GH GambleHub

Канал для информаторов и защита данных

1) Назначение и область

Обеспечить безопасный, доступный и доверенный способ для сотрудников, подрядчиков, аффилиатов и иных стейкхолдеров сообщать о нарушениях (коррупция, мошенничество, AML/санкции, RG, GDPR/PII, PCI/ИБ, реклама/аффилиаты, конфликты интересов, дискриминация и домогательства, нарушение лицензий/закона). Документ регламентирует каналы, анонимность, обработку данных, процедуры расследований и защиту от репрессий.

2) Принципы

Нулевая толерантность к репрессиям. Любые ответные меры запрещены.
Конфиденциальность и минимизация данных. Сбор — только необходимого, по принципу need-to-know.
Анонимность по выбору информатора. Возможность общаться без раскрытия личности.
Своевременность и справедливость. SLA приема/рассмотрения; документированная, беспристрастная методология.
Независимость. Разделение ролей: прием сообщений, расследование, санкции.
Прозрачность процесса. Отслеживание статуса, обратная связь, публичная статистика без персоналий.

3) Роли и RACI

Whistleblowing Officer (WBO) — владелец процесса, триаж, координация расследований, отчетность. (A/R)

Compliance/Legal/DPO — правовая оценка, защита данных, политика приватности. (R/C)

InfoSec/CISO — безопасность каналов, шифрование, контроль доступа, журналирование. (R)

HR/ER (Employee Relations) — кейсы этики/поведения, меры поддержки. (R)

Internal Audit (IA) — независимый контроль качества расследований и CAPA. (C)

Security/Trust & Safety — технические/фрод кейсы, сбор цифровых артефактов. (R)

Exec Sponsor (CEO/COO) — «tone from the top», ресурсы, эскалации S1. (I/A)

4) Каналы приема сообщений

1. Веб-форма (рекомендуемый основной): поддержка анонимности; защищенная переписка по токену/пину.
2. Электронная почта: выделенный ящик с авто-шифрованием, автоквитанцией без раскрытия содержания.
3. Горячая линия/телефон: запись в систему с маскированием данных.
4. Чат-бот в корпоративном мессенджере: не для анонимных (или с прокси-механизмом).
5. Почтовый адрес/физический ящик: для офлайн-сообщений (сканирование и загрузка в Систему).
6. Прямой контакт с WBO/IA: личная встреча — по желанию информатора.

Требования к каналам: TLS end-to-end, хранение в зашифрованном хранилище, RBAC, журналы доступа неизменяемы, отсутствие трекинга IP/устройств в анонимной форме, прозрачная политика cookie/логов.

5) Защита данных и правовые основания

Lawful basis: исполнение юридических обязанностей, законные интересы компании, общественный интерес (в зависимости от юрисдикции).
DPIA: до запуска — оценка влияния на приватность; фиксация рисков и мер снижения.
Классификация данных: персональные, чувствительные (здоровье, этничность и т.п.), коммерческая тайна, артефакты расследований.
Минимизация: не собирать лишнее; удалять несоответствующие документы.
Трансграничные передачи: только при наличии правовых оснований и договорных гарантий.
Права субъектов данных: DSAR обрабатываются DPO; исключение: не раскрывать личность информатора и данные, ставящие под угрозу расследование/третьих лиц.
Ретенция: сообщения и артефакты — обычно 5 лет либо по политике/закону/лицензии; затем безопасное удаление (crypto-shred/логическое стирание с журналом).

6) Безопасность и технические меры

Шифрование: at-rest (KMS/HSM), in-transit (TLS), ключи — с ротацией и разграничением.
Доступ: RBAC/ABAC, принцип наименьших привилегий, отдельные домены для анонимных кейсов.
Журналы: неизменяемые (WORM), мониторинг необычных доступов, алерты.
Сегментация: система сообщений изолирована от прод-систем; отдельные бэкапы с проверкой восстановления.
Метаданные: маскирование, удаление EXIF из вложений, предупреждение информатора об автоматической де-идентификации.
Секретные каналы связи: защищенный почтовый ящик/веб-почта для двусторонней анонимной переписки.

7) Классификация кейсов и приоритеты

S1 (Критично): коррупция/взятки, крупный фрод, утечка PII/PCI, угрозы жизни/безопасности, серьезные нарушения лицензий/законов.
S2 (Высокий): системные нарушения политики (AML/RG/GDPR/ИБ), серьезные конфликты интересов, дискриминация/домогательства.
S3 (Средний): локальные нарушения процедур, ошибки в рекламе/аффилиатах, разовые нарушения поведения.
S4 (Низкий): предложения по улучшениям, низкорисковые инциденты.

SLA:
  • Квитанция о приеме: S1/S2 — ≤ 24 ч; S3/S4 — ≤ 3 р.дн.
  • Первичная оценка (triage): S1 — ≤ 48 ч; S2 — ≤ 5 р.дн.; S3/S4 — ≤ 10 р.дн.
  • План расследования: S1 — ≤ 3 р.дн.; S2 — ≤ 10 р.дн.

8) Процесс от сообщения до закрытия

Шаг 1 — Прием и квитанция. Присвоение ID, фиксация канала, сохранение доказательств «как есть».
Шаг 2 — Триаж и независимость. Проверка на конфликт интересов у назначаемых лиц; при конфликте — перераспределение.
Шаг 3 — Оценка риска и план. Объем, гипотезы, законность методов, список артефактов, дорожная карта.
Шаг 4 — Сбор доказательств. Документы, логи, интервью, выборки транзакций; соблюдение chain-of-custody.
Шаг 5 — Анализ и выводы. Факт → критерий (политика/закон/лицензия) → риск → влияние.
Шаг 6 — Рекомендации и CAPA. Корректирующие/предупредительные действия, владельцы, сроки, метрики успеха.
Шаг 7 — Коммуникации и обратная связь. Без раскрытия личности информатора; аккуратный язык (без обвинений до финала).
Шаг 8 — Закрытие и ретенция. Финальный отчет, статус, хранение артефактов, выпуск обезличенной статистики.

9) Коммуникации и защита информатора

Никакого tipping-off. Не раскрывать предполагаемым нарушителям факт сообщения/расследования.
Защита от репрессий. Запрещены понижение, увольнение, лишение бонусов, травля и т.п. Ответные меры рассматриваются как отдельное S1/S2-нарушение.
Поддержка: при необходимости — перенос в другую команду, отпуск, консультации HR/юристов/психологическая поддержка.
Двусторонняя анонимная связь: информатор может задавать вопросы и получать статус через веб-инбокс/токен.

10) Взаимосвязь с другими политиками

Кодекс этики и поведения — стандарты и каналы.
Антикоррупционная политика — due diligence, подарки, посредники.
GDPR/PII — законность обработки, DSAR, ретенция.
AML/RG/PCI/ИБ — профильные процедуры и триаж.
Внутренний аудит — независимый контроль качества расследований.

11) Чек-листы

11.1 Перед запуском канала

  • DPIA и политика приватности утверждены DPO/Legal.
  • Техническая архитектура: шифрование, RBAC, журналы WORM.
  • Настроены анонимная веб-форма и двусторонняя связь по токену.
  • Обучение WBO/триаж-команды по методологии расследований.
  • Подготовлены шаблоны (квитанция, план расследования, отчет, письмо о закрытии).
  • Коммуникационная кампания: «tone from the top», постеры, интранет, FAQ.

11.2 Прием сообщения

  • Присвоен ID, записаны дата/канал/S-уровень.
  • Подтверждение информатору отправлено без раскрытия деталей.
  • Проведена проверка конфликта интересов у исполнителей.
  • Зафиксированы все вложения/метаданные, выполнена де-идентификация.

11.3 Расследование

  • План и гипотезы утверждены (Legal/DPO/InfoSec — по необходимости).
  • Chain-of-custody ведется для каждого артефакта.
  • Интервью протоколируются; предупреждение о конфиденциальности.
  • Выводы основаны на верифицируемых фактах, peer-review проведен.

11.4 Закрытие

  • CAPA назначены, сроки и метрики определены.
  • Информатор (возможность) получил обезличенную обратную связь.
  • Ретенция/классификация установлены; артефакты помещены в архив.
  • Статистика обновлена на дашборде.

12) Шаблоны документов (быстрые вставки)

A) Квитанция информатору

💡 Спасибо за сообщение. Ваш ID: WB-XXXX. Мы изучим информацию и свяжемся при необходимости через этот безопасный канал. Вы можете оставаться анонимным. Пожалуйста, не раскрывайте информацию публично до завершения проверки.

B) План расследования (one-pager)

Кейс: WB-XXXX Приоритет: S1/S2/S3/S4 Владелец: … Сроки: …

Гипотезы/критерии:

Данные/артефакты:

Интервью: список/график

Риски приватности/юридические ограничения:

Коммуникации и точки контроля:

C) Итоговый отчет (структура)

Резюме Факты Критерии (политика/закон) Анализ Выводы Рекомендации CAPA Приложения (артефакты).

D) Письмо о закрытии

💡 Сообщаем, что рассмотрение кейса WB-XXXX завершено. Приняты меры соответствия. Благодарим за вклад в этичную и безопасную работу компании.

13) Метрики и дашборд

Intake Volume: количество сообщений по категориям и каналам.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA соблюдение по S-уровням.
CAPA Progress: выполнено/в работе/просрочено, медиана закрытия.
Retaliation Index: зарегистрированные жалобы на ответные меры (цель — 0).
Anonymity Rate: доля анонимных сообщений и их конверсия в подтвержденные кейсы.
Repeat Findings: повторяемость тем за 12 мес.
Awareness Impact: рост обращений после кампаний; NPS доверия каналу.

14) Риски и меры контроля

Деанонимизация через метаданные. → де-идентификация, удаление EXIF, явные предупреждения.
Утечки доступа к кейсам. → RBAC, сегментация, журналы WORM, регулярные ревизии доступа.
Вымышленные сообщения/злоупотребления. → вежливый фильтр и проверка фактов; санкции за заведомо ложные заявления (без эффекта запугивания).
Конфликт интересов в расследовании. → ротация исполнителей, участие IA/Legal.
Репрессии. → отдельный поток жалоб; быстрый отклик HR/Compliance.

15) Обучение и осведомленность

Онбординг: модуль о канале, анонимности и защите данных (тест ≥ 85%).
Ежегодная переаттестация для всех; дополнительные тренинги для WBO/расследователей.
Ежеквартальные кампании (плакаты/бот-квизы/видео): как подать, что ожидается, примеры.

16) 30-дневный план внедрения

Неделя 1

1. Назначить WBO и рабочую группу (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Провести DPIA, утвердить политику приватности и ретенции.
3. Специфицировать каналы (веб-форма/почта/линия), требования к анонимности и логам.

Неделя 2

4. Реализовать техническую платформу: шифрование, RBAC, журналы WORM, анонимный веб-инбокс.
5. Подготовить шаблоны и SOP: квитанция, план, отчет, письмо о закрытии, CAPA.
6. Обучить WBO/триаж-команду; прописать RACI и SLA.

Неделя 3

7. Пилот: 1–2 тестовых кейса (table-top), проверка цепочки доказательств и ретенций.
8. Настроить дашборд метрик и отчетность для менеджмента/комитета.
9. Коммуникации: письмо CEO, страница в интранете, FAQ, плакаты.

Неделя 4

10. Запуск канала; мониторинг SLA/нагрузки; горячая поддержка.
11. Еженедельные обзоры кейсов S1/S2 и CAPA-статусов.
12. Ретро и корректировки v1.1 (политика, формы, обучение).

17) Связанные разделы

Кодекс этики и поведения

Антикоррупционная политика

AML-тренинги и обучение сотрудников / Осведомленность персонала о комплаенсе

Инцидентные плейбуки и сценарии

Дашборд комплаенса и мониторинг

Внутренний аудит и внешний аудит

Уведомления о нарушениях и сроки отчетности

Регуляторные отчеты и форматы данных

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.