GH GambleHub

Notificações de violações e prazos de relatórios

1) Destino e área

Estabelecer uma ordem única, verificável e repetível de notificações obrigatórias para incidentes e violações nos contornos de Operações e Complaens: segurança de dados, pagamentos/transações financeiras, regulação, jogo responsável, integração de parcerias, risco de reputação. O documento especifica os prazos, os destinatários, os formatos e os procedimentos de preparação e controle.

💡 Discleimer: seção - Manual operacional. Não substitui a consultoria. Cada jurisdição tem uma lei/regra de licença local; os textos finais/prazos são compatíveis com o Legal/Compliance.

2) Termos-chave

Relatable invident (incidente notificado): evento em que a lei/licença/contrato requer a notificação das partes externas.
O DPA é um órgão de proteção de dados (GDPR e similares).
FIU - Inteligência Financeira (AML/CFT; SAR/STR).
PSP/Aquirer/Card Scheme - provedores de pagamentos/equeiros/sistemas de pagamento.
CERT/CSIRT é um centro nacional/setorial de resposta a incidentes de segurança cibernética.
LEIA - Autoridades policiais.
Holding statement é a primeira breve notificação com os factos básicos e a hora do próximo update.

3) Classes de eventos notificáveis (categorias)

1. IB/privacidade: fuga de PII/findados, comprometimento de contas.
2. Regulador de jogos: falhas que afetam a disponibilidade do jogo/honestidade/equilíbrio; violação de licença/publicidade/RG.
3. AML/CFT: Operações suspeitas/pattern → SAR/TR no FIU.
4. Pagamentos: indisponibilidade em massa PSP, desvios elevados, comprometimento de dados pagadores.
5. Consumidor/jogador: notificações às pessoas afetadas (data breach, transações em dinheiro, computador. medidas).
6. Associados/associados/provedores: impacto sobre rastreamento, relatórios, cálculos financeiros.
7. CERT/LEIA: Ciberidentes de importância pública, phishing/clonagem de marca.
8. Auditoria/detentores da licença: conformidade SLA relatórios, confirmação da eliminação.

4) Matriz de prazos (orientações)

💡 Os prazos exatos são definidos por cada licença/jurisdição no registro (consulte o parágrafo 10). Abaixo, um quadro de planejamento típico:
Categoria de destinatárioDesencadeadorPrimeira notificaçãoUpdates posterioresRelatório final
Tipo DPA (GDPR)risco confirmado para os direitos/liberdades dos sujeitos de dadosaté 72 h a partir da descobertade prontidão de factos essenciais (normalmente de 24 a 72 h)até 30 dias ou sob demanda
Sujeitos afetados (jogadores)alto risco para os direitos/liberdadessem atraso indevido (normalmente ≤ 72 horas após DPA)por etapas de remunçãoquando o caso é fechado
Regulador de Jogosincidente que afeta honestidade/disponibilidade/registroo mais rápido possível, referência 24 hlicenças SLA (por exemplo, a cada 24 horas/vésperas)por formato de regulador (muitas vezes ≤ 7 a 30 dias)
FIU (AML SAR/STR)suspeita de lavagem/financiamento do terrorismosem atraso após a formação de suspeitas (muitas vezes dia por dia)quando os dados adicionais chegama pedido do FIU
Esquemas de pagamento/PSP/bancofalhas em massa/comprometimento de evento PAN/PCIimediatamente (referência <24 h)sobre o plano concordadorelatório de encerramento com medidas
CERT/CSIRTciberidente/ameaça substancialasap (frequentemente <24 h)sobre as etapas da investigaçãode acordo com os requisitos do CERT
Associados/associadosimpacto sobre o tracking/cálculo<24 hpor estágios de correçãoreconciação final

5) ROKI e papéis

IC é o dono do time e do «war room». (A)

Legal/Compliance Lead - qualificação «reportable», escolha de destinatários e prazos, marca final. (R/A)

Segurança Lead - fatos de IB, quantidade de comprometimento/PII, interação com CERT/LEIA. (R)

Payments Lead - PSP/banco/esquema, perguntas PCI, devoluções/chargebacks. (R)

Comms Lead - texto e canal de envio, status da página, macros CS. (R)

Data/Analytics - lista de sujeitos/transações afetados, avaliação de impacto. (R)

CS/CRM Lead - entrega notificações aos jogadores, compensações. (R)

Exec Sponsor/CEO - declarações públicas S1. (C/I)

6) Processo de passagem (da detecção ao encerramento)

A. Definição de notificação:
  • detecção → qualificação legal (Legal) → solução "reportable? a quem? prazos? ».
B. Preparação:
  • coleta de fatos/artefatos → classificação de gravidade → seleção de modelos → concordância (Legal/Comms/IC).
C. Envio e logagem:
  • entrega através de canais (portais do regulador, correio seguro, API, formulários de papel) → fixação da hora de envio e confirmação do recebimento.
D. Update:
  • no horário/passo → gerenciamento de versões de texto → sincronização com o status da página.
E. Finalização:
  • relatório final → plano CAPA → encerramento e retrô (≤ 7 dias).

7) Composição mínima de notificação (esqueleto)

1. ID de incidente, data/hora (UTC e local).
2. Uma breve descrição do evento e do raio de influência.
3. Categorias de dados/clientes/transações afetadas.
4. Medidas tomadas (contêiner/recuperação).
5. Avaliação de risco e status atual.
6. O plano para os próximos passos e a ETA para o próximo update.
7. Contato/canal para feedback.
8. Adereços legais da licença/empresa (se necessário).
9. Aplicações: timeline, artefactos técnicos, lista de sujeitos.

8) Modelos (inserções rápidas)

8. 1 DPA (fuga de dados, notificação inicial):

Evento/data de detecção

Categorias de dados/volume/geografia

Medidas para minimizar danos (largada de tokens, MFA, monitoramento)

Avaliação de risco para os sujeitos

Plano de notificação e prazo

Contato DPO/Legal

8. 2 Jogadores (data breach):

Tema: Informações importantes sobre a segurança da sua conta

O que aconteceu (sem tecnologia). detalhes e sem PII) que medidas tomadas para fazer o jogador agora (mudar a senha, incluir MFA) onde monitorar updates, como obter ajuda/compensação.

8. 3 Regulador de jogo (falha de disponibilidade/honestidade):

O que: serviço/jogos/carteira, intervalo de tempo, zonas

Impacto: juros/número de taxas/balanços

Medidas: reversão, reserva, safe-modo carteira

A esperada recuperação ETA, controle de honestidade/equilíbrio

Plano de verificação e relatórios

8. 4 FIU (SAR/TR, resumindo):

Fatos e fundamentos da suspeita (sem «aviso do cliente»)

Somas/contas/modelos de comportamento associados

Aplicativos (transações/gráficos de ligações)

Contato do responsável da AML

8. 5 PSP/Acquirer/Card Scheme:

O que aconteceu (esquemas/métodos afetados), marcadores de risco PCI

Influência empresarial (auth-rate, rejeição/latency)

Medidas/baypas tomadas, pedido de diagnóstico conjunto

Plano de compensação/pagamento de reembolsos

8. 6 CERT/CSIRT:

Indicadores de comprometimento (IoC), TTP, vetores

Medidas tomadas e riscos remanescentes

Pedido de coordenação/descodificação de telemetria

9) Folhas de cheque

Antes de enviar a notificação primária

  • Os fatos foram confirmados; os segredos/PII foram excluídos.
  • Alinhado com o Legal/Compliance; o endereço/canal selecionado.
  • Especifica o próximo update (data/hora/canal).
  • Capturas de tela/ARTEFACTs e somas de hash de aplicativos foram registradas.
  • Verificada localização/idioma (se necessário).

Depois de enviar

  • Confirmação de recepção/número de tíquete/ID de registro recebida.
  • Foi criado um plano de updates e proprietários.
  • Os textos estão sincronizados na página status/FAQ/CS-macros.

Fechar

  • Relatório final enviado e confirmado.
  • CAPA são registrados com prazos e métricas de eficiência.
  • Retranca ≤ 7 dias.

10) Registro de prazos e destinatários (estrutura de dados)

Armazenado em Git/Confluence como uma tabela (versionável, dono - Legal):
CampoExemplo
Jurisdição/LicençaMT/MGA B2C
CategoriaDPA / Gaming Regulator / FIU / PSP / CERT
Prazo de notificação inicial72h / 24h / asap
CanalPortal/Correio seguro/API/Fax
LinguagemEN/local
FormatoLivre/Formulário nº .../Esquema JSON
Campos obrigatórioslista
Contato/credenciamentoe-mail, portal ID
Basereferência a norma/item de licença
Notascaracterísticas (feriados, fuso horário etc.)

11) Artefatos e retenção

Timeline (precisão de minutos), versões de todas as notificações, confirmação de recebimento.
Aqueles. artefatos: logs, dampos, exportação de métricas, IoC, imagens de configuração.
Listas de sujeitos/transações usadas para notificação/compensação.
Retenção: armazenamento de acordo com os requisitos das licenças/leis (normalmente de 1 a 7 anos, especificado pela jurisdição).

12) Métricas de conformidade

Timeliness:% das notificações enviadas no prazo (por categoria).
Completeness: proporção de notificações recebidas da primeira vez (sem pedido de correção).
Acknowledgement SLA: tempo médio de confirmação.
Update Discipline: Cumpre os intervalos dos updates.
CAPA Efficacy: proporção de CAPA fechado no prazo.

13) Ferramentas e automação

Incidente-bot: comandos '/notify <categoria> ', substituição automática de prazos/canais, lembretes de deadline.
Modelo: Montagem de notificações a partir de parâmetros de incidente; versões/localização.
Página de status: Sincronizado com updates externos; Controle TTS (time-to-statement).
SOAR/SIEM: Recolha automática de artefatos para DPA/CERT.
DWH/CRM: segmentos de sujeitos afetados, rastreamento de entregas e descobertas.

14) Gerenciamento de alterações (governance)

O dono da seção é Head of Compliance (reserva - Legal Counsel).
Revisão do Registro (parágrafo 10): pelo menos trimestral e após cada S1/S2.
Exercício: tabela-top por DPA/Regulator/AML - trimestral; live-drill IB a cada seis meses.
Auditoria: Verificação independente anual de conformidade com o prazo e abrangência das notificações.

15) Início rápido (implementação em 30 dias)

1. Formar uma lista de destinatários obrigatórios para todas as licenças/mercados e inscrevê-los (parágrafo 10).
2. Aprovar modelos de notificação (parágrafo 8) e conectá-los a um incidente-bota.
3. Configure as métricas SLA (etc. 12) e o dashboard «Regulatory Reporting».
4. Fazer os ensinamentos data breach → DPA + jogadores, crise de pagamento → PSP, AML-SAR → FIU.
5. Incluir lembretes de deadline e a geração automática holding statents.
6. Iniciar retrô após o primeiro exercício, atualizar playbooks.

Seções relacionadas:
  • Gestão de crise e comunicações
  • Playbooks e cenários de incidentes
  • Plano de Continuidade de Negócios (BCP)
  • Disaster Recovery Plan (DRP)
  • Matriz de escalações
  • Sistema de notificações e alertas
  • Jogo responsável e proteção de jogadores
Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.