GH GambleHub

Ghid de conformitate pentru parteneri

1) Scopul și domeniul de aplicare

Acest ghid definește cerințele de conformitate pentru parteneri/contractori/afiliați/furnizori (inclusiv platforme de plată și găzduire, studiouri de conținut, servicii antifraudă, centre de apel, agenții de marketing).

Obiective:
  • Standarde uniforme de securitate, confidențialitate, reglementare și comunicare responsabilă.
  • Reducerea riscurilor operaționale/juridice în lanțul de aprovizionare.
  • Baza de probe „gata de audit” și verificabilitatea reciprocă.

2) Termeni

Partener - orice terță parte prelucrarea datelor sau furnizarea de servicii.
Partener critic - are un impact semnificativ asupra securității, plăților, datelor cu caracter personal sau proceselor de reglementare.
Subprocesor - contrapartida partenerului implicat în prelucrarea datelor.

3) Principii („principii de proiectare”)

Cerințele de conformitate prin proiectare sunt integrate în procese și arhitectură.
Minimizarea datelor și contabilitatea jurisdicțională (rezidența datelor).
Trasabilitate și imuabilitate: bușteni, arhivă WORM, chitanțe hash.
Proporționalitate: profunzimea verificărilor depinde de risc.
„O versiune a adevărului”: artefacte confirmate înțelese de SLA și RACI.

4) Roluri și RACI

RolResponsabilitate
Managementul furnizorilor (A)Clasificarea riscurilor, onboarding/offboarding, monitorizare
Conformitate/GRC (R)Cerințe, verificări, CAPA-uri, pregătirea auditului
Legal/DPO (C)Contracte, DPA, confidențialitate, transfrontaliere
SecOps/CISO (C/R)Alea. cerințe, incidente, detectări
Finanţe/Plăţi (C)Cereri de plată, chargeback/sancțiuni
Proprietar de afaceri (R)Lucrul operațional cu partenerul, KPI
Audit intern (I)Evaluarea independentă a conformității

(R - Responsabil; A - Responsabil; C - Consultat; I - Informat)

5) Clasificarea partenerilor de risc

Criterii: tipul de date (PII/plată), volumul tranzacțiilor, accesul la sistemele de producție, jurisdicții, rolul în lanț (procesor/controlor), istoricul incidentelor, certificate/audituri.
Niveluri: → scăzute/medii/înalte/critice determină adâncimea Due Diligence și frecvența revizuirilor.

6) Onboarding și Due Diligence (DD)

Pași:

1. Chestionar DD (proprietari, sub-procesoare, locații de date, certificate, controale).

2. Examinarea sancțiunilor/reputației/beneficiarilor.

3. Evaluarea securității/confidențialității: SOC/ISO/PCI/test de penetrare, politica de retenție, procese DSAR.

4. Verificare tehnică: SSO/OAuth, criptare, management secret, logare.

5. Aspecte de plată/AML (dacă este cazul): procese de chargeback, anti-fraudă, limite.

6. Raport de risc și soluție: admitere/condiționat/refuz + CAPA/măsuri compensatorii.

7. Contracte: MSA, SLA/OLA, DPA, drept de audit, retenție oglindă, notificări incidente, off-rampă.

7) Cerințe obligatorii pentru parteneri (minim)

7. 1 Securitate și confidențialitate

Criptare în tranzit/în repaus, managementul cheilor (KMS/HSM).
RBAC/ABAC, MFA, admin log, re-cert access.
Busteni si arhiva WORM cu semnatura hash; timp sincronizat.
Politici de retenție, Legal Hold, proceduri DSAR; mascarea/tokenizing PI.
Rapoarte de vulnerabilitate/teste de penetrare; politica de actualizare gestionată.

7. 2 Reglementare și marketing

Interzicerea ofertelor nesigure/agresive, declinări obligatorii.
Respectarea regulilor de joc responsabil și verificarea vârstei (dacă este cazul).
Geo-direcționare în funcție de licențe și restricții locale.
Consimțăminte/dezabonări documentate pentru comunicații, stocarea dovezilor.

7. 3 Plăți/AML/KYC (după rol)

Proceduri KYC/KYB, sancțiuni/screening-ul PEP, monitorizarea tranzacțiilor.
logs/3DS de autorizare, procese de chargeback, limite de risc.
Scenarii consecvente de blocare/investigare și returnare.

8) Integrarea tehnică

SSO/SAML/OIDC, provizionare SCIM (dacă este posibil).
Exploatarea forestieră structurată (JSON/OTel), urmărirea (trace_id).
Webhooks - cu semnătură și retras; garanție de livrare/idempotență.
Limite API, teste de contract, compatibilitate înapoi, versioning.
Medii izolate, chei și secrete sunt în depozite secrete.

9) Obligații contractuale

SLA/OLA: uptime, TTR/MTTR, latență, RPO/RTO pentru servicii critice.
Dovezi și audit: dreptul de audit, formatele PBC, timpul de răspuns, accesul la Data Room.
Incidente: notificare ≤ X ore, raport și format cronologie, CAPA.
Retenție și îndepărtare: TTL, confirmarea distrugerii, reținerea oglinzilor în subprocesoare.
Confidențialitate/AOI și restricții de subcontract.

10) Gestionarea incidentelor (partajate)

Un singur canal de notificare și actualizări de ritm de luptă.
Deținerea imediată a datelor relevante.
Cronologie comună (cine/ce/când), artefacte cu chitanțe hash.
Notificări către autoritățile de reglementare/clienți - printr-un proces convenit.
Post-mortem, CAPA, re-audit în 30-90 de zile.

11) Raportarea și monitorizarea

Rapoarte trimestriale: certificate, incidente, SLA, subprocesoare, modificări de localizare a datelor.
Măsurători de confidențialitate/DSAR, plângeri ale clienților, încălcări ale marketingului.
Financiar/plată: raport chargeback, eficiență antifraudă, recursuri win-rate.

12) Dreptul de control și audit

Audituri programate pe clase de risc; neplanificate - pentru incidente/schimbări critice.
Data Room, PBC- лист, ToD/ToE/Walkthrough/Reperform.
CAPA → rezultate, termene și dovezi de închidere (WORM).

13) Partner offboarding

Planul de migrare/înlocuire, transferul de artefacte și chei.
Confirmați distrugerea datelor partenerilor și subprocesorilor.
Revocați accesele/secretele, închideți canalele de integrare.
Audit/raport final și arhivarea probelor.

14) Metrics și KRI

Onboarding Lead Time (după clasa de risc).
Prospețimea certificatului de vânzător (țintă: 100% parteneri critici).
Conformitatea SLA și rata incidentelor de către partener.
Confidențialitate/DSAR SLA și reclamațiile clienților.
Chargeback Ratio/Fraud Loss% (pentru roluri de plată).
CAPA la timp и constatări repetate.
Localizare/Drift jurisdicție (modificări inconsecvente la locații/sub-procesoare).

15) Tablouri de bord

Furnizor risc Heatmap: rata de risc, certificate, incidente, țări.
Acoperire de conformitate: disponibilitate DPA/SLA, drept de audit, retenție/Legal Hold.
SLA & Incidente: uptime, TTR/MTTR, incidente nelimitate.
Confidențialitate și DSAR: termeni, volume, reclamații, tendințe.
Plăți/fraudă: raportul chargeback, motive, recursuri win-rate.
CAPA & Re-audit: statusuri, întârzieri, comentarii repetate.

16) POS (proceduri standard)

SOP-1: Partener onboarding

Chestionarul DD proiecții acelea/privacy/security-assessment Risk Report Contracts (MSA/DPA/SLA).

SOP-2: Modificări ale partenerilor

Modificare Notificare (Sub-Procesoare/Locații/Arhitectură) → Evaluarea riscurilor → Contract/Actualizare politică → Teste → Prod.

SOP-3: Incident

Singur canal Legal Hold cronologie comună/artefacte notificare CAPA re-audit.

SOP-4: Revizuire periodică

Ciclul anual/trimestrial de risc → PBC → ToD/ToE eșantion → raport/CAPA → metrici publicare.

SOP-5: Offboarding

Planul de migrare → exportul/transferul → confirmarea distrugerii → revocarea accesului → raportul final.

17) Modele artefact

17. 1 Lista de verificare DD a furnizorului (fragment)

Yur. date/beneficiari; screening-ul sancțiunii

Certificate/Audituri, Securitate/Politica de confidențialitate

Locații de date/subprocesoare/retenție

Incidente în 24 de luni, CAPA

Alea. integrare: SSO, logare, criptare, carti web

17. 2 DPA/SLA - Articole obligatorii

Prelucrarea datelor, obiective, temeiuri legale

Calendarul notificării incidentului, formatul rapoartelor

Dreptul de audit, formatele PBC, camera de date

TTL/eliminare, Legal Hold, confirmarea distrugerii

Subprocesoare și ordin de omologare

17. 3 Ambalaj de probe

Acces busteni/actiuni admin (structurate, chitante hash)

Vulnerabilitate/Penetrare/Scanare Rapoarte

DSAR registry/deletions/retention

SLA/Incident/Recuperare (RTO/RPO)

Versiuni semnate ale contractelor/addendums

18) Antipattern

Sub-procesoare opace/locații de date.
Accesele "end-to-end' fără re-cert și jurnale.
Încărcări manuale fără imutabilitate și confirmări hash.
Marketing cu promisiuni neautentice/interzise.
Nici o dovadă de distrugere a datelor atunci când offboarding.
Derogări eterne fără termene limită și măsuri compensatorii.

19) Modelul de maturitate (M0-M4)

M0 Hell-hoc: verificări unice, nici un registru de risc de partener.
M1 Directory: list of partners, basic DD/contracts.
M2 Managed: clase de risc, SLA/DPA, tablouri de bord, revizii programate.
M3 Integrat: logare/evidență-autobuz, re-audit, CAPA-linking, „audit-ready”.
M4 Continuous Assurance: monitorizare în timp real, controale de recomandare, auto-generare de pachete PBC/dovezi.

20) Articole wiki înrudite

Due Diligence la selectarea furnizorilor

Externalizarea riscurilor și controalele contractorilor

Audituri externe efectuate de auditori externi

Stocarea dovezilor și a documentației

Exploatarea forestieră și traseul de audit

Planuri de remediere (CAPA)

Reauditări și monitorizare

Depozit de politici și de conformitate

Comunicarea soluțiilor de conformitate în echipe

Total

„Ghidul de conformitate al partenerilor” transformă lanțul de aprovizionare într-un ecosistem gestionat: cerințe uniforme, controale previzibile, dovezi imuabile și aranjamente transparente. Acest lucru reduce riscul, accelerează integrarea și face colaborarea scalabilă și verificabilă.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Telegram
@Gamble_GC
Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.