Töwekgelçilikleriň sanawy we baha bermegiň usulyýeti

1) Reýestre näme üçin we näme girýär

Maksady: pula (GGR/CF), ygtyýarnamalara, oýunçylara, maglumatlara we abraýa täsir edýän töwekgelçilikleri beýan etmegiň, baha bermegiň, ileri tutmagyň we gözegçilik etmegiň bitewi ulgamy.
Gurşaw: önüm/in engineeringenerçilik (SDLC/hadysalar), maliýe we tölegler (PSP/netijeler), KYC/AML/sanksiýalar, gizlinlik (GDPR), TPRM/satyjylar, marketing/SDK, maglumatlar (DWH/BI), infrastruktura/bulutlar/DR, sapport amallary we VIP.

2) Töwekgelçilikleriň taksonomiýasy (mysal)

Maglumat howpsuzlygy we gizlinlik: PII/KYC syzmagy, rugsatsyz giriş, logirlemegiň şowsuzlygy, DSAR-feýller.
Düzgünleşdiriji/komplayens: ygtyýarnamalaryň şertleriniň bozulmagy, AML/KYC/sanksiýalar, mahabat gadaganlyklary.
Operasiýa/tehnologiki: downtaym PSP/KYC, goýberilişiň kemçiligi, latency zaýalanmagy, DR hadysalary.
Galplyk/hyýanatçylykly peýdalanmak: frod-depozitler, bonus abuzy, töleg hüjümçi patternleri.
Maliýe: hyzmatdaşlaryň likwidligi, chargeback-şoklar, bir PSP-de konsentrasiýa.
Wendor/üpjünçilik zynjyry: gowşak SDK, pes TOMS subprosessorlary.
Abraýly/müşderi: şikaýatlaryň köpelmegi, NPS pese gaçmagy, RG düzgünleriniň bozulmagy.
Strategiki/geosyýasy: sanksiýalar, salgytlaryň/kanunlaryň üýtgemegi, traffigiň petiklenmegi.

3) Töwekgelçilik kartoçkasy (hökmany meýdanlar)

ID/Töwekgelçiligiň ady

Kategoriýa (taksonomiýadan)

Wakanyň beýany (näme bolup biler) we sebäpleri

Täsir edýän aktiwler/amallar/ýurisdiksiýa

Töwekgelçiligiň eýesi (Risk Owner) we kurator (Sponsor)

Bar bolan gözegçilikler (öňüni alyş/detektiw/düzediş)

Gözegçilikden öň ähtimallygy (P) we täsiri (I) (inherent)

Gözegçiliklerden soň galyndy töwekgelçiligi (residual)

Hereket meýilnamasy (treatment): azaltmak/öňüni almak/kabul etmek/geçirmek

Eskalasiýa bosagasy/howp derejesi (Low/Medium/High/Critical)

KRIs we triggerler, metrikler we maglumat çeşmeleri

SARA bilen baglanyşykly status we möhlet (Next Review)

Gözegçilikleriň sanawy (Gözegçilikleriň ID) we syýasatlar bilen baglanyşyk

Auditoryň/komitetleriň teswirleri (iň soňky çözgütler)

4) Baha beriş şkalalary (adaty 5 × 5)

4. 1 Ähtimallyk (P)

1 - Seýrek (<1/5 ýyl)

2 - Pes (1/2-5 ýyl)

3 - Ortaça (her ýyl)

4 - Beýik (çärýek)

5 - Örän ýokary (aý/ýygy-ýygydan)

4. 2 Täsir (I) - şahalardan iň köp saýlaýarys

Maliýe: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Gizlinlik/Maglumatlar: 1: <1k ýazgylar·...· 5:> 1M ýazgylar/ýörite kategoriýalar

Düzgünleşdiriji/ygtyýarnama: 1: duýduryş· 3: jerime/barlag· 5: ygtyýarnamanyň togtadylmagy

Elýeterlilik (SLO/SLA): 1: <15 min·...· 5:> Kritiki zolaklar üçin 8 s

Jemleýji bal: 'R = P × I' → derejeler: 1-5 Low, 6-10 Medium, 12-16 High, 20-25 Critical.

(Bosagalar kompaniýa uýgunlaşdyrylyp bilner.)

5) Ýylylyk kartasynyň matrisa we töwekgelçilik işdäsi

Risk Appetite: domenler boýunça rugsat berlen resminama (mysal üçin, PII syzmagy - nol çydamlylyk; downtaým P95 - ≤ X min/aý; chargeback rate — ≤ Y%).
Heatmap: 5 × 5-de R wizualizasiýa; işdäň üstünde - CAPA-nyň meýilnamasyny we möhletini talap edýär.
Risk Budget: esasly "kabul edilýän" töwekgelçilikler üçin kwotalar (ykdysady maksadalaýyklyk).

6) Baha bermegiň usulyýeti

6. 1 Hil (çalt başlamak)

Bilermenleriň baha bermegi P/I + şkalalary boýunça esaslamak, hadysalaryň taryhy we KRIs maglumatlary bilen deňeşdirmek.

6. 2 San (Top-10 üçin ileri tutulýar)

FAIR çemeleşmesi (ýönekeýleşdirilen): wakalaryň ýygylygy × zyýanyň ähtimal paýlanyşy (P10/P50/P90); azaltmak wariantlaryny deňeşdirmek üçin peýdalydyr.
Monte Carlo (1000-10k geçişler): zyýanyň we ýygylygyň üýtgemegi → Loss Exceedance Curve (ýitgileriň ähtimallygy> X).
TRA (Targeted Risk Analysis): gözegçilik/gözegçilik ýygylyklaryny saýlamak üçin nokat derňewi (PCI/wendorlar üçin möhümdir).

7) KRIs we çeşmeler

• Elýeterliligi/amallary: MTTR, 5xx, P95 latency, P1/P2 hadysalary,% awtoskeýl, klaster kuwwaty.
• Howpsuzlyk/gizlinlik:% MFA coverage, credential stuffing synanyşyklary, üýtgeşik eksportlar, DSAR SLA, anti-malvar baýdaklary.
• Tölegler: PSP boýunça auth rate, chargeback rate, bankyň şowsuzlygy, el kassautlarynyň paýy.
• KYC/AML: TAT, false positive rate, sanksiýa hitleri, eskalasiýalaryň paýy.
• Wendorlar: SLA compliance, gizlinlik süýşmesi, hadysalaryň ýygylygy, şahadatnamalaryň ähmiýeti.

KRIs töwekgelçilikler bilen baglanyşýarlar we bosagadan çykanda güýçlenýärler.

8) Töwekgelçiligiň durmuş sikli (workflow)

1. Şahsylaşdyrmak → kartoçkany hasaba almak.
2. Baha bermek (inherent) → mapping gözegçilikleri → baha bermek residual.
3. Arza boýunça çözgüt (treatment) we CAPA meýilnamasy (seneler/eýeler).
4. KRIs/hadysalara gözegçilik etmek, kartoçkany täzelemek.
5. Töwekgelçilikler boýunça çärýekleýin komitet: Top-N-e täzeden garamak, işdäňi gaýtadan bellemek.
6. Ýapmak/jemlemek ýa-da gözegçilige geçirmek (watchlist).

9) Gözegçilik we audit bilen aragatnaşyk

• Öňüni alyş: RBAC/ABAC, SoD, çäkler, şifrlemek, WebAuthn, segmentasiýa.
• Detektiv: SIEM/alertler, deňeşdirmeler, WORM-loglar, UEBA.
• Düzediji: yzyna gaýtarmalar, tölegleri petiklemek, açarlary yzyna almak, gyssagly ýamalar.
• DE/OE auditinde gözegçilikleriň töwekgelçiligi işdä çenli azaldýandygy we durnukly işleýändigi barlanýar.

10) Kartoçkalaryň mysallary (YAML, bölekler)

10. 1 Wendor SDK (Tier-1) arkaly PII syzmagy

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP-iň pese gaçmagy: tölegleriň ygtyýarlylygynyň şowsuzlygy

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Jemlemek we portfel dolandyryşy

Top-N (Risk Register View): residual R we "işdäň üstünde" sortlamak.
Mowzuklar (Risk Themes): toparlar (satyjylar, gizlinlik, PSP) → mowzuklaryň eýeleri.
Özara garaşlylyk kartlary: töwekgelçilikler, gözegçilikler, wendorlar, amallar.
Ssenariler we stres synaglary: "PSP # 1 we KYC # 1 2 sagat elýeterli bolmasa näme etmeli?" - jemi zyýany bahalandyrmak we hereket meýilnamasy.
LEC (Loss Exceedance Curve): geňeş/bord üçin ýitgileriň ýyllyk profili.

12) Eskalasiýanyň bosagalary we signallary

Operational: SLO/SLA düzgün bozmalar → Incident P1/P2.
Compliance/Privacy: artykmaç retenşn, DSAR şowsuzlygy, 'purpose' -siz eksport → DPO/Legal-yň derrew güýçlenmegi.
Vendor: üpjün edijide gaýtalanýan SLA-şowsuzlyklar → CAPA, şertnamanyň täzeden seredilmegi.
Maliýe: çykyş çargeback> bosagasy → el bilen barlamak, çäklendirmeleri/bonuslary düzetmek.

13) RACI (ulaldylan)

14) Töwekgelçilik dolandyryş ulgamynyň metrikleri (KPI/KRI)

Coverage: kritiki prosesleriň 100% -inde hasaba alnan töwekgelçilikler we eýeler bar.
Syn On-time: ≥ 95% kartoçkalar wagtynda gözden geçirildi.
Above Appetite: ↓ QoQ töwekgelçilikleriň paýy işdäňizden ýokary.
CAPA Closure (High/Critical): ≥ 95% wagtynda.
Detection Lag: KRI-den eskalasiýa çenli wagt medianasy (↓ ymtylýar).
"Incident Recurrence": bir sebäbe görä gaýtalanýan hadysalar - 0.

15) Çek-listler

15. 1 Kartoçkany döretmek

• Wakanyň/sebäpleriň kategoriýasy we beýany
• Aktiwler/amallar/ýurisdiksiýalar bellendi
• P/I (inherent) we residual bahalandyryldy
• Gözegçilik kartoçkasy (ID), KRIs we maglumat çeşmeleri
• SARA meýilnamasy/şertleri/eýeleri
• Eskalasiýa bosagasy we howp derejesi

15. 2 Çärýek komitet

• Residual we işdäň üstünde iň gowy 10
• Täze/emerjent-töwekgelçilikler, kanunlaryň/wendorlaryň üýtgemegi
• CAPA ýagdaýy we gijikdirmeler
• Çözgütler: kabul etmek/azaltmak/geçirmek/öňüni almak; işdäňizi/çäkleriňizi täzeläň

16) Durmuşa geçirmegiň ýol kartasy (4-6 hepde)

Hepdeler 1-2: taksonomiýany, masştablary, işdäsini tassyklamak; guraly saýlaň (tablisa/BI/IRM). Kritiki prosesler boýunça 10-15 başlangyç kartoçkalaryny döretmek.
Hepdeler 3-4: töwekgelçilikleri gözegçilik we KRIs bilen baglanyşdyrmak; ýylylyk kartasyny/daşbordlary gurmak; Töwekgelçilik komitetini işe girizmek.
Hepdeler 5-6: Top-5 (FAIR/Monte Carlo light) üçin mukdar bahasyny girizmek, KRIs ýygnamagy awtomatlaşdyrmak, eskalasiýalary we bord hasabatlylygyny resmileşdirmek.

17) Wiki bilen baglanyşykly bölümler

Içerki gözegçilikler we olaryň barlagy, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM we SLA, Hadysalar we syzmalar, DR/BCP, Log we WORM syýasaty - doly aýlaw üçin "töwekgelçilik → gözegçilik → metrika → subutnamalar".

TL; DR

Töwekgelçilikleriň iş sanawy = anyk taksonomiýa + standartlaşdyrylan masştablar + işdä/bosagalar → eýeleri, gözegçilikleri we KRIs bilen kartoçkalar → ýylylyk kartoçkasy we komitetler → wagtynda Top-töwekgelçilikler we CAPA üçin ileri tutulýan mukdar bahasy. Bu töwekgelçilikleri bord we düzgünleşdirijiler üçin dolandyrylyp bilinjek, deňeşdirip boljak we subut edilip bilinjek edýär.