GH GambleHub

Riscos de terceiros e auditoria de parceiros

1) Porquê e para quem

O objetivo é reduzir a probabilidade de falhas, fugas e violações regulatórias que venham por meio de fornecedores e parceiros externos.
Abrangência: PSP/passarelas de pagamento, CUS/sanções/RER, antifrode, provedores de jogos e estúdios, redes de afiliação e rastreamento, nuvens/CDN/hospedagem, BI/análise, ferramentas de retenha/marketing-SDK, call centers e subprocessadores de nossos vendedores.

2) Categorias de risco (cartão de domínio)

Infobel e privacidade: vazamentos de PII/KYC/tokens de pagamento, TOMs fracos, falta de WORM/auditoria.
Complacência: GDPR/UK GDPR/ePrivacy, AML/KYC, área PCI, requisitos promocionais/jogos jurisdições.
Operacionais: disponibilidade/SLA, dependência de um único fornecedor (concentration), fraco BCP/DR..
Financeiro: sustentabilidade do fornecedor, risco de crédito, «chargeback-shoki».
Sanções/geopolíticas: restrições à exportação/importação, localização de centros de dados, RER/sanções em estruturas de propriedade.
Reputação e direito: violações de publicidade/jogo responsável, direitos IP.
Técnica: vulnerabilidade SDK/API, falta de versionagem e ambientes de teste.

3) Mapeamento da cadeia de fornecimento

1. Inventory: um único registro de todos os vendedores/parceiros/subprocessadores com o proprietário (business owner).
2. Data Map: quais dados/jurisdições/quantidades passam por quem; Bandeiras PII/finanças/serviços especiais.
3. Criticality: Classificamos o impacto sobre o dinheiro/PII/farmácia.

4) Tirining de fornecedores (exemplo de critérios)

TiroSinaisExemplosRequisitos
Tier 1 (crítico)PII/pagamentos, 24 x 7, influência direta na GGRPSP, CUS/sanções, antifrode, nuvemCompleta dê diligence, auditoria, BCP/DR. testes, auditoria anual onsite/remote
Tier 2 (alto)influência indireta, PII masked, importante integraçãoestúdio/agregadores, ferramentas DWHQuestionário avançado, auditoria seletiva, revisão anual
Tier 3 (médio/baixo)sem PII/dinheiro, ferramentas de marketinge-mail, widgetsQuestionário light, mínimos contratuais

5) Risco-screening e compilação

Fatores: segurança (política, certificação), privacidade (DPA/SCCS/DTIA), complacência (AML/PCI/ISO), sustentabilidade operacional (SLA/BCP/DR), finanças (auditoria/relatórios), jurisdição/sanções, histórico de incidentes, maturidade tecnológica (SDLC/DevSecOps)

Mapeamento (exemplo): 0-5 para cada fator → resultado ponderado (W) → zona verde/amarelo/vermelho.

Soluções de limiar:
  • Green, contrato padrão.
  • Amber: controladores/remuncação para Go-Live.
  • Red: falha ou piloto com medidas adicionais (segmentação, throttling, read-only, escrow, limites reduzidos).

6) Dê diligence (o que exigir na entrada)

Artefatos/controladores (mínimo para Tier 1-2):
  • Políticas de segurança/privacidade, RoPA, registo de subprocessadores.
  • Relatórios de auditoria/certificação (ISO 27001/SOC 2 tipo II/PCI quando aplicável), pentestais recentes.
  • BCP/DR. e resultados de testes, RPO/RTO.
  • Procedimentos de incidente (notificações de 72 horas), registo de incidentes de 12 a 24 horas.
  • DPA/SCCS/IDTA + DTIA, localização de dados/chaves.
  • Segurança de integração: mTLS/OIDC, webhooks assinados, rotação de chaves, allow-list IP.
  • Registros de acesso/exportação, cópias WORM, cadeias hash.
  • Política de retenção e remoções, confirmação de destruição de bacapes em offboarding.
  • Finstabilidade (relatórios públicos/referências), estrutura de propriedade (sanções/RER).

Questionário light para Tier 2-3: sIG/CAIQ-nível (20-60 questões).

7) Requisitos contratuais (pontos-chave)

SLA/SLO: farmácia (por exemplo, 99. 9%), latência P95, tempo para responder a incidentes, service credits.
Security/Private addendum: criptografia at rest/in transit, chaves/geo, registro, camuflagem, proibição de uso secundário de dados.
DPA + subprocessadores: obrigação de notificar a expansão da cadeia; direito de objeção/auditoria.
Incorporante & Notificação: janela de notificação ≤ 72 h; acesso a logs/artefatos; war-room colaborativo.
BCP/DR.: Testes obrigatórios N uma vez por ano, RPO/RTO.
Pen-teste/Auditoria de rights: pelo menos 1 vez por ano (remote/onsite), acesso a relatórios.
Mudança control: notificação de alterações maiores (SDK/API/arquitetura/geografia).
Termination & Exit: exportação de dados (formatos), remoção/retorno, escrow para integrações críticas, suporte à migração para dias X.
Liability/Indemnity: cap/cublimits, garantias IP, multas por violações de SLA/vazamentos.

8) Onboarding → Monitoring → Offboarding (ciclo de vida)

8. 1 Onboarding

1. Justificativa de negócios e owner → tiring → interrogador/artefatos.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Controladores para Go-Live: segmentação (VPC/tenant), carga/limite, camuflagem/torneamento, função-flags, caixa de areia de teste.
4. Contrato/integração → piloto → Go/No-Go.

8. 2 Continuous Monitoring

Farmácia, erros, latência, orçamento de risco.
Segurança: alertas SIEM (exposição/acesso anormal sem 'purpose'), relatórios de vendedor, vulnerabilidades SDK.
Privacidade/Complacência: alterações nos subprocessadores, localizações, retensas; Compatibilidade DSAR.
Finanças: KPI Conversões/refund/chargeback, multas SLA.
Review trimestral para Tier 1-2 e anual re-du-diligence.

8. 3 Offboarding

Revogação de chaves/acessibilidade, destruição/retorno de dados e bacapes, atos, encerramento de tíquetes, atualização de registros e mapas de dados.

9) Procedimentos de auditoria de parceiros

9. 1 Plano e área

Foco: gerenciamento de acessibilidade, criptografia/chaves, registros, incidentes, BCP/DR., processos DSAR, subprocessadores.

9. 2 Métodos

Entrevistas, revisão de documentos/logs, verificações seletivas, testes técnicos (upi-rate-limit/mTLS/assinaturas), tabletop-ensinamentos.

9. 3 Relatório e CAPA

Classificação de descobertas (Critical/High/Medium/Low), data de remissão, controle de fechamento e retoque.

10) Incidentes junto ao vendedor: playbook

1. Detecção, sinal de vendedor/monitorização/comunidade.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: limite de tráfego/desativação de SDK/chaves, limite de tempo/pool de canário.
4. Forenzica: registro de chamadas, assinaturas de webhooks, confirmação de WORM, faixa de registros afetados.
5. Notificações: reguladores/usuários/bancos (se necessário), textos compartilhados.
6. CAPA: fixação, prazos, verificação de eficiência; renegociação e termos do contrato.

11) RASI (acentuado)

AtividadeBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Tring/mala de negóciosA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Contratos (SLA/DPA/Edição)CCCA/RA/RIR
Integração/segmentaçãoCA/RCCIRI
Monitoramento/auditoriaRA/RA/RA/RCRI
Incidentes/SARAHCA/RA/RA/RCRI
Offboarding/exportação/remoçãoRA/RAACRI

12) Métricas (KPI/KRI)

Coverage:% dos fornecedores ativos no registro com nota relevante ≥ 100%.
Assessment TTM: Mediana do tempo de ue diligence Tier 1 ≤ 15 dias úteis.
Remediation SLA: descobertas críticas encerradas ≤ 30 dias (≥ 95%).
Invident Notificação: 100% de notificações na janela 72 h.
DPA/SCCS/DTIA Coverage: O Tier 1-2 tem 100% de validade.
Concentration Risk: proporção de tráfego/receita por 1 PSP/provedor ≤ X% (limite).
BCP/DR. Evidence:% Tier 1 com testes confirmados para 12 m - 100%.
Export Logging: 100% das exportações estão assinadas e curtidas.

13) Modelos e fatias

13. 1 Mini-interrogador (Tier 1-2, extrato)

Certificação/auditoria (ISO/SOC2/PCI), data de expiração.
Arquitetura de dados: geo, subprocessadores, chaves/CMS, criptografia.
Incidentes em 24 mes (tipo/data/medida).
Acessíveis e revistas (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR. (data dos testes, RPO/RTO).
DSAR/Retensno, RoPA, CMP/SDK.
API de controle técnico: mTLS/OIDC, assinatura de webhooks, rotação de chaves, rate-limit.

13. 2 SLA (fatia)

IndicadorAlvoMediçãoCrédito
Farmácia (mes.)99. 9%Curtidas. monitoramento5–10% fee
Incidente Critical: resposta≤ 15 minwar-room protocoloO Fix.
Remediar High30 diasrelatório CAPAO Fix.

13. 3 Security & Privaciy Addendum (claus-extras)

"Proibir o uso secundário de dados; acesso estritamente por Need-to-Know; exportar apenas para os registos aprovados

"Registros imutáveis (WORM) com assinatura hash; auditoria a pedido uma vez por ano"

Substituindo o subprocessador - aviso ≥ 30 dias, direito de objeção, plano alternativo.

"DTIA, em qualquer transferência sem jurisdição adequada; chaves - em EC/UK (por acordo)"

14) Folhas de cheque

Antes do Go-Live com o fornecedor

  • Owner designado, tiro definido
  • Questionário/artefatos recebidos e verificados
  • DPA/SLA/Edição assinados, subprocessadores declarados
  • Segmentação/limites/camuflagem incluídos, chaves separadas
  • Cartão de areia/tableto de incidente ultrapassados
  • Plano de saída/migração e escrow decorados

Trimestral (Tier 1-2)

  • Monitoramento de SLA/incidentes/vulnerabilidades SDK
  • Atualizar certificados/relatórios, registro de subprocessadores
  • Teste DR./BCP confirmado
  • Fin screening (sustentabilidade), verificações de sanções
  • Reversão de riscos de concentração e alternativas

Offboarding

  • As chaves/acessíveis foram retiradas
  • Exportação de dados concluída, confirmação de remoção/bacapes
  • Atos de encerramento, atualizado Data Mar/Registros

15) Cenários e medidas típicas

A) Vulnerabilidade em marketing SDK

Desligamento imediato, unidade de coleta PII, notificação de DPO/reguladores, se necessário, CAPA do vendedor, retuíte.

B) PSP degradado por SLA

Roteamento de tráfego automático para PSP de reserva, redução de limites, ativação de service credits, revisão de contrato/exit plug-in.

C) Fuga do provedor KYC

Isolamento de integração, recontagem de tokens, mapeamento de registros afetados, notificações, KYC manual high-risk, auditoria do vendedor, possível substituição.

16) Mapa de trânsito da implementação do TPRM

Semanas 1-2: inventário de vendedores, Data Map, tiragem, questionário básico e registro.
Semanas 3-4: modelos SLA/DPA/aditivos, processo onboarding/monitoring/offboarding, integração com SIEM/CMDB/IDP.
Mês 2: Piloto Tier 1-2, lançamento de revisões trimestrais, automação de verificações de certificados/prazos.
Mês 3 +: zoom, screen/dashboard, testes de stress BCP/DR., otimização de riscos de concentração e rotas alternativas.

TL; DR

Forte TPRM = mapa completo de vendedores tiragem e processamento de contratos rígidos (SLA/DPA/BCP/DTIA) segmentação e integração segura monitoramento contínuo e auditoria exit/remediação rápida. Isso protege o dinheiro, os dados e as licenças - e mantém a sustentabilidade do negócio, mesmo quando os parceiros falham.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.