對事件和泄漏的反應

1）目標、原則和範圍

目標：減少損害和法律風險，確保操作的連續性和安全/合規事件的可證明性。

原則： 「迅速遏制→準確確認→透明記錄→合法通知→防止重復。」

覆蓋範圍：網絡事件（DDoS，ATO，黑客，漏洞），PII/支付數據泄漏，AML/KYC/制裁違規行為，提供商故障（KYC/PSP），廣告/負責任遊戲（RG）事件，受損合作夥伴。

2）嚴重性分類和觸發因素

3） SLA升級和「事件橋」

啟動：在High/Critical中創建戰爭室（聊天/呼叫），分配給事件指揮官（IC）。
SLA: Info — n/a;Low-24小時；Medium — 4 ч;High-1小時；Critical-15分鐘。
在橋梁上的角色：IC，安全領導，SRE/Ops，合規性（合法性），法律/DPO，薪資/FRM，支持/VIP，PR/Comms，Data/Forensics。

4）響應過程（適應中的SANS/NIST堆棧）

1.準備：runbooks，聯系人列表，備用提供商，測試異同，訪問「默認關閉」。
2.識別：SIEM/SOAR相關性，反親緣規則，KRI信號；確認事實/範圍。
3.遏制（Containment）：分割、禁用易受攻擊的fici/Endpoint、地理限制、特征閃光燈、時間限制/丘陵。
4.消除（Eradication）：修補程序/按鍵旋轉、憑證/設備單元、清除惡意工件、重新組合映像。
5.恢復（Recovery）：驗證完整性,逐步啟用流量（金絲雀池）,監視回歸。
6.吸取教訓（事件後）：mortem ≤72 ch, CAPA計劃,政策/閾值/模型更新。

5）法律通知和外部溝通

• 數據監視（DPA）：確認的PII泄漏→通知（事件描述，數據類別，措施，DPO聯系人）。
• 賭博監管機構：大規模違反RG/廣告規則/中斷，影響玩家/報告。
• 銀行/PSP：可疑活動/SAR案例，大規模充電包，支付流量損害。
• 用戶：數據泄漏/危害高風險；信件模板和常見問題解答。
• 合作夥伴/供應商：他們或我們發生的影響共享流/數據的事件。

通訊規則：一個單一的發言人，沒有猜測的事實，明確的行動/建議，保留所有版本的消息和答復。

6）Forenzik和「證據存儲鏈」（Custody鏈）

記錄誰/何時/收集的內容；使用WORM/不變存儲。
卷/邏輯快照，通過哈希導出工件（SHA-256）。
「僅讀」可用性，通過重復進行操作。
記錄所有命令/步驟；儲存時間線。
與Legal/DPO商定將文物轉讓給第三方的條款。

7）受控通信（內部/外部）

簡而言之，事實上，與IC/Legal一致；指明下註時段（每60分鐘）。
Do n't：假設為事實，PII披露，指控，時機承諾不受控制。

• 發生了什麼事?/嚴重性/影響範圍/采取的措施/下一步行動/下一步升級到……

8）類型域劇本'和

A）PII泄漏（附件/後端/供應商）

1.Bridge ≤15 min →凍結可疑的終點/密鑰→啟用增強的數據訪問審核。
2.Forenzika： 定義源/體積/PII類型,時間線。
3.行動：保密輪換，偽造，權利審計，供應商隔離。
4.通知：DPA/監管機構/用戶/合作夥伴（按要求）。
5.玩家支持：常見問題，支持渠道，建議（密碼更改/欺詐）。
6.後太平間和CAPA。

B）損害玩家帳戶（ATO/credential stuffing）

1.ATO信號中的Spike →增強時間輸出單元rate limit/2FA-enforce/WebAuthn。
2.設備/IP群集、向受影響的用戶發送通知、重置令牌。
3.必要時檢查金融交易，SAR。

C）CUS提供商拒絕/制裁

1.切換到fallback提供商,限制快速引線,手動流為VIP。
2.Sapport和VIP經理的Comm；當擠壓時-通知監管機構/銀行（如果影響檢查）。

D）PSP/支付事件（充電包/損害）

1.包括嚴格的3DS/AVS，取消限制和權宜規則；風險群體。
2.報告PSP/銀行；如果有洗錢的跡象，EDD/SAR。
3.恢復和審核被拒絕的流量。

E） DDoS/不可用

1.激活WAF/地理切斷/洗滌；發行的「霜凍」。
2.金絲雀包括地區，SLO控制；關於可持續性的後太平間。

9）工具和文物

SIEM/SOAR，IDS/IPS，WAF，EDR，DLP，秘密管理員，保管庫輪換，防凍異常檢測，事件註冊表，通知模板。
工件：事件登記冊，橋接協議（時間線），forenzics報告，通知包（調節器/用戶/銀行），後太平間，CAPA跟蹤器。

10）度量指標和目標基準

MTTD（發現前時間），MTTC（遏制前），MTTR（恢復前）。
已確定根本原因的事件≥ 90％。
CAPA按時執行的百分比≥ 95％。
出於同樣原因再次發生事件的比例≤ 5%。
SLA中關閉的事件比例≥ 90%，High ≥ 95%，Critical ≥ 99%。

11） RACI（簡稱）

事件指揮官（Ops/Sec）：管理，決策，時間線。
安全負責人（R）：技術。分析，forenzics，containment/eradication。
合規性/DPO （R/A為合法性）：泄漏資格、通知、郵件表。
法律（C）：法律評估，合同/合同，信件的措辭。
SRE/Engineering （R）：虛構、回滾、穩定性。
Payments/FRM （R）： hills, antifrod閾值,與PSP/罐的相互作用。
PR/Comms （R）：外部消息,劄幌的Q&A。
支持/VIP （I/C）：與玩家溝通的前沿。

12）模板（最小集）

12.1個事件卡（登記冊）

ID·檢測時間·類別/嚴重性·受影響（系統/數據/司法管轄區）·IC·所有者tec/Bizn·第一項措施·範圍/損害評估·通知（誰/何時）·參考文物·狀態/SARA/時間表。

12.2通知用戶（擠壓）

發生了什麼？哪些數據可能受到影響；我們做了什麼；向您推薦什麼； 聯系信息鏈接到政策/常見問題解答。

12.3後太平間（結構）

事實/時間線·Impact·根本原因（5 Whys）·什麼有效/不起作用·CAPA（所有者/截止日期）·在N周內檢查效率。

13）與操作和合規性集成

CAB/Change：危險變化-僅通過幻燈片/金絲雀；在每個版本中-回滾計劃。
數據和報告：自動組裝事故碼頭；與KRI的聯系（制裁/RER，KYC，CBR，ATO）。
風險：更新風險矩陣和註冊表，在每次重大事件後校準閾值。

14）演習和準備

Tabletop每季度一次（PII泄漏，KYC故障，ATO波，PSP事件）。
紅色/藍色/紫色團隊檢查；與供應商和PSP合作演習。
準備就緒KPI：接受培訓的員工比例；演習的成功；「提升橋梁」的平均時間。

15）實施路線圖

1-2周：角色/聯系人主流化，模板，備用提供商。
3-4周：SOAR花花公子、橋接通道、測試通知、WORM存檔。
月2+：定期演習，日誌審計，事件報告自動化。

TL;DR

準備就緒=預先商定的角色和閾值+快速橋梁+強硬集合+合法和及時的通知+具有證據鏈的forenzik+強制性後模擬器和CAPA。這將損害最小化，減少罰款風險，並建立球員和合作夥伴的信心。