GH GambleHub

Руководство по комплаенсу для партнеров

1) Назначение и область действия

Это руководство определяет требования к комплаенсу для партнеров/подрядчиков/аффилиатов/провайдеров (включая платежные и хостинг-платформы, студии контента, антифрод-сервисы, колл-центры, маркетинговые агентства).

Цели:
  • Единые стандарты безопасности, приватности, регуляторики и ответственной коммуникации.
  • Снижение операционных/правовых рисков в цепочке поставок.
  • «Audit-ready» доказательная база и взаимная проверяемость.

2) Термины

Партнер — любая третья сторона, обрабатывающая данные или оказывающая услуги.
Критичный партнер — оказывает значимое влияние на безопасность, платежи, персональные данные или регуляторные процессы.
Субпроцессор — контрагент партнера, вовлеченный в обработку данных.

3) Принципы («design tenets»)

Compliance-by-design: требования встроены в процессы и архитектуру.
Минимизация данных и юрисдикционный учет (data residency).
Трассируемость и неизменяемость: логи, WORM-архив, хеш-квитанции.
Proportionality: глубина проверок зависит от риска.
«Одна версия истины»: подтвержденные артефакты, понятные SLA и RACI.

4) Роли и RACI

РольОтветственность
Vendor Management (A)Классификация риска, онбординг/оффбординг, мониторинг
Compliance/GRC (R)Требования, проверки, CAPA, аудит-готовность
Legal/DPO (C)Договоры, DPA, приватность, трансграничность
SecOps/CISO (C/R)Тех.требования, инциденты, детекции
Finance/Payments (C)Платежные требования, chargeback/санкции
Business Owner (R)Операционная работа с партнером, KPI
Internal Audit (I)Независимая оценка соблюдения

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Классификация партнеров по риску

Критерии: тип данных (PII/платежные), объем транзакций, доступ к прод-системам, юрисдикции, роль в цепочке (процессор/контролер), история инцидентов, сертификаты/аудиты.
Уровни: Low / Medium / High / Critical → определяют глубину Due Diligence и частоту ревизий.

6) Онбординг и Due Diligence (DD)

Шаги:

1. Анкета DD (владельцы, субпроцессоры, локации данных, сертификаты, контролы).

2. Проверка санкций/репутации/бенефициаров (screening).

3. Оценка безопасности/приватности: SOC/ISO/PCI/пентест, политика ретенции, DSAR-процессы.

4. Техническая проверка: SSO/OAuth, шифрование, секрет-менеджмент, логирование.

5. Платежные/AML-аспекты (если применимо): chargeback-процессы, антифрод, лимиты.

6. Risk Report и решение: допуск/условно/отказ + CAPA/компенсирующие меры.

7. Договоры: MSA, SLA/OLA, DPA, право аудита, зеркальная ретенция, уведомления об инцидентах, off-ramp.

7) Обязательные требования партнеру (минимум)

7.1 Безопасность и приватность

Шифрование in transit/at rest, управление ключами (KMS/HSM).
RBAC/ABAC, MFA, журнал админ-действий, re-cert доступов.
Логи и WORM-архив с хеш-подписью; синхронизированное время.
Политики ретенции, Legal Hold, DSAR-процедуры; маскирование/токенизация PI.
Отчеты уязвимостей/пентесты; политика управляемых обновлений.

7.2 Регуляторика и маркетинг

Запрет недостоверных/агрессивных офферов, обязательные дисклеймеры.
Соблюдение правил ответственной игры и возрастной верификации (если применимо).
Гео-таргетинг в соответствии с лицензиями и локальными ограничениями.
Документированные согласия/отписки для коммуникаций, хранение пруфов.

7.3 Платежи/AML/KYC (по роли)

Процедуры KYC/KYB, санкционный/PEP-скрининг, мониторинг транзакций.
Логи авторизаций/3DS, chargeback-процессы, лимиты риска.
Согласованные сценарии блокировок/расследований и возвратов.

8) Техническая интеграция

SSO/SAML/OIDC, SCIM-провижининг (по возможности).
Структурированное логирование (JSON/OTel), трассировка (trace_id).
Вебхуки — с подписью и ретраями; гарантия доставки/идемпотентность.
API-лимиты, контракт-тесты, backward compatibility, версионирование.
Изолированные среды, ключи и секреты — в секрет-хранилищах.

9) Договорные обязательства

SLA/OLA: аптайм, TTR/MTTR, задержки, RPO/RTO для критичных сервисов.
Evidence & Audit: право аудита, PBC-форматы, сроки ответа, доступ к Data Room.
Инциденты: уведомление ≤ X часов, формат отчета и таймлайна, CAPA.
Ретенция и удаление: TTL, подтверждения уничтожения, зеркальная ретенция у субпроцессоров.
Конфиденциальность/НДА и ограничения на субподряд.

10) Управление инцидентами (совместно)

Единый канал оповещения и battle-rhythm апдейтов.
Немедленный Legal Hold релевантных данных.
Совместный таймлайн (кто/что/когда), артефакты с хеш-квитанциями.
Уведомления регуляторам/клиентам — через согласованный процесс.
Пост-мортем, CAPA, re-audit через 30–90 дней.

11) Отчетность и мониторинг

Ежеквартальные отчеты: сертификаты, инциденты, SLA, субпроцессоры, изменения локаций данных.
Метрики privacy/DSAR, жалобы клиентов, маркетинговые нарушения.
Финансовые/платежные: chargeback ratio, антифрод-эффективность, win-rate апелляций.

12) Контроль и право аудита

Плановые ревизии по классам риска; внеплановые — по инцидентам/критичным изменениям.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Результаты → CAPA, сроки и верификация закрытия (evidence в WORM).

13) Оффбординг партнера

План миграции/замены, передача артефактов и ключей.
Подтверждение уничтожения данных у партнера и субпроцессоров.
Отзыв доступов/секретов, закрытие каналов интеграции.
Финальный аудит/отчет и архивирование доказательств.

14) Метрики и KRI

Onboarding Lead Time (по рисковым классам).
Vendor Certificate Freshness (цель: 100% критичных партнеров).
SLA Compliance и Incident Rate по партнерам.
Privacy/DSAR SLA и жалобы клиентов.
Chargeback Ratio / Fraud Loss % (для платежных ролей).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (несогласованные изменения локаций/субпроцессоров).

15) Дашборды

Vendor Risk Heatmap: риск-скор, сертификаты, инциденты, страны.
Compliance Coverage: наличие DPA/SLA, право аудита, ретенция/Legal Hold.
SLA & Incidents: аптайм, TTR/MTTR, незакрытые инциденты.
Privacy & DSAR: сроки, объемы, жалобы, тренды.
Payments/Fraud: chargeback ratio, причины, win-rate апелляций.
CAPA & Re-audit: статусы, просрочки, повторные замечания.

16) SOP (стандартные процедуры)

SOP-1: Онбординг партнера

Анкета DD → скрининги → тех/приватность/безопасность-оценка → Risk Report → договоры (MSA/DPA/SLA) → настройка интеграции и логирования → пилот → go-live.

SOP-2: Изменения у партнера

Нотификация об изменениях (субпроцессоры/локации/архитектура) → оценка риска → апдейт договоров/политик → тесты → прод.

SOP-3: Инцидент

Единый канал → Legal Hold → совместный таймлайн/артефакты → уведомления → CAPA → re-audit.

SOP-4: Периодическая ревизия

Годовой/квартальный цикл по риску → PBC → выборки ToD/ToE → отчет/CAPA → публикация метрик.

SOP-5: Оффбординг

План миграции → экспорт/передача → подтверждение уничтожения → отзыв доступов → финальный отчет.

17) Шаблоны артефактов

17.1 Vendor DD Checklist (фрагмент)

Юр.данные/бенефициары; санкционный скрининг

Сертификаты/аудиты, политика безопасности/приватности

Локации данных/субпроцессоры/ретенция

Инциденты за 24 мес, CAPA

Тех.интеграция: SSO, логирование, шифрование, вебхуки

17.2 DPA/SLA — обязательные пункты

Обработка данных, цели, правовые основания

Сроки уведомления об инцидентах, формат отчетов

Право аудита, PBC-форматы, Data Room

TTL/удаление, Legal Hold, подтверждение уничтожения

Субпроцессоры и порядок согласований

17.3 Пакет доказательств (evidence pack)

Логи доступа/админ-действий (структурированные, хеш-квитанции)

Отчеты уязвимостей/пентестов/сканов

DSAR-реестр/удаления/ретенция

SLA/инциденты/восстановления (RTO/RPO)

Подписанные версии договоров/аддендумов

18) Антипаттерны

Непрозрачные субпроцессоры/локации данных.
«Сквозные» доступы без re-cert и журналов.
Ручные выгрузки без неизменяемости и хеш-подтверждений.
Маркетинг с недостоверными/запрещенными обещаниями.
Отсутствие подтверждений уничтожения данных при оффбординге.
Вечные waivers без сроков и компенсирующих мер.

19) Модель зрелости (M0–M4)

M0 Ад-hoc: разовые проверки, нет реестра рисков по партнерам.
M1 Каталог: список партнеров, базовые DD/договоры.
M2 Управляемый: риск-классы, SLA/DPA, дашборды, плановые ревизии.
M3 Интегрированный: логирование/evidence-шина, re-audit, CAPA-линковка, «audit-ready».
M4 Continuous Assurance: мониторинг в реальном времени, рекомендационные проверки, автогенерация PBC/evidence-пакетов.

20) Связанные статьи wiki

Due Diligence при выборе провайдеров

Риски аутсорсинга и контроль подрядчиков

Внешние проверки сторонними аудиторами

Хранение доказательств и документации

Ведение журналов и Audit Trail

Планы устранения нарушений (CAPA)

Повторные аудиты и контроль исполнения

Репозиторий политик и нормативов

Коммуникация комплаенс-решений в командах

Итог

«Руководство по комплаенсу для партнеров» превращает цепочку поставок в управляемую экосистему: единые требования, предсказуемые проверки, неизменяемые доказательства и прозрачные договоренности. Это снижает риски, ускоряет интеграции и делает сотрудничество масштабируемым и проверяемым.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.