GH GambleHub

Üçüncü Taraf Riskleri ve Ortak Denetimleri

1) Neden ve kimin için

Amaç: Harici tedarikçiler ve ortaklar aracılığıyla gelen arıza, sızıntı ve düzenleyici ihlal olasılığını azaltmak.
Kapsam: PSP/ödeme ağ geçitleri, CCM/yaptırımlar/RAP, dolandırıcılıkla mücadele, oyun sağlayıcıları ve stüdyoları, bağlı kuruluş ağları ve izleme, bulutlar/CDN/barındırma, BI/analiz, elde tutma araçları/pazarlama-SDK, çağrı merkezleri ve satıcılarımızın alt işleyicileri.

2) Risk kategorileri (etki alanı haritası)

Bilgi güvenliği ve gizliliği: PII/KYC/ödeme belirteci sızıntıları, zayıf TOM'lar, WORM/denetim eksikliği.
Uyumluluk: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI bölgesi, yargı alanlarının reklam/oyun gereksinimleri.

Operasyonel: kullanılabilirlik/SLA, konsantrasyon, zayıf BCP/DR

Finansal: tedarikçi istikrarı, kredi riskleri, ters ibraz şokları.
Yaptırımlar/jeopolitik: ihracat/ithalat kısıtlamaları, veri merkezlerinin konumu, mülkiyet yapılarında REP/yaptırımlar.
İtibar ve yasal: Reklam/sorumlu oyun ihlalleri, IP hakları.
Teknik: SDK/API güvenlik açıkları, sürüm eksikliği ve test ortamları.

3) Tedarik zinciri haritalama

1. Envanter: Tüm satıcıların/ortakların/alt işlemcilerin sahibiyle (işletme sahibi) tek bir kaydı.
2. Veri Haritası: Hangi verilerin/yargı alanlarının/hacimlerin kimden geçtiği; PII bayrakları/finans/özel kategoriler.
3. Kritiklik: Para/PII/çalışma süresi üzerindeki etkisine göre sınıflandırılır.

4) Satıcının Yorulması (Örnek Kriterler)

Çekim galerisiİşaretlerÖrneklerGereksinimler
Tier 1 (kritik)PII/ödemeler, 7 × 24, GGR'ye doğrudan etkiPSP, CCM/yaptırımlar, dolandırıcılıkla mücadele, bulutTam durum tespiti, denetim, BCP/DR testleri, yıllık yerinde/uzaktan denetim
Seviye 2 (Yüksek)Dolaylı etki, PII maskeli, önemli entegrasyonlarStüdyolar/toplayıcılar, DWH araçlarıGenişletilmiş anket, rastgele denetim, yıllık inceleme
Katman 3 (orta/düşük)PII/para yok, pazarlama araçlarıE-posta, widget'larHafif anket, sözleşme minimumları

5) Risk taraması ve puanlama

Faktörler: Güvenlik (politikalar, sertifikasyon), gizlilik (DPA/SCCs/DTIA), uyumluluk (AML/PCI/ISO), operasyonel dayanıklılık (SLA/BCP/DR), finans (denetim/raporlama), yargı/yaptırımlar, olay geçmişi, teknolojik olgunluk (SDLC/DevSec Ops).
Puanlama (örnek): Her faktör için 0-5 - ağırlıklı toplam (W) - bölge: yeşil/sarı/kırmızı.

Eşik çözümleri:
  • Yeşil: Standart sözleşme.
  • Amber: Go-Live için kontroller/iyileştirme.
  • Kırmızı: ek önlemlerle (segmentasyon, kısma, salt okunur, emanet, azaltılmış sınırlar) arıza veya pilot.

6) Durum tespiti (girişte ne istenir)

Eserler/denetimler (minimum Katman 1-2):
  • Güvenlik/gizlilik politikaları, RoPA, alt işlemci kayıt defteri.
  • Denetim raporları/sertifikasyon (varsa ISO 27001/SOC 2 tip II/PCI), en son penetrasyon testleri.
  • BCP/DR ve test sonuçları, RPO/RTO.
  • Olay prosedürleri (72 saatlik bildirimler), 12-24 ay boyunca olay günlüğü.
  • DPA/sınır ötesi mekanizma (SCC'ler/IDTA) + DTIA, veri/anahtar lokalizasyonu.
  • Entegrasyon güvenliği: mTLS/OIDC, imzalı webhooks, anahtar rotasyonu, izin listesi IP.
  • Erişim/ihracat günlükleri, WORM kopyaları, hash zincirleri.
  • Saklama ve silme politikası, offboarding sırasında yedeklerin imha edildiğinin onaylanması.
  • Finansal istikrar (halka açık raporlama/sertifikalar), mülkiyet yapısı (yaptırımlar/POP kontrolleri).

Seviye 2-3 için hafif anket: sSIG/CAIQ seviyesi (20-60 soru).

7) Sözleşme gereklilikleri (kilit noktalar)

SLA/SLO: çalışma süresi (örn. 99. %9), P95 gecikme süresi, olay yanıt süresi, hizmet kredileri.
Güvenlik/Gizlilik eki: dinlenme/transit halinde şifreleme, anahtarlar/coğrafi, kayıt, maskeleme, veri geri dönüşüm yasağı.
DPA + alt işlemciler: zincir uzantısını bildirme görevi; İtiraz/denetim hakkı.
Olay ve Bildirim: 72 saat ≤ bildirim penceresi; günlüklere/eserlere erişim; Müşterek savaş odası.
BCP/DR: zorunlu testler N yılda bir kez, RPO/RTO.
Kalem testi/Denetim hakları: Yılda en az 1 kez (uzak/yerinde), raporlara erişim.
Değişiklik kontrolü: büyük değişikliklerin bildirimi (SDK/API/mimari/coğrafya).
Sonlandırma ve Çıkış: veri dışa aktarma (formatlar), silme/geri döndürme, kritik entegrasyonlar için emanet, X günü geçiş desteği.
Sorumluluk/Tazminat: cap/cublimits, IP garantileri, SLA ihlalleri/sızıntıları için cezalar.

8) Onboarding - İzleme - Offboarding

8. 1 Onboarding

1. İş durumu ve sahibi - yırtılma - anket/eserler.
2. Risk değerlendirmesi (Güvenlik/Gizlilik/Uyum/Hukuk/Finans).
3. Go-Live'dan önceki kontroller: segmentasyon (VPC/kiracı), yükler/sınırlar, maskeleme/tokenizasyon, özellik bayrakları, test sanal alanı.
4. Sözleşme/entegrasyon - pilot - Go/No-Go.

8. 2 Sürekli izleme

Teknik izleme: çalışma süresi, hatalar, gecikme süresi, risk bütçesi.
Güvenlik: SIEM uyarıları ('amaç' olmadan anormal dışa aktarma/erişim), satıcı raporları, SDK güvenlik açıkları.
Gizlilik/uyumluluk: alt işlemciler, konumlar, elde tutma değişiklikleri; DSAR uyumluluğu.
Finans: Dönüşümlere göre KPI/geri ödeme/ters ibraz, SLA cezaları.
Tier 1-2 için üç aylık inceleme ve yıllık yeniden durum tespiti.

8. 3 Offboarding

Anahtarların/erişimlerin iptal edilmesi, verilerin ve yedeklemelerin imha edilmesi/iade edilmesi, eylemler, biletlerin kapatılması, kayıtların ve veri haritalarının güncellenmesi.

9) Ortak denetim prosedürleri

9. 1 Plan ve alan

Odak: erişim yönetimi, şifreleme/anahtarlar, günlükler, olaylar, BCP/DR, DSAR süreçleri, alt işlemciler.

9. 2 Yöntemler

Görüşme, belge/log incelemesi, nokta kontrolleri, teknik testler (api-rate-limit/mTLS/signatures), masa üstü alıştırma.

9. 3 Rapor ve CAPA

Bulguların sınıflandırılması (Kritik/Yüksek/Orta/Düşük), iyileştirme zamanlaması, kapama kontrolü ve yeniden test.

10) Satıcıdaki olaylar: oyun kitabı

1. Algılama: satıcı/bizim izleme/topluluk sinyali.
2. Savaş odası: sahipler + Güvenlik + DPO + Yasal + Ürün.
3. Sınırlama: Trafiği sınırlama/devre dışı bırakma SDK/anahtarlar, zaman sınırları/kanarya havuzları.
4. Adli tıp: arama kayıtları, webhook imzaları, WORM onayları, etkilenen kayıtların aralığı.
5. Bildirimler: Düzenleyiciler/kullanıcılar/bankalar (gerekirse), ortak metinler.
6. CAPA'lar: düzeltmeler, son tarihler, etkinlik kontrolleri; Puanlama ve sözleşme şartlarının gözden geçirilmesi.

11) RACI (büyütülmüş)

Aktiviteİşletme sahibiGüvenlikDPO/GizlilikUyumluluk/YasalFinansSRE/VeriTedarik
Yorucu/İş VakaA/RCCCCCC
Durum tespitiRA/RA/RA/RCCC
Sözleşmeler (SLA/DPA/Düzenlemeler)CCCA/RA/RBENR
Entegrasyon/segmentasyonCA/RCCBENRBEN
İzleme/denetlemeRA/RA/RA/RCRBEN
Olaylar/CAPACA/RA/RA/RCRBEN
Offboarding/export/deleteRA/RAACRBEN

12) Metrikler (KPI/KRI)

Kapsam: Kayıt defterindeki aktif satıcıların güncel puanı %100 ≥.
Değerlendirme TTM: medyan durum tespiti Kademe 1 ≤ 15 iş günü.
İyileştirme SLA: Kritik bulgular 30 gün ≤ kapanır (≥ %95).
Olay Bildirimi: Penceredeki bildirimlerin oranı 72 h - %100.
DPA/SCCs/DTIA Kapsamı: Katman 1-2 için - %100 uygun.
Konsantrasyon Riski: 1 PSP/sağlayıcı başına trafik/gelir payı ≤ % X (eşik).
BCP/DR Kanıtı: 12 aylık onaylanmış testlerle % Tier 1 - %100.
İhracat Günlüğü: İhracatların %100'ü imzalanır ve kaydedilir.

13) Şablonlar ve parçalar

13. 1 Mini anket (Tier 1-2, maruz kalma)

Belgelendirme/denetimler (ISO/SOC2/PCI), son kullanma tarihi.
Veri mimarisi: geo, alt işlemciler, anahtarlar/KMS, şifreleme.
24 ay içindeki olaylar (tip/tarih/önlemler).
Erişim ve dergiler (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (test tarihleri, RPO/RTO).
DSAR/tutma, RoPA, CMP/SDK.
API teknik kontrolü: mTLS/OIDC, webhook'ların imzası, anahtar rotasyonu, hız sınırı.

13. 2 SLA (parça)

GöstergeAmaçÖlçümKredi
Çalışma süresi (aylar)99. 9%Dış izleme%5-10 ücret
Kritik olay: Yanıt≤ 15 dakikaSavaş odası protokolüdüzelt.
İyileştirme Yüksek≤ 30 günCAPA raporudüzelt.

13. 3 Güvenlik ve Gizlilik Eki

"Veri geri dönüşümünün yasaklanması; Kesinlikle Need-to-Know tarafından erişim; Yalnızca onaylı kayıtlara aktar"

"Karma imzalı sabit günlükler (WORM); Yılda bir kez talep üzerine denetim"

"Alt işlemci değiştirme - 30 gün ≥ bildirim, itiraz hakkı, alternatif plan".

"DTIA, yeterli yargı alanları dışındaki herhangi bir sınır ötesi iletimde; anahtarlar - EC/İngiltere'de (anlaşma başına) "

14) Kontrol listeleri

Satıcıyla Go-Live Yapmadan Önce

  • Sahibi atanmış, atış poligonu tanımlanmış
  • Anket/alınan ve doğrulanan eserler
  • DPA/SLA/düzenlemeleri imzalandı, alt işlemciler ilan edildi
  • Segmentasyon/limit/maskeleme etkin, tuşlar ayrı
  • Olaya göre sandbox/masa üstü testi geçti
  • Çıkış/geçiş planı ve emanet resmileştirildi

Üç aylık (Kademe 1-2)

  • SLA/Incident/SDK Güvenlik Açığı İzleme
  • Sertifikaların/Raporların Güncellenmesi, Alt İşlemci Kayıt Defteri
  • DR/BCP doğrulandı
  • Fin taraması (direnç), yaptırım kontrolleri
  • Konsantrasyon risklerinin ve alternatiflerinin gözden geçirilmesi

Offboarding

  • Anahtarlar/erişimler iptal edildi
  • Veri dışa aktarma tamamlandı, silme/yedekleme onayı
  • Kapanış sertifikaları, Data Mar/registers tarafından güncellendi

15) Tipik senaryolar ve önlemler

A) Pazarlama SDK'sında Güvenlik Açığı

Derhal kapatma, PII toplama bloğu, gerekirse DPO/düzenleyici bildirimi, satıcı CAPA, yeniden test.

B) PSP, SLA üzerinde bozulur

Yedek PSP'ye trafiği otomatik olarak yönlendirme, limitleri azaltma, hizmet kredilerini etkinleştirme, sözleşme/çıkış planını revize etme.

C) KYC sağlayıcısından sızıntı

Entegrasyon izolasyonu, belirteç iptali, etkilenen kayıtların haritalanması, bildirimler, manuel KYC yüksek riskli, satıcı denetimi, olası değiştirme.

16) TPRM Uygulama Yol Haritası

1-2. Haftalar: Satıcıların envanteri, Veri Haritası, yırtılma, temel anket ve kayıt defteri.
3-4. Haftalar: SLA/DPA/katkı şablonları, onboarding/izleme/offboarding süreci, SIEM/CMDB/IDP entegrasyonu.
Ay 2: Tier 1-2 pilotu, üç aylık incelemelerin başlatılması, sertifika/son kontrol kontrollerinin otomasyonu.
Ay 3 +: ölçeklendirme, puanlama/gösterge tabloları, BCP/DR stres testleri, konsantrasyon riski optimizasyonu ve alternatif yollar.

TL; DR

Güçlü TPRM = tam satıcı haritası - katmanlama ve puanlama - sert sözleşmeler (SLA/DPA/BCP/DTIA) - segmentasyon ve güvenli entegrasyonlar - sürekli izleme ve denetim - hızlı çıkış/iyileştirme. Bu, parayı, verileri ve lisansları korur ve ortaklar çöktüğünde bile işi esnek tutar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.