GH GambleHub

Due Diligence provayderlarni tanlashda

1) Nima uchun Due Diligence provayderlari kerak?

Provayder - ishonch zanjirining davomi. Tanlash xatosi = tartibga soluvchi jarimalar, oqish, to’xtab qolish va obro’-e’tibor yo’qotishlari. Due Diligence (DD) quyidagilarga imkon beradi:
  • Mahsulot/mamlakat/ma’lumotlar bo’yicha o’ziga xos xavfni identifikatsiyalash.
  • Shartnoma tuzilgunga qadar komplayens va xavfsizlikni tekshirish.
  • Kontrakt bosqichida SLA/SLO va audit huquqlarini qayd etish.
  • Maʼlumotlar yaxlitligini saqlagan holda monitoring va chiqish rejasini (offboarding) oʻrnatish.

2) O’zbekiston Respublikasi

Lahzalar: oldindan tanlash, qisqa ro’yxat, kontrakt oldidan, sezilarli o’zgarishlar bo’lganda, har yili qayta ko’rib chiqish.
Qamrov: yuridik maqom, moliyaviy barqarorlik, xavfsizlik, maxfiylik, texnik yetuklik, ekspluatatsiya/qo’llab-quvvatlash, komplayens (GDPR/PCI/AML/SOC 2 va boshqalar), geografiya va sanksiya xatarlari, ESG/etika, subpudratchilar.

3) Rollar va RACI

RolMas’uliyat
Business Owner (A)Biznes-asoslash, budjet, tavakkalchilikni hisobga olgan holda yakuniy qaror
Procurement/Vendor Mgmt (R)DD jarayoni, tender, takliflarni taqqoslash, reyestr
Compliance/DPO (C/R)Maxfiylik, ishlov berish qonuniyligi, DPA/SCC
Legal (R/C)Shartnomalar, javobgarlik, audit huquqlari, IP/litsenziyalar
Security/CISO (R)Texnik nazorat, testlar, noxush hodisalarga qo’yiladigan talablar
Data Platform/IAM/IT (C)Integratsiya, arxitektura, SSO, loglar
Finance (C)To’lov qobiliyati, to’lov shartlari/valyuta/soliqlar
Internal Audit (I)To’liqligi va izlanuvchanligini kuzatish

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Baholash mezonlari xaritasi (nimani tekshiryapmiz)

4. 1 Huquqiy va korporativ profil

Ro’yxatga olish, benefitsiarlar (KYB), sud nizolari, sanksiya ro’yxatlari.
Tartibga solinadigan xizmatlar uchun litsenziyalar/sertifikatlar.

4. 2 Moliya va barqarorlik

Auditlangan hisobot, qarz yuki, asosiy investorlar/banklar.
Bitta mijoz/mintaqaga bog’liqlik, uzluksizlik rejasi (BCP).

4. 3 Xavfsizlik va maxfiylik

ISMS (siyosat, RACI), tashqi test natijalari, zaifliklarni boshqarish.
At Rest/In Transit, KMS/HSM shifrlash, sirlarni boshqarish.
DLP/EDRM, jurnallash, Legal Hold, retensiya va olib tashlash.
Hodisa-menejment: SLA bildirishnomalar, pleybuklar, post-mortemlar.

4. 4 Muvofiqlik va sertifikatlashtirish

SOC 2/ISO 27001/PCI DSS/ISO 27701/CSA STAR (muddatlari va hajmi).
GDPR/lokal normalar: rollar (controller/processor), DPA, SCC/BCR, DPIA.
AML/sanksiya konturi (agar qo’llanilsa).

4. 5 Texnik yetuklik va integratsiya

Arxitektura (ko’p tenantlik, izolyatsiya, SLO, DR/HA, RTO/RPO).
API/SDK, versiyalash, rate limits, observability (logi/metrika/treys).
Oʻzgarishlarni boshqarish, relizlar (blue-green/canary), teskari moslik.

4. 6 Operatsiyalar va qo’llab-quvvatlash

24 × 7/Follow-the-sun, reaksiya/tiklanish vaqti, onkollar.
Onbording/offbording tartib-taomillari, ma’lumotlarni jarimasiz eksport qilish.

4. 7 Subprotsessorlar va yetkazib berish zanjiri

Subpudratchilar, yurisdiksiyalar ro’yxati, ularning nazorati va o’zgarishlar to’g "risidagi bildirishnomalar.

4. 8 Etiklik/ESG

Korrupsiyaga qarshi siyosat, xulq-atvor kodeksi, mehnat amaliyoti, hisobot.

5) Due Diligence (SOP) jarayoni

1. Tashabbus: ehtiyoj kartochkasi (maqsadlar, ma’lumotlar, yurisdiksiyalar, tanqidiylik).
2. Malaka: qisqa so’rovnoma (pre-screen) + sanksiya/litsenziya cheki.
3. Chuqur baholash: so’rovnoma, artefaktlar (siyosatchilar, hisobotlar, sertifikatlar), intervyular.
4. Texnik tekshirish: security-sharh, atrof-muhit demosi, loglarni/metriklarni o’qish, PoC.
5. Skoring va tavakkalchilik: xos tavakkalchilik → nazorat profili → qoldiq tavakkalchilik.
6. Remediatsiya: kontraktgacha bo’lgan shartlar/tuzatishlar (muddati belgilangan gap-ro’yxat).
7. Контракт: DPA/SLA/audit rights/liability/IP/termination/exit plan.
8. Onbording: kirish/SSO, ma’lumotlar kataloglari, integratsiyalar, monitoring rejasi.
9. Uzluksiz monitoring: har yili qayta ko’rib chiqish/triggerlar (hodisa, subprotsessorni almashtirish).
10. Offbording: eksport, olib tashlash/anonimlashtirish, kirishni qaytarib olish, yo’q qilinganligini tasdiqlash.

6) Provayder so’rovnomasi (savollar yadrosi)

Jur. shaxs, benefitsiarlar, sanksiya tekshiruvlari, 3 yillik nizolar.
Sertifikatlash (SOC 2 turi/davri, ISO, PCI), oxirgi hisobotlar/scope.
Xavfsizlik siyosati, ma’lumotlar inventari, tasniflash, DLP/EDRM.
Texnik izolyatsiya: tenant-isolation, tarmoq siyosati, shifrlash, kalitlar.
Logi va audit: saqlash, kirish, WORM/immutability, SIEM/SOAR.
24 oylik hodisalar: turlari, ta’siri, darslari.
Retensiya/olib tashlash/Legal Hold/DSAR oqimi.
Subprotsessorlar: ro’yxat, mamlakatlar, funksiyalar, shartnomaviy kafolatlar.
DR/BCP: RTO/RPO, oxirgi test natijalari.
Qo’llab-quvvatlash/SLA: reaksiya/yechim vaqti, eskalatsiya, kredit sxemasi.
Exit-plan: maʼlumotlar eksporti, formatlar, qiymat.

7) Skoring-model (misol)

O’qlar: Huquq/Moliya/Xavfsizlik/Maxfiylik/Texnika/Operatsiyalar/Komplayens/Zanjir/ESG.
Har bir o’q bo’yicha 1-5 ball; xizmatning tanqidiyligi va ma’lumotlar turi bo’yicha og’irlik.

Yakuniy tavakkalchilik:
  • ’RR = Σ (og’ irlik _ i × ball _ i)’→ toifalar: Low/Medium/High/Critical.

High/Critical: kontraktgacha remediatsiya qilish, SLAning kuchaytirilgan shartlari va monitoring qilish majburiydir.
Low/Medium: standart talablar + yillik qayta ko’rib chiqish.

8) Shartnomaning majburiy qoidalari (must-have)

DPA: rollar (controller/processor), maqsad, maʼlumotlar toifalari, retensiya va oʻchirish, Legal Hold, DSAR yordam.
Transchegaraviy uzatmalar uchun SCC/BCR (agar qo’llash mumkin bo’lsa).
Security Appendix: shifrlash, loglar, zaifliklar/patching, pentestlar, zaifliklarni ochish.
SLA/SLO: reaksiya/bartaraf etish vaqti (sev-darajalar), kreditlar/jarimalar, foydalanish imkoniyati, RTO/RPO.
Audit Rights: audit/so’rovnoma/dalillarga bo’lgan huquq; nazoratchilar/subprotsessorlar o’zgarganligi to’g "risida bildirishnomalar.
Breach Notification: xabardor qilish muddatlari (masalan, 24-72 soat ≤), formati, tergovdagi hamkorlik.
Subprocessor Clause: roʻyxat, xabarnoma/kelishuv boʻyicha oʻzgarish, javobgarlik.
Exit & Data Return/Deletion: eksport formati, muddatlari, yo’q qilinishini tasdiqlash, migratsiyani qo’llab-quvvatlash.
Liability/Indemnity: limitlar/istisnolar (PI sizib chiqishi, litsenziyalarning buzilishi, regulyatorlarning jarimalari).
IP/License: ishlab chiqish/konfiguratsiya/maʼlumot/meta maʼlumot huquqi.

9) Qayta ko’rib chiqish monitoringi va triggerlari

Sertifikatlarning tugashi/yangilanishi (SOC/ISO/PCI), hisobot maqomining oʻzgarishi.
Subprotsessorlarni/ma’lumotlarni saqlash joylarini/yurisdiksiyalarni o’zgartirish.
Xavfsizlik hodisalari/SLAning jiddiy uzilishlari.
Qo’shilish/sotib olish, moliyaviy ko’rsatkichlarning yomonlashishi.
Izolyatsiya/shifrlash/kirishga ta’sir qiluvchi relizlar.
Regulyator soʻrovlari, audit findinglari.

10) Metrika va dashbordlar Vendor Risk Mgmt

Coverage DD: to’liq DDdan o’tgan tanqidiy provayderlar%.
Time-to-Onboard: buyurtmadan kontraktgacha mediana (tavakkalchilik toifalari bo’yicha).
Open Gaps: provayderlar boʻyicha faol remediatsiyalar (muddatlar/egalar).
SLA Breach Rate: vaqt/foydalanish imkoniyati boʻyicha SLA buzilishlari ulushi.
Incident Rate: provayderlar va jiddiylik bo’yicha hodisalar/12 oy.
Audit Evidence Readiness: dolzarb hisobotlar/sertifikatlarning mavjudligi.
Subprocessor Drift: ogohlantirishsiz oʻzgarishlar (maqsad 0).

11) Toifalash va tekshirish darajalari

Provayder toifasiMisolMaʼlumotlarDD chuqurligiQayta koʻrib chiqish
Tanqidiyyadro hosting, KYC/AML, PSPPI/moliyaTo’liq (on-sayt/RoS)Har yili + triggerlar
Yuqoritahlilchi, DWH, logiPI/psevdoPIKengaytirilgan12-18 oy
Oʻrtamarketing, email, qo’llab-quvvatlashcheklanganAsosiy18-24 oy
Pasto’qitish, kontentPI bilan ishlamaydiEngil pre-screen24 oy

12) Chek-varaqlar

DD ishga tushirilmoqda

  • Xizmat ehtiyojlari va tavakkalchilik klassi kartochkasi.
  • Pre-screen: sanktsiyalar, litsenziyalar, asosiy profil.
  • So’rovnoma + artefaktlar (siyosatlar, hisobotlar, sertifikatlar).
  • Integratsiyalarda Security/Privacy review + PoC.
  • Muddatlar va egalari bo’lgan gap-ro’yxat.
  • Kontrakt: DPA/SLA/audit rights/liability/exit.
  • Onbording va monitoring rejasi (metriklar, alertlar).

Har yili qayta ko’rib chiqish

  • Yangilangan sertifikatlar va hisobotlar.
  • Subprotsessorlarni/joylarni/yurisdiksiyalarni tekshirish.
  • Remediatsiyalar maqomi, yangi xavflar/hodisalar.
  • DR/BCP testlari va natijalari.
  • Dry-run audit: evidence to’plami «tugmasi bo’yicha».

13) Qizil bayroqlar (red flags)

SOC/ISO/PCI yoki hisobotlarning muhim bo’limlarini taqdim etishni rad etish.
Shifrlash/loglar/maʼlumotlarni oʻchirish boʻyicha noaniq javoblar.
DR/BCP rejalari yoʻq yoki ular sinovdan oʻtkazilmayapti.
Post-mortem va darslarsiz yopiq hodisalar.
Ma’lumotlarni kafolatsiz subprotsessorlarga/chet elga cheksiz uzatish.
PI oqishi uchun javobgarlikni tajovuzkor cheklash.

14) Antipatternlar

PoC va texnik tekshiruvsiz «qog’oz» DD.
Tavakkalchilik/yurisdiksiyalar hisobga olinmagan universal chek-varaqasi.
DPA/SLA/audit huquqi va exit-rejasiz shartnoma.
Provayderlar reyestri va o’zgarishlar monitoringi yo’qligi.
Rotatsiyasiz va qayta attestatsiyasiz «Abadiy» berilgan kirish/tokenlar.

15) wiki bilan bog’liq moddalar

Komplayens va hisobotni avtomatlashtirish

Muvofiqlikning uzluksiz monitoringi (CCM)

Legal Hold va muzlatish

Siyosat va tartib-taomillarning hayot sikli

KYC/KYB va sanksiya skrining

Maʼlumotlarni saqlash va oʻchirish jadvallari

Uzluksizlik rejasi (BCP) va DRP

Jami

Tavakkalchilikka yoʻnaltirilgan Due Diligence - bu «belgi» emas, balki boshqariladigan jarayon: toʻgʻri toifalash, asosiy oʻqlar boʻyicha chuqur tekshirish, aniq shartnomaviy kafolatlar va uzluksiz monitoring. Shunday qilib, etkazib beruvchilar sizning zanjiringizning ishonchli qismiga aylanadi va siz biznesni sekinlashtirmasdan, talablarga javob berasiz.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.