GH GambleHub

Riscurile terților și auditurile partenerilor

1) De ce și pentru cine

Scopul: de a reduce probabilitatea de eșecuri, scurgeri și încălcări de reglementare care vin prin furnizori externi și parteneri.

Acoperire: PSP/gateway-uri de plată, CCM/sancțiuni/RAP, anti-fraudă, furnizori de jocuri și studiouri, rețele afiliate și de urmărire, nori/CDN/hosting, BI/analiză, instrumente de retenție/marketing-SDK, centre de apel, precum și subprocesoare ale vânzătorilor noștri

2) Categorii de risc (harta domeniului)

Securitatea și confidențialitatea informațiilor: PII/KYC/scurgeri de jetoane de plată, TOM-uri slabe, lipsa WORM/audit.
Conformitate: GDPR/Marea Britanie GDPR/ePrivacy, AML/KYC, zona PCI, cerințele de publicitate/jocuri de noroc ale jurisdicțiilor.

Operațional: disponibilitate/SLA, concentrație, BCP/DR. slab

Financiar: stabilitatea furnizorului, riscuri de credit, șocuri de chargeback.
Sancțiuni/geopolitice: restricții de export/import, amplasarea centrelor de date, REP/sancțiuni în structurile de proprietate.
Reputație și legalitate: încălcări ale publicității/jocului responsabil, drepturi IP.
Tehnic: vulnerabilități SDK/API, lipsa de versioning și medii de testare.

3) Cartografierea lanțului de aprovizionare

1. Inventar: un registru unic al tuturor furnizorilor/partenerilor/subprocesorilor cu proprietarul (proprietarul afacerii).
2. Harta datelor: ce date/jurisdicții/volume trec prin cine; Steaguri PII/finanțe/categorii speciale.
3. Criticalitate: clasificat după impact asupra banilor/PII/uptime.

4) Vânzător obositoare (Exemplu Criterii)

Galerie de fotografiereSemneExempleCerințe
Nivelul 1 (critic)PII/plăți, 24 × 7, impact direct asupra RGGPSP, CCM/sancțiuni, antifraudă, cloudDue diligence, audit, teste BCP/DR, audit anual la fața locului/la distanță
Nivelul 2 (ridicat)impact indirect, PII mascat, integrări importantestudiouri/agregatoare, instrumente DWHChestionar extins, audit aleatoriu, reexaminare anuală
Nivelul 3 (mediu/scăzut)fără PII/bani, instrumente de marketinge-mail, widget-uriChestionar de lumină, minimum contractual

5) Screening de risc și de scoring

Factori: securitate (politici, certificare), confidențialitate (DPA/SCC/DTIA), conformitate (AML/PCI/ISO), reziliență operațională (SLA/BCP/DR), finanțe (audit/raportare), jurisdicții/sancțiuni, istoric incident, maturitate tehnologică (St DLC/DevSec Ops).
Punctaj (exemplu): 0-5 pentru fiecare factor → ponderat total (W) → zona: verde/galben/roșu.

Soluții prag:
  • Verde: contract standard.
  • Amber: controale/remediere la Go-Live.
  • Roșu: eșec sau pilot cu măsuri suplimentare (segmentare, accelerare, read-only, escrow, limite reduse).

6) Due diligence (ce să solicite la intrare)

Artefacte/controale (minimum pentru nivelurile 1-2):
  • Politici de securitate/confidențialitate, RoPA, registru sub-procesor.
  • Rapoarte de audit/certificare (ISO 27001/SOC 2 tip II/PCI, dacă este cazul), cele mai recente teste de penetrare.
  • BCP/DR și rezultatele testelor, RPO/RTO.
  • Proceduri incidente (notificări de 72 de ore), jurnal de incidente timp de 12-24 de luni.
  • DPA/mecanism transfrontalier (SCCs/IDTA) + DTIA, localizare date/cheie.
  • Securitate integrare: mTLS/OIDC, carti web semnate, rotatie cheie, IP lista permisa.
  • Busteni de acces/export, copii WORM, lanturi hash.
  • Politica de păstrare și ștergere, confirmarea distrugerii copiilor de rezervă în timpul offboardingului.
  • Stabilitatea financiară (raportare publică/certificate), structura proprietății (sancțiuni/controale POP).

Chestionar de lumină pentru nivelul 2-3: sMG/CAIQ (20-60 întrebări).

7) Cerințe contractuale (puncte cheie)

SLA/SLO: uptime (ex. 99. 9%), latență P95, timp de răspuns la incidente, credite de serviciu.
Addendum de securitate/confidențialitate: criptare în repaus/în tranzit, chei/geo, logare, mascare, interdicție de reciclare a datelor.
Subprocesoare DPA +: datoria de a notifica extinderea lanțului; dreptul la obiecție/audit.
Incident și notificare: fereastră de notificare ≤ 72 de ore; accesul la jurnale/artefacte; Camera de război comună.
BCP/DR: teste obligatorii N o dată pe an, RPO/RTO.
Drepturi de pen-test/audit: de cel puțin 1 ori pe an (la distanță/la fața locului), acces la rapoarte.
Controlul schimbării: notificarea modificărilor majore (SDK/API/arhitectură/geografie).
Terminare și ieșire: export de date (formate), ștergere/returnare, escrow pentru integrări critice, suport pentru migrare de zile X.
Răspundere/despăgubire: cap/cublimits, garanții IP, sancțiuni pentru încălcări/scurgeri de informații SLA.

8) Onboarding → Monitorizare → Offboarding

8. 1 Onboarding

1. Cazul de afaceri și proprietarul → ruperea chestionarului/artefactelor →.
2. Evaluarea riscurilor (Securitate/Confidențialitate/Conformitate/Juridic/Finanțe).
3. Controale înainte de Go-Live: segmentare (VPC/chiriaș), sarcini/limite, mascare/tokenizare, feature-flags, testare sandbox.
4. Contract/integrare → → pilot Go/No-Go.

8. 2 Monitorizare continuă

Monitorizare tehnică: uptime, erori, latență, buget de risc.
Securitate: alerte SIEM (exporturi anormale/acces fără „scop”), rapoarte ale furnizorilor, vulnerabilități SDK.
Confidențialitate/conformitate: modificări în subprocesoare, locații, retenție; Compatibilitate DSAR.
Finanțe: KPI prin conversii/rambursare/chargeback, sancțiuni SLA.
Revizuire trimestrială pentru nivelurile 1-2 și re-due-diligence anuale.

8. 3 Offboarding

Revocarea cheilor/acceselor, distrugerea/returnarea datelor și a backup-urilor, acte, închiderea biletelor, actualizarea registrelor și a hărților de date.

9) Proceduri de audit pentru parteneri

9. 1 Plan și zonă

Focus: managementul accesului, criptare/chei, busteni, incidente, BCP/DR, procese DSAR, sub-procesoare.

9. 2 Metode

Interviu, revizuire document/jurnal, verificări spot, teste tehnice (api-rate-limit/mTLS/semnături), exercițiu tabletop.

9. 3 Raport și CAPA

Clasificarea constatărilor (Critic/High/Medium/Low), calendarul de remediere, controlul închiderii și retestarea.

10) Incidente la furnizor: playbook

1. Detectie: furnizor/semnalul nostru de monitorizare/comunitate.
2. Cameră de război: proprietari + Securitate + DPO + Legal + Produs.
3. Izolare: limitarea traficului/dezactivarea SDK/chei, limite de timp/piscine canare.
4. Criminalistică: jurnal de apeluri, semnături de cârlig web, confirmări WORM, gama de înregistrări afectate.
5. Notificări: autorități de reglementare/utilizatori/bănci (dacă este necesar), texte comune.
6. CAPA-uri: fixări, termene limită, verificări ale eficacității; revizuirea scorurilor și a clauzelor contractuale.

11) RACI (mărită)

ActivitateProprietar de afaceriSecuritateDPO/ConfidențialitateConformitate/JuridicFinanţeSRE/DateAchiziții publice
Caz obositor/de afaceriA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Contracte (SLA/DPA/Edits)CCCA/RA/RIR
Integrare/segmentareCA/RCCIRI
Monitorizare/auditRA/RA/RA/RCRI
Incidente/CAPACA/RA/RA/RCRI
Offboarding/export/ștergereRA/RAACRI

12) Valori (KPI/KRI)

Acoperire:% din furnizorii activi din registru cu un scor actualizat ≥ 100%.
Evaluarea MTT: diligenţa mediană de nivel 1 ≤ 15 zile lucrătoare.
SLA pentru remediere: rezultate critice închise ≤ 30 de zile (≥ 95%).
Notificarea incidentului: proporția de notificări din fereastra 72 h - 100%.
Acoperire DPA/SCC/DTIA: pentru nivelul 1-2 - 100% relevant.
Risc de concentrare: ponderea traficului/veniturilor per 1 PSP/furnizor ≤ X% (prag).
Dovezi BCP/DR:% Tier 1 cu teste confirmate pe 12 luni - 100%.
Export Logging: 100% din exporturi sunt semnate și înregistrate.

13) Șabloane și fragmente

13. 1 Mini-chestionar (nivelul 1-2, expunere)

Certificare/audituri (ISO/SOC2/PCI), data expirării.
Arhitectura datelor: geo, sub-procesoare, chei/KMS, criptare.
Incidente în termen de 24 luni (tip/dată/măsuri).
Accesele și jurnalele (RBAC/ABAC, spart-glass, JIT, WORM).
BCP/DR (date de testare, RPO/RTO).
DSAR/retenție, RoPA, CMP/SDK.
Control tehnic API: mTLS/OIDC, semnătura cârligelor web, rotația cheii, limita ratei.

13. 2 SLA (fragment)

IndicatorScopMăsurareCredit
Uptime (luni)99. 9%monitorizare externă5-10% comision
Incident critic: Răspuns≤ 15 minprotocol de război-camerăfix.
Remediere ridicată≤ 30 de zileRaportul CAPAfix.

13. 3 Addendum de securitate și confidențialitate

"Interzicerea reciclării datelor; acces strict prin Need-to-Know; Exportul numai în registre autorizate"

"Jurnale fixe (WORM) cu semnătură hash; audit la cerere o dată pe an"

„Înlocuirea sub-procesorului - notificare ≥ 30 de zile, drept de obiecție, plan alternativ”.

"DTIA în orice transmitere transfrontalieră în afara jurisdicțiilor adecvate; chei - în CE/UK (per acord) "

14) Liste de verificare

Înainte de a merge-Live cu furnizorul

  • Proprietarul atribuit, domeniul de fotografiere definit
  • Chestionar/artefacte primite și verificate
  • DPA/SLA/edits semnate, sub-procesoare declarate
  • Segmentare/limite/mascare activată, taste separate
  • Sandbox/tabletop test de incident trecut
  • Planul de ieșire/migrare și escrow formalizate

Trimestrial (Tier 1-2)

  • SLA/Incident/Monitorizarea vulnerabilității SDK
  • Actualizarea certificatelor/rapoartelor, registru sub-procesor
  • DR/BCP validat
  • Screening fin (rezistență), controale de sancțiune
  • Revizuirea riscurilor de concentrare și a alternativelor

Offboarding

  • Cheile/accesele revocate
  • Export de date complet, ștergere/confirmare de rezervă
  • Certificatele de închidere, actualizate de Data Mar/registre

15) Scenarii și măsuri tipice

A) Vulnerabilitatea în marketing SDK

Închidere imediată, bloc de colectare PII, notificare DPO/autorități de reglementare, dacă este necesar, vânzător CAPA, retestare.

B) PSP se degradează peste SLA

Auto-rutare trafic la PSP de rezervă, scăderea limitelor, activarea creditelor de serviciu, revizuirea contractului/planul de ieșire.

C) Scurgere de la furnizorul KYC

Izolarea integrării, revocarea jetoanelor, cartografierea înregistrărilor afectate, notificări, manual KYC cu risc ridicat, auditul furnizorilor, posibila înlocuire.

16) Foaia de parcurs privind implementarea TPRM

Săptămânile 1-2: inventarul vânzătorilor, harta datelor, ruperea, chestionarul de bază și registrul.
Săptămânile 3-4: șabloane SLA/DPA/aditiv, proces de onboarding/monitorizare/offboarding, integrare SIEM/CMDB/IDP.
Luna 2: Tier 1-2 pilot, lansarea evaluărilor trimestriale, automatizarea verificărilor certificatului/termenelor limită.
Luna 3 +: scalare, scoring/tablouri de bord, teste de stres BCP/DR, optimizarea riscului de concentrare și rute alternative.

TL; DR

Puternic TPRM = harta full furnizor → nivelare și scoring → contracte hard (SLA/DPA/BCP/DTIA) → segmentare și integrări sigure → monitorizare continuă și auditare → ieșire rapidă/remediere. Acest lucru protejează banii, datele și licențele - și păstrează afacerea rezistentă chiar și atunci când partenerii se prăbușesc.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Telegram
@Gamble_GC
Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.