GH GambleHub

Уведомления о нарушениях и сроки отчетности

1) Назначение и область

Установить единый, проверяемый и повторяемый порядок обязательных уведомлений при инцидентах и нарушениях в контурах Операций и Комплаенса: безопасность данных, платежи/финансовые операции, регуляторные требования, ответственная игра, партнерские интеграции, репутационные риски. Документ задает сроки, адресатов, форматы, а также процедуры подготовки и контроля.

💡 Дисклеймер: раздел — операционное руководство. Не заменяет юридическую консультацию. Для каждой юрисдикции действует локальный закон/правила лицензии; итоговые тексты/сроки согласуются с Legal/Compliance.

2) Ключевые термины

Reportable incident (уведомляемый инцидент): событие, при котором по закону/лицензии/договору требуется уведомление внешним сторонам.
DPA — орган по защите данных (GDPR и аналоги).
FIU — финансовая разведка (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme — платежные провайдеры/эквайеры/платежные системы.
CERT/CSIRT — национальные/отраслевые центры реагирования на инциденты кибербезопасности.
LEA — правоохранительные органы.
Holding statement — первое краткое уведомление с базовыми фактами и временем следующего апдейта.

3) Классы уведомляемых событий (категории)

1. ИБ/конфиденциальность: утечка PII/финданных, компрометация учетных записей.
2. Регулятор азартных игр: сбои, влияющие на доступность игры/честность/балансы; нарушения условий лицензии/рекламы/RG.
3. AML/CFT: подозрительные операции/паттерны → SAR/STR в FIU.
4. Платежи: массовая недоступность PSP, высокие отклонения, компрометация плательщицких данных.
5. Потребитель/игрок: уведомления затронутым лицам (data breach, денежные операции, комп. меры).
6. Партнеры/аффилиаты/провайдеры: влияние на трекинг, отчетность, финансовые расчеты.
7. CERT/LEA: киберинциденты с общественной значимостью, фишинг/клонирование бренда.
8. Аудит/владельцы лицензии: соответствие SLA отчетности, подтверждение устранения.

4) Матрица сроков (ориентиры)

💡 Точные сроки уточняются по каждой лицензии/юрисдикции в реестре (см. §10). Ниже — типовая рамка для планирования:
Категория адресатаТриггерПервое уведомлениеПоследующие апдейтыФинальный отчет
DPA (GDPR-тип)подтвержденный риск для прав/свобод субъектов данныхдо 72 ч с момента обнаруженияпо готовности ключевых фактов (обычно каждые 24–72 ч)до 30 дней или по требованию
Затронутые субъекты (игроки)высокий риск для прав/свободбез неоправданной задержки (обычно ≤ 72 ч после DPA)по этапам ремедиациипри закрытии случая
Регулятор азартных игринцидент, влияющий на честность/доступность/учеткак можно скорее, ориентир 24 чпо SLA лицензии (напр., каждые 24 ч/по вехам)по формату регулятора (часто ≤ 7–30 дней)
FIU (AML SAR/STR)подозрение на отмывание/финансирование терроризмабез задержки после формирования подозрения (часто день в день)при поступлении доп. данныхпо запросу FIU
Платежные схемы/PSP/банкмассовые сбои/компрометация PAN/PCI-событиенезамедлительно (ориентир <24 ч)по согласованному планузакрывающий отчет с мерами
CERT/CSIRTсущественный киберинцидент/угрозаasap (часто <24 ч)по вехам расследованияпо требованиям CERT
Партнеры/аффилиатывлияние на трекинг/расчеты<24 чпо стадиям исправленияитоговый reconciliation

5) RACI и роли

IC (Incident Commander) — владелец таймлайна и «war room». (A)

Legal/Compliance Lead — квалификация «reportable», выбор адресатов и сроков, финальный знак. (R/A)

Security Lead — факты ИБ, объем компрометации/PII, взаимодействие с CERT/LEA. (R)

Payments Lead — PSP/банк/схемы, PCI-вопросы, возвраты/chargebacks. (R)

Comms Lead — текст и канал отправки, статус-страница, макросы CS. (R)

Data/Analytics — перечень затронутых субъектов/транзакций, оценка влияния. (R)

CS/CRM Lead — доставка уведомлений игрокам, компенсации. (R)

Exec Sponsor/CEO — публичные заявления S1. (C/I)

6) Сквозной процесс (от обнаружения до закрытия)

A. Определение уведомляемости:
  • детектирование → юридическая квалификация (Legal) → решение «reportable? кому? сроки?».
B. Подготовка:
  • сбор фактов/артефактов → классификация серьезности → выбор шаблонов → согласование (Legal/Comms/IC).
C. Отправка и логирование:
  • доставка по каналам (порталы регулятора, защищенная почта, API, бумажные формы) → фиксация времени отправки и подтверждения получения.
D. Апдейты:
  • по расписанию/вехам → управление версиями текстов → синхронизация со статус-страницей.
E. Финализация:
  • финальный отчет → CAPA-план → закрытие и ретро (≤ 7 дней).

7) Минимальный состав уведомления (скелет)

1. Идентификатор инцидента, даты/время (UTC и локальное).
2. Краткое описание события и радиуса влияния.
3. Категории данных/клиентов/операций, которых коснулось.
4. Принятые меры (контейнмент/восстановление).
5. Риск-оценка и текущий статус.
6. План дальнейших шагов и ETA следующего апдейта.
7. Контактное лицо/канал для обратной связи.
8. Юридические реквизиты лицензии/компании (если требуется).
9. Приложения: таймлайн, технические артефакты, перечни субъектов.

8) Шаблоны (быстрые вставки)

8.1 DPA (утечка данных, первичное уведомление):

Событие/дата обнаружения

Категории данных/объем/географии

Меры по минимизации вреда (сброс токенов, MFA, мониторинг)

Оценка рисков для субъектов

План уведомления субъектов и сроки

Контакт DPO/Legal

8.2 Игрокам (data breach):

Тема: Важная информация о безопасности вашего аккаунта

Тело: что произошло (без тех. деталей и без PII), какие меры приняты, что сделать игроку сейчас (сменить пароль, включить MFA), где следить за апдейтами, как получить помощь/компенсации.

8.3 Регулятор азартных игр (сбой доступности/честности):

Что: сервис/игры/кошелек, временной интервал, зоны

Влияние: проценты/количество ставок/балансов

Меры: откат, резерв, safe-mode кошелька

Ожидаемый ETA восстановления, контроль честности/балансов

План окончательной верификации и отчетности

8.4 FIU (SAR/STR, кратко):

Факты и основания подозрения (без «предупреждения клиента»)

Суммы/связанные аккаунты/модели поведения

Приложения (транзакции/граф связей)

Контакт ответственного за AML

8.5 PSP/Acquirer/Card Scheme:

Что случилось (схемы/методы затронуты), маркеры PCI-рисков

Бизнес-влияние (auth-rate, отказ/latency)

Принятые меры/байпасы, просьба о совместной диагностике

План компенсаций клиентов/обработка возвратов

8.6 CERT/CSIRT:

Индикаторы компрометации (IoC), TTP, векторы

Принятые меры и оставшиеся риски

Запрос координации/расшаривания телеметрии

9) Чек-листы

Перед отправкой первичного уведомления

  • Факты подтверждены; исключены секреты/PII.
  • Согласовано с Legal/Compliance; выбран адресат/канал.
  • Указан следующий апдейт (дата/время/канал).
  • Зафиксированы скриншоты/ARTEFACTS и хэш-суммы приложений.
  • Проверена локализация/язык (если требуется).

После отправки

  • Получено подтверждение приема/номер тикета/реестровый ID.
  • Создан план апдейтов и владельцы.
  • Синхронизированы тексты на статус-странице/FAQ/CS-макросах.

Закрытие

  • Финальный отчет отправлен и подтвержден.
  • CAPA зарегистрированы с сроками и метриками эффективности.
  • Ретро проведено ≤ 7 дней.

10) Реестр сроков и адресатов (структура данных)

Хранится в Git/Confluence в виде таблицы (версионируется, владелец — Legal):
ПолеПример
Юрисдикция/ЛицензияMT/MGA B2C
КатегорияDPA / Gaming Regulator / FIU / PSP / CERT
Срок первичного уведомления72h / 24h / asap
КаналПортал/Защищенная почта/API/Факс
ЯзыкEN/локальный
ФорматСвободный/Форма №…/JSON-схема
Обязательные поляперечень
Контакт/аккредитацияe-mail, портал ID
Основаниессылка на норму/лицензионный пункт
Примечанияособенности (праздничные дни, часовой пояс и т.п.)

11) Артефакты и ретенция

Таймлайн (минутная точность), версии всех уведомлений, подтверждения приема.
Тех. артефакты: логи, дампы, экспорт метрик, IoC, снимки конфигураций.
Списки субъектов/транзакций, используемые для уведомления/компенсаций.
Ретенция: хранение согласно требованиям лицензий/законов (обычно 1–7 лет, уточняется по юрисдикции).

12) Метрики соответствия

Timeliness: % уведомлений, отправленных в срок (по категориям).
Completeness: доля уведомлений, принятых с первого раза (без запросов исправлений).
Acknowledgement SLA: среднее время получения подтверждения.
Update Discipline: соблюдение интервалов апдейтов.
CAPA Efficacy: доля закрытых CAPA в срок.

13) Инструменты и автоматизация

Инцидент-бот: команды `/notify <категория>`, автоподстановка сроков/каналов, напоминания о дедлайнах.
Шаблонизатор: сборка уведомлений из параметров инцидента; версии/локализация.
Статус-страница: синхрон с внешними апдейтами; контроль TTS (time-to-statement).
SOAR/SIEM: автоматический сбор артефактов для DPA/CERT.
DWH/CRM: сегменты затронутых субъектов, трекинг доставки и открытий.

14) Управление изменениями (governance)

Владелец раздела: Head of Compliance (резерв — Legal Counsel).
Ревизия реестра (§10): не реже ежеквартально и после каждого S1/S2.
Учения: table-top по DPA/Regulator/AML — ежеквартально; live-drill ИБ — раз в полгода.
Аудит: ежегодная независимая проверка соответствия срокам и полноте уведомлений.

15) Быстрый старт (внедрение за 30 дней)

1. Сформировать список обязательных адресатов по всем лицензиям/рынкам и занести в реестр (§10).
2. Утвердить шаблоны уведомлений (§8) и подключить их к инцидент-боту.
3. Настроить SLA-метрики (§12) и дашборд «Regulatory Reporting».
4. Провести учение: data breach → DPA + игроки, платежный кризис → PSP, AML-SAR → FIU.
5. Включить напоминания о дедлайнах и автогенерацию holding statements.
6. Запустить ретро по итогам первого учения, обновить плейбуки.

Связанные разделы:
  • Кризисное управление и коммуникации
  • Инцидентные плейбуки и сценарии
  • План непрерывности бизнеса (BCP)
  • Disaster Recovery Plan (DRP)
  • Матрица эскалаций
  • Система уведомлений и алертов
  • Ответственная игра и защита игроков
Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.