GH GambleHub

Resposta a incidentes e fugas

1) Propósito, princípios e abrangência

O objetivo é reduzir os danos e os riscos legais, garantir a continuidade das operações e a comprovação dos incidentes de segurança/complacência.
Princípios: «Conter rapidamente → confirmar com precisão → documentar com transparência → notificar legalmente → impedir a repetição».
Abrangência: ciberidentes (DDoS, ATO, invasões, vulnerabilidades), vazamentos de PII/dados de pagamento, violações da AML/KYC/sanções, falhas de provedores (KYC/PSP), incidentes de publicidade/jogo responsável (RG), parceiros comprometidos.

2) Classificação e desencadeadores de gravidade

NívelDescriçãoExemplos de desencadeadoresAções obrigatórias
InfoSinal/anomalia sem confirmação1-2 ATO-alarma, um único CVE mediumLogação, observação
LowFalha local sem PII/dinheiroPequena degradação KYC, breves temporizadores PSPTíquete para o dono, fixe para o turno
MediumRisco para o segmento/jurisdiçãoCBR ↑ para limiar confirmado pelo cluster ATOEscalação de ≤4 h, configuração de regras/patch
HighInfluência de negócios substancialVazamento de PII de volume limitado, falha do vendedor KYCIncidente de bridge, containment
CriticalDanos em massa/regulaçãoFuga em massa de PII, DDoS com indisponibilidade, sanção. violaçãoWar-room ≤15 minas, notificações e planos públicos

3) SLA escalações e «incidente bridge»

Iniciação: Em High/Critical, cria-se um war-room (bate-papo/chamada) e atribui-se o Incent Team (IC).
SLA: Info — n/a; Low - 24 h; Medium — 4 ч; High - 1h; Critical - 15 min.
Os papéis em bridge são IC, Security Lead, SRE/Ops, Compliance (Deputy IC por legalidade), Legal/DPO, Payments/FRM, Apoio/VIP, PR/Comms, Data/Forensics.

4) Processo de resposta (SÃO/NIST na adaptação)

1. Preparação: runbooks, contatos, provedores de reserva, alertas de teste, acessibilidade «padrão encerrado».
2. Identificação: correlações SIEM/SOAR, regras antifrod, sinais KRI; confirmação de fato/volume.
3. Contenção (Containment): segmentação, desativação de fici/endpoint vulneráveis, geo-restrições, função-flags, limites de tempo/coladas.
4. Eliminação: patch/rotação de chaves, unidade de credenciais/dispositivos, limpeza de artefatos maliciosos, cruzamento de imagens.
5. Restauração (Recovery): validação da integridade, inclusão gradual do tráfego (balas canárias), monitoramento de regressão.
6. Lições de pós-mortem, plano CAPA, atualização de políticas/liminares/modelos.

5) Notificações legais e comunicações externas

💡 As janelas temporárias e os destinatários dependem da jurisdição/licenças; fique focado em requisitos e contratos locais. Referência frequente de proteção de dados - notificar o órgão fiscalizador em até 72 horas após a detecção de um vazamento significativo; notificação aos usuários - «sem atraso indevida», em caso de risco para seus direitos/interesses.
Matriz de destinatários e motivos (exemplo):
  • Supervisão de Dados (DPA): confirmação de fuga PII → notificação (descrição do incidente, categorias de dados, medidas, contato DPO).
  • Regulador de jogos: violações de RG/publicidade em massa/falhas que afetam jogadores/relatórios.
  • Bancos/PSP: atividade suspeita/mala SAR, marcebacks em massa, comprometimento do fluxo de pagamentos.
  • Usuários: fuga de seus dados/alto risco de danos; modelos de e-mail e FAQ.
  • Parceiros/vendedores: Eles têm incidentes ou nós que afetam os fluxos/dados gerais.

Regras comm: um único porta-voz, factos sem palpites, acções ou recomendações claras, armazenar todas as versões das mensagens e respostas.

6) Forense e «cadeia de armazenamento de provas» (Chain of Custody)

Fixar quem/quando/o que coletou; usar o armazenamento WORM/inalterável.
Imagens de volumes/logs, exportação de artefatos através do hasteamento (SHA-256).
Acessíveis apenas leitura, trabalho duplicado.
Documentar todos os comandos/passos; Guardar a timeline.
Concordar com o Legal/DPO condições de transferência de artefatos para terceiros.

7) Comunicações controladas (interna/externa)

Do: breve, factual, alinhado com IC/Legal; Indicar um update slot (por exemplo, a cada 60 minutos).
Don 't: hipóteses como factos, revelação de PII, acusações, promessas de prazo sem controle.

Modelo de update interno (a cada 30-60 min):
  • O que aconteceu ?/Seriedade/Área de influência/Medidas tomadas/Próximos passos/Próximo update em...

8) Domínios típicos playbook 'e

A) Fuga de PII (aplicativo/backand/vendedor)

1. Bridge ≤15 min → congelar as chaves de end-point/chave suspeitas → incluir uma auditoria maior do acesso aos dados.
2. Forensica: definir origem/volume/tipos de PII, timeline.
3. Acções: rotação de segredos, registo, revisão de direitos, isolamento de vendedor.
4. Notificações: DPA/Regulador/Usuários/Parceiros (por exigência).
5. Apoio aos jogadores: FAQ, canal de apoio, recomendações (mudança de senha/fraude).
6. Pós-mortem e CAPA.

B) Comprometer contas de jogadores (ATO/credential stuffing)

1. O Spike nos sinais ATO → reforçar rate limit/2FA-enforce/WebAuthn, blocos de saída temporários.
2. Clusterização de dispositivos/IP, envio de notificações aos afetados, reinstalação de tokens.
3. Verificação de transações financeiras, SAR, se necessário.

C) Falha do provedor CUS/sanções

1. Mudar para o provedor fallback, limitar conclusões rápidas, fluxo manual para VIP.
2. Comm para safort e gerentes VIP; durante o tempo, informar o regulador/bancos (se afetar as verificações).

D) PSP/incidente de pagamento (chargebacks/comprometimento)

1. Incluir um 3DS/AVS rigoroso, deixar cair limites e regras velocity; Grupos de risco de hold.
2. Informar PSP/banco; em indícios de lavagem - EDD/SAR.
3. Restaurar e auditar tráfego desviado.

E) DDoS/indisponibilidade

1. Ativar WAF/geo-corte/scroobbing; O frio dos lançamentos.
2. Inclusão regional canareira, controle SLO; pós-mortem sobre sustentabilidade.

9) Ferramentas e artefactos

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, gerente de segredo, rotativo vault, detecção de anomalias antifraude, registro de incidentes, modelos de notificação.
Artefatos: registro de ocorrência, protocolo de bridge (timeline), relatório de forensagem, pacote de notificações (regulador/usuários/bancos), pós-mortem, rastreador CAPA.

10) Métricas e orientações de destino

MTTD (tempo anterior à detecção), MTTC (antes da contenção), MTTR (antes da recuperação).
% dos incidentes com a causa primária ≥ 90%.
% de execução de CAPA dentro do prazo ≥ 95%.
A taxa de incidentes recorrentes por esse mesmo motivo ≤ de 5%.
Taxa de incidentes encerrados em SLA: Medium ≥ 90%, High ≥ 95%, Critical ≥ 99%.

11) RASI (acentuado)

Ops/Sec: A por gerenciamento, decisão, timeline.
Segurança Lead (R): tech. análise, forense, containment/eradation.
Compliance/DPO (R/A para a legalidade): qualificação de vazamento, notificação, folha de correio.
Legal (C): avaliação jurídica, contratos/contratos, formulação de cartas.
SRE/Engineering (R): fixação, retração, estabilidade.
Payments/FRM (R): colinas, porta antifrod, interação com PSP/bancos.
PR/Comms (R): mensagens externas, Q&A para safort.
Apoio/VIP (I/C): frente de comunicação com os jogadores.

12) Modelos (conjunto mínimo)

12. 1 Cartão de incidente (registro)

O Tempo de Detecção da Classe/Gravidade foi afetado (sistemas/dados/jurisdição). O proprietário daqueles/bisnês As Primeiras Medidas. Volume/Estimação de Danos.

12. 2 Notificação aos usuários (espalmar)

O que aconteceu; que dados podem ter sido afetados; o que fizemos; o que recomendamos; contatos; referência política/FAQ.

12. 3 Pós-mortem (estrutura)

Os factos/temporizações da Causa Primária (5 Whys): O que funcionou/não deu certo é que a prova de eficácia foi feita em N semanas.

13) Integração com operações e complicações

FAB/Mudança: Mudanças perigosas - apenas através de bandeiras de fique/canarinhos; Cada lançamento tem um plano de reversão.
Dados e relatórios: montagem automática de dashboards de incidentes; comunicação com KRIs (sanções/REER, KYC, CBR, ATO).
Riscos: atualização da matriz de risco e registro, calibração de liminares após cada maior incidente.

14) Ensinamentos e prontidão

Tabletop uma vez por trimestre (fuga PII, falha KYC, onda ATO, incidente PSP).
Red/Blue/Purple-team verificação; ensinamentos conjuntos com vendedores e PSP.
KPI pronto: proporção de funcionários treinados; o sucesso dos ensinamentos; tempo médio para levantar o bridge.

15) Mapa de trânsito de implementação

1-2 semanas: atualização de papéis/contatos, modelos, provedores de reserva.
3-4 semanas: playbooks SOAR, canais de bridge, notificações de teste, arquivo WORM.
Mês 2 +: exercício regular, auditoria de registros, automação de relatórios de incidentes.

TL; DR

Disposição = papéis e liminares pré-acordados + bridge rápido + containment rígido + notificações legítimas e pontuais + forense com cadeia de provas + pós-mortem obrigatório e CAPA. Isso minimiza os danos, reduz os riscos penais e fortalece a confiança dos jogadores e parceiros.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.