GH GambleHub

Риски сторонних поставщиков и аудит партнеров

1) Зачем и для кого

Цель: снизить вероятность сбоев, утечек и регуляторных нарушений, которые приходят через внешних поставщиков и партнеров.
Охват: PSP/платежные шлюзы, KYC/санкции/PEP, антифрод, провайдеры игр и студии, аффилиатские сети и трекинг, облака/CDN/хостинг, BI/анализ, ретеншн-инструменты/маркетинг-SDK, call-центры, а также субпроцессоры наших вендоров.

2) Категории рисков (доменная карта)

Инфобез и приватность: утечки PII/KYC/платежных токенов, слабые TOMs, отсутствие WORM/аудита.
Комплаенс: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI-зона, рекламные/игровые требования юрисдикций.
Операционные: доступность/SLA, зависимость от одного поставщика (concentration), слабый BCP/DR.
Финансовые: устойчивость поставщика, кредитные риски, «chargeback-шоки».
Санкционные/геополитические: ограничения экспорта/импорта, локация дата-центров, PEP/санкции в структурах владения.
Репутационные и правовые: нарушения рекламы/ответственной игры, IP-прав.
Технические: уязвимости SDK/API, отсутствие версионирования и тестовых сред.

3) Картирование цепочки поставок

1. Inventory: единый реестр всех вендоров/партнеров/субпроцессоров с владелцем (business owner).
2. Data Map: какие данные/юрисдикции/объемы проходят через кого; флаги PII/финансы/спецкатегории.
3. Criticality: классифицируем по влиянию на деньги/PII/аптайм.

4) Тиринг поставщиков (пример критериев)

ТирПризнакиПримерыТребования
Tier 1 (критичный)PII/платежи, 24×7, прямое влияние на GGRPSP, KYC/санкции, антифрод, облакоПолный due diligence, аудит, BCP/DR-тесты, ежегодный onsite/remote аудит
Tier 2 (высокий)косвенное влияние, PII masked, важные интеграциистудии/агрегаторы, DWH-инструментыРасширенный опросник, выборочный аудит, ежегодный обзор
Tier 3 (средний/низкий)нет PII/денег, маркетинг-инструментыe-mail, виджетыЛайт-опросник, договорные минимумы

5) Риск-скрининг и скоринг

Факторы: безопасность (политики, сертификация), приватность (DPA/SCCs/DTIA), комплаенс (AML/PCI/ISO), операционная устойчивость (SLA/BCP/DR), финансы (аудит/отчетность), юрисдикции/санкции, инцидентная история, технологическая зрелость (SDLC/DevSecOps).
Скоринг (пример): 0–5 по каждому фактору → взвешенный итог (W) → зона: зеленая/желтая/красная.

Пороговые решения:
  • Green: стандартный контракт.
  • Amber: контроли/ремедиация до Go-Live.
  • Red: отказ или пилот с доп. мерами (segmentation, throttling, read-only, escrow, пониженные лимиты).

6) Due diligence (что требовать на входе)

Артефакты/контроли (минимум для Tier 1–2):
  • Политики безопасности/приватности, RoPA, реестр субпроцессоров.
  • Отчеты аудитов/сертификация (ISO 27001/SOC 2 тип II/PCI при применимости), последние пентесты.
  • BCP/DR и результаты тестов, RPO/RTO.
  • Инцидент-процедуры (72-часовые уведомления), журнал инцидентов за 12–24 мес.
  • DPA/механизм трансграничности (SCCs/IDTA) + DTIA, локализация данных/ключей.
  • Безопасность интеграций: mTLS/OIDC, подписанные вебхуки, ротация ключей, allow-list IP.
  • Журналы доступа/экспортов, WORM-копии, hash-цепочки.
  • Политика ретеншна и удалений, подтверждения об уничтожении бэкапов при offboarding.
  • Финстабильность (публичная отчетность/справки), структура владения (санкционные/PEP-проверки).

Лайт-опросник для Tier 2–3: sSIG/CAIQ-уровня (20–60 вопросов).

7) Договорные требования (ключевые пункты)

SLA/SLO: аптайм (напр. 99.9%), латентность P95, время ответа на инциденты, service credits.
Security/Privacy addendum: шифрование at rest/in transit, ключи/гео, журналирование, маскирование, запрет вторичного использования данных.
DPA + субпроцессоры: обязанность уведомлять о расширении цепочки; право возражения/аудита.
Incident & Notification: окно уведомления ≤ 72 ч; доступ к логам/артефактам; совместный war-room.
BCP/DR: обязательные тесты N раз в год, RPO/RTO.
Pen-test/Audit rights: не реже 1 раза в год (remote/onsite), доступ к отчетам.
Change control: уведомление о major-изменениях (SDK/API/архитектура/география).
Termination & Exit: экспорт данных (форматы), удаление/возврат, escrow для критичных интеграций, поддержка миграции в X дней.
Liability/Indemnity: cap/сublimits, IP-гарантии, штрафы за нарушения SLA/утечки.

8) Onboarding → Monitoring → Offboarding (жизненный цикл)

8.1 Onboarding

1. Бизнес-обоснование и owner → тиринг → опросник/артефакты.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Контроли до Go-Live: сегментация (VPC/tenant), нагрузки/лимиты, маскирование/токенизация, feature-flags, тест-песочница.
4. Договор/интеграция → пилот → Go/No-Go.

8.2 Continuous Monitoring

Техмониторинг: аптайм, ошибки, латентность, бюджет рисков.
Безопасность: алерты SIEM (аномальные экспорты/доступ без `purpose`), отчеты вендора, уязвимости SDK.
Приватность/комплаенс: изменения субпроцессоров, локаций, ретеншна; DSAR-совместимость.
Финансы: KPI по конверсиям/refund/chargeback, SLA-штрафы.
Ежеквартальный review для Tier 1–2 и ежегодный ре-due-diligence.

8.3 Offboarding

Отзыв ключей/доступов, уничтожение/возврат данных и бэкапов, акты, закрытие тикетов, обновление реестров и карты данных.

9) Процедуры аудита партнеров

9.1 План и область

Фокус: управление доступами, шифрование/ключи, журналы, инциденты, BCP/DR, DSAR-процессы, субпроцессоры.

9.2 Методы

Интервью, обзор документов/логов, выборочные проверки, технические тесты (апи-rate-limit/mTLS/подписи), tabletop-учение.

9.3 Отчет и CAPA

Классификация находок (Critical/High/Medium/Low), сроки ремедиации, контроль закрытия и ретест.

10) Инциденты у вендора: playbook

1. Детект: сигнал вендора/нашего мониторинга/сообщества.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: ограничение трафика/отключение SDK/ключей, временные лимиты/канареечные пулы.
4. Форензика: журнал вызовов, подписи вебхуков, подтверждения WORM, диапазон затронутых записей.
5. Уведомления: регуляторы/пользователи/банки (если нужно), совместные тексты.
6. CAPA: фиксы, сроки, проверка эффективности; пересмотр скоринга и условий договора.

11) RACI (укрупненно)

АктивностьBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Тиринг/бизнес-кейсA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Договоры (SLA/DPA/правки)CCCA/RA/RIR
Интеграция/сегментацияCA/RCCIRI
Мониторинг/аудитRA/RA/RA/RCRI
Инциденты/CAPACA/RA/RA/RCRI
Offboarding/экспорт/удалениеRA/RAACRI

12) Метрики (KPI/KRI)

Coverage: % активных поставщиков в реестре с актуальной оценкой ≥ 100%.
Assessment TTM: медиана времени due diligence Tier 1 ≤ 15 рабочих дней.
Remediation SLA: критичные находки закрыты ≤ 30 дней (≥ 95%).
Incident Notification: доля уведомлений в окне 72 ч — 100%.
DPA/SCCs/DTIA Coverage: у Tier 1–2 — 100% актуальны.
Concentration Risk: доля трафика/выручки на 1 PSP/провайдера ≤ X% (порог).
BCP/DR Evidence: % Tier 1 с подтвержденными тестами за 12 мес — 100%.
Export Logging: 100% экспортов подписаны и зажурналены.

13) Шаблоны и фрагменты

13.1 Мини-опросник (Tier 1–2, выдержка)

Сертификация/аудиты (ISO/SOC2/PCI), дата истечения.
Архитектура данных: гео, субпроцессоры, ключи/КMS, шифрование.
Инциденты за 24 мес (тип/дата/меры).
Доступы и журналы (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (даты тестов, RPO/RTO).
DSAR/ретеншн, RoPA, CMP/SDK.
Техконтроли API: mTLS/OIDC, подпись вебхуков, ротация ключей, rate-limit.

13.2 SLA (фрагмент)

ПоказательЦельЗамерКредит
Аптайм (мес.)99.9%внеш. мониторинг5–10% fee
Инцидент Critical: отклик≤ 15 минwar-room протоколфикс.
Ремедиация High≤ 30 днейотчет CAPAфикс.

13.3 Security & Privacy Addendum (клаузы-выдержки)

«Запрет вторичного использования данных; доступ строго по Need-to-Know; экспорт только в одобренные реестры.»

«Неизменяемые журналы (WORM) с хэш-подписью; аудит по запросу раз в год.»

«При замене субпроцессора — уведомление ≥ 30 дней, право возражения, альтернативный план.»

«DTIA при любой трансграничной передаче вне адекватных юрисдикций; ключи — в ЕС/UK (per договоренности).»

14) Чек-листы

Перед Go-Live с поставщиком

  • Owner назначен, тир определен
  • Опросник/артефакты получены и проверены
  • DPA/SLA/правки подписаны, субпроцессоры задекларированы
  • Сегментация/лимиты/маскирование включены, ключи раздельные
  • Тест-песочница/таблетоп по инциденту пройдены
  • План выхода/миграции и escrow оформлены

Ежеквартально (Tier 1–2)

  • Мониторинг SLA/инцидентов/SDK-уязвимостей
  • Обновление сертификатов/отчетов, реестра субпроцессоров
  • Тест DR/BCP подтвержден
  • Фин-скрининг (устойчивость), санкционные проверки
  • Ревью концентрационных рисков и альтернатив

Offboarding

  • Ключи/доступы отозваны
  • Экспорт данных завершен, подтверждение удаления/бэкапов
  • Акты закрытия, обновлен Data Map/реестры

15) Типовые сценарии и меры

A) Уязвимость в SDK маркетинга

Немедленное отключение, блок на сбор PII, уведомление DPO/регуляторов при необходимости, CAPA у вендора, ретест.

B) PSP деградирует по SLA

Авто-роутинг трафика на резервный PSP, снижение лимитов, активация service credits, пересмотр договора/экзит-план.

C) Утечка у KYC-провайдера

Изоляция интеграции, ревокация токенов, картирование затронутых записей, уведомления, ручные KYC high-risk, аудит вендора, возможная замена.

16) Дорожная карта внедрения TPRM

Недели 1–2: инвентаризация вендоров, Data Map, тиринг, базовый опросник и реестр.
Недели 3–4: шаблоны SLA/DPA/добавок, процесс onboarding/monitoring/offboarding, интеграция с SIEM/CMDB/IDP.
Месяц 2: пилот Tier 1–2, запуск квартальных обзоров, автоматизация проверок сертификатов/сроков.
Месяц 3+: масштабирование, скоринг/дашборды, стресс-тесты BCP/DR, оптимизация концентрационных рисков и альтернативные маршруты.

TL;DR

Сильный TPRM = полная карта вендоров → тиринг и скоринг → жесткие договоры (SLA/DPA/BCP/DTIA) → сегментация и безопасные интеграции → непрерывный мониторинг и аудит → быстрый экзит/ремедиация. Это защищает деньги, данные и лицензии — и сохраняет устойчивость бизнеса даже при сбоях партнеров.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.