GH GambleHub

Хавфҳои тарафи сеюм ва аудити шарикон

1) Чаро ва барои кӣ

Ҳадаф: коҳиш додани эҳтимолияти нокомӣ, ихроҷ ва қонуншиканиҳои танзимкунанда, ки тавассути таъминкунандагон ва шарикони хориҷӣ ба амал меоянд.
Фарогирӣ: дарвозаҳои PSP/пардохт, CCM/санксияҳо/RAP, зидди қаллобӣ, провайдерҳои бозӣ ва студияҳо, шабакаҳои фаръӣ ва пайгирӣ, абрҳо/CDN/хостинг, BI/таҳлил, воситаҳои нигоҳдорӣ/маркетинг-SDK, марказҳои занг, инчунин зерпроцессорҳои фурӯшандагони мо.

2) Категорияҳои хатар (харитаи домейн)

Амнияти иттилоотӣ ва махфият: ихроҷи нишонаҳои PII/KYC/пардохт, TOM-ҳои заиф, набудани WORM/аудит.
Мувофиқат: GDPR/UK GDPR/E Privacy, AML/KYC, минтақаи PCI, талаботи таблиғот/бозӣ дар қаламрави қаламрав.
Амалиёт: мавҷудият/SLA, консентратсия, суст BCP/DR.
Молиявӣ: устувории таъминкунандагон, хавфҳои қарзӣ, зарбаи пардохт.
Санксияҳо/геополитикӣ: маҳдудиятҳои содирот/воридот, ҷойгиршавии марказҳои маълумот, REP/санксияҳо дар сохторҳои моликият.
Эътибори ҳуқуқӣ ва ҳуқуқӣ: вайронкунии реклама/бозии масъул, ҳуқуқҳои IP.
Техникӣ: осебпазирии SDK/API, набудани версия ва муҳити санҷишӣ.

3) Харитаи занҷираи таъминот

1. Инвентаризатсия: феҳристи ягонаи ҳамаи фурӯшандагон/шарикон/зерсохторҳо бо соҳиби (соҳиби бизнес).
2. Харитаи маълумот: кадом маълумот/қаламравҳо/ҳаҷмҳо аз кӣ мегузаранд; Парчамҳои PII/молия/категорияҳои махсус.
3. Танқид: аз рӯи таъсир ба пул/PII/uptime тасниф карда мешавад.

4) Хастагии фурӯшанда (Меъёрҳои мисолӣ)

Галереяи тирандозӣАломатҳоНамунаҳоТалабот
Сатҳи 1 (интиқодӣ)PII/пардохтҳо, 24 × 7, таъсири мустақим ба GGRPSP, CCM/таҳримҳо, зидди қаллобӣ, абрСанҷиши пурраи лозимӣ, аудит, санҷишҳои BCP/DR, аудити солона дар макон/дурдаст
Сатҳи 2 (баланд)таъсири ғайримустақим, PII ниқоб, ҳамгироии муҳимстудияҳо/агрегаторҳо, воситаҳои DWHСаволномаи васеъ, аудити тасодуфӣ, баррасии солона
Сатҳи 3 (миёна/паст)не PII/пул, воситаҳои маркетингпочтаи электронӣ, виджетҳоСаволномаи сабук, минимумҳои шартномавӣ

5) Муоина ва баҳодиҳии хатарҳо

Омилҳо: амният (сиёсат, сертификатсия), махфият (DPA/SCC/DTIA), мувофиқат (AML/PCI/ISO), устувории амалиётӣ (SLA/BCP/DR), молия (аудит/ҳисобот), қаламравҳо/санксияҳо, таърихи ҳодисаҳо, технологӣ камолот (SDLC/Dev.
Баҳодиҳӣ (мисол): 0-5 барои ҳар як омил § вазни умумии (W) → минтақа: сабз/зард/сурх.

Ҳалли ҳадди ниҳоӣ:
  • Сабз: шартномаи стандартӣ.
  • Amber: назорат/барқароркунӣ ба Go-Live.
  • Сурх: нокомӣ ё пилотӣ бо ченакҳои иловагӣ (сегментатсия, дротлинг, танҳо хондан, рафтан, маҳдудиятҳои коҳишёфта).

6) Санҷиши кофӣ (дар даромадгоҳ чӣ талаб кардан лозим аст)

Артефактҳо/назорат (ҳадди аққал барои сатҳи 1-2):
  • Сиёсати амният/дахолатнопазирӣ, ROPA, феҳристи зерсохторҳо.
  • Ҳисоботҳои аудит/сертификатсия (агар лозим бошад, ISO 27001/SOC 2 намуди II/PCI), санҷишҳои охирини воридшавӣ.
  • BCP/DR ва натиҷаҳои санҷиш, RPO/RTO.
  • Тартиби ҳодисаҳо (огоҳиномаҳои 72-соата), сабти ҳодисаҳо дар тӯли 12-24 моҳ.
  • Механизми DPA/фаромарзӣ (SCC/IDTA) + DTIA, маҳаллисозии маълумот/калидҳо.
  • Амнияти интегратсионӣ: mTLS/OIDC, веб-дастгоҳҳои имзошуда, гардиши калидӣ, рӯйхати IP-и иҷозатдодашуда.
  • Гузоришҳои дастрасӣ/содирот, нусхаҳои WORM, занҷирҳои ҳаш.
  • Сиёсати нигоҳдорӣ ва несткунӣ, тасдиқи нобудшавии нусхаҳои эҳтиётӣ ҳангоми истироҳат.
  • Устувории молиявӣ (ҳисоботи давлатӣ/шаҳодатномаҳо), сохтори моликият (санксияҳо/чекҳои POP).

Саволномаи сабук барои Сатҳи 2-3: сатҳи SSIG/CAIQ (20-60 савол).

7) Талаботи шартномавӣ (нуқтаҳои асосӣ)

SLA/SLO: вақти корӣ (масалан, 99. 9%), P95 таъхир, вақти вокуниш ба ҳодисаҳо, қарзҳои хидматӣ.
Замимаи амният/махфият: рамзгузорӣ ҳангоми истироҳат/дар транзит, калидҳо/гео, воридшавӣ, ниқоб, манъи такрории маълумот.
DPA + зерсохторҳо: вазифаи огоҳ кардани тамдиди занҷир; ҳуқуқи эътироз/аудит.
Огоҳӣ дар бораи ҳодисаҳо: равзанаи огоҳӣ ≤ 72 соат; дастрасӣ ба гузоришҳо/артефактҳо; ҳуҷраи муштараки ҷанг.
BCP/DR: санҷишҳои ҳатмии N дар як сол як маротиба, RPO/RTO.
Ҳуқуқҳои қалам-тест/аудит: ҳадди аққал 1 маротиба дар як сол (дурдаст/макон), дастрасӣ ба гузоришҳо.
Назорати тағирот: огоҳӣ дар бораи тағиротҳои асосӣ (SDK/API/меъморӣ/ҷуғрофия).
Қатъкунӣ ва баромадан: содирот (форматҳо), нест кардан/баргардонидан, ҳамроҳшавӣ барои ҳамгироии муҳим, дастгирии муҳоҷирати X-рӯз.
Масъулият/Ҷуброн: cap/cublimits, кафолатҳои IP, ҷаримаҳо барои вайронкунӣ/ихроҷи SLA.

8) Onboard → Мониторинг → Offboard

8. 1 Киштӣ

1. Парвандаи корӣ ва соҳибмулк → пора кардани § саволнома/артефактҳо.
2. Баррасии хатарҳо (Амният/Махфият/Мувофиқат/Ҳуқуқӣ/Молия).
3. Назорат пеш аз Go-Live: сегментатсия (VPC/иҷорагир), сарборӣ/маҳдудият, ниқоб/токенизатсия, хусусият-парчамҳо, қуттии санҷишӣ.
4. Шартнома/ҳамгироӣ → пилот → Go/No-Go.

8. 2 Мониторинги доимӣ

Мониторинги техникӣ: вақти корӣ, хатогиҳо, таъхир, буҷаи хатар.
Амният: Огоҳиҳои SIEM (содироти ғайримуқаррарӣ/дастрасӣ бидуни 'ҳадаф'), гузоришҳои фурӯшанда, осебпазирии SDK.
Махфият/мувофиқат: тағирот дар зергурӯҳҳо, макон, нигоҳдорӣ; Мутобиқати DSAR.
Молия: KPI бо роҳи табдили/баргардонидан/пардохт, ҷаримаҳои SLA.
Баррасии семоҳа барои дараҷаи 1-2 ва санҷиши солонаи такрорӣ.

8. 3 Offboarding

Бекор кардани калидҳо/дастрасӣ, нобуд кардан/баргардонидани маълумот ва нусхабардорӣ, амалҳо, бастани чиптаҳо, навсозии регистрҳо ва харитаҳои маълумот.

9) Тартиби аудити шарик

9. 1 Нақша ва минтақа

Фокус: идоракунии дастрасӣ, рамзгузорӣ/калидҳо, гузоришҳо, ҳодисаҳо, BCP/DR, равандҳои DSAR, зерсохторҳо.

9. 2 усул

Мусоҳиба, баррасии ҳуҷҷат/сабти ном, санҷишҳои дақиқ, санҷишҳои техникӣ (api-rate-limit/MTLS/имзоҳо), машқҳои планшетӣ.

9. 3 Ҳисобот ва CAPA

Таснифи бозёфтҳо (Critical/High/Medium/Low), мӯҳлати барқароркунӣ, назорати пӯшида ва санҷиш.

10) Ҳодисаҳо дар фурӯшанда: китоби бозӣ

1. Муайянкунӣ: фурӯшанда/мониторинг/сигнали ҷомеа.
2. Хонаи ҷанг: соҳибон + Амният + DPO + Ҳуқуқӣ + Маҳсулот.
3. Маҳдудият: маҳдуд кардани трафик/хомӯш кардани SDK/калидҳо, маҳдудияти вақт/ҳавзҳои канарӣ.
4. Криминалистика: сабти зангҳо, имзоҳои webhook, тасдиқи WORM, доираи сабтҳои зарардида.
5. Огоҳиҳо: танзимгарон/истифодабарандагон/бонкҳо (агар лозим бошад), матнҳои муштарак.
6. CAPA: ислоҳот, мӯҳлатҳо, санҷиши самаранокӣ; аз нав дида баромадани шартҳои баҳодиҳӣ ва шартнома.

11) RACI (васеъшуда)

ФаъолиятСоҳиби тиҷоратАмниятDPO/МахфиятМувофиқат/ҳуқуқӣМолияSRE/МаълумотХарид
Хастагӣ/Парвандаи корӣA/RCCCCCC
Санҷиши лозимӣРA/RA/RA/RCCC
Шартномаҳо (SLA/DPA/Edits)CCCA/RA/RМАНР
Интегратсия/сегментатсияCA/RCCМАНРМАН
Мониторинг/аудитРA/RA/RA/RCРМАН
Ҳодисаҳо/CAPACA/RA/RA/RCРМАН
Боркунӣ/содирот/нест карданРA/RА.А.CРМАН

12) Метрика (KPI/KRI)

Фарогирӣ:% фурӯшандагони фаъол дар феҳрист бо холҳои муосир ≥ 100%.
Арзёбии TTM: санҷиши медианӣ Сатҳи 1 ≤ 15 рӯзи корӣ.
Барқарорсозии SLA: бозёфтҳои интиқодӣ ≤ 30 рӯз баста шуданд (≥ 95%).
Огоҳӣ дар бораи ҳодисаҳо: ҳиссаи огоҳиҳо дар равзана 72 соат - 100%.
Фарогирии DPA/SCC/DTIA: барои сатҳи 1-2 - 100% мувофиқ.
Хатари консентратсия: ҳиссаи трафик/даромад ба 1 PSP/провайдер ≤ X% (ҳадди ниҳоӣ).
Далелҳои BCP/DR:% Сатҳи 1 бо 12 санҷишҳои тасдиқшуда - 100%.
Сабти содирот: 100% содирот имзо ва сабт шудааст.

13) Қолабҳо ва пораҳо

13. 1 Саволномаи хурд (Сатҳи 1-2, таъсир)

Сертификатсия/аудит (ISO/SOC2/PCI), мӯҳлати истифода.
Архитектураи маълумот: гео, зерсохторҳо, калидҳо/KMS, рамзгузорӣ.
Ҳодисаҳо дар давоми 24 моҳ (намуд/сана/ченак).
Дастрасӣ ва маҷаллаҳо (RBAC/ABAC, шикастани шиша, JIT, WORM).
BCP/DR (санаҳои санҷиш, RPO/RTO).
DSAR/нигоҳ доштан, ROPA, CMP/SDK.
Назорати техникии API: mTLS/OIDC, имзои вебхукҳо, гардиши калидҳо, меъёри маҳдудият.

13. 2 SLA (порча)

НишондиҳандаМақсадАндозагирӣҚарз
Вақти корӣ (моҳҳо)99. 9%мониторинги беруна5-10% ҳаққи хизмат
Ҳодисаи интиқодӣ: Вокуниш≤ 15 дақпротоколи ҳуҷраи ҷангислоҳ.
Барқарорсозии баланд≤ 30 рӯзГузориши CAPAислоҳ.

13. 3 Замимаи амният ва махфият

"Манъи коркарди додаҳо; дастрасӣ ба таври қатъӣ аз ҷониби Need-to-Know; Содирот танҳо ба регистрҳои тасдиқшуда"

"Гузоришҳои собит (WORM) бо имзои ҳаш; аудит аз рӯи дархост дар як сол як маротиба"

"Ивазкунии суб-протсессор - огоҳии 30 рӯза, ҳуқуқи эътироз, нақшаи алтернативӣ".

"DTIA дар ҳама гуна интиқоли фаромарзӣ берун аз қаламрави мувофиқ; калидҳо - дар EC/UK (аз рӯи шартнома) "

14) Рӯйхати санҷишҳо

Пеш аз Go-Live бо фурӯшанда

  • Соҳиби таъиншуда, доираи тирандозӣ муайян карда шудааст
  • Саволнома/артефактҳои гирифташуда ва тасдиқшуда
  • DPA/SLA/таҳрирҳои имзошуда, зерсохторҳо эълон карданд
  • Ҷудокунӣ/маҳдудиятҳо/ниқоб фаъол аст, калидҳо ҷудо мешаванд
  • Санҷиши сандбокс/планшет аз рӯи ҳодиса гузашт
  • Нақшаи баромадан/муҳоҷират ва баромадан ба расмият дароварда шуд

Ҳар семоҳа (Сатҳи 1-2)

  • SLA/Ҳодиса/Мониторинги осебпазирии SDK
  • Таҷдиди шаҳодатномаҳо/ҳисоботҳо, Феҳристи зерсохторҳо
  • DR/BCP тасдиқ шудааст
  • Санҷиши фин (муқовимат), санҷишҳои санксия
  • Шарҳи хатарҳо ва алтернативаҳои консентратсионӣ

Offboarding

  • Калидҳо/дастрасӣ бекор карда шуданд
  • Тасдиқи содироти маълумот, нест кардан/нусхабардорӣ
  • Шаҳодатномаҳои пӯшида, ки аз ҷониби Data Mar/registers нав карда шудаанд

15) Сенарияҳо ва чораҳои маъмулӣ

A) Осебпазирӣ дар маркетинги SDK

Қатъи фаврӣ, блоки ҷамъоварии PII, огоҳиномаи DPO/танзимгарон дар ҳолати зарурӣ, фурӯшанда CAPA, санҷиш.

B) PSP бар SLA таназзул меёбад

Трафики худкор ба PSP-и эҳтиётӣ, кам кардани маҳдудиятҳо, фаъолсозии қарзҳои хидматӣ, таҷдиди нақшаи шартнома/баромадан.

C) Ихроҷ аз провайдери KYC

Ҷудокунии интегратсия, бекоркунии нишонаҳо, харитасозии сабтҳои зарардида, огоҳиномаҳо, хатари баланди дастии KYC, аудити фурӯшанда, ивазкунии имконпазир.

16) Харитаи роҳ оид ба татбиқи TPRM

Ҳафтаҳои 1-2: инвентаризатсияи фурӯшандагон, Харитаи маълумот, ашк, саволномаи асосӣ ва сабти ном.
Ҳафтаҳои 3-4: SLA/DPA/қолабҳои иловагӣ, раванди боркунӣ/мониторинг/оффборд, ҳамгироии SIEM/CMDB/IDP.
Моҳи 2: Озмоишии дараҷаи 1-2, оғози баррасиҳои семоҳа, автоматикунонии санҷиши сертификат/мӯҳлати ниҳоӣ.
Моҳи 3 +: миқёс, баҳодиҳӣ/панели панелҳо, санҷишҳои фишори BCP/DR, оптимизатсияи хавфҳои консентратсионӣ ва хатсайрҳои алтернативӣ.

TL; ДР

TPRM-и қавӣ = харитаи пурраи фурӯшанда → баҳодиҳӣ ва баҳодиҳӣ → шартномаҳои сахт (SLA/DPA/BCP/DTIA) → сегментация ва ҳамгироии бехатар → мониторинг ва аудити пайваста → баромадан/барқароркунии босуръат. Ин пул, маълумот ва литсензияҳоро ҳифз мекунад ва ҳатто ҳангоми шикасти шарикон тиҷоратро устувор нигоҳ медорад.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Telegram
@Gamble_GC
Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.