Hyzmatdaşlar üçin ylalaşyk gollanmasy
1) Wezipe we hereket ediş meýdany
Bu gollanma hyzmatdaşlar/potratçylar/affiliatler/üpjün edijiler (şol sanda töleg we hosting platformalary, mazmun studiýalary, antifrod hyzmatlary, jaň merkezleri, marketing agentlikleri) üçin komplayens talaplaryny kesgitleýär.
Maksatlar:- Howpsuzlygyň, gizlinligiň, düzgünleşdirijiligiň we jogapkärli aragatnaşygyň bitewi standartlary.
- Üpjünçilik zynjyrynda amal/hukuk töwekgelçilikleriniň peselmegi.
- "Audit-ready" subutnama bazasy we özara barlanylyşy.
2) Adalgalar
Hyzmatdaş - maglumatlary gaýtadan işleýän ýa-da hyzmatlary berýän islendik üçünji tarap.
Kritiki hyzmatdaş - howpsuzlyga, töleglere, şahsy maglumatlara ýa-da kadalaşdyryjy proseslere düýpli täsir edýär.
Subprosessor - maglumatlary gaýtadan işlemäge gatnaşýan hyzmatdaşyň kontragenti.
3) Ýörelgeler ("design tenets")
Compliance-by-design: talaplar proseslere we arhitektura girizildi.
Maglumatlary azaltmak we ýurisdiksiýa hasaba almak (data residency).
Yzarlanmak we üýtgemezlik: loglar, WORM-arhiw, heş-kwitansiýalar.
Proportionality: barlaglaryň çuňlugy töwekgelçilige baglydyr.
"Hakykatyň bir görnüşi": SLA we RACI-e düşnükli tassyklanan artefaktlar.
4) Rollar we RACI
(R — Responsible; A — Accountable; C — Consulted; I — Informed)
5) Töwekgelçilik boýunça hyzmatdaşlaryň klassifikasiýasy
Kriteriýalar: maglumatlaryň görnüşi (PII/töleg), geleşikleriň möçberi, senagat ulgamlaryna elýeterlilik, ýurisdiksiýalar, zynjyrdaky orny (prosessor/gözegçi), hadysalaryň taryhy, şahadatnamalar/auditler.
Derejeler: Low/Medium/High/Critical → Due Diligensiýanyň çuňlugyny we barlaglaryň ýygylygyny kesgitleýär.
6) Onbording we Due Diligence (DD)
Ädimler:1. DD anketasy (eýeler, subprosessorlar, maglumatlaryň ýerleşýän ýerleri, şahadatnamalar, gözegçilikler).
2. Sanksiýalary/abraýy/peýdalanyjylary barlamak (screening).
3. Howpsuzlyga/gizlinlige baha bermek: SOC/ISO/PCI/pentest, retensiýa syýasaty, DSAR prosesleri.
4. Tehniki barlag: SSO/OAuth, şifrlemek, gizlin dolandyryş, logirleme.
5. Töleg/AML-taraplary (ulanylsa): çargeback-prosesler, antifrod, çäkler.
6. Töwekgelçilik hasabaty we çözgüt: rugsat/şertli/ret + SARA/öwezini dolmak çäreleri.
7. Şertnamalar: MSA, SLA/OLA, DPA, audit hukugy, aýna retensiýasy, hadysalar barada habarnamalar, off-ramp.
7) Hyzmatdaşa hökmany talaplar (iň az)
7. 1 Howpsuzlyk we gizlinlik
In transit/at rest şifrlemek, açarlary dolandyrmak (KMS/HSM).
RBAC/ABAC, MFA, administratiw hereketler magazineurnaly, giriş re-cert.
Heş-goly bolan loglar we WORM-arhiw; sinhronlaşdyrylan wagt.
Retensiýa syýasaty, Legal Hold, DSAR-amallar; PI-ni gizlemek/bellemek.
Gowşaklyk hasabatlary/pentestalar; dolandyrylýan täzelenmeleriň syýasaty.
7. 2 Düzgünleşdiriji we marketing
Ygtybarly/agressiw offerleriň gadagan edilmegi, hökmany disklemerler.
Jogapkärçilikli oýnuň we ýaş barlagynyň kadalarynyň berjaý edilmegi (ulanylsa).
Geo-targeting ygtyýarnamalara we ýerli çäklendirmelere laýyklykda.
Aragatnaşyk üçin resminamalaşdyrylan razylyklar/jogaplar, pruflary saklamak.
7. 3 Tölegler/AML/KYC (roly boýunça)
KYC/KYB amallary, sanksiýalar/RER-barlag, amallara gözegçilik.
Ygtyýarnama ýazgylary/3DS, chargeback-prosesler, töwekgelçilik çäkleri.
Blokirlemegiň/derňemegiň we yzyna gaýtarmagyň ylalaşylan ssenarileri.
8) Tehniki integrasiýa
SSO/SAML/OIDC, SCIM-provizing (mümkin boldugyça).
Gurluşly logirleme (JSON/OTel), trasirleme (trace_id).
Webhuklar - gol we retralar bilen; eltip bermek kepilligi/ýol berilmezligi.
API-çäkleri, şertnama-synaglar, backward compatibility, wersionirlemek.
Izolirlenen gurşaw, açarlar we syrlar - gizlin ammarlarda.
9) Şertnama borçnamalary
SLA/OLA: uptime, TTR/MTTR, gijikdirmeler, möhüm hyzmatlar üçin RPO/RTO.
"Evidence & Audit": audit hukugy, PBC formatlary, jogap möhleti, Data Room-a girmek.
Wakalar: habar bermek ≤ X sagat, hasabat formaty we wagt aralygy, CAPA.
Retensiýa we aýyrmak: TTL, ýok edilendigini tassyklamak, subprosessorlarda aýna retensiýasy.
Gizlinlik/NDA we subpodrata çäklendirmeler.
10) Wakalary dolandyrmak (bilelikde)
Bitewi duýduryş kanaly we täzelenmeler.
Degişli maglumatlaryň derrew Kanuny Hold.
Bilelikdäki wagt (kim/näme/haçan), heş-kwitansiýaly artefaktlar.
Düzgünleşdirijilere/müşderilere bildirişler - ylalaşylan proses arkaly.
Post-mortem, CAPA, re-audit 30-90 günden soň.
11) Hasabat we gözegçilik
Çärýek hasabatlary: şahadatnamalar, hadysalar, SLA, subprosessorlar, maglumatlaryň ýerleşýän ýeriniň üýtgemegi.
Privacy/DSAR metrikleri, müşderileriň şikaýatlary, marketing bozulmalary.
Maliýe/töleg: chargeback ratio, antifrod-netijelilik, win-rate şikaýatlar.
12) Auditiň gözegçiligi we hukugy
Töwekgelçilik synplary boýunça meýilleşdirilen barlaglar; meýilleşdirilmedik - hadysalar/möhüm üýtgeşmeler boýunça.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Netijeler → CAPA, ýapmagyň möhletleri we barlagy (WORM-de evidence).
13) Hyzmatdaşyň offbording
Göçmek/çalyşmak meýilnamasy, artefaktlary we açarlary geçirmek.
Partnýorda we kömekçi prosessorlarda maglumatlaryň ýok edilendigini tassyklamak.
Elýeterliligi/syrlary yzyna almak, integrasiýa kanallaryny ýapmak.
Jemleýji audit/hasabat we subutnamalary arhiwlemek.
14) Metrikler we KRI
Onboarding Lead Time (töwekgelçilikli synplar boýunça).
Vendor Certificate Freshness (Maksat: 100% möhüm hyzmatdaşlar).
Hyzmatdaşlar boýunça SLA Compliance we Incident Rate.
Privacy/DSAR SLA we müşderileriň şikaýatlary.
Çargeback Ratio/Fraud Loss% (töleg rollary üçin).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (utgaşdyrylmadyk ýerleşiş/subprosessor üýtgemeleri).
15) Daşbordlar
Vendor Risk Heatmap: töwekgelçilik-skor, şahadatnamalar, hadysalar, ýurtlar.
Compliance Coverage: DPA/SLA-nyň bolmagy, audit hukugy, retensiya/Legal Hold.
SLA & Incidents: uptime, TTR/MTTR, örtülmedik hadysalar.
Gizlinlik & DSAR: möhletler, göwrümler, şikaýatlar, tendensiýalar.
Payments/Fraud: chargeback ratio, sebäpler, win-rate şikaýatlary.
CAPA & Re-audit: statuslar, gijikdirmeler, gaýtalanýan bellikler.
16) SOP (standart amallar)
SOP-1: Partnýor onbording
DD anketasy → skriningler → tech/gizlinlik/howpsuzlyk-baha bermek → Risk Report → şertnamalary (MSA/DPA/SLA) → integrasiýa we logirlemäni sazlamak → pilot → go-live.
SOP-2: Hyzmatdaşda üýtgeşmeler
Üýtgeşmeler barada bellik etmek (subprosessorlar/ýerleşiş/binagärlik) → töwekgelçilige baha bermek → şertnamalaryň täzelenmegi/syýasat → synaglar → önüm.
SOP-3: Waka
Bitewi kanal → Legal Hold → bilelikdäki wagt/artefaktlar → habarnamalar → CAPA → re-audit.
SOP-4: Döwürleýin gözden geçirmek
Töwekgelçilik boýunça ýyllyk/çärýek aýlawy → PBC → ToD/ToE nusgalary → hasabat/SARA → metrikleriň çap edilmegi.
SOP-5: Offbording
Migrasiýa meýilnamasy → eksport/geçirmek → ýok edilendigini tassyklamak → elýeterliligi yzyna almak → jemleýji hasabat.
17) Artefaktlaryň şablonlary
17. 1 Wendor DD Checklist (bölek)
Ýur. maglumatlar/benefisiarlar; sanksiýa barlagy
Şahadatnamalar/auditler, howpsuzlyk/gizlinlik syýasaty
Maglumatlaryň ýerleşişi/subprosessorlar/retensiýa
24 aýda hadysalar, CAPA
Tech. integrasiýa: SSO, logistika, şifrlemek, webhuklar
17. 2 DPA/SLA - hökmany maddalar
Maglumatlary gaýtadan işlemek, maksatlar, hukuk esaslary
Wakalar barada habar bermegiň möhletleri, hasabatlaryň formaty
Audit hukugy, PBC formatlary, Data Room
TTL/öçürmek, Legal Hold, ýok edilendigini tassyklamak
Subprosessorlar we ylalaşmagyň tertibi
17. 3 Subutnamalar bukjasy (evidence pack)
Giriş/dolandyryş hereketleri (gurluş, heş-kwitansiýalar)
Gowşaklyk/pentest/skan hasabatlary
DSAR-reýestr/aýyrmak/retensiya
SLA/hadysalar/dikeldişler (RTO/RPO)
Şertnamalaryň/addendumlaryň gol çekilen wersiýalary
18) Antipatternler
Aç-açan däl subprosessorlar/maglumatlaryň ýerleşýän ýerleri.
Re-cert we magazinesurnallarsyz "Geçiş" elýeterliligi.
Üýtgewsizligi we heş-tassyklamasyz el bilen düşürmek.
Ygtybarly/gadagan edilen wadalar bilen marketing.
Offbordingde maglumatlaryň ýok edilendigini tassyklamagyň ýoklugy.
Möhletsiz we öwezini dolmak çäresiz baky waivers.
19) Kämillik modeli (M0-M4)
M0 Ad-hoc: bir gezeklik barlaglar, hyzmatdaşlar boýunça töwekgelçilikleriň sanawy ýok.
M1 Katalog: hyzmatdaşlaryň sanawy, esasy DD/şertnamalar.
M2 Dolandyrylýan: töwekgelçilik synplary, SLA/DPA, daşbordlar, meýilleşdirilen barlaglar.
M3 Integrirlenen: loging/evidence-şina, re-audit, CAPA-linkowka, "audit-ready".
M4 Continuous Assurance: hakyky wagtda gözegçilik, maslahat beriş barlaglary, PBC/evidence-paketleriniň awtogenerasiýasy.
20) Baglanyşykly wiki maddalary
Üpjün edijileri saýlanda Due Diligence
Autsorsing töwekgelçiligi we potratçylara gözegçilik
Daşarky auditorlar tarapyndan daşarky barlaglar
Subutnamalary we resminamalary saklamak
Magazinesurnallary we Audit Trail
Düzgün bozmalary ýok etmek meýilnamalary (CAPA)
Gaýtalanýan auditler we ýerine ýetirilişine gözegçilik
Syýasatlaryň we ülňüleriň ammary
Toparlarda utgaşma çözgütleriniň aragatnaşygy
Jemi
"Hyzmatdaşlar üçin ylalaşyk gollanmasy" üpjünçilik zynjyryny dolandyrylýan ekosistema öwürýär: ýeke-täk talaplar, öňünden aýdyp boljak barlaglar, üýtgemeýän subutnamalar we aç-açan şertnamalar. Bu töwekgelçilikleri peseldýär, integrasiýany çaltlaşdyrýar hem-de hyzmatdaşlygy masştably we barlanylýan edýär.