GH GambleHub

Incident și răspuns la scurgeri

1) Scop, principii și domeniu de aplicare

Scopul: reducerea daunelor și a riscurilor juridice, asigurarea continuității operațiunilor și a probabilității acțiunilor în caz de incidente de securitate/conformitate.
Principii: „conțin rapid → confirmă cu exactitate → documentează transparent → notifică în mod legal → previn repetarea”.
Acoperire: incidente cibernetice (DDoS, ATO, hacks, vulnerabilități), scurgeri de date PII/plată, încălcări AML/KYC/sancțiuni, eșecuri ale furnizorilor (KYC/PSP), incidente de publicitate/joc responsabil (RG), parteneri compromiși parteneri compromiși.

2) Clasificarea severității și declanșează

NivelDescriereExemple de declanșatoareAcțiuni obligatorii
InformaÅ £ iiSemnal/anomalie fără confirmare1-2 alertă ATO, mediu CVE unicExploatare forestieră, observare
scăzutEșec local fără PII/baniDegradare ușoară KYC, scurte intervale de timp PSPBiletul către proprietar, fix pe tură
MediuRisc de segment/jurisdicțieCBR ↑ la prag, cluster ATO confirmatEscaladarea ≤4 h, stabilirea regulilor/patch-uri
ridicatImpact semnificativ asupra întreprinderilorScurgere limitată de PII, eșec al furnizorului KYCIncident pod ≤1 h, izolare
CriticăDaune masive/ReglementareScurgeri de masă PII, DDoS cu inaccesibilitate, sans. încălcareaCameră de război ≤15 minute, notificări și plan public

3) escaladări SLA și „incident-bridge”

Inițiere: High/Critical creează o cameră de război (chat/apel), atribuie un comandant incident (IC).

SLA: Info - n/a; Scăzut - 24 h; Mediu - 4 ч; High - 1 h; Critic - 15 min

Roluri de punte: IC, Security Lead, SRE/Ops, Compliance (Adjunct IC pentru Legalitate), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Criminalistica.

4) Procesul de răspuns (stiva SANS/NIST în adaptare)

1. Pregătire: runbooks, liste de contacte, furnizori de backup, alerte de testare, accesări „implicit închise”.
2. Identificare: corelatii SIEM/SOAR, reguli antifrauda, semnale KRI; confirmare de fapt/volum.
3. Izolare: segmentare, dezactivare caracteristică vulnerabilă/endpoint, geo-constrângeri, feature-steaguri, limite de timp/deține.
4. Eliminare (eradicare): rotație patch/cheie, bloc de conturi/dispozitive, curățarea artefactelor rău intenționate, reasamblarea imaginilor.
5. Recuperare: validarea integrității, includerea treptată a traficului (bazine canare), monitorizarea regresiei.
6. Post-Incident: post-mortem ≤72 h, plan CAPA, actualizare politici/praguri/modele.

5) Anunțuri juridice și comunicări externe

💡 Ferestrele de timp și destinațiile variază în funcție de jurisdicție/licență; se concentreze pe cerințele locale și contracte. Un criteriu de referință frecvent privind protecția datelor este notificarea autorității de reglementare în termen de 72 de ore de la identificarea unei scurgeri semnificative; notificarea utilizatorilor - „fără întârzieri nejustificate” în pericol pentru drepturile/interesele lor.
Matricea destinației și motivele (exemplu):
  • Supravegherea datelor (DPA): scurgere confirmată de PII → notificare (descrierea incidentului, categorii de date, măsuri, contact DPO).
  • Autoritatea de reglementare a jocurilor de noroc: încălcări masive ale regulilor de RG/publicitate/eșecuri care afectează jucătorii/raportare.
  • Bănci/PSP: activitate suspectă/cazuri SAR, chargeback-uri masive, compromiterea fluxului de plăți.
  • Utilizatori: scurgeri de date/risc ridicat de vătămare; șabloane de scrisori și întrebări frecvente.
  • Parteneri/furnizori: incidente cu ei sau cu noi care afectează fluxuri/date comune.

Reguli Comm: un singur difuzor, fapte fără presupuneri, acțiuni/recomandări clare, stoca toate versiunile de mesaje și răspunsuri.

6) Criminalistica și „lanțul de custodie” (Lanțul de custodie)

Înregistrați cine/când/ce a colectat; utilizați depozitarea WORM/nemodificabilă.
Volum/jurnal instantanee, exportul de artefacte prin hashing (SHA-256).
Accesează numai citire, lucrând prin duplicate.
Documentați toate comenzile/pașii; păstrează cronologia.
Sunt de acord cu Legal/DPO cu privire la condițiile de transfer al artefactelor către terți.

7) Comunicații controlate (interne/externe)

Do: concis, factual, convenit cu IC/Legal; Specificați următorul slot de actualizare (ex. la fiecare 60 de minute).
Nu: ipoteze ca fapte, dezvăluiri PII, acuzații, promisiuni de termene neverificate.

Șablon de actualizare internă (la fiecare 30-60 de minute):
  • Ce sa întâmplat ?/Severitate/Zona de influență/Măsuri luate/Pașii următori/Următoarea actualizare în...

8) Playbook domeniu tipic "și

A) scurgere PII (aplicație/backend/furnizor)

1. Bridge ≤15 min → îngheață punctele finale/cheile suspecte → permit auditarea sporită a accesului la date.
2. Rata: determina sursa/volumul/tipurile de PII, linia de timp.
3. Acțiuni: rotația secretelor, remedieri, revizuirea drepturilor, izolarea vânzătorului.
4. Notificări: DPA/regulator/utilizatori/parteneri (după caz).
5. Suport pentru jucători: Întrebări frecvente, canal de asistență, recomandări (schimbare parolă/fraudă).
6. Post-mortem şi CAPA.

B) Compromiterea conturilor jucătorilor (ATO/umplutură de acreditare)

1. Spike în semnale ATO → amplifica rata de limit/2FA-enforce/WebAuthn, blocuri de ieșire temporare.
2. Gruparea dispozitivelor/IP, trimiterea de notificări celor afectați, resetarea jetoanelor.
3. Verificați tranzacțiile financiare, SAR, dacă este necesar.

C) Refuzul CUS/furnizor de sancțiuni

1. Treceți la furnizorul de rezervă, limitați ieșirile rapide, fluxul manual pentru VIP.
2. Comm pentru suport și manageri VIP; în timpul strângerii - informarea autorității de reglementare/băncilor (dacă aceasta afectează controalele).

D) PSP/incident de plată (chargebacks/compromise)

1. Activați 3DS/AVS stricte, limitele de scădere și regulile de viteză; să dețină grupuri de risc.
2. Informați PSP/bancă; cu semne de spălare - EDD/SAR.
3. Recuperarea și auditul a respins traficul.

E) DDoS/indisponibilitate

1. Activați WAF/geo-tăiere/spălare; „îngheţ” eliberează.
2. Includerea canară a regiunilor, controlul SLO; post-mortem pe reziliență.

9) Instrumente și artefacte

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, manager secret, rotații în seif, detectarea anomaliilor antifraudă, registrul incidentelor, șabloane de notificare.
Artefacte: registru incident, protocol punte (cronologie), raport criminalistic, pachet de notificare (regulator/utilizatori/bănci), post-mortem, tracker CAPA.

10) Măsurători și obiective

MTTD (timp până la detectare), MTTC (înainte de izolare), MTTR (înainte de recuperare).
% din incidentele cu cauză principală stabilită ≥ 90%.
Rata de finalizare CAPA ≥ de 95%.
Proporția incidentelor repetate din același motiv ≤ de 5%.
Proporția incidentelor închise în SLA: mediu ≥ 90%, ridicat ≥ 95%, critic ≥ 99%.

11) RACI (mărită)

Incident Commander (Ops/Sec): A pentru management, luarea deciziilor, cronologie.
Plumb de securitate (R): tech. analiză, criminalistică, izolare/eradicare.
Conformitate/DPO (R/A pentru legalitate): calificare de scurgere, notificări, listă de corespondență.
Juridic (C): evaluare juridică, contracte/contracte, formularea scrisorilor.
SRE/Engineering (R): remedieri, trageri, stabilitate.
Plăți/FRM (R): deține, pragul antifraudă, interacțiunea cu PSP/bănci.
PR/Comms (R): mesaje externe, Q&A pentru suport.
Suport/VIP (I/C): partea din față a comunicării cu jucătorii.

12) Șabloane (set minim)

12. 1 Card incident (înregistrare)

ID· Ora descoperirii· Clasa/severitate· Afectate (sisteme/date/jurisdicții)· IC· Proprietarul tech/business· Primele măsuri· Evaluarea volumului/daunelor· Notificări (to/when)· Legături către artefacte· Status/CAPA/termene limită.

12. 2 Notificarea utilizatorilor (stoarcere)

Ce s-a întâmplat; ce date pot fi afectate; ceea ce am făcut; ceea ce vă recomandăm; informații de contact; referință politică/Întrebări frecvente.

12. 3 Post-mortem (structură)

Fapte/Cronologie· Impact· Root Cause (5 Whys)· Ce a funcționat/nu a funcționat· CAPA (proprietar/termen limită)· Verificarea eficacității după N săptămâni.

13) Integrarea cu operațiunile și conformitatea

CAB/Schimbare: modificări periculoase - numai prin steaguri/canari; fiecare versiune are un plan de rollback.
Date și raportare: asamblarea automată a tablourilor de bord ale incidentelor; comunicarea cu IRC (sancțiuni/PEP, KYC, CBR, ATO).
Riscuri: actualizarea matricei de risc și a registrului, calibrarea pragurilor după fiecare incident major.

14) Exerciții și pregătire

Tabletop o dată pe sfert (scurgere PII, eșec KYC, val ATO, incident PSP).
Verificarea echipei roșii/albastre/purpurii; exerciții comune cu furnizorii și PSP.
KPI de pregătire: procentul angajaților care au finalizat instruirea; succesul exercițiului; medie "pod lift' timp.

15) Foaia de parcurs privind implementarea

1-2 săptămâni: actualizarea rolurilor/contactelor, șabloanelor, furnizorilor de backup.
3-4 săptămâni: cărți de redare SOAR, canale de punte, notificări de testare, arhivă WORM.
Luna 2 +: exerciții regulate, jurnale de audit, automatizarea raportării incidentelor.

TL; DR

Disponibilitate = roluri și praguri pre-agreate + punte rapidă + izolare dură + notificări legale și în timp util + criminalistică cu lanț de probe + morteme post obligatorii și CAPA. Acest lucru minimizează daunele, reduce riscurile de penalizare și întărește încrederea jucătorilor și partenerilor.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.