GH GambleHub

Lisans yenilemeleri ve denetimleri

1) Neden önemli

Lisans statik bir belge değil, RG/AML, güvenlik, veri ve raporlama standartlarını koruma yükümlülüğüdür. Başarılı yenilemeler ve denetimler risk yönetilebilirliğini, süreç olgunluğunu ve ölçeğe hazır olunduğunu doğrular.

Anahtar ilkeler: kanıt-ilk, no-insan-in-prod, kod olarak politika, izlenebilirlik.

2) Yenileme ve denetim türleri

Yenileme: Takvime göre (genellikle yılda bir kez/N yılda bir kez) - formun sunulması, ücretler ve kontrollerle ilgili kanıt paketi.
Varyasyonlar/değişiklikler (varyasyon): Faydalanıcıların değişimi, dikeylerin eklenmesi, barındırma yerleri, kilit kişiler - ayrı bir koordinasyon gerektirir.
Düzenleyici denetim: politika/raporlama, pazarlama/bağlı kuruluşlar, RG/AML, olay günlüklerinin gözden geçirilmesi.
Teknik denetim/laboratuvarlar: RNG/RTP, SDLC/bültenleri, güvenlik açıkları/pentest, DR/BCP, barındırma ve günlükler.
Mali denetim: GGR/vergiler/rezervler, bonus yazmaların doğruluğu, ödemelerin kayıtları.
GDPR/DPA denetimi: DPIA, işleme kaydı, konulara verilen yanıtlar, sızıntılar/bildirimler.
PCI DSS (PAN ile çalışıyorsa): segmentasyon, tokenizasyon, erişim günlükleri, ASV taramaları.

3) Yenileme takvimi: gösterge ölçeği

T-90...60 günleri - boşluk analizi, politikaların güncellenmesi, rezervasyon laboratuvarları/denetçiler.
T-60...30 - eserlerin toplanması (günlükler, SBOM, tarama/penetrasyon testi raporları, DR eylemleri), Anahtar Kişiler onayı.
T-30...14 - son paket, kanıtların iç örneklemesi, görüşmeden sorumlu olanların hazırlanması.
T-14...0 - bir yenileme paketinin sunulması, ücretlerin ödenmesi, düzenleyiciye verilen yanıtlar için SLA pencereleri.
T + 0... + 30 - Soru-Cevap/istekler, iyileştirmeler, yenileme onayı.

💡 Kritik yol: Anahtar Kişiler - politikalar/prosedürler - teknik kanıtlar (SDLC/logs/DR) - laboratuvarlar/denetçiler - Q&A.

4) Kanıt paketi: önceden ne pişirilir

Org/hak: mülkiyet yapısı, SoF/SoW (değiştirilirse), CV ve Anahtar Kişiler referansları, delegasyon kaydı.
Politikalar: Mevcut AML/CTF, RG, reklam/bağlı kuruluşlar, veri koruma (DPIA), olaylar, DR/BCP; Denetim ve eğitim dergisi.

BT ve Sürümler:
  • SBOM ve eser imzaları ile bültenlerin bir günlüğü;
  • SAST/SCA/DAST raporları, iyileştirme planı, aktif istisnalar olmadan kritik/yüksek değil;
  • gözlemlenebilirlik: gösterge panoları SLO/SLI, sentetik çekler "depozito/CCD/çekilme";
  • günlükleri: PII/PAN, tutma ve arama olmadan yapılandırılmış günlükleri;
  • DR/BCP: geri yükleme testleri, RTO/RPO, acil egzersiz protokolleri.
  • RG/AML: müdahale ve sonuç kaydı, kendini dışlama (yerel/ulusal), şüpheli işlem raporları (STR/SAR), yaptırım/PEP günlüğü.
  • Pazarlama/bağlı kuruluşlar: kanalların beyaz listeleri, uygulamalarla birlikte reklam öğelerinin seçimi, ihlallerin ve önlemlerin günlüğü.
  • Finans/Vergi: GGR dikey raporları, bonus/jackpot ayarlamaları, PSP/banka mutabakatları.

5) Format ve izlenebilirlik

Her politika ↔ ↔ kanıtları kontrol eder (ekran görüntüleri, yüklemeler, karma ve tarih raporları).
Tek bir dizin "Kanıt Haritası": kontrol nerede - sahibi saklanır - güncelleme tarihi.
Paket sürüm oluşturma (Git/repository) + erişim kontrolü, böylece denetçiler eserleri seçici olarak görüntüleyebilir.

6) BT/Veri Gereksinimleri (En Çok İzlenenler)

SDLC/bültenleri: boru hatları, manuel/otomatik kalite kapıları, geri alma politikası, satışlarda doğrudan değişikliklerin yasaklanması.
Tedarik zinciri: eser imzaları, SBOM, kabul kontrolü, güvenlik açığı politikası.
Sırlar ve erişim: SSO/MFA/PAM, kısa ömürlü belirteçler, ayrıcalıklı oturum günlükleri.
Ağ: segmentasyon, WAF/bot yönetimi, DDoS, mTLS/çıkış kontrolü.
Gözlenebilirlik: OTel-trails, SLO panoları, uyarı hatası-bütçe, deneylerde SRM-check.
Veri: DPIA, minimizasyon, bölgeye göre veri (ikamet), PII/PAN erişim günlükleri.
DR/BCP: yedeklemeler, protokollerle düzenli geri yükleme, anahtarlama egzersizleri.

7) Denetimi geçmek: taktikler

1. Başlama ve kapsam: çevre, örneklerin listesi, kanıt biçimi üzerinde anlaşın.
2. Veri odası: Kanıt Haritasına yapılandırılmış erişim hazırlayın.
3. Kuru çalışma röportajı: MLRO/DPO/RG-Lead/CTO/SRE - Soru-Cevap ve demo çalışması.
4. Canlı oturumlar: günlükleri, SLO panolarını, serbest bırakılmış eserleri, DR komut dosyalarını gösteririz.
5. İyileştirme: öncelikleri ve son tarihleri koordine edin, izleyicide düzeltin.
6. Kapanış: denetim raporu, öğrenilen dersler, politika/kontrol güncellemeleri, retro.

8) İyileştirme planı (şablon)

KIMLIKKalRiskEylemlerSahibiTerimDurum
SEC-012 hizmette resim imzası yokYüksekİmzaları ve kabul politikasını etkinleştirPlatform lideri15 günOperasyonda
RG-02Eksik müdahale telemetrisiOrtaEtkinlikleri/gösterge tablosunu genişletin, eğitim yapınRG Kurşun10 günPlan
AML-032 güvenlik açığı istisnasının süresi dolduYüksekİstisnaları kapat/güncelle, SIEM'e bildirGüvenlik Lead7 günTamam

9) RACI (örnek: yenileme programı)

AlanSorumluSorumluDanışıldıBilgilendirilmiş
Kanıt Haritası ve veri odasıUyumluluk PMUyumluluk BaşkanıGüvenlik, Platform, VeriExec
Politikalar ve eğitimUyumluluk LideriCOOYasal, İKTüm
SDLC/Bültenleri/SBOMPlatform/SRE KurşunCTOGüvenlikUyumluluk
Pentest/güvenlik açıklarıGüvenlik LeadCTOSatıcılarUyumluluk
RG/AML RaporlamaRG Kurşun/MLROCOODestek, VeriExec
Pazarlama/İştiraklerPazarlama OpsCMOYasal, uyumlulukFinans
Finansallar/GGR/VergilerFinans lideriCFOPSP, İçerikExec

10) Kontrol listeleri

10. 1 Hazır Tanımı (Son teslim tarihinden 60-90 gün önce)

  • Güncellenmiş AML/RG/Reklam/Veri/Olay politikaları; Eğitimler düzenlendi.
  • Anahtar Kişiler teyit, SoF/SoW ilgili (gerekirse).
  • SAST/SCA/DAST ve pentest raporları toplandı, süresi dolmuş istisnalar olmadan kritik/yüksek kapalı.
  • SBOM/imzalı sürüm günlükleri mevcuttur; Uygulama durumunda kabul-politikası.
  • SLO/SLI gösterge panoları ve sentetik depozito/CCL/para çekme kontrolü raporları mevcuttur.
  • DR/SLA RTO/RPO içindeki test raporlarını geri yükleyin.
  • RG/AML kayıtları: müdahaleler, SAR/STR, kendini dışlama; Yaptırımlar/PEP raporları.
  • Pazarlama/bağlı kuruluşlar: beyaz liste kanalları, aprowals ile örnekleme reklam öğeleri.
  • GGR finansal tablolar/vergiler PSP/bankalar ile uzlaştı.

10. 2 Bitti Tanımı (yenileme/denetim onayından sonra)

  • Mektup/yenileme sertifikası alındı, kayıtlar/site/belgeler güncellendi.
  • İyileştirme planı kapatıldı, politikalar ve Kanıt Haritası güncellendi.
  • Retro dersleri, süreç değişiklikleri, takvim güncellendi.
  • ISS/PSP'lere gönderilen bildirimler (gerekirse).

11) Denetim döneminde iştiraklerle çalışmak ve reklam vermek

Bir kanal kaydı, bir reklam örneği, 18 +/21 + hedefinin kanıtı, bir onay günlüğü hazırlayın.
İş ortaklarını ihlal etmek için stop-list prosedürü, RG/AML uyum sözleşmelerindeki koşullar.
Ekran frekansı/kısıtlama panosu ve blok listeleri.

12) Risk yönetimi (kayıt)

RiskOlasılık/etkiİşaretKontrolSahibi
Kritik güvenlik açıkları geciktiM/HBulgular> 14 günKritik/yüksek politika yok, otomatik izlemeGüvenlik
Tamamlanmamış RG günlükleriM/MOlay boşluklarıOlay Dizini, Veri QARG Kurşun
SDLC'nin yetersiz kanıtıM/HSoruları serbest bırakınSBOM/imzalar, günlüğü değiştirPlatform
Kararsız DR prosedürleriL/HRTO/RPO'ya ulaşılamadıÜç aylık geri yükleme testleriSRE
Reklam/Ortaklık İhlalleriM/MŞikayetler, cezalarBeyaz liste oluşturma, reklam öğelerini denetlemePazarlama

13) Mini şablonlar

Kanıt Haritası (CSV) kapağı: 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
Denetim Planı (1 sayfa):
  • Kapsam/hedefler
  • Örneklerin listesi ve kanıt formatı
  • Oturumlar/görüşme takvimi
  • Roller ve Kişiler
  • Q&A kanalı ve SLA yanıtları

14) Sık sorulan sorular

Tüm eserleri bir kerede göndermem gerekiyor mu? Hayır: bir taban gönderin ve talep üzerine örnekler verin - ancak her şeyi hazır tutun.
Bazı kayıtların yokluğunu telafi etmek mümkün mü? Sadece açıklanabilir bir neden ve iyileştirme planı (ve zaman çizelgesi) ile.
Düzenleyici için hangisi daha önemlidir - politika mı yoksa kanıt mı? Politikanın gerçekten işe yaradığını kanıtlayan kanıtlar her zaman vardır.

15) 30 Günlük Kısa Plan (hızlı yol)

1. Hafta: son boşluk analizi, politika güncellemesi, SLO/log ölçümü, denetçi rezervasyonu.
2. Hafta: SBOM/imzaların/yayın günlüklerinin toplanması, güvenlik açığı raporları/penetrasyon testleri, DR eylemleri.
3. Hafta: RG/AML/pazarlama konsolidasyonu, özet panolar, kuru çalışma görüşmeleri.
4. Hafta: Dosyalama, Soru-Cevap, Hızlı İyileştirmeler ve Yenileme Onayı.

Kısa sonuç

Yenileme ve denetim, tek seferlik bir "rapor teslimi'değil, süreç olgunluğunun düzenli bir göstergesidir. Bir takvim oluşturun, Kanıt Haritası tutun, kod gibi kontrolleri otomatikleştirin, gözlemlenebilirliği ve DR'yi iyi durumda tutun. Daha sonra uzatma, riskten rutine ve denetimden düzenleyicilerden, ortaklardan ve oyunculardan bir iyileştirme ve güven kaynağına dönüşecektir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.