczeństwo integracji: mTLS/OIDC, podpisane haki internetowe, rotacja klucza, lista IP.
  • Dzienniki dostępu/eksportu, kopie WORM, łańcuchy hash.
  • Polityka przechowywania i usuwania, potwierdzenie zniszczenia kopii zapasowych podczas offboardingu.
  • Stabilność finansowa (publiczne sprawozdania/certyfikaty), struktura własności (sankcje/kontrole POP).

Kwestionariusz lekki dla Tier 2-3: poziom sSIG/CAIQ (20-60 pytań).

7) Wymagania umowne (kluczowe punkty)

SLA/SLO: czas uptime (np. 99. 9%), P95 opóźnienia, czas reakcji na incydent, kredyty serwisowe.
Aneks bezpieczeństwa/prywatności: szyfrowanie w miejscu odpoczynku/tranzytu, klucze/geo, rejestrowanie, maskowanie, zakaz recyklingu danych.
Podwykonawcy DPA +: obowiązek powiadamiania o rozszerzeniu łańcucha; prawo sprzeciwu/audytu.
Incydent & Powiadomienie: okno powiadomienia ≤ 72 godziny; dostęp do kłód/artefaktów; Wspólny pokój wojenny.
BCP/DR: obowiązkowe testy N raz w roku, RPO/RTO.
Uprawnienia do testu długopisu/audytu: co najmniej 1 razy w roku (zdalny/onsite), dostęp do raportów.
Kontrola zmian: powiadomienie o poważnych zmianach (SDK/API/architektura/geografia).
Zakończenie i wyjście: eksport danych (formaty), usuwanie/powrót, escrow dla integracji krytycznych, X-day migration support.
Odpowiedzialność/odszkodowanie: cap/cublimits, gwarancje IP, kary za naruszenia SLA/przecieki.

8) Na pokładzie → Monitoring → Offboarding

8. 1 Wejście na pokład

1. Sprawa biznesowa i właściciel → łzawienie → kwestionariusz/artefakty.
2. Przegląd ryzyka (Bezpieczeństwo/Prywatność/Zgodność/Prawne/Finanse).
3. Sterowanie przed Go-Live: segmentacja (VPC/najemca), obciążenia/limity, maskowanie/tokenizacja, flagi funkcji, piaskownica testowa.
4. Umowa/integracja → pilot → Go/No-Go.

8. 2 Ciągłe monitorowanie

Monitorowanie techniczne: czas pracy, błędy, opóźnienia, budżet ryzyka.
Bezpieczeństwo: alerty SIEM (nieprawidłowy eksport/dostęp bez „celu”), raporty sprzedawcy, luki SDK.
Prywatność/zgodność: zmiany w podwykonawcach, lokalizacjach, retencji; Kompatybilność DSAR.
Finanse: KPI poprzez konwersje/zwrot/obciążenie zwrotne, sankcje SLA.
Kwartalny przegląd poziomu 1-2 i corocznej ponownej staranności.

8. 3 Wsiadanie poza pokład

Odwołanie kluczy/dostępu, zniszczenie/zwrot danych i kopii zapasowych, akty, zamknięcie biletów, aktualizacja rejestrów i map danych.

9) Procedury audytu partnerskiego

9. 1 Plan i obszar

Koncentracja: zarządzanie dostępem, szyfrowanie/klucze, dzienniki, incydenty, BCP/DR, procesy DSAR, procesory podwykonawców.

9. 2 Metody

Wywiad, przegląd dokumentu/dziennika, kontrole na miejscu, testy techniczne (api-rate-limit/mTLS/podpisy), ćwiczenia na tablopie.

9. 3 Sprawozdanie i CAPA

Klasyfikacja wyników (krytyczny/wysoki/średni/niski), czas rekultywacji, kontrola zamknięcia i powtórzenie.

10) Incydenty w sprzedawcy: playbook

1. Wykrywanie: sprzedawca/nasz monitoring/sygnał społeczności.
2. Pokój wojenny: właściciele + Bezpieczeństwo + DPO + Legalny + Produkt.
3. Przechowywanie: ograniczenie ruchu/wyłączanie SDK/klawiszy, limity czasowe/baseny kanaryjskie.
4. Badania sądowe: dziennik połączeń, podpisy haków internetowych, potwierdzenia WORM, zakres dotkniętych rekordów.
5. Powiadomienia: organy regulacyjne/użytkownicy/banki (w razie potrzeby), wspólne teksty.
6. CAPA: poprawki, terminy, kontrole skuteczności; przegląd punktacji i warunków kontraktu.

11) RACI (rozszerzony)

DziałalnośćWłaściciel firmyBezpieczeństwoDPO/PrywatnośćZgodność/PrawoFinansowanieSRE/DaneZamówienia publiczne
Męczące/Sprawa biznesowaA/RCCCCCC
Należyta starannośćRA/RA/RA/RCCC
Umowy (SLA/DPA/Edits)CCCA/RA/RJAR
Integracja/segmentacjaCA/RCCJARJA
Monitorowanie/audytRA/RA/RA/RCRJA
Incydenty/CAPACA/RA/RA/RCRJA
Offboarding/export/deleteRA/RAACRJA

12) Wskaźniki (KPI/KRI)

Zasięg:% aktywnych dostawców w rejestrze z aktualnym wynikiem ≥ 100%.
Ocena TTM: mediana należytej staranności Tier 1 ≤ 15 dni roboczych.
SLA w remediacji: wyniki krytyczne zamknięte ≤ 30 dni (≥ 95%).
Powiadomienie o incydencie: odsetek powiadomień w oknie 72 h - 100%.
Zasięg DPA/SCC/DTIA: dla poziomu 1-2 - 100% istotne.
Ryzyko koncentracji: udział ruchu/przychód na 1 dostawcę/dostawcę ≤ X% (próg).
BCP/DR Dowody:% Tier 1 z 12 miesięcznych potwierdzonych testów - 100%.
Eksportuj logowanie: 100% eksportu jest podpisywane i rejestrowane.

13) Szablony i fragmenty

13. 1 Mini-kwestionariusz (Tier 1-2, ekspozycja)

Certyfikacja/audyty (ISO/SOC2/PCI), data ważności.
Architektura danych: geo, sub-procesory, klucze/KMS, szyfrowanie.
Incydenty w ciągu 24 miesięcy (typ/data/środki).
Dostęp i czasopisma (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (daty badań, RPO/RTO).
DSAR/retencja, RoPA, CMP/SDK.
Sterowanie techniczne API: mTLS/OIDC, podpis haków internetowych, obrót klucza, limit prędkości.

13. 2 SLA (fragment)

WskaźnikCelPomiarKredyt
Czas uptime (miesiące)99. 9%monitorowanie zewnętrzneOpłata 5-10%
Incydent krytyczny: Odpowiedź≤ 15 minprotokół pokoju wojennegonaprawić.
Rekultywacja wysoka≤ 30 dniSprawozdanie CAPAnaprawić.

13. 3 Uzupełnienie dotyczące bezpieczeństwa i prywatności

"Zakaz recyklingu danych; dostęp ściśle przez Need-to-Know; Wywóz do zatwierdzonych rejestrów"

"Dzienniki stałe (WORM) z podpisem skrótu; audyt na żądanie raz w roku"

„Wymiana podwykonawców - 30 ≥ dzień powiadomienia, prawo sprzeciwu, alternatywny plan”.

"DTIA w przypadku transmisji transgranicznej poza właściwymi jurysdykcjami; klucze - WE/UK (na umowę) "

14) Listy kontrolne

Przed Go-Live z sprzedawcą

  • Przypisany właściciel, zdefiniowany zakres strzelania
  • Kwestionariusz/artefakty otrzymane i zweryfikowane
  • Podpisane DPA/SLA/edycje, podwykonawcy
  • Segmentacja/limity/maskowanie włączone, klawisze oddzielone
  • Test piaskownicy/tablopu według incydentu przeszedł
  • Plan wyjścia/migracji i sformalizowany escrow

Kwartalny (Tier 1-2)

  • SLA/Incydent/SDK Vulnerability Monitoring
  • Aktualizacja certyfikatów/raportów, Rejestr podwykonawców
  • Zatwierdzone DR/BCP
  • Kontrola bezpieczeństwa (odporność), kontrole sankcji
  • Przegląd ryzyka koncentracji i rozwiązań alternatywnych

Offboarding

  • Odwołane klucze/dostęp
  • Kompletny eksport danych, usunięcie/potwierdzenie kopii zapasowej
  • Certyfikaty zamknięcia, aktualizowane przez dane marsz/rejestry

15) Typowe scenariusze i środki

A) Słabość w marketingu SDK

Natychmiastowe wyłączenie, blok kolekcji PII, powiadomienie inspektora ochrony danych/regulatorów, w razie potrzeby, sprzedawca CAPA, retest.

B) rozkład PSP nad SLA

Ruch auto-routing do kopii zapasowej PSP, obniżenie limitów, aktywacja kredytów serwisowych, zmiana planu kontraktu/wyjścia.

C) Wyciek od dostawcy KYC

Izolacja integracji, cofnięcie tokena, odwzorowanie dotkniętych rekordów, powiadomienia, ręczne KYC wysokiego ryzyka, audyt sprzedawcy, możliwa wymiana.

16) Plan działania w zakresie wdrażania TPRM

Tygodnie 1-2: inwentaryzacja sprzedawców, mapa danych, łzawienie, podstawowy kwestionariusz i rejestr.
Tygodnie 3-4: szablony SLA/DPA/dodatki, proces pokładowy/monitorowania/offboardingu, integracja SIEM/CMDB/IDP.
Miesiąc 2: Pilot Tier 1-2, rozpoczęcie przeglądów kwartalnych, automatyzacja certyfikatów/kontroli terminów.
Miesiąc 3 +: skalowanie, punktacja/deski rozdzielcze, testy warunków skrajnych BCP/DR, optymalizacja ryzyka koncentracji i alternatywne drogi.

TL; DR

Strong TPRM = pełna mapa dostawcy → wielopoziomowe i punktowe → kontrakty twarde (SLA/DPA/BCP/DTIA) → segmentacja i bezpieczne integracje → ciągły monitoring i audyt → szybkie wyjście/remediacja. Chroni to pieniądze, dane i licencje - i utrzymuje odporność biznesu nawet wtedy, gdy partnerzy się rozbijają.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.