GH GambleHub

Denetim ve denetim prosedürleri

1) iGaming'de neden denetimlere ihtiyaç duyuluyor?

Denetim, ürün ve işlemin lisans gerekliliklerine, yasalara, standartlara ve iç politikalara uygunluğunun sistematik olarak doğrulanmasıdır.
Hedefler: Düzenleyici ve finansal riskleri azaltmak, oyunların/ödemelerin/verilerin bütünlüğünü kanıtlamak, uyumluluk süreçlerini ve kültürünü geliştirmek.

2) Kontrollerin taksonomisi (ne ve kim)

YazıKim yönetiyorOdaklanmaFrekans
İç denetimKurum İçi İç Denetim/UyumlulukPolitikalar, Süreçler, SoD, Kayıt, RaporlamaÇeyrek/yarım yıl
Dış bağımsızLaboratuvarlar/denetim firmalarıRNG/RTP/volatilite, güvenli. ve süreçlerYıllık/serbest bırakıldıktan sonra
Düzenleyici denetimLisans Veren/DenetimTam dilim: oyunlar, ödemeler, RG/AML/GizlilikProgramda/aniden
Tematik denetimDomain tarafındanKYC/AML, RG, Gizlilik/GDPR, PCI DSSYıllık/değişerek
BT/GüvenlikSec/BT DenetimiErişimler, değişim yönetimi, DevOps, DR/BCPYıllık/olaydan sonra

3) Kapsam

Oyunlar: RNG, RTP, sürüm kontrolü, değiştirilemez günlükler.
Ödemeler: yönlendirme, iade, ters ibraz, Net Kayıp, limitler.
KYC/AML: Prosedürler, Yaptırım Listeleri/PEP'ler, Vakalar ve SAR/STR'ler.
Sorumlu Oyun: Sınırlar, zaman aşımları, kendini dışlama, Gerçeklik Kontrolleri.
Gizlilik/GDPR/CCPA/LGPD: DPIA, işleme alanları, raf ömrü, öznelerin hakları.
Güvenlik/BT: RBAC/ABAC, SoD, günlük kaydı, CI/CD, sırlar, DR/BCP.
Pazarlama/CRM/İştirakler: bastırma, onaylar, sözleşme yasakları.

4) Standartlar ve metodoloji

ISO 19011 - denetim ilkeleri ve davranışları (planlama - rapor - takip).
ISO/IEC 27001/27701 - güvenlik/gizlilik yönetimi (kontrol önlemleri).
PCI DSS - PAN/kartları işliyorsa.
GLI-11/19, ISO/IEC 17025 - test laboratuvarları ile birlikte.
"Üç koruma hattı'nın çerçevesi 1) süreç sahipleri, 2) risk/uyum, 3) bağımsız denetimdir.

5) Denetim yaşam döngüsü

1. Planlama: kapsam/kriter tanımı, risk haritası, eser listesi, NDA'lar ve erişimler.
2. Saha çalışması: görüşmeler, izlenecek yol, kontrol testleri, örnekleme, günlük/sistem denetimi.
3. Konsolidasyon: olgu sabitleme, uygunsuzluk derecesi (Yüksek/Med/Düşük), taslak rapor.
4. Rapor: bulgular, kanıtlar, öneriler, çözüm için zaman çerçevesi.

5. Düzeltici ve Önleyici Faaliyetler - Düzeltici ve Önleyici Faaliyetler Planı

6. Takip: CAPA uygulamasının doğrulanması, noktaların kapatılması.

6) Kanıt ve örnekler

Kanıt: Politikalar/prosedürler (en son sürümler), ayarların ekran görüntüleri, günlük yüklemeleri (WORM), karma oluşturma, yönetim biletlerini değiştirme, eğitim eylemleri, olay raporları, DPIA'lar, onay kayıtları, AML/RG raporları.

Örnekleme:
  • RNG/RTP - ≥10⁶ sonuçların istatistiksel örnekleri (veya kabul edilen hacim/dönem).
  • KYC/AML - kaynaklara izleme ile 60-100 vaka/dönem rastgele örnekleme.
  • Gizlilik - 20-50 konu istekleri (DSAR), SLA doğrulama ve yanıtların tamlığı.
  • Ödemeler - Senaryo başına 100-200 işlem (para yatırma/çekme/ters ibraz/bonus).
  • RG - 50-100 limit/zaman aşımı/kendini dışlama durumları + bastırma günlükleri.

Gözetim zinciri: kaynağı, zamanı, bütünlük kontrolünü (karma, imzalar) sabitlemek.

7) Uygunsuzluk derecelendirmeleri ve CAPA'lar

SeviyeKriterKapanış tarihiÖrnek
YüksekYasa/lisans ihlali, oyunculara zarar verme riski15-30 günKendini dışlayan bastırma eksikliği
OrtaKontrol/Süreç Hatası45-60 günRBAC incelemesindeki boşluklar
DüşükBelge Kontrolü/Küçük Hatalar90 günGüncel olmayan ilke şablonu

CAPA-şablonu: Bir problemin tanımı - kök neden - eylemler (ayarlama/önceden ayarlama) - sahibi - terim - etki KPI - kapanış kanıtı.

8) RACI (roller ve sorumluluklar)

RolSorumluluk
Denetim Lideri (İç/Dış)Plan, kapsam, metodoloji, bağımsızlık
Proses sahipleriEserlerin sağlanması, düzeltmeler
Uyumluluk/Yasal/DPOKriterler, yasal çerçeve, DPIA, düzenleyiciler
Güvenlik/BT/DevOpsErişimler, Günlükler, CI/CD, DR, WORM
Veri/ML/RiskRG/AML metrikleri, modelleri ve sebep kodları
Finans/Ödemelerİşlemler, ters ibrazlar, raporlar
Destek/CRM/PazarlamaSenaryolar, bastırma, rıza

9) Denetime hazırlık kontrol listesi

Belgeler ve politikalar

  • Politika ve prosedür sürümlerinin kaydı (sahipler/tarihler ile).
  • DPIA/İşleme/Saklama Veri Matrisi Kayıtları.
  • RG/KYC/AML/Privacy/Incident/Change/Access/Logging politikaları.

Teknik eserler

  • WORM günlük depolama (oyunlar/ödemeler/erişimler/değişiklikler).
  • CI/CD eserler: SBOM, karma oluşturmak, imzalar, serbest notlar.
  • RBAC/ABAC kayıt defteri, SoD kontrolü, erişim inceleme sonuçları.
  • DR/BCP egzersiz planları ve sonuçları.

İşlemler

  • RG/AML/Gizlilik.
  • Olayların ve post-moremlerin günlüğü.
  • SLA'larla Veri Konusu Sorgu Kaydı (DSAR).

10) Playbook: Yerinde ve uzaktan denetim

Yerinde:

1. Brifing, gündem ve güzergah koordinasyonu.

2. İşyeri/sunucu odası turu (varsa), fiziksel denetim önlemleri.

3. Röportajlar + kontrollerin canlı demoları, prods/replikalardan örnekler.

4. Günlük toparlama, ön geribildirim.

Uzak:
  • Salt okunur panellere/panolara erişim, güvenli dosya değişimi, kayıt oturumları, zaman kutulu yuvalar.
  • Artefaktları önceden yükleme, oynatma komut dosyaları.
İletişim:
  • Tek temas noktası, bilet, kanıt sağlamak için SLA (genellikle T + 1/T + 2 iş günü).

11) Özel senaryolar: şafak baskını ve planlanmamış kontroller

Hazırlık: yasal brief, iletişim listesi (Yasal/Uygunluk), denetçi destek kuralları, veri imha/değişiklik yasağı (yasal tutma).
Prosedür: kimlik bilgilerinin doğrulanması, ele geçirilen verilerin kopyalarının kaydedilmesi, Yasal varlığı, bütünlük günlüklerinin kopyaları.
Sonra: iç soruşturma, yönetim kurulu/ortaklara iletişim, CAPA.

12) Uyumluluk ve Gözlemlenebilirlik Mimarisi

Uyumluluk Veri Gölü: Raporların, günlüklerin, sertifikaların, DPIA'nın, metriklerin merkezi olarak depolanması.
GRC platformu: risklerin kaydı, kontroller, denetimler ve CAPA'lar, yeniden sertifikalandırma takvimi.
Denetim API/Regülatör Portalı: Dış denetçiler/regülatörler için yönetilen erişim.
Değişmezlik: WORM/nesne depolama, Merkle karma zincirleri.
Panolar: RTP kayması, Kendini Dışlama bastırma doğruluğu, Zorlama Süresi sınırları, KYC SLA.

13) Denetim Olgunluk Ölçümleri (SLO/KPI)

MetriklerHedef değer
Zamanında Kanıt TeslimatıSLA'lara yapılan taleplerin %95'ini ≥
Yüksek bulgular kapanışCAPA süresi içinde %100
Bulguları tekrarlama oranı<%10 periyottan periyota
RTP Drift Alarmları AraştırıldıT + 5 günde %100
Access İnceleme KapsamıÜç ayda bir %100
Eğitim TamamlamaKritik programlar için %98 ≥
Denetim Hazırlık Puanı≥ %90 (int. scale)

14) Denetçi raporu şablonu (yapısı)

1. Yönetici özeti.
2. Kapsamı ve kriterleri.
3. Metodoloji ve örnekleme.
4. Gözlemler/tutarsızlıklar (kanıtlara referanslarla).
5. Risk değerlendirmesi ve öncelikler.
6. CAPA önerileri ve planı (kabul edilen zaman çizelgeleri/sahipleri).
7. Uygulamalar: eserler, dergiler, karmalar, ekran görüntüleri, görüşme kaydı.

15) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

Güncel olmayan politikalar/sürümler - merkezi defter, hatırlatıcılar.
Hiçbir WORM/gözaltı zinciri - gerçekleri kanıtlayamaz; değişmezliği uygula.
Zayıf SoD/RBAC - üç aylık erişim ve dergi incelemeleri.
CAPA disiplini eksikliği - sahipler/zamanlama/kapanma kanıtı.
Veri tutarsızlıkları (RTP/raporlar/katalog) - otomatik mutabakatlar ve uyarılar.
Denetimlere geçici tepki - oyun kitabı ve eğitim (masa üstü).

16) Uygulama Yol Haritası (6 adım)

1. Politika ve metodoloji: denetim standardı, risk ölçeği, rapor formatlarını benimsemek.
2. Kontrollerin envanteri: Süreçlerin ve kontrollerin etki alanına göre haritası.
3. Kanıt mimarisi: WORM, Compliance Data Lake, Audit API.
4. GRC ve takvim: denetim/yeniden sertifikalandırma programı, CAPA kaydı.
5. Eğitim/eğitim: rol egzersizleri, "şafak baskını" simülasyonları, masa üstü.
6. Sürekli iyileştirme: metriklerin izlenmesi, retrospektifler, tekrarlanan bulguların azaltılması.

Sonuç

Denetim ve denetim prosedürleri tek seferlik olaylar değil, kanıtlanmış uyumluluğun sürekli bir konturudur: açık bir kapsam, yüksek kaliteli kanıt, CAPA disiplini, değişmez günlükler, düzenleyici ziyaretleri için hazır olma ve şeffaf ölçümler. Bu yaklaşım riski azaltır, lisansları güçlendirir, ürün ve marka sürdürülebilirliğini artırır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.