GH GambleHub

Ризики сторонніх постачальників і аудит партнерів

1) Навіщо і для кого

Мета: знизити ймовірність збоїв, витоків і регуляторних порушень, які приходять через зовнішніх постачальників і партнерів.
Охоплення: PSP/платіжні шлюзи, КУС/санкції/РЕР, антифрод, провайдери ігор і студії, афіліатські мережі і трекінг, хмари/CDN/хостинг, BI/аналіз, ретеншн-інструменти/маркетинг-SDK, call-центри, а також субпроцесори наших вендорів.

2) Категорії ризиків (доменна карта)

Інфобез і приватність: витоку PII/KYC/платіжних токенів, слабкі TOMs, відсутність WORM/аудиту.
Комплаєнс: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI-зона, рекламні/ігрові вимоги юрисдикцій.
Операційні: доступність/SLA, залежність від одного постачальника (concentration), слабкий BCP/DR.
Фінансові: стійкість постачальника, кредитні ризики, «chargeback-шоки».
Санкційні/геополітичні: обмеження експорту/імпорту, локація дата-центрів, РЕР/санкції в структурах володіння.
Репутаційні та правові: порушення реклами/відповідальної гри, IP-прав.
Технічні: уразливості SDK/API, відсутність версіонування і тестових середовищ.

3) Картування ланцюжка поставок

1. Inventory: єдиний реєстр всіх вендорів/партнерів/субпроцесорів з власником (business owner).
2. Data Map: які дані/юрисдикції/обсяги проходять через кого; прапори PII/фінанси/спецкатегорії.
3. Criticality: класифікуємо за впливом на гроші/PII/аптайм.

4) Тиринг постачальників (приклад критеріїв)

ТирОзнакиПрикладиВимоги
Tier 1 (критичний)PII/платежі, 24 × 7, прямий вплив на GGRPSP, КУС/санкції, антифрод, хмараПовний due diligence, аудит, BCP/DR-тести, щорічний onsite/remote аудит
Tier 2 (високий)непрямий вплив, PII masked, важливі інтеграціїстудії/агрегатори, DWH-інструментиРозширений опитувальник, вибірковий аудит, щорічний огляд
Tier 3 (середній/низький)немає PII/грошей, маркетинг-інструментиe-mail, віджетиЛайт-опитувальник, договірні мінімуми

5) Ризик-скринінг і скоринг

Фактори: безпека (політики, сертифікація), приватність (DPA/SCCs/DTIA), комплаєнс (AML/PCI/ISO), операційна стійкість (SLA/BCP/DR), фінанси (аудит/звітність), юрисдикції/санкції, інцидентна історія, технологічна зрілість (SDLC/DevSecOps).
Скоринг (приклад): 0-5 по кожному фактору → зважений підсумок (W) → зона: зелена/жовта/червона.

Порогові рішення:
  • Green: Стандартний контракт.
  • Amber: контролі/ремедіація до Go-Live.
  • Red: відмова або пілот з додатковими заходами (segmentation, throttling, read-only, escrow, знижені ліміти).

6) Due diligence (що вимагати на вході)

Артефакти/контролі (мінімум для Tier 1-2):
  • Політики безпеки/приватності, RoPA, реєстр субпроцесорів.
  • Звіти аудитів/сертифікація (ISO 27001/SOC 2 тип II/PCI при застосовності), останні пентести.
  • BCP/DR і результати тестів, RPO/RTO.
  • Інцидент-процедури (72-годинні повідомлення), журнал інцидентів за 12-24 міс.
  • DPA/механізм транскордонності (SCCs/IDTA) + DTIA, локалізація даних/ключів.
  • Безпека інтеграцій: mTLS/OIDC, підписані вебхуки, ротація ключів, allow-list IP.
  • Журнали доступу/експортів, WORM-копії, hash-ланцюжки.
  • Політика ретеншну і видалень, підтвердження про знищення бекапів при offboarding.
  • Фінстабільність (публічна звітність/довідки), структура володіння (санкційні/РЕР-перевірки).

Лайт-опитувальник для Tier 2-3: sSIG/CAIQ-рівня (20-60 питань).

7) Договірні вимоги (ключові пункти)

SLA/SLO: аптайм (напр. 99. 9%), латентність P95, час відповіді на інциденти, service credits.
Security/Privacy addendum: шифрування at rest/in transit, ключі/гео, журналювання, маскування, заборона вторинного використання даних.
DPA + субпроцесори: обов'язок повідомляти про розширення ланцюжка; право заперечення/аудиту.
Incident & Notification: вікно повідомлення ≤ 72 год; доступ до логів/артефактів; спільний war-room.
BCP/DR: обов'язкові тести N раз на рік, RPO/RTO.
Pen-test/Audit rights: не рідше 1 разу на рік (remote/onsite), доступ до звітів.
Change control: повідомлення про major-зміни (SDK/API/архітектура/географія).
Termination & Exit: експорт даних (формати), видалення/повернення, escrow для критичних інтеграцій, підтримка міграції в X днів.
Liability/Indemnity: cap/cublimits, IP-гарантії, штрафи за порушення SLA/витоку.

8) Onboarding → Monitoring → Offboarding (життєвий цикл)

8. 1 Onboarding

1. Бізнес-обгрунтування і owner → тиринг → опитувальник/артефакти.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Контролі до Go-Live: сегментація (VPC/tenant), навантаження/ліміти, маскування/токенізація, feature-flags, тест-пісочниця.
4. Договір/інтеграція → пілот → Go/No-Go.

8. 2 Continuous Monitoring

Техмоніторинг: аптайм, помилки, латентність, бюджет ризиків.
Безпека: алерти SIEM (аномальні експорти/доступ без'purpose'), звіти вендора, уразливості SDK.
Приватність/комплаєнс: зміни субпроцесорів, локацій, ретеншну; DSAR-сумісність.
Фінанси: KPI по конверсіях/refund/chargeback, SLA-штрафи.
Щоквартальний review для Tier 1-2 і щорічний ре-due-diligence.

8. 3 Offboarding

Відгук ключів/доступів, знищення/повернення даних і бекапів, акти, закриття тікетів, оновлення реєстрів і карти даних.

9) Процедури аудиту партнерів

9. 1 План і область

Фокус: управління доступами, шифрування/ключі, журнали, інциденти, BCP/DR, DSAR-процеси, субпроцесори.

9. 2 Методи

Інтерв'ю, огляд документів/логів, вибіркові перевірки, технічні тести (апі-rate-limit/mTLS/підписи), tabletop-навчання.

9. 3 Звіт і CAPA

Класифікація знахідок (Critical/High/Medium/Low), терміни ремедіації, контроль закриття і ретест.

10) Інциденти у вендора: playbook

1. Детект: сигнал вендора/нашого моніторингу/спільноти.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: обмеження трафіку/відключення SDK/ключів, тимчасові ліміти/канарські пули.
4. Форензика: журнал викликів, підписи вебхуків, підтвердження WORM, діапазон порушених записів.
5. Сповіщення: регулятори/користувачі/банки (якщо потрібно), спільні тексти.
6. CAPA: фікси, терміни, перевірка ефективності; перегляд скорингу та умов договору.

11) RACI (укрупнено)

АктивністьBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Тиринг/бізнес-кейсA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Договори (SLA/DPA/правки)CCCA/RA/RIR
Інтеграція/сегментаціяCA/RCCIRI
Моніторинг/аудитRA/RA/RA/RCRI
Інциденти/САРАCA/RA/RA/RCRI
Offboarding/експорт/видаленняRA/RAACRI

12) Метрики (KPI/KRI)

Coverage: % активних постачальників у реєстрі з актуальною оцінкою ≥ 100%.
Assessment TTM: медіана часу due diligence Tier 1 ≤ 15 робочих днів.
Remediation SLA: критичні знахідки закриті ≤ 30 днів (≥ 95%).
Incident Notification: частка повідомлень у вікні 72 год - 100%.
DPA/SCCs/DTIA Coverage: у Tier 1-2 - 100% актуальні.
Concentration Risk: частка трафіку/виручки на 1 PSP/провайдера ≤ X% (поріг).
BCP/DR Evidence: % Tier 1 з підтвердженими тестами за 12 міс - 100%.
Export Logging: 100% експортів підписані і зажурналені.

13) Шаблони та фрагменти

13. 1 Міні-опитувальник (Tier 1-2, витримка)

Сертифікація/аудити (ISO/SOC2/PCI), дата закінчення.
Архітектура даних: гео, субпроцесори, ключі/КMS, шифрування.
Інциденти за 24 міс (тип/дата/заходи).
Доступи та журнали (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (дати тестів, RPO/RTO).
DSAR/ретеншн, RoPA, CMP/SDK.
Техконтролі API: mTLS/OIDC, підпис вебхуків, ротація ключів, rate-limit.

13. 2 SLA (фрагмент)

ПоказникМетаЗавмерКредит
Аптайм (міс.)99. 9%Зовні. моніторинг5–10% fee
Інцидент Critical: відгук≤ 15 хвwar-room протоколфікс.
Ремедіація High≤ 30 днівзвіт CAPAфікс.

13. 3 Security & Privacy Addendum (клаузи-витримки)

"Заборона вторинного використання даних; доступ строго по Need-to-Know; експорт тільки у схвалені реєстри"

"Незмінні журнали (WORM) з хеш-підписом; аудит за запитом раз на рік"

«При заміні субпроцесора - повідомлення ≥ 30 днів, право заперечення, альтернативний план».

"DTIA при будь-якій транскордонній передачі поза адекватних юрисдикцій; ключі - в EC/UK (per домовленості)"

14) Чек-листи

Перед Go-Live з постачальником

  • Owner призначений, тир визначений
  • Опитувальник/артефакти отримані і перевірені
  • DPA/SLA/правки підписані, субпроцесори задекларовані
  • Сегментація/ліміти/маскування включені, ключі роздільні
  • Тест-пісочниця/таблетоп по інциденту пройдені
  • План виходу/міграції і escrow оформлені

Щоквартально (Tier 1-2)

  • Моніторинг SLA/інцидентів/SDK-вразливостей
  • Оновлення сертифікатів/звітів, реєстру субпроцесорів
  • Тест DR/BCP підтверджений
  • Фін-скринінг (стійкість), санкційні перевірки
  • Рев'ю концентраційних ризиків і альтернатив

Offboarding

  • Ключі/доступи відкликані
  • Експорт даних завершено, підтвердження видалення/бекапів
  • Акти закриття, оновлений Data Мар/реєстри

15) Типові сценарії та заходи

A) Вразливість в SDK маркетингу

Негайне відключення, блок на збір PII, повідомлення DPO/регуляторів при необхідності, CAPA у вендора, ретест.

B) PSP деградує по SLA

Авто-роутинг трафіку на резервний PSP, зниження лімітів, активація service credits, перегляд договору/екзит-план.

C) Витік у KYC-провайдера

Ізоляція інтеграції, ревокація токенів, картування порушених записів, повідомлення, ручні KYC high-risk, аудит вендора, можлива заміна.

16) Дорожня карта впровадження TPRM

Тижні 1-2: інвентаризація вендорів, Data Map, тиринг, базовий опитувальник і реєстр.
Тижні 3-4: шаблони SLA/DPA/добавок, процес onboarding/monitoring/offboarding, інтеграція з SIEM/CMDB/IDP.
Місяць 2: пілот Tier 1-2, запуск квартальних оглядів, автоматизація перевірок сертифікатів/термінів.
Місяць 3 +: масштабування, скоринг/дашборди, стрес-тести BCP/DR, оптимізація концентраційних ризиків та альтернативні маршрути.

TL; DR

Сильний TPRM = повна карта вендорів → тиринг і скоринг → жорсткі договори (SLA/DPA/BCP/DTIA) → сегментація і безпечні інтеграції → безперервний моніторинг і аудит → швидкий екзит/ремедіація. Це захищає гроші, дані та ліцензії - і зберігає стійкість бізнесу навіть при збоях партнерів.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.