GH GambleHub

Daşarky üpjün edijileriň töwekgelçilikleri we hyzmatdaşlaryň auditi

1) Näme üçin we kim üçin

Maksat: daşarky üpjün edijiler we hyzmatdaşlar arkaly gelýän şowsuzlyklaryň, syzmalaryň we kadalaşdyryjy hukuk bozulmalarynyň ähtimallygyny azaltmak.
Gurşaw: PSP/töleg şlýuzlary, KUS/sanksiýalar/RER, antifrod, oýun üpjün edijileri we studiýalar, affiliatiýa ulgamlary we yzarlaýyş, bulutlar/CDN/hosting, BI/analiz, retenşn gurallary/marketing-SDK, jaň merkezleri we kömekçi prosessorlar satyjylarymyz.

2) Töwekgelçilik kategoriýalary (domen kartasy)

Maglumat howpsuzlygy we gizlinlik: PII/KYC/töleg bellikleriniň syzmagy, gowşak TOMs, WORM/auditiň ýoklugy.
GDPR/UK GDPR/ePrivacy, AML/KYC, PCI zonasy, ýurisdiksiýalaryň mahabat/oýun talaplary.
Operasiýa: elýeterlilik/SLA, bir üpjün edijä garaşlylyk (concentration), gowşak BCP/DR.
Maliýe: üpjün edijiniň durnuklylygy, karz töwekgelçilikleri, "chargeback-şoklar".
Sanksiýa/geosyýasy: eksport/import çäklendirmeleri, maglumat merkezleriniň ýerleşişi, eýeçiligiň gurluşlarynda PP/sanksiýalar.
Abraýly we hukuk: mahabatyň/jogapkär oýnuň, IP-hukuklaryň bozulmagy.
Tehniki: SDK/API gowşaklygy, wersiýa we synag gurşawynyň ýoklugy.

3) Üpjünçilik zynjyryny kartalaşdyrmak

1. Inventory: ähli wendorlaryň/hyzmatdaşlaryň/kömekçi prosessorlaryň eýesi bilen ýeke-täk sanawy (business owner).
2. Data Map: haýsy maglumatlar/ýurisdiksiýalar/göwrümler kimden geçýär; PII/maliýe/ýörite kategoriýalaryň baýdaklary.
3. Criticality: pul/PII/aptime täsiri boýunça klassifikasiýa edýäris.

4) Üpjün edijileriň tiringi (ölçegleriň mysaly)

TireAlamatlarMysallarTalaplar
Tier 1 (möhüm)PII/tölegler, 24 × 7, GGR-e gönüden-göni täsirPSP, KUS/sanksiýalar, antifrod, bulutDoly diligence, audit, BCP/DR-synaglar, ýyllyk onsite/remote audit
Tier 2 (beýik)gytaklaýyn täsir, PII masked, möhüm integrasiýastudiýalar/agregatorlar, DWH gurallaryGiňeldilen anket, saýlama audit, ýyllyk syn
Tier 3 (orta/pes)PII/pul ýok, marketing gurallaryE-poçta, widgetÝeňil anketa, şertnamalaýyn iň pes derejeler

5) Töwekgelçilik-skrining we skoring

Faktorlar: howpsuzlyk (syýasat, sertifikat), gizlinlik (DPA/SCCs/DTIA), laýyklyk (AML/PCI/ISO), operasiýa durnuklylygy (SLA/BCP/DR), maliýe (audit/hasabat), ýurisdiksiýalar/sanksiýalar, waka taryhy, tehnologiki kämillik (SDLC/DevSecOps).
Skoring (mysal): her faktor boýunça 0-5 → deňagramly netije (W) → zona: ýaşyl/sary/gyzyl.

Çäk çözgütleri:
  • Green: standart şertnama.
  • Amber: Go-Live-a gözegçilik/remediasiýa.
  • Red: goşmaça çäreler bilen şowsuzlyk ýa-da pilot (segmentation, throttling, read-only, escrow, azaldylan çäkler).

6) Due diligence (girelgede näme talap etmeli)

Artefaktlar/gözegçilikler (iň az Tier 1-2 üçin):
  • Howpsuzlyk/gizlinlik syýasaty, RoPA, subprosessorlaryň sanawy.
  • Audit hasabatlary/sertifikatlaşdyrma (ISO 27001/SOC 2 II/PCI görnüşi ulanylanda), soňky pentestler.
  • BCP/DR we synag netijeleri, RPO/RTO.
  • Wakalar-amallar (72 sagatlyk habarnamalar), wakalaryň žurnaly 12-24 aýyň içinde.
  • DPA/serhetaşa mehanizmi (SCCs/IDTA) + DTIA, maglumatlaryň/açarlaryň lokalizasiýasy.
  • Integrasiýa howpsuzlygy: mTLS/OIDC, gol çekilen webhuklar, açarlaryň aýlanmagy, allow-list IP.
  • Giriş/eksport ýazgylary, WORM nusgalary, hash zynjyrlary.
  • Retenşn we aýyrmak syýasaty, offboarding wagtynda bekaplaryň ýok edilendigini tassyklamak.
  • Maliýe durnuklylygy (köpçüligiň hasabatlylygy/maglumatlary), eýeçilik gurluşy (sanksiýa/RER-barlaglar).

Tier 2-3: sSIG/CAIQ derejesi üçin ýeňil anket (20-60 sorag).

7) Şertnama talaplary (esasy maddalar)

SLA/SLO: apteim (mysal üçin 99. 9%), P95 gizlinligi, hadysalara jogap wagty, service credits.
Security/Privacy addendum: şifrlemek at rest/in transit, açarlar/geo, magazineurnallaşdyrmak, gizlemek, maglumatlaryň ikinji gezek ulanylmagyny gadagan etmek.
DPA + subprosessorlar: zynjyryň giňelmegi barada habar bermek borjy; garşylyknama/audit hukugy.
Incident & Notification: bildiriş penjiresi ≤ 72 s; loglara/artefaktlara girmek; bilelikdäki war-room.
BCP/DR: hökmany synaglar N ýylda bir gezek, RPO/RTO.
Pen-test/Audit rights: ýylda azyndan 1 gezek (remote/onsite), hasabatlara elýeterlilik.
Change control: major-üýtgeşmeler barada habar (SDK/API/arhitektura/geografiýa).
Termination & Exit: maglumatlary eksport etmek (formatlar), aýyrmak/yzyna gaýtarmak, möhüm integrasiýa üçin escrow, X günlerinde migrasiýany goldamak.
Liability/Indemnity: cap/cublimits, IP-kepillikler, SLA bozandygy/syzandygy üçin jerimeler.

8) Onboarding → Monitoring → Offboarding (durmuş sikli)

8. 1 Onboarding

1. Iş esaslary we owner → tiring → anket/artefaktlar.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Go-Live-a gözegçilik etmek: segmentasiýa (VPC/tenant), ýükler/çäkler, maskalanmak/bellemek, feature-flags, synag-sandyk.
4. Şertnama/integrasiýa → pilot → Go/No-Go.

8. 2 Continuous Monitoring

Tehniki monitoring: uptime, ýalňyşlyklar, gizlinlik, töwekgelçilikleriň býudjeti.
Howpsuzlyk: SIEM alertleri (anomal eksport/' purpose 'bolmazdan giriş), wendor hasabatlary, SDK gowşaklygy.
Gizlinlik/utgaşma: subprosessorlaryň, ýerleriň üýtgemegi, retenşna; DSAR gabat gelýär.
Maliýe: KPI/refund/chargeback, SLA-jerimeler.
Tier 1-2 üçin çärýekleýin syn we ýyllyk re-due-diligence.

8. 3 Offboarding

Açarlary/elýeterlilikleri yzyna almak, maglumatlary we bellikleri ýok etmek/yzyna gaýtarmak, aktlar, biletleriň ýapylmagy, maglumatlaryň sanawlaryny we kartalaryny täzelemek.

9) Hyzmatdaşlaryň auditiniň tertibi

9. 1 Meýilnama we sebit

Fokus: giriş dolandyryşy, şifrlemek/açarlar, magazinesurnallar, hadysalar, BCP/DR, DSAR prosesleri, subprosessorlar.

9. 2 Usullar

Söhbetdeşlik, resminamalary/ýazgylary gözden geçirmek, saýlama barlaglar, tehniki synaglar (api-rate-limit/mTLS/gollar), tabletop-maşk.

9. 3 Hasabat we CAPA

Tapyndylaryň klassifikasiýasy (Critical/High/Medium/Low), remediasiýa möhleti, ýapylyş gözegçiligi we retest.

10) Wendordaky hadysalar: playbook

1. Detekt: wendoryň/biziň monitoringimiziň/jemgyýetimiziň signaly.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: traffigi çäklendirmek/SDK/açarlaryny öçürmek, wagt çäkleri/kanar howuzlary.
4. Forensika: jaňlar magazineurnaly, webhuklaryň gollary, WORM tassyklamalary, täsir eden ýazgylaryň diapazony.
5. Habarnamalar: düzgünleşdirijiler/ulanyjylar/banklar (zerur bolsa), bilelikdäki tekstler.
6. CAPA: fiksler, möhletler, netijeliligi barlamak; skoring we şertnamanyň şertlerine täzeden garamak.

11) RACI (ulaldylan)

IşjeňlikBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Tyring/Business CaseA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Şertnamalar (SLA/DPA/düzedişler)CCCA/RA/RIR
Integrasiýa/segmentasiýaCA/RCCIRI
Gözegçilik/auditRA/RA/RA/RCRI
Wakalar/SARACA/RA/RA/RCRI
Offboarding/eksport/aýyrmakRA/RAACRI

12) Metrikler (KPI/KRI)

Coverage: Häzirki baha berlen sanawda işjeň üpjün edijileriň% ≥ 100%.
Assessment TTM: media time due diligence Tier 1 ≤ 15 iş güni.
Remediation SLA: möhüm tapyndylar 30 günden ≤ ýapyk (95% ≥).
Incident Notification: penjirede bildirişleriň paýy 72 sagat - 100%.
DPA/SCCs/DTIA Coverage: Tier 1-2 - 100% aktual.
Concentration Risk: 1 PSP/üpjün ediji üçin traffigiň/girdejiniň paýy ≤ X% (çäk).
BCP/DR Evidence:% Tier 1 12 aýda tassyklanan synaglar bilen 100%.
Eksport Logging: 100% eksport gol çekildi we çap edildi.

13) Şablonlar we bölekler

13. 1 Kiçi soragçy (Tier 1-2, çydamly)

Sertifikat/auditler (ISO/SOC2/PCI), gutarýan senesi.
Maglumatlaryň arhitekturasy: geo, subprosessorlar, açarlar/KMS, şifrlemek.
24 aý üçin hadysalar (görnüşi/senesi/çäreleri).
Giriş we magazinesurnallar (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (synaglaryň senesi, RPO/RTO).
DSAR/retenşn, RoPA, CMP/SDK.
API tehniki gözegçiligi: mTLS/OIDC, webhuklaryň goly, açarlaryň aýlanmagy, rate-limit.

13. 2 SLA (bölek)

GörkezijiMaksatDoňdurmaKarz
Apteim (aý)99. 9%daşarda. gözegçilik5–10% fee
Critical hadysasy: jogap≤ 15 minutwar-room teswirnamasyfiks.
Ýokary remediasiýa≤ 30 günCAPA hasabatyfiks.

13. 3 Howpsuzlyk & Gizlinlik Addendum (klauzalar)

"Maglumatlaryň ikinji gezek ulanylmagyny gadagan etmek; Nid-to-Know arkaly berk giriş; diňe tassyklanan sanawlara eksport etmek"

"Heş goly bolan üýtgewsiz žurnallar (WORM); ýylda bir gezek talap boýunça audit"

"Subprosessor çalşylanda - 30 güne ≥ habarnama, garşylyknama hukugy, alternatiw meýilnama."

"DTIA degişli ýurisdiksiýalaryň daşyndaky islendik serhetaşa geçirilende; açarlar - EC/UK (per ylalaşyklary)"

14) Çek-listler

Üpjün ediji bilen Go-Live-dan öň

  • Owner bellendi, atyş belligi kesgitlenildi
  • Anket/artefaktlar alyndy we barlandy
  • DPA/SLA/düzedişler gol çekildi, subprosessorlar yglan edildi
  • Segmentasiýa/çäklendirmeler/gizlemek goşuldy, açarlar aýryldy
  • Waka boýunça synag gutusy/tabletka geçdi
  • Çykyş/migrasiýa meýilnamasy we escrow resmileşdirildi

Çärýekde (Tier 1-2)

  • SLA/hadysalara/SDK gowşaklyklaryna gözegçilik
  • Subprosessorlaryň şahadatnamalaryny/hasabatlaryny, sanawyny täzelemek
  • DR/BCP barlagy tassyklandy
  • Maliýe-barlag (durnuklylyk), sanksiýa barlaglary
  • Konsentrasiýa töwekgelçilikleri we alternatiwalar

Offboarding

  • Açarlar/girişler yzyna alyndy
  • Maglumatlary eksport etmek tamamlandy, silmek/yzlamak tassyklamasy
  • Data Mar tarapyndan täzelenen ýapylyş aktlary/registrler

15) Nusgawy ssenariýalar we çäreler

A) Marketingiň SDK-synda gowşaklyk

Derrew öçürmek, PII ýygnamak üçin blok, zerur bolan halatynda DPO/düzgünleşdirijilere habar bermek, satyjyda CAPA, retest.

B) PSP SLA boýunça pese gaçýar

Ätiýaçlyk PSP-e traffigiň awto-routingi, çäkleriň peselmegi, service credits işjeňleşdirilmegi, şertnama/ekzit-meýilnama täzeden seredilmegi.

C) KYC-üpjün edijisinden syzmak

Integrasiýanyň izolýasiýasy, tokenleriň gaýtadan dikeldilmegi, täsir eden ýazgylaryň kartalaşdyrylmagy, habarnamalar, ýokary töwekgelçilikli gollar KYC, wendoryň barlagy, mümkin bolan çalyşma.

16) TPRM-ni ornaşdyrmagyň ýol kartasy

Hepdeler 1-2: wendorlaryň sanawy, Data Map, tiring, esasy anketa we reýestr.
3-4 hepdeler: SLA/DPA/goşundylaryň şablonlary, onboarding/monitoring/offboarding prosesi, SIEM/CMDB/IDP bilen integrasiýa.
2-nji aý: Tier 1-2 piloty, çärýekleýin synlaryň başlamagy, şahadatnamalaryň/möhletleriň barlaglarynyň awtomatlaşdyrylmagy.
Aýy 3 +: masştablamak, skoring/daşbordlar, BCP/DR stres synaglary, konsentrasiýa töwekgelçiligini optimizirlemek we alternatiw ugurlar.

TL; DR

Güýçli TPRM = satyjylaryň doly kartoçkasy → tiring we skoring → gaty şertnamalar (SLA/DPA/BCP/DTIA) → segmentasiýa we howpsuz integrasiýa → üznüksiz gözegçilik we gözegçilik → çalt çykyş/remediasiýa. Bu bolsa pullary, maglumatlary we ygtyýarnamalary goraýar we hyzmatdaşlar şowsuz bolanda-da işiň durnuklylygyny saklaýar.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Telegram
@Gamble_GC
Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.