GH GambleHub

Whistleblower kanalı ve veri koruma

1) Amaç ve alan

Çalışanlara, yüklenicilere, bağlı kuruluşlara ve diğer paydaşlara ihlalleri bildirmeleri için güvenli, erişilebilir ve güvenilir bir yol sağlamak (yolsuzluk, dolandırıcılık, AML/yaptırımlar, RG, GDPR/PII, PCI/bilgi güvenliği, reklam/bağlı kuruluşlar, çıkar çatışmaları, ayrımcılık ve taciz, lisans/yasa ihlali). Belge kanalları, anonimliği, veri işlemeyi, soruşturma prosedürlerini ve baskıdan korunmayı düzenlemektedir.

2) İlkeler

Baskıya sıfır tolerans. Herhangi bir misilleme yasaktır.
Veri gizliliği ve minimizasyonu. Toplama sadece bilinmesi gerekenler ilkesine göre gereklidir.
Muhbir seçimiyle anonimlik. Kimliği açığa çıkarmadan iletişim kurma yeteneği.
Zamanında ve adil. SLA kabulü/incelemesi; belgelenmiş, tarafsız bir metodoloji.
Bağımsızlık. Rollerin ayrılması: mesaj alma, soruşturma, yaptırımlar.
Sürecin şeffaflığı. Durum takibi, geri bildirim, kişiliksiz kamu istatistikleri.

3) Roller ve RACI

Whistleblowing Officer (WBO) - süreç sahibi, triyaj, soruşturma koordinasyonu, raporlama. (A/R)

Uyumluluk/Yasal/DPO - yasal değerlendirme, veri koruma, gizlilik politikası. (R/C)

InfoSec/CISO - kanal güvenliği, şifreleme, erişim kontrolü, günlük kaydı. (R)

İK/ER (Çalışan İlişkileri) - etik/davranış durumları, destek önlemleri. (R)

İç Denetim (IA) - soruşturmaların ve CAPA'ların bağımsız kalite kontrolü. (C)

Güvenlik/Güven ve Güvenlik - teknik/dolandırıcılık vakaları, dijital eserlerin toplanması. (R)

Exec Sponsoru (CEO/COO) - "yukarıdan gelen ton", kaynaklar, eskalasyon S1. (I/A)

4) Mesaj alma kanalları

1. Web formu (önerilen ana): anonimlik desteği; güvenli token/pin yazışmaları.
2. E-posta: otomatik şifreleme ile özel bir kutu, içerik açıklama olmadan otomatik havalandırma.
3. Yardım Hattı/Telefon: Veri maskeleme ile sisteme yazın.
4. Kurumsal habercide Chatbot: anonim için değil (veya bir proxy mekanizması ile).
5. Posta adresi/fiziksel posta kutusu: çevrimdışı mesajlar için (Sisteme tarama ve yükleme).
6. WBO/IA ile doğrudan temas: kişisel toplantı - muhbirin talebi üzerine.

Kanal gereksinimleri: TLS uçtan uca, şifreli depolamada depolama, RBAC, erişim günlükleri değiştirilemez, IP/cihazların anonim biçimde izlenmemesi, şeffaf çerez/günlük politikası.

5) Veri koruma ve yasal gerekçeler

Yasal dayanak: yasal görevlerin yerine getirilmesi, şirketin meşru çıkarları, kamu yararı (yargı yetkisine bağlı olarak).
DPIA: lansmandan önce - gizlilik etki değerlendirmesi; Riskleri ve azaltma önlemlerini düzeltmek.
Verilerin sınıflandırılması: kişisel, hassas (sağlık, etnik köken vb.), Ticari sırlar, araştırmaların eserleri.
Minimizasyon: gereksiz toplamayın; Uygun olmayan belgeleri silin.
Sınır ötesi transferler: sadece yasal gerekçeler ve sözleşme garantileri varsa.
Veri konularının hakları: DSAR'lar DPO'lar tarafından işlenir; İstisna: Bilgi uçuranın kimliğini ve soruşturmayı/üçüncü tarafları tehlikeye atan verileri ifşa etmemek.
Saklama: mesajlar ve eserler - genellikle 5 yıl veya politika/yasa/lisans ile; Sonra güvenli silme (crypto-shred/logical erase with log).

6) Güvenlik ve teknik önlemler

Şifreleme: at-rest (KMS/HSM), in-transit (TLS), anahtarlar - rotasyon ve sınır ile.
Erişim: RBAC/ABAC, en az ayrıcalık ilkesi, anonim durumlar için ayrı alanlar.
Günlükler: değişmez (WORM), olağandışı erişimleri izleme, uyarılar.
Segmentasyon: mesaj sistemi üretim sistemlerinden izole edilir; Kurtarma kontrolü ile bireysel yedeklemeler.
Meta veriler: maskeleme, EXIF'i eklerden kaldırma, bilgi vereni otomatik tanımlama konusunda uyarma.
Gizli iletişim kanalları: iki yönlü anonim yazışmalar için güvenli posta kutusu/web postası.

7) Vaka sınıflandırması ve öncelikleri

S1 (Kritik): yolsuzluk/rüşvet, büyük dolandırıcılık, PII/PCI sızıntısı, yaşam/güvenlik tehditleri, ciddi lisans/hukuk ihlalleri.
S2 (Yüksek): Sistemik politika ihlalleri (AML/RG/GDPR/IS), ciddi çıkar çatışmaları, ayrımcılık/taciz.
S3 (Orta): Yerel prosedür ihlalleri, reklam/bağlı kuruluşlardaki hatalar, bir kerelik davranış ihlalleri.
S4 (Düşük): İyileştirmeler için öneriler, düşük riskli olaylar.

SLA:
  • Makbuz: S1/S2 - ≤ 24 saat; S3/S4 - ≤ 3 iş günü
  • Birincil değerlendirme (triyaj): S1 - ≤ 48 saat; S2 - ≤ 5 iş günü; S3/S4 - ≤ 10 iş günü
  • Araştırma planı: S1 - ≤ 3 iş günü; S2 - ≤ 10 iş günü

8) Mesajdan kapanışa kadar olan süreç

Adım 1 - Makbuz ve Makbuz. Kimlik atama, kanalı düzeltme, kanıtları "olduğu gibi" kaydetme.
Adım 2 - Triyaj ve bağımsızlık. Atanan kişilerdeki çıkar çatışmasını kontrol edin; Çatışma durumunda - yeniden dağıtım.
Adım 3 - Risk Değerlendirmesi ve Planı. Kapsam, hipotezler, yöntemlerin yasallığı, eserler listesi, yol haritası.
Adım 4 - Kanıt toplama. Belgeler, günlükler, röportajlar, işlemlerin seçimi; Gözetim zincirine uymak.
Adım 5 - Analiz ve Sonuçlar. Gerçek - kriter (politika/hukuk/lisans) - risk - etki.
Adım 6 - Öneriler ve CAPA'lar. Düzeltici/Önleyici Faaliyetler, Sahipler, Zamanlama, Başarı Ölçütleri.
Adım 7 - İletişim ve geri bildirim. Muhbirin kimliğini açıklamadan; Düzgün bir dil (finale kadar suçlama yok).
Adım 8 - Kapatma ve tutma. Nihai rapor, durum, eserlerin depolanması, kişisel olmayan istatistiklerin serbest bırakılması.

9) İletişim ve muhbir koruması

Bahşiş vermek yok. İddia edilen ihlalcilere raporlama/soruşturma gerçeğini ifşa etmeyin.
Baskıya karşı koruma. Düşürme, işten çıkarma, ikramiye yoksunluğu, zorbalık vb. Yasaktır. Misilleme önlemleri ayrı bir S1/S2 ihlali olarak kabul edilir.
Destek: gerekirse - başka bir takıma transfer, tatil, İK/yasal danışmanlık/psikolojik destek.
İki yönlü anonim iletişim: Muhbir soru sorabilir ve bir web gelen kutusu/belirteci aracılığıyla durum elde edebilir.

10) Diğer politikalarla ilişki

Etik ve Davranış Kuralları - Standartlar ve Kanallar.
Yolsuzlukla mücadele politikası - durum tespiti, hediyeler, aracılar.
GDPR/PII - işlemenin yasallığı, DSAR, tutma.
AML/RG/PCI/IS - özel prosedürler ve triyaj.
İç denetim - soruşturmaların bağımsız kalite kontrolü.

11) Kontrol listeleri

11. 1 Kanala başlamadan önce

  • DPIA ve DPO/Legal tarafından onaylanan gizlilik politikası.
  • Teknik mimari: Şifreleme, RBAC, WORM günlükleri.
  • Anonim bir web formu ve iki yönlü belirteç iletişimi yapılandırılmıştır.
  • Araştırma metodolojisinde WBO/triyaj ekibi eğitimi.
  • Şablonlar hazırlanmıştır (makbuz, soruşturma planı, rapor, kapanış mektubu).
  • İletişim kampanyası: "üstten ton", posterler, intranet, SSS.

11. 2 Mesaj alımı

  • Kimlik atanmış, tarih/kanal/S düzeyi kaydedilmiş.
  • Onay ayrıntıları açıklamadan muhbire gönderildi.
  • Sanatçılar için bir çıkar çatışması testi yapıldı.
  • Tüm ekler/meta veriler işlenir, kimlik doğrulaması kaldırılır.

11. 3 Soruşturma

  • Onaylanan plan ve hipotezler (Yasal/DPO/InfoSec - gerektiği gibi).
  • Her eser için gözetim zinciri korunur.
  • Görüşmeler kaydedilir; Gizlilik uyarısı.
  • Doğrulanabilir gerçeklere dayanan sonuçlar, akran incelemesi yapıldı.

11. 4 Kapanış

  • CAPA'lar atanır, tarihler ve metrikler tanımlanır.
  • Whistleblower (fırsat) kişisel olmayan geri bildirim aldı.
  • Tutma/sınıflandırma kuruldu; Eserler arşivlenir.
  • İstatistikler gösterge tablosunda güncellendi.

12) Belge Şablonları (Hızlı Ekler)

A) Muhbire makbuz

Key> Mesajınız için teşekkürler. Kimliğiniz WB-XXXX. Bilgileri inceleyeceğiz ve gerekirse bu güvenli kanal aracılığıyla sizinle iletişime geçeceğiz. Anonim kalabilirsiniz. Lütfen doğrulama tamamlanana kadar kamuya açıklamayın.

B) Araştırma planı (tek çağrı cihazı)

Vaka: WB-XXXX Öncelik: S1/S2/S3/S4 Sahibi:... Zaman çizelgesi:...
Hipotezler/kriterler:...
Veri/Artifaktlar:...

Röportaj: Liste/Program

Gizlilik riskleri/yasal kısıtlamalar:...
İletişim ve kontrol noktaları:...

C) Nihai Rapor (Yapı)

Özet Gerçekler Kriterler (politika/hukuk) Analiz Sonuçları CAPA Önerileri Ekler (eserler).

D) Kapanış Mektubu

💡 Lütfen WB-XXXX vaka incelemesinin tamamlandığını unutmayın. Uyum önlemleri alındı. Şirketin etik ve güvenli çalışmasına katkılarınızdan dolayı teşekkür ederiz.

13) Metrikler ve gösterge tablosu

Giriş Hacmi - kategori ve kanala göre mesaj sayısı.
Kabul Etme Zamanı/Triyaj Zamanı/Karar Verme Zamanı.
S-seviyeleri tarafından SLA uyumluluğu.
CAPA İlerleme Tamamlandı/Devam Ediyor/Süresi Dolmuş, Ortanca Yakın.
Misilleme Endeksi: Bildirilen yanıt şikayetleri (hedef 0).
Anonimlik Oranı: Anonim mesajların oranı ve doğrulanmış vakalara dönüştürülmesi.
Bulguları Tekrarla: Konuların 12 ayda tekrarlanması.
Farkındalık Etkisi: Kampanyalar Sonrası Temyiz Büyümesi; Kanal Güven NPS.

14) Riskler ve kontroller

Meta veriler yoluyla deanonymization. - Kimlik tespiti, EXIF silme, açık uyarılar.
Vaka erişim sızıntıları - RBAC, segmentasyon, WORM günlükleri, düzenli erişim denetimleri.
Kurgusal mesajlar/istismar. - kibar filtre ve olgu kontrolü; Bilerek yanlış ifadeler için yaptırımlar (yıldırma etkisi olmadan).
Soruşturmada çıkar çatışması. - Sanatçıların rotasyonu, IA/Legal'in katılımı.
Baskı. - ayrı bir şikayet akışı; Hızlı İK/Uyumluluk yanıtı.

15) Eğitim ve farkındalık

Onboarding: kanal, anonimlik ve veri koruma modülü (test ≥ %85).
Herkes için yıllık yeniden sertifikalandırma; WBO/araştırmacılar için ek eğitim.
Üç aylık kampanyalar (posterler/bot testleri/videolar): Beklenenin nasıl gönderileceği, örnekler.

16) 30 günlük uygulama planı

Hafta 1

1. WBO ve çalışma grubu atayın (Uyumluluk/Yasal/DPO/InfoSec/İK/IA).
2. Bir DPIA yapın, bir gizlilik ve saklama politikasını onaylayın.
3. Kanalları (web formu/posta/satır), anonimlik gereksinimlerini ve günlükleri belirtin.

2. hafta

4. Teknik bir platform uygulayın: şifreleme, RBAC, WORM günlükleri, anonim web gelen kutusu.
5. Şablonları ve SOP'ları hazırlayın: makbuz, plan, rapor, kapanış mektubu, CAPA.
6. Tren WBO/triyaj ekibi; RACI ve SLA'yı kaydedin.

3. hafta

7. Pilot: 1-2 test vakası (masa üstü), kanıt ve retention zincirinin doğrulanması.
8. Yönetim/komite için gösterge tablosu metrikleri ve raporlamaları oluşturun.
9. İletişim: CEO mektubu, intranet sayfası, SSS, posterler.

4. hafta

10. Kanal başlatma; SLA/yük izleme; Sıcak destek.
11. S1/S2 vakalarının ve CAPA durumlarının haftalık incelemeleri.
12. Retro ve v1 ayarlamaları. 1 (politikalar, formlar, eğitim).

17) İlgili bölümler

Etik ve Davranış Kuralları

Yolsuzlukla mücadele politikası

AML ve Çalışan Eğitimi/Uyum Farkındalığı

Olay oyun kitapları ve komut dosyaları

Uyumluluk panosu ve izleme

İç Denetim ve Dış Denetim

İhlal Bildirimleri ve Raporlama Süreleri

Düzenleyici raporlar ve veri formatları

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.