GH GambleHub

Hamkorlar uchun komplayens qo’llanmasi

1) Vazifasi va amal qilish sohasi

Ushbu rahbariyat hamkorlar/pudratchilar/affiliatlar/provayderlar (shu jumladan to’lov va hosting platformalari, kontent studiyalari, antifrod xizmatlari, call-markazlar, marketing agentliklari) uchun komplayens talablarini belgilaydi.

Maqsadlar:
  • Xavfsizlik, maxfiylik, tartibga solish va mas’uliyatli kommunikatsiyalarning yagona standartlari.
  • Yetkazib berish zanjirida operatsion/huquqiy tavakkalchiliklarni kamaytirish.
  • «Audit-ready» dalillar bazasi va o’zaro tekshiriluvchanlik.

2) Atamalar

Sherik - ma’lumotlarni qayta ishlovchi yoki xizmatlar ko’rsatuvchi har qanday uchinchi tomon.
Tanqidiy sherik - xavfsizlik, to’lovlar, shaxsiy ma’lumotlar yoki tartibga solish jarayonlariga sezilarli ta’sir ko’rsatadi.
Subprotsessor - ma’lumotlarni qayta ishlashga jalb etilgan sherikning kontragenti.

3) Prinsiplar («design tenets»)

Compliance-by-design: talablar jarayonlar va arxitekturaga kiritilgan.
Ma’lumotlarni minimallashtirish va yurisdiksiya hisobi (data residency).
Izlanuvchanlik va o’zgarmaslik: loglar, WORM arxivi, xesh-kvitansiyalar.
Proportionality: tekshirish chuqurligi xavfga bog’liq.
«Haqiqatning bir versiyasi»: SLA va RACI tushunarli tasdiqlangan artefaktlar.

4) Rollar va RACI

RolMas’uliyat
Vendor Management (A)Tavakkalchilik tasnifi, onbording/offbording, monitoring
Compliance/GRC (R)Talablar, tekshiruvlar, CAPA, audit tayyorligi
Legal/DPO (C)Shartnomalar, DPA, maxfiylik, transchegaralik
SecOps/CISO (C/R)Tech. talablar, noxush hodisalar, deteksiyalar
Finance/Payments (C)To’lov talablari, chargeback/sanksiyalar
Business Owner (R)Sherik bilan operatsion ish, KPI
Internal Audit (I)O’zbekiston Respublikasi

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Tavakkalchilik bo’yicha sheriklarni tasniflash

Mezonlar: ma’lumotlar turi (PII/to’lov), tranzaksiyalar hajmi, prod-tizimlarga kirish, yurisdiksiyalar, zanjirdagi roli (protsessor/nazoratchi), hodisalar tarixi, sertifikatlar/auditlar.
Darajalar: Low/Medium/High/Critical → Due Diligence chuqurligini va taftish chastotasini aniqlaydi.

6) Onbording va Due Diligence (DD)

Qadamlar:

1. DD so’rovnomasi (egalari, subprotsessorlar, ma’lumotlar joylashuvi, sertifikatlar, nazoratlar).

2. Sanksiyalar/obro’ni/benefitsiarlarni tekshirish (screening).

3. Xavfsizlik/maxfiylikni baholash: SOC/ISO/PCI/pentest, retensiya siyosati, DSAR-jarayonlar.

4. Texnik tekshirish: SSO/OAuth, shifrlash, maxfiy menejment, loging.

5. To’lov/AML-jihatlari (agar qo’llash mumkin bo’lsa): chargeback-jarayonlar, antifrod, limitlar.

6. Risk Report va qaror: ruxsat berish/shartli ravishda rad etish + SARA/kompensatsiya choralari.

7. Shartnomalar: MSA, SLA/OLA, DPA, audit huquqi, ko’zgu retentsiyasi, hodisalar to’g "risidagi xabarnomalar, off-ramp.

7) Sherikka qo’yiladigan majburiy talablar (minimal)

7. 1 Xavfsizlik va maxfiylik

in transit/at rest shifrlash, kalitlarni boshqarish (KMS/HSM).
RBAC/ABAC, MFA, ma’muriy harakatlar jurnali, re-cert kirish.
Logi va WORM-arxivi xesh-imzo bilan; sinxronlangan vaqt.
Retensiya siyosati, Legal Hold, DSAR-tartib-taomillar; PI niqoblash/tokenlash.
Zaifliklar/pentestlar hisobotlari; boshqariladigan yangilanishlar siyosati.

7. 2 Tartibga solish va marketing

Ishonchsiz/tajovuzkor offerlarni taqiqlash, majburiy diskleymerlar.
Mas’uliyatli o’yin va yoshga oid verifikatsiya qoidalariga rioya qilish (agar qo’llanilsa).
Litsenziyalar va lokal cheklovlarga muvofiq geo-targeting.
Kommunikatsiyalar uchun hujjatlashtirilgan rozilik/javoblar, pruflarni saqlash.

7. 3 To’lovlar/AML/KYC (roli bo’yicha)

KYC/KYB tartib-taomillari, sanksiya/RER-skrining, tranzaksiyalar monitoringi.
Avtorizatsiya daftarlari/3DS, chargeback-jarayonlar, tavakkalchilik limitlari.
Bloklash/tekshirish va qaytarishning kelishilgan stsenariylari.

8) Texnik integratsiya

SSO/SAML/OIDC, SCIM-provijining (iloji boricha).
Strukturalangan logirovka (JSON/OTel), traska (trace_id).
Vebxuklar - imzo va retralar bilan; yetkazib berish kafolati/idempotentlik.
API-limitlar, kontrakt-testlar, backward compatibility, versiyalash.
Izolyatsiya qilingan muhit, kalitlar va sirlar - maxfiy omborlarda.

9) Shartnoma majburiyatlari

SLA/OLA: aptaym, TTR/MTTR, kechikishlar, tanqidiy xizmatlar uchun RPO/RTO.
Evidence & Audit: audit huquqi, PBC formatlari, javob muddatlari, Data Roomga kirish.
Hodisalar: xabarnoma ≤ X soat, hisobot formati va taymline, CAPA.
Retensiya va olib tashlash: TTL, yo’q qilinganligini tasdiqlash, subprotsessorlarda ko’zgu retensiyasi.
Maxfiylik/NDA va subpudratga cheklovlar.

10) Noxush hodisalarni boshqarish (birgalikda)

Yagona ogohlantirish kanali va yangilanishlar battle-rhythm.
Darhol Legal Hold tegishli ma’lumotlar.
Qo’shma taymline (kim/nima/qachon), xesh-kvitansiyali artefaktlar.
Regulyatorlarga/mijozlarga bildirishnomalar - kelishilgan jarayon orqali.
Post-mortem, CAPA, re-audit 30-90 kundan keyin.

11) Hisobot va monitoring

Har choraklik hisobotlar: sertifikatlar, noxush hodisalar, SLA, subprotsessorlar, ma’lumotlar joylashuvidagi o’zgarishlar.
Privacy/DSAR metrikasi, mijozlarning shikoyatlari, marketing qoidabuzarliklari.
Moliyaviy/to’lov: chargeback ratio, antifrod-samaradorlik, win-rate apellyatsiyalar.

12) Audit nazorati va huquqi

Tavakkalchilik klasslari bo’yicha rejali taftishlar; rejadan tashqari - hodisalar/tanqidiy o’zgarishlar bo’yicha.
Data Room, PBC-лист, ToD/ToE/Walkthrough/Reperform.
Natijalar → CAPA, yopilish muddatlari va tekshiruvi (WORMdagi evidence).

13) Offbording sherigi

Migratsiya/almashtirish rejasi, artefaktlar va kalitlarni topshirish.
Sherik va subprotsessorlarda ma’lumotlar yo’q qilinganligini tasdiqlash.
Kirish/sirlarni chaqirib olish, integratsiya kanallarini yopish.
Yakuniy audit/hisobot va dalillarni arxivlash.

14) Metrika va KRI

Onboarding Lead Time (xavfli sinflar bo’yicha).
Vendor Certificate Freshness (maqsad: 100% tanqidiy sheriklar).
SLA Compliance va Incident Rate.
Privacy/DSAR SLA va mijozlarning shikoyatlari.
Chargeback Ratio/Fraud Loss% (to’lov rollari uchun).
CAPA On-time и Repeat Findings.
Localization/Jurisdiction Drift (joylashuv/subprosessorlarning kelishilmagan oʻzgarishlari).

15) Dashbordlar

Vendor Risk Heatmap: tavakkalchilik, sertifikatlar, hodisalar, mamlakatlar.
Compliance Coverage: DPA/SLA mavjudligi, audit huquqi, retensiya/Legal Hold.
SLA & Incidents: aptaym, TTR/MTTR, yopilmagan hodisalar.
Privacy & DSAR: muddatlar, hajmlar, shikoyatlar, trendlar.
Payments/Fraud: chargeback ratio, sabablari, win-rate apellyatsiyalar.
CAPA & Re-audit: holatlar, kechikishlar, takroran izohlar.

16) SOP (standart tartib-taomillar)

SOP-1: Hamkor onbording

DD → skrining so’rovnomasi → tech/maxfiylik/xavfsizlik-baholash → Risk Report → shartnomalar (MSA/DPA/SLA) → integratsiya va loglarni sozlash → uchuvchi → go-live.

SOP-2: Sherikdagi oʻzgarishlar

O’zgarishlar to’g "risidagi notifikatsiya (subprotsessorlar/joylashuv/arxitektura) → tavakkalchilikni baholash → shartnomalar yangilanishi/siyosat → testlar → prod.

SOP-3: Hodisa

Yagona kanal → Legal Hold → qo’shma taymline/artefaktlar → bildirishnomalar → CAPA → re-audit.

SOP-4: Davriy taftish

Tavakkalchilik bo’yicha yillik/choraklik aylanish → PBC → ToD/ToE tanlash → hisobot/SARA → metriklarni nashr etish.

SOP-5: Offbording

Migratsiya rejasi → eksport/topshirish → yo’q qilinganligini tasdiqlash → kirishni chaqirib olish → yakuniy hisobot.

17) Artefaktlar shablonlari

17. 1 Vendor DD Checklist (parcha)

Jur. ma’lumotlar/benefitsiarlar; sanksiya skrining

Sertifikatlar/auditlar, xavfsizlik/maxfiylik siyosati

Ma’lumotlar/subprotsessorlar/retensiya joylashuvi

24 oylik hodisalar, CAPA

Tech. integratsiya: SSO, logistika, shifrlash, vebxuklar

17. 2 DPA/SLA - majburiy bandlar

Ma’lumotlarga ishlov berish, maqsadlar, huquqiy asoslar

Hodisalar to’g "risida xabardor qilish muddatlari, hisobotlar formati

Audit huquqi, PBC formatlari, Data Room

TTL/oʻchirish, Legal Hold, yoʻq qilinganligini tasdiqlash

Subprotsessorlar va kelishish tartibi

17. 3 Dalillar paketi (evidence pack)

Kirish/ma’muriy harakatlar loglari (tuziltirilgan, xesh-kvitansiyalar)

Zaifliklar/pentestlar/skanlar hisobotlari

DSAR-reyestr/olib tashlash/retensiya

SLA/hodisalar/tiklash (RTO/RPO)

Shartnomalar/addendumlarning imzolangan versiyalari

18) Antipatternlar

Shaffof bo’lmagan subprosessorlar/ma’lumotlar joylashuvi.
Re-cert va jurnallarsiz «uzluksiz» kirish.
O’zgarmas va xesh-tasdiqlarsiz qo’lda tushirish.
Ishonchsiz/taqiqlangan va’dalar bilan marketing.
Offbordingda ma’lumotlarning yo’q qilinganligi tasdiqlanmaganligi.
Abadiy waivers muddatsiz va kompensatsiya choralarisiz.

19) Etuklik modeli (M0-M4)

M0 Ad-hoc: bir martalik tekshiruvlar, sheriklar bo’yicha xatarlar reyestri yo’q.
M1 Katalog: sheriklar ro’yxati, bazaviy DD/shartnomalar.
M2 Boshqariladigan: tavakkalchilik klasslari, SLA/DPA, dashbordlar, rejali taftishlar.
M3 Integratsiyalashgan: loglash/evidence-shina, re-audit, CAPA-linkovka, «audit-ready».
M4 Continuous Assurance: real vaqt monitoringi, tavsiya tekshiruvlari, PBC/evidence paketlarining avtogeneratsiyasi.

20) wiki bilan bog’liq moddalar

Due Diligence provayderlarni tanlashda

Autsorsing xavfi va pudratchilarni nazorat qilish

Tashqi auditorlar tomonidan tashqi tekshiruvlar

Dalillar va hujjatlarni saqlash

Jurnallar va Audit Trail

Qoidabuzarliklarni bartaraf etish rejalari (CAPA)

Takroriy auditlar va bajarilishini nazorat qilish

Siyosat va normativlar ombori

Jamoalardagi komplayens-yechimlar kommunikatsiyasi

Jami

«Hamkorlar uchun komplayens bo’yicha qo’llanma» ta’minot zanjirini boshqariladigan ekotizimga aylantiradi: yagona talablar, oldindan aytib bo’ladigan tekshiruvlar, o’zgarmas dalillar va shaffof kelishuvlar. Bu xavf-xatarlarni kamaytiradi, integratsiyani tezlashtiradi va hamkorlikni keng miqyosda va tekshiruvdan oʻtkazadi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.