GH GambleHub

İhlal Bildirimleri ve Raporlama Süreleri

1) Amaç ve alan

Operasyon ve Uyum hatlarındaki olaylar ve ihlaller durumunda zorunlu bildirimler için tek tip, doğrulanabilir ve tekrarlanabilir bir prosedür oluşturun: veri güvenliği, ödemeler/finansal işlemler, düzenleyici gereklilikler, sorumlu oyun, ortak entegrasyonları, itibar riskleri. Belgede son tarihler, adresler, biçimler ile hazırlık ve kontrol prosedürleri belirlenmektedir.

💡 Yasal Uyarı: bölüm - kullanım kılavuzu. Yasal tavsiye yerine geçmez. Her yargı alanı için yerel hukuk/lisans kuralları geçerlidir; Özet metinleri/son tarihler Yasal/Uygunluk ile tutarlıdır.

2) Anahtar terimler

Raporlanabilir olay: Dış taraflara bildirimin yasa/lisans/sözleşme tarafından gerekli olduğu bir olay.
DPA bir veri koruma otoritesidir (GDPR ve benzerleri).
FIU - Finansal İstihbarat (AML/CFT; SAR/STR).
PSP/Acquirer/Card Scheme - ödeme sağlayıcıları/alıcıları/ödeme sistemleri.
CERT/CSIRT - Ulusal/Endüstri Siber Güvenlik Olay Müdahale Merkezleri.
LEA - kolluk kuvvetleri.
Holding ifadesi - temel gerçekler ve bir sonraki güncellemenin zamanı ile ilk kısa bildirim.

3) Bildirilebilir olayların sınıfları (kategoriler)

1. Bilgi güvenliği/gizlilik: PII/finansal verilerin sızması, hesapların tehlikeye atılması.
2. Kumar düzenleyici: Oyunun kullanılabilirliğini/bütünlüğünü/dengelerini etkileyen aksaklıklar; Lisans/reklam/RG şartlarının ihlali.
3. AML/CFT: şüpheli işlemler/desenler - FIU'da SAR/STR.
4. Ödemeler: PSP'nin büyük ölçüde kullanılamaması, yüksek sapmalar, ödeme verisinin tehlikeye atılması.
5. Tüketici/oyuncu: etkilenen kişilere yapılan bildirimler (veri ihlali, para işlemleri, comp. önlemler).
6. Ortaklar/bağlı kuruluşlar/sağlayıcılar: izleme, raporlama, finansal anlaşmalar üzerindeki etkisi.
7. CERT/LEA: Kamusal öneme sahip siber olaylar, kimlik avı/marka klonlama.
8. Denetim/lisans sahipleri: SLA raporlama uygunluğu, eleme onayı.

4) Zaman çizelgesi matrisi (kıyaslamalar)

💡 Kayıttaki her lisans/yargı alanı için kesin tarihler belirtilmiştir (bkz. § 10). Aşağıda tipik bir planlama çerçevesi verilmiştir:
Hedef kategoriTetikİlk uyarıSonraki güncellemelerNihai rapor
DPA (GDPR türü)Veri konularının hakları/özgürlükleri için doğrulanmış riskTespit edilmesinden itibaren 72 saate kadarTemel gerçeklerin hazır olması (genellikle her 24-72 saatte bir)30 güne kadar veya talep üzerine
Etkilenen konular (oyuncular)Hak/özgürlükler için yüksek riskAşırı gecikme olmadan (genellikle DPA'dan sonra 72 saat ≤)iyileştirme aşamaları ileDava kapanırken
Kumar düzenleyiciBütünlüğü/kullanılabilirliği/muhasebeyi etkileyen olayEn kısa sürede, dönüm noktası 24 saatSLA lisansı (örn. Her 24 saat/kilometre taşı)Regülatör formatına göre (genellikle 7-30 gün ≤)
FIU (AML SAR/STR)Şüpheli kara para aklama/terör finansmanıŞüphe oluşumundan sonra gecikmeden (genellikle günden güne)ek veriler alındığındaFIU isteği üzerine
Ödeme planları/PSP/bankaToplu arızalar/PAN uzlaşması/PCI olayıHemen (referans noktası <24 saat)kararlaştırılan plana göreÖnlemlerle kapanış raporu
CERT/CSIRTÖnemli siber olay/tehditasap (genellikle <24 saat)Soruşturma kilometre taşlarına göreCERT gereksinimlerine göre
Ortaklar/İştiraklerİzleme/hesaplamalar üzerindeki etkisi<24 hiyileştirme aşamaları ileSon uzlaşma

5) RACI ve roller

IC (Olay Komutanı) zaman çizelgesinin ve "savaş odasının" sahibidir. "(A)

Yasal/Uygunluk Kurşun - yeterlilik "raporlanabilir", adreslerin seçimi ve son tarihler, son işaret. (R/A)

Güvenlik Lideri - bilgi güvenliği gerçekleri, uzlaşma/PII hacmi, CERT/LEA ile etkileşim. (R)

Ödemeler Lead - PSP/banka/düzenleri, PCI sorunları, döner/ters ibrazlar. (R)

Comms Lead - metin ve gönderme kanalı, durum sayfası, CS makroları. (R)

Veri/Analitik - etkilenen konuların/işlemlerin listesi, etki değerlendirmesi. (R)

CS/CRM Lead - bildirimlerin oyunculara teslim edilmesi, tazminat. (R)

Exec Sponsoru/CEO - S1 genel açıklamaları. (C/I)

6) Uçtan uca süreç (algılamadan kapanmaya kadar)

A. Bildirilebilir tanımı:
  • Tespit - Yasal yeterlilik - "raporlanabilir? To? Zamanlama mı? ».
B. Hazırlık:
  • Fact/artifact collection> şiddet sınıflandırması> şablon seçimi> mutabakat (Legal/Comms/IC).
C. Gönderme ve kaydetme:
  • Kanallar üzerinden teslimat (regülatör portalları, güvenli posta, API, kağıt formlar) - gönderme zamanını kaydetme ve makbuz onaylama.
D. Güncellemeler:
  • Zamanlama/kilometre taşları - metin sürüm oluşturma - durum sayfası ile senkronizasyon.
E. kesinleştirme:
  • Nihai rapor - CAPA planı - kapanış ve retro (≤ 7 gün).

7) Bildirimin minimum bileşimi (iskelet)

1. Olay kimliği, tarih/saat (UTC ve yerel).
2. Olayın kısa açıklaması ve etki yarıçapı.
3. Etkilenen veri/müşteri/işlem kategorileri.
4. Alınan önlemler (muhafaza/kurtarma).
5. Risk değerlendirmesi ve mevcut durum.
6. Bir sonraki adım planı ve bir sonraki güncellemenin ETA'sı.
7. İletişim kişisi/geri bildirim kanalı.
8. Lisansın/şirketin yasal ayrıntıları (gerekirse).
9. Uygulamalar: zaman çizelgesi, teknik eserler, konuların listesi.

8) Şablonlar (hızlı ekler)

8. 1 DPA (veri ihlali, ilk bildirim):

Keşif olayı/tarihi

Veri Kategorileri/Hacim/Coğrafyalar

Zarar azaltma önlemleri (belirteç sıfırlama, MFA, izleme)

Konu risk değerlendirmesi

Konu bildirim planı ve zaman çizelgesi

İletişim DPO/Legal

8. 2 Oyunculara (veri ihlali):

Konu: Hesap güvenliğiniz hakkında önemli bilgiler

Vücut: ne oldu (teknoloji olmadan. Ayrıntılar ve PII olmadan), hangi önlemlerin alındığı, oyuncu için şimdi ne yapılacağı (şifreyi değiştir, MFA'yı etkinleştir), güncellemeleri nerede takip edeceği, nasıl yardım/tazminat alınacağı.

8. 3 Kumar düzenleyici (erişilebilirlik/bütünlük hatası):

Ne: servis/oyunlar/cüzdan, zaman dilimi, bölgeler

Etki: faiz/oran/bakiye sayısı

Önlemler: geri alma, rezerv, güvenli mod cüzdan

Beklenen Kurtarma ETA, Bütünlük/Denge Kontrolü

Nihai Doğrulama ve Raporlama Planı

8. 4 FIU (SAR/STR, kısa):

Gerçekler ve şüphe nedenleri ("müşteri uyarısı" olmadan)

Tutarlar/bağlantılı hesaplar/davranışlar

Uygulamalar (işlemler/bağlantı grafiği)

AML Sorumlu İletişim

8. 5 PSP/Acquirer/Kart Şeması:

Ne oldu (şemalar/etkilenen yöntemler), PCI risk belirteçleri

İş etkisi (otomatik hız, arıza/gecikme)

Alınan önlemler/baypaslar, ortak teşhis talebi

Müşteri Tazminat Planı/İade İşlemleri

8. 6 CERT/CSIRT:

Uzlaşma göstergeleri (IoC), TTP, vektörler

Alınan önlemler ve kalan riskler

Telemetri Koordinasyonu/Paylaşım Talebi

9) Kontrol listeleri

İlk bildirimi göndermeden önce

  • Gerçekler doğrulandı; Hariç tutulan sırlar/PII.
  • Yasal/Uygunluk ile mutabık; Hedef/kanal seçildi.
  • Aşağıdaki güncelleme (tarih/saat/kanal) belirtilmiştir.
  • Ekran görüntüleri/ARTEFACTS ve uygulama karma yakalanır.
  • Kontrol edilen yerelleştirme/dil (gerekirse).

Gönderdikten sonra

  • Alınan onay/bilet numarası/sicil kimliği.
  • Güncelleme planı ve sahipleri oluşturuldu.
  • Durum sayfasında senkronize metinler/SSS/CS makroları.

Kapanış

  • Nihai rapor gönderildi ve onaylandı.
  • CAPA'lar zaman çizelgeleri ve performans metrikleri ile kaydedilir.
  • Retro ≤ 7 gün.

10) Terimlerin ve adreslerin kaydı (veri yapısı)

Git/Confluence'da bir tablo şeklinde saklanır (sürüm, sahip - Yasal):
AlanÖrnek
Yetki/LisansMT/MGA B2C
KategoriDPA/Oyun Regülatörü/FIU/PSP/CERT
İlk bildirim süresi72h/24h/asap
KanalPortal/Güvenli Posta/API/Faks
DilEN/Yerel
FormatSerbest/Form No. .../JSON-şeması
Gerekli alanlarliste
İletişim/AkreditasyonE-posta, kimlik portalı
Temelnorm/lisans maddesi referansı
NotlarÖzellikler (tatiller, saat dilimi vb.)

11) Eserler ve saklama

Zaman çizgisi (dakika doğruluğu), tüm bildirimlerin sürümleri, bildirimler.
Şunlar. Eserler: günlükler, dökümler, dışa aktarma metrikleri, IoC, yapılandırma anlık görüntüleri.
Bildirim/tazminat için kullanılan varlık/işlem listeleri.
Saklama: Lisansların/yasaların gereksinimlerine göre depolama (genellikle yargı yetkisi tarafından belirtilen 1-7 yıl).

12) Uyumluluk metrikleri

Zamanlama: Zamanında gönderilen bildirimlerin yüzdesi (kategoriye göre).
Tamamlama - İlk kez alınan bildirimlerin yüzdesi (yama istekleri olmadan).
Teşekkür SLA: Onay almak için ortalama süre.
Güncelleme Disiplini: güncelleme aralıklarına uygunluk.
CAPA Etkinliği: Zamanında kapalı CAPA'ların yüzdesi.

13) Araçlar ve Otomasyon

Olay botu:'/notify <category> 'komutları, son tarihlerin/kanalların otomatik olarak değiştirilmesi, son tarihlerle ilgili hatırlatıcılar.
Şablon motoru: olay parametrelerinden bildirimlerin birleştirilmesi; sürümler/yerelleştirme.
Durum sayfası: dış güncellemelerle senkronize; TTS (time-to-statement) izleme.
SOAR/SIEM: DPA/CERT için otomatik eser toplama.
DWH/CRM: Etkilenen Konular Segmentleri, Teslimat ve Keşif İzleme.

14) Yönetişim

Bölüm sahibi: Uyum Başkanı (rezerv - Hukuk Müşaviri).
Kayıt revizyonu (§ 10): en az üç ayda bir ve her S1/S2 sonra.
Egzersizler: DPA/Regülatör/AML tarafından masa üstü - üç ayda bir; Canlı tatbikat bilgi güvenliği - her altı ayda bir.
Denetim: Bildirimlerin zamanlamasına ve eksiksizliğine uygunluğun yıllık bağımsız doğrulaması.

15) Hızlı başlangıç (30 günlük uygulama)

1. Tüm lisanslar/pazarlar için zorunlu adreslerin bir listesini oluşturun ve bunları kayıt defterine girin (§ 10).
2. Bildirim şablonlarını onaylayın (§ 8) ve bunları olay botuna bağlayın.
3. SLA metriklerini (§ 12) ve "Düzenleyici Raporlama" panosunu yapılandırın.
4. Yürütme alıştırması: veri ihlali - DPA + oyuncuları, ödeme krizi - PSP, AML-SAR - FIU.
5. Son tarih hatırlatıcılarını ve otomatik nesil tutma deyimlerini etkinleştirin.
6. İlk alıştırmanın sonuçlarını takiben retro başlatın, oyun kitaplarını güncelleyin.

İlgili bölümler:
  • Kriz yönetimi ve iletişim
  • Olay oyun kitapları ve komut dosyaları
  • İş Sürekliliği Planı (BCP)
  • Felaket Kurtarma Planı (DRP)
  • Eskalasyon matrisi
  • Bildirim ve uyarı sistemi
  • Sorumlu oyun ve oyuncu koruması
Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.