GH GambleHub

Notificări privind încălcările și termenele de raportare

1) Scop și domeniu

Stabilirea unei proceduri uniforme, verificabile și repetabile pentru notificările obligatorii în caz de incidente și încălcări în conturul operațiunilor și conformității: securitatea datelor, plăți/tranzacții financiare, cerințe de reglementare, joc responsabil, integrări partenere, riscuri de reputație. Documentul stabilește termene limită, destinatari, formate, precum și proceduri de pregătire și control.

💡 Disclaimer: secțiune - manual operațional. Nu este un substitut pentru consiliere juridică. Legea locală/normele de licență se aplică pentru fiecare jurisdicție; textele sumare/termenele sunt în concordanță cu Legalitatea/Conformitatea.

2) Termeni cheie

Incident care face obiectul raportării: un eveniment în care notificarea către părțile externe este cerută de lege/licență/contract.
DPA este o autoritate de protecție a datelor (GDPR și analogi).
FIU - Financial Intelligence (AML/CFT; SAR/STR).
PSP/Acquirer/Schema de carduri - furnizori de plăți/achizitori/sisteme de plată.
CERT/CSIRT - Centre naţionale/industriale de răspuns la incidente de securitate cibernetică.
LEA - aplicarea legii.
Declarația de deținere - primul preaviz cu fapte de bază și momentul următoarei actualizări.

3) Clase de evenimente notificabile (categorii)

1. Securitatea/confidențialitatea informațiilor: scurgeri de date PII/financiare, compromiterea conturilor.
2. Autoritatea de reglementare a jocurilor de noroc: erori care afectează disponibilitatea/integritatea/echilibrele jocurilor; încălcarea termenilor de licență/publicitate/RG.
3. AML/CFT: operațiuni/modele suspecte → SAR/STR în FIE.
4. Plăți: indisponibilitate masivă a PSP, abateri ridicate, compromiterea datelor plătitorului.
5. Consumator/jucător: notificări către persoanele afectate (încălcarea securității datelor, tranzacții bănești, măsuri comp. măsuri).
6. Parteneri/afiliați/furnizori: impact asupra urmăririi, raportării, decontărilor financiare.
7. CERT/LEA: incidente cibernetice de importanță publică, phishing/clonare de brand.
8. Deținătorii de audit/licență: conformitatea cu raportarea SLA, confirmarea eliminării.

4) Matricea cronologică (repere)

💡 Datele exacte sunt specificate pentru fiecare licență/jurisdicție în registru (a se vedea § 10). Mai jos este un cadru tipic de planificare:
Categoria de destinațieDeclanşatorPrima notificareActualizări ulterioareRaportul final
DPA (tip GDPR)risc confirmat pentru drepturile/libertățile persoanelor vizatepână la 72 de ore de la detectareprivind pregătirea faptelor cheie (de obicei la fiecare 24-72 de ore)până la 30 de zile sau la cerere
Subiecte afectate (jucători)risc ridicat pentru drepturi/libertățifără întârzieri nejustificate (de obicei ≤ 72 de ore după DPA)pe etape de remedierela închiderea cazului
Autoritatea de reglementare a jocurilor de norocincidente care afectează integritatea/disponibilitatea/contabilitateacât mai curând posibil, punct de reper 24 hlicență SLA (ex. la fiecare 24 h/piatră de hotar)prin formatul regulatorului (adesea ≤ 7-30 de zile)
FIE (AML SAR/STR)suspiciuni de spălare de bani/finanţare a terorismuluifără întârziere după formarea suspiciunii (de multe ori de zi cu zi)când se primesc date suplimentarela cererea UIF
Scheme de plată/PSP/bancăeșecuri în masă/compromis PAN/eveniment PCIimediat (punct de referință <24 h)conform planului convenitraport de închidere cu măsuri
CERT/CSIRTincident/amenințare cibernetică semnificativăasap (adesea <24h)de repere de anchetăCERT
Parteneri/Afiliațiefect asupra urmăririi/calculelor<24 hpe etape de remedierereconcilierea finală

5) RACI și roluri

IC (Incident Commander) este proprietarul cronologie și "camera de război. "(A)

Legal/Compliance Lead - calificare „raportabilă”, alegerea destinatarilor și termenele limită, semnul final. (R/A)

Security Lead - fapte de securitate informațională, volumul compromisului/PII, interacțiunea cu CERT/LEA. (R)

Plăți Lead - PSP/bancă/scheme, probleme PCI, retururi/chargebacks. (R)

Comms Lead - text și trimite canal, pagina de stare, macrocomenzi CS. (R)

Date/Analytics - lista subiecților/tranzacțiilor afectate, evaluarea impactului. (R)

CS/CRM Lead - livrarea de notificări către jucători, compensare. (R)

-Sponsor/CEO-ul - S1 declarații publice. (C/I)

6) Proces end-to-end (de la detectare la închidere)

A. Definiția notificabilului:
  • detectarea → Calificarea juridică "→ raportează? să? sincronizare? ».
B. Pregătire:
  • colectarea faptelor/artefactelor → clasificarea severității → selecția șablonului → reconcilierea (Legal/Comms/IC).
C. Trimiterea și exploatarea forestieră:
  • livrare prin canale (portaluri regulatoare, poștă securizată, API, formulare de hârtie) → înregistrarea timpului de trimitere și confirmare a primirii.
D. Actualizări:
  • program/repere → versiuni de text → sincronizare cu pagina de stare.
E. Finalizare:
  • raport final → planul CAPA → închidere și retro (≤ 7 zile).

7) Compoziția minimă a anunțului (schelet)

1. ID-ul incidentului, data/ora (UTC și locală).
2. Scurtă descriere a evenimentului și a razei de influență.
3. Categorii de date/clienți/tranzacții afectate.
4. Acțiuni întreprinse (izolare/recuperare).
5. Evaluarea riscurilor și starea actuală.
6. Planul următor pas și ETA a următoarei actualizări.
7. Persoană de contact/canal de feedback.
8. Detalii legale ale licenței/companiei (dacă este necesar).
9. Aplicații: cronologie, artefacte tehnice, liste de subiecte.

8) Șabloane (inserții rapide)

8. 1 DPA (încălcarea securității datelor, notificarea inițială):

Discovery Eveniment/Data

Categorii de date/Volum/Geografii

Măsuri de minimizare a efectelor nocive (resetare token, AMF, monitorizare)

Evaluarea riscurilor subiectului

Planul de notificare a subiectului și intervalul de timp

Contact DPO/Juridic

8. 2 Pentru jucători (încălcarea datelor):

Subiect: Informații importante despre securitatea contului dvs

Corp: ce sa întâmplat (fără tech. detalii și fără PII), ce măsuri au fost luate, ce să faceți pentru jucător acum (schimbați parola, activați MFA), unde să urmăriți actualizările, cum să obțineți ajutor/compensare.

8. 3 Autoritatea de reglementare a jocurilor de noroc (eșec de accesibilitate/integritate):

Ce: serviciu/jocuri/portofel, timp slot, zone

Impact: dobândă/număr de rate/solduri

Măsuri: rollback, rezervă, portofel safe-mode

ETA de recuperare așteptată, controlul integrității/echilibrului

Planul final de verificare și raportare

8. 4 FIE (SAR/STR, scurt):

Fapte și motive de suspiciune (fără „avertisment din partea clientului”)

Sume/conturi/comportamente legate

Aplicații (tranzacții/grafic link)

AML Responsabil Contact

8. 5 Sistem PSP/Acquirer/Card:

Ce s-a întâmplat (scheme/metode afectate), markeri de risc PCI

Impactul asupra afacerii (rata de aut, eșec/latență)

Măsuri/ocoliri luate, cerere de diagnosticare în comun

Planul de compensare a clienților/procesarea returnărilor

8. 6 CERT/CSIRT:

Indicatori de compromis (IoC), TTP, vectori

Măsuri luate și riscuri rămase

Cerere de coordonare/partajare telemetrie

9) Liste de verificare

Înainte de a trimite notificarea inițială

  • Fapte confirmate; exclus secretele/PII.
  • Convenit cu Legalitate/Conformitate; Destinație/canal selectat.
  • Se specifică următoarea actualizare (data/ora/canalul).
  • Capturi de ecran/ARTEFACTS și hash-ul aplicației sunt capturate.
  • Verificat localizare/limbă (dacă este necesar).

După trimiterea

  • Confirmarea primită/numărul biletului/ID-ul registrului.
  • Actualizați planul și proprietarii creați.
  • Texte sincronizate pe pagina de stare/FAQ/CS macrocomenzi.

Închidere

  • Raportul final trimis și confirmat.
  • CAPA-urile sunt înregistrate cu termene și valori de performanță.

Retro ≤ 7 zile.

10) Registrul termenilor și destinatarilor (structura datelor)

Stocate în Git/Confluență sub forma unui tabel (versionat, proprietar - Legal):
CâmpExemplu
Jurisdicție/licențăMT/MGA B2C
CategorieRegulator DPA/Gaming/FIU/PSP/CERT
Perioada inițială de notificare72h/24h/asap
CanalPortal/Secure Mail/API/Fax
LimbăRO/Local
FormatulFree/Form No. .../Schema JSON
Câmpuri obligatoriilista
Contact/Acreditaree-mail, portal ID
Bazăreferire la clauza normă/licență
Notecaracteristici (sărbători, fus orar etc.)

11) Artefacte și retenție

Linie de timp (precizie minut), versiuni ale tuturor notificărilor, confirmări.
Alea. artefacte: jurnale, halde, valori de export, IoC, instantanee de configurare.
Listele de entități/tranzacții utilizate pentru notificare/compensare.
Păstrare: depozitare conform cerințelor licențelor/legilor (de obicei 1-7 ani, specificate de jurisdicție).

12) Măsurători de conformitate

Actualitatea:% din notificările trimise la timp (pe categorii).
Finalizare - Procentul de notificări primite prima dată (fără cereri de patch-uri).
Confirmare SLA: timpul mediu de primire a confirmării.
Actualizare Disciplină: respectarea intervalelor de actualizare.
Eficacitatea CAPA: procentul de CAPA închise la timp.

13) Instrumente și automatizare

Incident bot: comenzi '/notificare <categorie> ', auto-înlocuirea termenelor/canalelor, memento-uri despre termenele limită.
Motor șablon: asamblarea notificărilor din parametrii incidentului; versiuni/localizare.
Pagina de stare: sincron cu actualizări externe; Monitorizarea TTS (timp până la declarație).
SOAR/SIEM: colectare automată de artefacte pentru DPA/CERT.
DWH/CRM: Segmente de subiecți afectați, urmărirea livrării și a descoperirii.

14) Guvernanță

Proprietarul secțiunii: șef de conformitate (rezervă - consilier juridic).
Revizuirea înregistrării (§ 10): cel puțin trimestrial și după fiecare S1/S2.
Exerciții: tabel-top de DPA/Regulator/AML - trimestrial; live-drill securitatea informațiilor - o dată la șase luni.
Audit: verificarea anuală independentă a conformității cu calendarul și caracterul complet al notificărilor.

15) Pornire rapidă (implementare de 30 de zile)

1. Creați o listă de destinatari obligatorii pentru toate licențele/piețele și introduceți-le în registru (§ 10).
2. Aprobați șabloanele de notificare (§ 8) și conectați-le la bot incident.
3. Configurați valorile SLA (§ 12) și tabloul de bord „Raportare de reglementare”.
4. Exercițiu de conduită: încălcarea datelor → jucătorii DPA +, criza plăților → PSP, AML-SAR → FIE.
5. Activați memento-urile cu termen limită și declarațiile de deținere de generație automată.
6. Lansarea retro în urma rezultatelor primului exercițiu, actualizați playbook-uri.

Secțiuni conexe:
  • Gestionarea crizelor și comunicații
  • Cărți de redare incidente și scripturi
  • Planul de continuitate a afacerii (BCP)
  • Planul de recuperare în caz de dezastre (DRP)
  • Matrice de escaladare
  • Sistemul de notificare și alertă
  • Jocul responsabil și protecția jucătorilor
Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.