GH GambleHub

Manual de compilação para parceiros

1) Atribuição e alcance

Este manual define os requisitos de complacência para parceiros/contratantes/afiliados/provedores (incluindo plataformas de pagamento e hospedagem, estúdios de conteúdo, serviços antifrod, call centers, agências de marketing).

Objetivos:
  • Padrões unificados de segurança, privacidade, regulação e comunicação responsável.
  • Redução dos riscos operacionais/legais na cadeia de fornecimento.
  • «Audit-ready» base de provas e verificabilidade mútua.

2) Termos

Um parceiro é qualquer terceiro processador de dados ou prestador de serviços.
Parceiro crítico - tem efeitos significativos na segurança, pagamentos, dados pessoais ou processos regulatórios.
O subprocessador é a contrapartida do parceiro envolvida no processamento de dados.

3) Princípios («design tenets»)

Compliance-by-design: os requisitos são incorporados aos processos e à arquitetura.
Minimização de dados e contabilidade jurisdicional (data residency).
Traçabilidade e imutabilidade: logs, arquivo WORM, recibos hash.
Proportionality: A profundidade das verificações depende do risco.
«Uma Versão da Verdade», artefactos confirmados compreendidos pela SLA e pelo RACI.

4) Papéis e RACI

PapelResponsabilidade
Vendor Management (A)Classificação de risco, onboarding/off, monitoramento
Compliance/GRC (R)Requisitos, verificações, CAPA, auditoria-prontidão
Legal/DPO (C)Tratados, DPA, privacidade, tesouraria
SecOps/CISO (C/R)Aqueles. exigências, incidentes, detecções
Finance/Payments (C)Exigências de pagamento, chargeback/sanções
Business Owner (R)Operação com parceiro, KPI
Internal Audit (I)Avaliação independente do cumprimento

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Classificação de parceiros de risco

Critérios: tipo de dados (PII/pagamento), volume de transações, acesso a sistemas prod, jurisdição, papel na cadeia (processador/controlador), histórico de incidentes, certificados/auditorias.
Os níveis: Low/Medium/High/Critical → determinam a profundidade do Dou Diligence e a frequência das revisões.

6) Onboarding e DD (DD)

Passos:

1. Questionário DD (proprietários, subprocessadores, localizadores de dados, certificados, controladores).

2. Verificar sanções/reputação/beneficiários (screening).

3. Avaliação de segurança/privacidade: SOC/ISO/PCI/pentest, política de retenção, processos DSAR.

4. Verificação técnica SSO/OAuth, criptografia, gestão de segredo, loging.

5. Aspectos de pagamento/AML (se aplicável): processos de chargeback, antifrode, limites.

6. Risk Report e decisão: tolerância/condicional/renúncia + SARA/medidas compensatórias.

7. Contratos: MSA, SLA/OLA, DPA, direito de auditoria, retoma espelhada, notificações de incidentes, off-ramp.

7) Requisitos obrigatórios para o parceiro (mínimo)

7. 1 Segurança e privacidade

Criptografia in transit/at rest, gerenciamento de chaves (KMS/HSM).
RBAC/ABAC, MFA, Diário de Ação Admin, ré-cert disponíveis.
Logi e arquivo WORM com assinatura hash; hora sincronizada.
Políticas de Reticência, Legal Hold, procedimentos DSAR; camuflagem/toquenização PI.
Relatórios de vulnerabilidade/pentestes; política de atualizações administradas.

7. 2 Regulação e marketing

Proibição de offs errados/agressivos, discreters obrigatórios.
Cumpre as regras de jogo responsável e verificação de idade (se aplicável).
Geo-targeting de acordo com licenças e limitações locais.
Consentimentos/dispensas documentados para comunicações, armazenamento de lufos.

7. 3 Pagamentos/AML/KYC (por papel)

Procedimentos KYC/KYB, sanção/RR screening, monitoramento de transações.
Logs de Autorizações/3DS, processos de chargeback, limites de risco.
Cenários de bloqueio/investigação e devoluções alinhados.

8) Integração técnica

SSO/SAML/OIDC, provisão SCIM (se possível).
Loging estruturado (JSON/OTel), traçado (trace _ id).
Webhooks - com assinatura e retais; garantia de entrega/idempotidade.
Limites API, contrato-teste, backward compatibility, versioning.
Ambientes isolados, chaves e segredos estão em armazéns secretos.

9) Obrigações contratuais

SLA/OLA: Farmácia, TTR/MTTR, atrasos, RPO/RTO para serviços críticos.
Evidence & Auditoria: direito de auditoria, formatos PBC, data de resposta, acesso ao Data Room.
Incidentes: notificação X relógio, formato de relatório e timeline, CAPA.
Retração e remoção: TTL, confirmação de destruição, reticência espelhada nos subprocessadores.
Privacidade/NDA e restrições de subcontratação.

10) Gerenciamento de incidentes (conjunto)

Um único canal de alerta e batalha-rhythm updates.
Legal Hold dados relevantes imediatos.
Timeline conjunta (quem/quê/quando), artefactos com recibos de hash.
As notificações aos reguladores/clientes são feitas através de um processo negociado.
Pós-mortem, CAPA, ré-auditoria daqui a 30 ou 90 dias.

11) Relatórios e monitorização

Relatórios trimestrais: certificados, incidentes, SLA, subprocessadores, alterações de localização de dados.
Métricas de privacidade/DSAR, queixas de clientes, violações de marketing.
Financeiro/pagamento: chargeback ratio, antifrod eficiência, win-rate recursos.

12) Controle e direito de auditoria

Revisões de rotina para classes de risco; não programados - por incidentes/mudanças críticas.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Resultados do CAPA, prazos e verificação de encerramento (evidence no WORM).

13) Off-board parceiro

Plano de migração/substituição, transferência de artefactos e chaves.
Confirmar a destruição de dados do parceiro e dos subprocessadores.
Revisão de acessos/segredos, encerramento de canais de integração.
Auditoria/relatório final e arquivamento de provas.

14) Métricas e KRI

Onboarding Lead Time (em classes de risco).
Vendor Certificate Freshness (alvo: 100% dos parceiros críticos).
SLA Compliance e Invident Rate para parceiros.
Privaciy/DSAR SLA e queixas de clientes.
Marceback Ratio/Fraud Loss% (para papéis de pagamento).
CAPA On-time и Repeat Findings.
Localização/Jurisdicção Drift (alterações incoerentes de localização/subprocessadores).

15) Dashboards

Vendor Risk Heatmap: risco-escrutínio, certificados, incidentes, países.
Compliance Coverage: disponibilidade de DPA/SLA, direito de auditoria, retenção/Legal Hold.
SLA & Inventos: farmácia, TTR/MTTR, incidentes não revelados.
Privaciy & DSAR: prazos, volumes, queixas, tendências.
Payments/Fraud: chargeback ratio, razões, win-rate apelações.
CAPA & Re-audit: estatais, atrasos, comentários repetidos.

16) SOP (procedimentos padrão)

SOP-1: Parceiro onboarding

O questionário DD screening/privacidade/segurança/avaliação do Risk Report contratos (MSA/DPA/SLA) a configuração de integração e loging piloto go-live.

SOP-2: Alterações no parceiro

Notação de alterações (subprocessadores/localização/arquitetura) → avaliação de risco → update de contratos/políticas → testes → prod.

SOP-3: Incidente

Um único canal → Legal Hold → temporizações/artefatos compartilhados → notificação → CAPA → re-auditoria.

SOP-4: Revisão periódica

Ciclo anual/trimestral de risco PBC amostra relatório/SARA publicação de métricas.

SOP-5: Offboarding

Plano de migração → exportação/transferência → confirmação de destruição → revisão de acessos → relatório final.

17) Modelos de artefatos

17. 1 Vendor DD Checklist (fatia)

Yur. dados/beneficiários; screening de sanções

Certificados/auditorias, políticas de segurança/privacidade

Localização de dados/subprocessadores/retenção

Incidentes por 24 mes, CAPA

Aqueles. integração: SSO, loging, criptografia, webhooks

17. 2 DPA/SLA - itens obrigatórios

Processamento de dados, objetivos, fundamentos legais

Prazo de notificação de incidentes, formato de relatórios

Direito de auditoria, formatos PBC, Data Room

TTL/remoção, Legal Hold, confirmação de destruição

Subprocessadores e ordem de concordância

17. 3 Pacote de provas (evidence pack)

Logs de acesso/ação de admin (estruturados, recibos de hash)

Relatórios de vulnerabilidade/pentestais/raias

Registro DSAR/remoções/retenção

SLA/incidentes/recuperação (RTO/RPO)

Versões assinadas de contratos/adendas

18) Antipattern

Subprocessadores opacos/localização de dados.
Acessos «completos» sem ré-cert ou registros.
Carregamentos manuais sem imutabilidade ou confirmação hash.
Marketing com promessas falsas/proibidas.
Não há confirmação de destruição de dados no off-boarding.
Waivers eternos sem prazo ou medidas compensatórias.

19) Modelo de maturidade (M0-M4)

M0 Ad-h. Verificações individuais, sem registro de risco para os parceiros.
M1 Catálogo: lista de parceiros, DD básico/contratos.
M2 Controlado: classes de risco, SLA/DPA, dashboard, revisões de rotina.
M3 Integrado: Loging/evidence-pneu, ré-auditoria, CAPA-linkker, «audit-ready».
M4 Contínuo Assunção: monitoramento em tempo real, verificações de recomendação, geração automática de pacotes PBC/evidence.

20) Artigos wiki relacionados

Dê Diligence ao selecionar provedores

Riscos de outorga e controle de contratantes

Verificações externas por auditores de terceiros

Armazenamento de provas e documentação

Registro e Auditoria Trail

Planos de Solução de Violações (CAPA)

Novas auditorias e controles de execução

Repositório de políticas e regulamentos

Comunicação de soluções em equipe

Resultado

O Manual de Complacência para Associados transforma a cadeia de fornecimento em um ecossistema controlado: requisitos unificados, verificações previsíveis, provas imutáveis e acordos transparentes. Isso reduz os riscos, acelera a integração e torna a cooperação escalável e verificável.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.