GH GambleHub

İş Ortağı Uyum Kılavuzu

1) Amaç ve kapsam

Bu kılavuz, ortaklar/yükleniciler/bağlı kuruluşlar/sağlayıcılar (ödeme ve barındırma platformları, içerik stüdyoları, dolandırıcılıkla mücadele hizmetleri, çağrı merkezleri, pazarlama ajansları dahil) için uyumluluk gereksinimlerini tanımlar.

Hedefler:
  • Tekdüze güvenlik, gizlilik, düzenleme ve sorumlu iletişim standartları.
  • Tedarik zincirindeki operasyonel/yasal riskleri azaltmak.
  • "Denetime hazır" kanıt tabanı ve karşılıklı doğrulanabilirlik.

2) Şartlar

İş ortağı - verileri işleyen veya hizmet sağlayan herhangi bir üçüncü taraf.
Kritik ortak - güvenlik, ödemeler, kişisel veriler veya düzenleyici süreçler üzerinde önemli bir etkiye sahiptir.
Alt işlemci - veri işlemede yer alan iş ortağının karşı tarafı.

3) İlkeler ("tasarım ilkeleri")

Uyumluluk-Tasarım-Gereksinimler süreçlere ve mimariye entegre edilmiştir.
Veri minimizasyonu ve yargı muhasebesi (veri ikameti).
İzlenebilirlik ve değişmezlik: günlükler, WORM arşivi, hash makbuzları.
Orantılılık: Kontrollerin derinliği riske bağlıdır.
"Gerçeğin bir versiyonu": SLA ve RACI tarafından anlaşılan onaylanmış eserler.

4) Roller ve RACI

RolSorumluluk
Satıcı Yönetimi (A)Risk sınıflandırması, onboarding/offboarding, izleme
Uyumluluk/GRC (R)Gereksinimler, kontroller, CAPA'lar, denetime hazırlık
Yasal/DPO (C)Sözleşmeler, DPA, gizlilik, sınır ötesi
SecOps/CISO (C/R)Şunlar. gereksinimler, olaylar, tespitler
Finans/Ödemeler (C)Ödeme talepleri, ters ibraz/yaptırımlar
İşletme sahibi (R)Ortak, KPI ile operasyonel çalışma
İç denetim (I)Bağımsız uyumluluk değerlendirmesi

(R - Sorumlu; A - Sorumlu; C - Danışılan; I - Bilgilendirilmiş)

5) Risk ortağı sınıflandırması

Kriterler: veri türü (PII/ödeme), işlem hacmi, üretim sistemlerine erişim, yargı bölgeleri, zincirdeki rol (işlemci/denetleyici), olay geçmişi, sertifikalar/denetimler.
Seviyeler: Düşük/Orta/Yüksek/Kritik - Durum Tespiti derinliğini ve revizyon sıklığını belirler.

6) Onboarding ve Durum Tespiti (DD)

Adımlar:

1. DD anketi (sahipler, alt işlemciler, veri konumları, sertifikalar, kontroller).

2. Yaptırımların/itibarın/yararlanıcıların taranması.

3. Güvenlik/gizlilik değerlendirmesi: SOC/ISO/PCI/penetrasyon testi, tutma politikası, DSAR süreçleri.

4. Teknik kontrol: SSO/OAuth, şifreleme, gizli yönetim, günlük kaydı.

5. Ödeme/AML yönleri (varsa): ters ibraz süreçleri, dolandırıcılıkla mücadele, limitler.

6. Risk Raporu ve çözüm: kabul/şartlı/ret + CAPA/telafi edici önlemler.

7. Sözleşmeler: MSA, SLA/OLA, DPA, denetim hakkı, ayna tutma, olay bildirimleri, rampa dışı.

7) Zorunlu ortak gereksinimleri (minimum)

7. 1 Güvenlik ve gizlilik

Aktarımda şifreleme/dinlenme, anahtar yönetimi (KMS/HSM).
RBAC/ABAC, MFA, yönetici günlüğü, yeniden cert erişimleri.
Karma imzalı günlükler ve WORM arşivi; senkronize zaman.
Saklama politikaları, Yasal Bekletme, DSAR prosedürleri; maskeleme/tokenizing PI.
Güvenlik açığı raporları/penetrasyon testleri; yönetilen güncelleme ilkesi.

7. 2 Düzenleme ve Pazarlama

Güvenilmez/agresif tekliflerin yasaklanması, zorunlu feragatnameler.
Sorumlu oyun ve yaş doğrulama kurallarına uygunluk (varsa).
Lisanslara ve yerel kısıtlamalara göre coğrafi hedefleme.
İletişim için belgeli onaylar/abonelikten çıkma, kanıtların depolanması.

7. 3 Ödemeler/AML/KYC (role göre)

KYC/KYB prosedürleri, yaptırım/PEP taraması, işlem izleme.
Yetkilendirme logs/3DS, ters ibraz süreçleri, risk limitleri.
Tutarlı engelleme/soruşturma ve iade senaryoları.

8) Teknik entegrasyon

SSO/SAML/OIDC, SCIM sağlama (mümkünse).
Yapılandırılmış günlük kaydı (JSON/OTel), izleme (trace_id).
Webhooks - imza ve retras ile; teslimat garantisi/idempotency.
API limitleri, sözleşme testleri, geriye dönük uyumluluk, sürüm oluşturma.
İzole edilmiş ortamlar, anahtarlar ve sırlar gizli depolardadır.

9) Sözleşme yükümlülükleri

SLA/OLA: çalışma süresi, TTR/MTTR, gecikme, kritik hizmetler için RPO/RTO.
Kanıt ve Denetim: denetim hakkı, PBC formatları, yanıt süresi, Veri Odasına erişim.
Olaylar: bildirim ≤ X saat, rapor ve zaman çizelgesi formatı, CAPA.
Tutma ve kaldırma: TTL, yıkımın onaylanması, alt işlemcilerde ayna tutma.
Gizlilik/AOI ve taşeron kısıtlamaları.

10) Olay yönetimi (paylaşılan)

Tek bir bildirim kanalı ve savaş ritmi güncellemeleri.
İlgili verilerin Derhal Yasal Tutulması.
Ortak zaman çizelgesi (kim/ne/ne zaman), hash makbuzları ile eserler.
Düzenleyicilere/müşterilere bildirimler - kabul edilen bir süreçle.
Ölüm sonrası, CAPA, 30-90 gün içinde yeniden denetim.

11) Raporlama ve izleme

Üç aylık raporlar: sertifikalar, olaylar, SLA'lar, alt işlemciler, veri konumu değişiklikleri.
Gizlilik/DSAR metrikleri, müşteri şikayetleri, pazarlama ihlalleri.
Finansal/ödeme: ters ibraz oranı, dolandırıcılıkla mücadele verimliliği, kazanç oranı itirazları.

12) Kontrol ve denetim hakkı

Risk sınıflarına göre planlanmış denetimler; Plansız - olaylar/kritik değişiklikler için.
Veri Odası, PBC- лист, ToD/ToE/Walkthrough/Reperform.
CAPA - sonuçlar, zaman çizelgeleri ve kapanış kanıtı (WORM).

13) Ortak offboarding

Göç/değiştirme planı, eserlerin ve anahtarların transferi.
Ortak ve alt işlemci verilerinin yok edilmesini onaylayın.
Erişimleri/sırları iptal et, entegrasyon kanallarını kapat.
Nihai denetim/rapor ve kanıtların arşivlenmesi.

14) Metrikler ve KRI

Onboarding Lead Time (risk sınıfına göre).
Satıcı Sertifikası Tazeliği (hedef: %100 kritik iş ortakları).
İş Ortağı tarafından SLA Uyumluluğu ve Olay Oranı.
Gizlilik/DSAR SLA ve müşteri şikayetleri.
Ters ibraz Oranı/Dolandırıcılık Kaybı % (ödeme rolleri için).
CAPA Zamanında и Bulguları Tekrarlayın.
Yerelleştirme/Yargı Sürüklenmesi (konumlarda/alt işlemcilerde tutarsız değişiklikler).

15) Panolar

Satıcı Risk Isı Haritası: risk oranı, sertifikalar, olaylar, ülkeler.
Uyumluluk Kapsamı: DPA/SLA kullanılabilirliği, denetim hakkı, saklama/Yasal Tutma.
SLA ve Olaylar: çalışma süresi, TTR/MTTR, kapatılmamış olaylar.
Gizlilik ve DSAR: terimler, hacimler, şikayetler, eğilimler.
Ödemeler/Dolandırıcılık: ters ibraz oranı, nedenler, kazanma oranı itirazları.
CAPA & Re-audit: durumlar, gecikmeler, tekrarlanan yorumlar.

16) SOP (standart prosedürler)

SOP-1: Partner onboarding

DD anketi - taramalar - bunlar/gizlilik/güvenlik-değerlendirme - Risk Raporu - sözleşmeler (MSA/DPA/SLA) - entegrasyon ve günlüğe kaydetme - pilot - canlı.

SOP-2: Ortak değişiklikleri

Değişiklik Bildirimi (Alt İşlemciler/Konumlar/Mimari) - Risk Değerlendirmesi - Sözleşme/Politika Güncellemesi - Testler - Prod.

SOP-3: Olay

Single channel - Legal Hold - joint timeline/artifacts - notification - CAPA - re-audit.

SOP-4: Periyodik revizyon

Yıllık/Üç Aylık Risk Döngüsü: PBC, ToD, ToE Sample, Rapor, CAPA, Metrics Publication

SOP-5: Offboarding

Göç planı - ihracat/transfer - yıkımın teyidi - erişimin iptali - nihai rapor.

17) Eser desenleri

17. 1 Satıcı DD Kontrol Listesi (snippet)

Yur. veri/yararlanıcılar; Yaptırım taraması

Sertifikalar/Denetimler, Güvenlik/Gizlilik Politikası

Veri konumları/alt işlemciler/elde tutma

24 ay içinde Olaylar, CAPA

Şunlar. Entegrasyon: SSO, günlüğe kaydetme, şifreleme, web kitapları

17. 2 DPA/SLA - Zorunlu Öğeler

Veri işleme, hedefler, yasal gerekçeler

Olay bildiriminin zamanlaması, raporların formatı

Denetim hakkı, PBC formatları, Veri Odası

TTL/kaldırma, Yasal Bekletme, yıkımın teyidi

Alt işlemciler ve onay siparişi

17. 3 Kanıt paketi

Erişim günlükleri/yönetici eylemleri (yapılandırılmış, hash makbuzları)

Güvenlik Açığı/Penetrasyon/Tarama Raporları

DSAR kayıt defteri/silme/saklama

SLA/Olay/Kurtarma (RTO/RPO)

Sözleşmelerin/eklentilerin imzalı versiyonları

18) Antipatterns

Opak alt işlemciler/veri konumları.
Re-cert ve loglar olmadan "uçtan uca" erişimler.
Değişmezlik ve karma onayı olmadan manuel yüklemeler.
Asılsız/yasak vaatlerle pazarlama.
Gemiden ayrılırken veri yok etme kanıtı yok.
Son tarihler ve telafi edici önlemler olmadan sonsuz feragatler.

19) Olgunluk modeli (M0-M4)

M0 Hell-hoc: Bir kerelik kontroller, ortak tarafından risk kaydı yok.
M1 Dizini: ortakların listesi, temel DD/sözleşmeler.
M2 Managed: risk sınıfları, SLA/DPA, gösterge tabloları, planlanmış revizyonlar.
M3 Integrated: logging/evidence-bus, re-audit, CAPA-linking, "denetime hazır".
M4 Sürekli Güvence: gerçek zamanlı izleme, öneri kontrolleri, otomatik nesil PBC/kanıt paketleri.

20) İlgili wiki makaleleri

Sağlayıcıları seçerken Durum Tespiti

Dış kaynak riskleri ve yüklenici kontrolleri

Dış denetçilerin dış denetimleri

Kanıt ve belgelerin depolanması

Günlüğe Kaydetme ve Denetim İzi

İyileştirme Planları (CAPAs)

Yeniden denetim ve takip

Politika ve uyumluluk deposu

Ekiplerde uyum çözümlerinin iletişimi

Toplam

"İş Ortağı Uyum Kılavuzu", tedarik zincirini yönetilen bir ekosisteme dönüştürür: tekdüze gereksinimler, öngörülebilir kontroller, değişmez kanıtlar ve şeffaf düzenlemeler. Bu, riski azaltır, entegrasyonu hızlandırır ve işbirliğini ölçeklenebilir ve doğrulanabilir hale getirir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.