GH GambleHub

Tashqi yetkazib beruvchilarning tavakkalchiliklari va sheriklarning auditi

1) Nima uchun va kim uchun

Maqsad: tashqi yetkazib beruvchilar va hamkorlar orqali kelib tushadigan nosozliklar, oqishlar va tartibga solish qoidabuzarliklari ehtimolini kamaytirish.
Qamrov: PSP/to’lov shlyuzlari, KS/sanksiyalar/PER, antifrod, o’yin provayderlari va studiyalar, affiliatik tarmoqlar va treking, bulutlar/CDN/hosting, BI/tahlil, retenshn-instrumentlar/marketing-SDK, call-markazlar, shuningdek, subprotsessorlar sotuvchilarimiz.

2) Tavakkalchilik toifalari (domen xaritasi)

Axborot xavfsizligi va maxfiylik: PII/KYC/to’lov tokenlarining sizib chiqishi, zaif TOMs, WORM/auditning yo’qligi.
Komplayens: GDPR/UK GDPR/ePrivacy, AML/KYC, PCI-zona, yurisdiksiyalarning reklama/oʻyin talablari.
Operatsion: foydalanish imkoniyati/SLA, bitta yetkazib beruvchiga bog’liqlik (concentration), zaif BCP/DR.
Moliyaviy: yetkazib beruvchining barqarorligi, kredit tavakkalchiliklari, «chargeback-shoklar».
Sanksiya/geosiyosiy: eksport/importni cheklash, ma’lumotlar markazlarini joylashtirish, egalik tuzilmalarida RER/sanksiyalar.
Obro’li va huquqiy: reklama/mas’uliyatli o’yin, IP-huquqlar buzilishi.
Texnik: SDK/API zaifliklari, versiyalash va test muhitlarining yo’qligi.

3) Yetkazib berish zanjirini xaritalash

1. Inventory: barcha vendorlar/sheriklar/subprotsessorlarning egasi bilan yagona reyestri (business owner).
2. Data Map: qanday ma’lumotlar/yurisdiksiyalar/hajmlar kim orqali o’tadi; PII bayroqlari/moliya/maxsus toifalar.
3. Criticality: pul/PII/aptaym ta’siri bo’yicha tasniflang.

4) Yetkazib beruvchilarning tiringi (mezonlar misoli)

TyrBelgilarNamunalarTalablar
Tier 1 (kritik)PII/to’lovlar, 24 × 7, GGRga to’g «ridan to’g» ri ta’sirPSP, KTS/sanksiyalar, antifrod, bulutTo’liq due diligence, audit, BCP/DR-testlar, yillik onsite/remote audit
Tier 2 (baland)bilvosita ta’sir, PII masked, muhim integratsiyalarstudiyalar/agregatorlar, DWH-asboblarKengaytirilgan so’rovnoma, tanlab audit, yillik sharh
Tier 3 (oʻrta/past)PII/pul yo’q, marketing vositalarie-mail, vidjetlarLight-so’rovnoma, shartnomaviy minimumlar

5) Tavakkalchilik-skrining va skoring

Omillar: xavfsizlik (siyosat, sertifikatlashtirish), maxfiylik (DPA/SCCs/DTIA), komplayens (AML/PCI/ISO), operatsion barqarorlik (SLA/BCP/DR), moliya (audit/hisobot), yurisdiksiyalar/sanksiyalar, noxush voqea, texnologik yetuklik (SDLC/DevSecOps).
Skoring (misol): har bir omil bo’yicha 0-5 → o’lchangan natija (W) → zona: yashil/sariq/qizil.

Chegaraviy yechimlar:
  • Green: standart shartnoma.
  • Amber: Go-Live uchun nazorat/remediatsiya.
  • Red: rad etish yoki qo’shimcha choralar ko’rilgan uchuvchi (segmentation, throttling, read-only, escrow, pasaytirilgan limitlar).

6) Due diligence (kirish joyida nimani talab qilish kerak)

Artefaktlar/nazorat (minimal Tier 1-2 uchun):
  • Xavfsizlik/maxfiylik siyosati, RoPA, subprotsessorlar reyestri.
  • Audit hisobotlari/sertifikatlash (ISO 27001/SOC 2 tip II/PCI qo’llanilganda), oxirgi pentestlar.
  • BCP/DR va test natijalari, RPO/RTO.
  • Noxush holatlar tartib-taomillari (72 soatlik bildirishnomalar), 12-24 oylik noxush holatlar jurnali.
  • DPA/transchegaralik mexanizmi (SCCs/IDTA) + DTIA, ma’lumotlar/kalitlarni mahalliylashtirish.
  • Integratsiya xavfsizligi: mTLS/OIDC, imzolangan vebxuklar, kalitlar rotatsiyasi, allow-list IP.
  • Kirish/eksport jurnallari, WORM nusxalari, hash zanjirlar.
  • Retenshn va o’chirish siyosati, offboarding paytida bekaplarning yo’q qilinganligini tasdiqlash.
  • Moliyaviy barqarorlik (ommaviy hisobot/ma’lumotnomalar), egalik tuzilmasi (sanksiya/PER-tekshirishlar).

Tier 2-3 uchun Light-so’rovnoma: sSIG/CAIQ-darajali (20-60 savol).

7) Shartnoma talablari (asosiy bandlar)

SLA/SLO: aptaym (masalan, 99. 9%), P95 maxfiyligi, hodisalarga javob berish vaqti, service credits.
Security/Privacy addendum: shifrlash at rest/in transit, kalitlar/geo, jurnallash, yashirish, maʼlumotlardan ikkilamchi foydalanishni taqiqlash.
DPA + subprotsessorlar: zanjir kengayganligi to’g "risida xabardor qilish majburiyati; e’tiroz bildirish/audit huquqi.
Incident & Notification: bildirishnoma oynasi ≤ 72 soat; loglar/artefaktlardan foydalanish; qo’shma war-room.
BCP/DR: yiliga bir marta majburiy N test, RPO/RTO.
Pen-test/Audit rights: yiliga kamida 1 marta (remote/onsite), hisobotlardan foydalanish.
Change control: major-oʻzgarishlar haqida xabarnoma (SDK/API/arxitektura/geografiya).
Termination & Exit: maʼlumotlarni eksport qilish (formatlar), oʻchirish/qaytarish, tanqidiy integratsiyalar uchun escrow, X kunida migratsiyani qoʻllab-quvvatlash.
Liability/Indemnity: cap/cublimits, IP-kafolatlar, SLA/oqish qoidalarini buzganlik uchun jarimalar.

8) Onboarding → Monitoring → Offboarding (hayot sikli)

8. 1 Onboarding

1. Biznes asoslari va owner → tiring → so’rovnoma/artefaktlar.
2. Risk review (Security/Privacy/Compliance/Legal/Finance).
3. Go-Live: segmentatsiya (VPC/tenant), yuk/limitlar, niqoblash/tokenlash, feature-flags, sinov qum qutisi.
4. Shartnoma/integratsiya → uchuvchi → Go/No-Go.

8. 2 Continuous Monitoring

Texnik monitoring: aptaym, xatolar, yashirin, xatolar byudjeti.
Xavfsizlik: SIEM alertlari (g’ayritabiiy eksport/’ purpose’dan foydalanish), vendor hisobotlari, SDK zaifliklari.
Maxfiylik/komplayens: subprotsessorlarning, joylashuvlarning o’zgarishi, retenshna; DSAR mosligi.
Moliya: Konversiyalar/refund/chargeback bo’yicha KPI, SLA-jarimalar.
Tier 1-2 uchun har choraklik review va yillik re-due-diligence.

8. 3 Offboarding

Kalitlarni/kirishlarni chaqirib olish, ma’lumotlar va bekaplarni yo’q qilish/qaytarish, dalolatnomalar, chiptalarni yopish, ma’lumotlar reyestrlari va xaritalarini yangilash.

9) Sheriklar auditi tartib-taomillari

9. 1. Reja va viloyat

Fokus: foydalanishni boshqarish, shifrlash/kalitlar, jurnallar, hodisalar, BCP/DR, DSAR-jarayonlar, subprosessorlar.

9. 2 Usullar

Intervyu, hujjatlar/loglar sharhi, tanlab tekshirishlar, texnik testlar (api-rate-limit/mTLS/imzolar), tabletop-o’quv.

9. 3 Hisobot va CAPA

Topilmalar tasnifi (Critical/High/Medium/Low), remediatsiya muddatlari, yopilish va retest nazorati.

10) Vendordagi hodisalar: playbook

1. Detekt: vendor/bizning monitoring/hamjamiyat signali.
2. War-room: owners + Security + DPO + Legal + Product.
3. Containment: trafikni cheklash/SDK/kalitlarni o’chirish, vaqtinchalik limitlar/kanareya pullari.
4. Forensika: qoʻngʻiroqlar jurnali, vebxuklarning imzolari, WORM tasdiqlari, taʼsirlangan yozuvlar oraligʻi.
5. Xabarnomalar: regulyatorlar/foydalanuvchilar/banklar (agar kerak bo’lsa), qo’shma matnlar.
6. CAPA: fikslar, muddatlar, samaradorlikni tekshirish; skoring va shartnoma shartlarini qayta ko’rib chiqish.

11) RACI (yiriklashtirilgan holda)

AktivlikBusiness OwnerSecurityDPO/PrivacyCompliance/LegalFinanceSRE/DataProcurement
Tiring/biznes-keysA/RCCCCCC
Due diligenceRA/RA/RA/RCCC
Shartnomalar (SLA/DPA/tuzatishlar)CCCA/RA/RIR
Integratsiya/segmentatsiyaCA/RCCIRI
Monitoring/auditRA/RA/RA/RCRI
Hodisalar/SARACA/RA/RA/RCRI
Offboarding/eksport/oʻchirishRA/RAACRI

12) Metrika (KPI/KRI)

Coverage:% aktiv yetkazib beruvchilar reyestrda dolzarb baho bilan ≥ 100%.
Assessment TTM: media time due diligence Tier 1 ≤ 15 ish kuni.
Remediation SLA: tanqidiy topilmalar 30 kundan ≤ yopiq (95% ≥).
Incident Notification: 72 soat oynadagi bildirishnomalar ulushi - 100%.
DPA/SCCs/DTIA Coverage: Tier 1-2 - 100% dolzarbdir.
Concentration Risk: 1 PSP/provayderga trafik/tushum ulushi ≤ X% (chegara).
BCP/DR Evidence:% Tier 1 oyda tasdiqlangan testlar bilan 12 - 100%.
Export Logging: 100% eksport imzolandi va jurnallandi.

13) Shablonlar va parchalar

13. 1 Mini-so’rovnoma (Tier 1-2, ushlab turish)

Sertifikatlash/auditlar (ISO/SOC2/PCI), muddati tugagan sana.
Ma’lumotlar arxitekturasi: geo, subprosessorlar, kalitlar/KMS, shifrlash.
24 oy uchun noxush hodisalar (turi/sanasi/choralari).
Kirish va jurnallar (RBAC/ABAC, break-glass, JIT, WORM).
BCP/DR (test sanalari, RPO/RTO).
DSAR/retenshn, RoPA, CMP/SDK.
API texnik nazorati: mTLS/OIDC, vebxuk imzosi, kalitlar rotatsiyasi, rate-limit.

13. 2 SLA (parcha)

Ko’rsatkichMaqsadOʻlchashKredit
Apteim (oy)99. 9%tashqi. monitoring5–10% fee
Critical hodisasi: javob≤ 15 minwar-room protokolifix.
High remediatsiyasi30 kundan ≤CAPA hisobotifix.

13. 3 Security & Privacy Addendum (klauzalar)

"Ma’lumotlardan ikkilamchi foydalanishni taqiqlash; qat’iy ravishda Need-to-Know orqali kirish; faqat ma’qullangan reyestrlarga eksport qilish"

"Xesh-imzosi bo’lgan o’zgarmas jurnallar (WORM); bir yilda bir marta so’rov bo’yicha audit"

«Subprotsessor almashtirilganda - 30 kunga ≥ bildirishnoma, e’tiroz bildirish huquqi, muqobil reja.»

"DTIA tegishli yurisdiksiyalardan tashqarida har qanday transchegaraviy uzatishda; kalitlar - EC/UK (per kelishuv) da"

14) Chek-varaqlar

Yetkazib beruvchi bilan Go-Live oldidan

  • Owner tayinlandi, tiri aniqlandi
  • So’rovnoma/artefaktlar olindi va tekshirildi
  • DPA/SLA/tuzatishlar imzolangan, subprotsessorlar deklaratsiyalangan
  • Segmentatsiya/limitlar/niqoblash kiritilgan, alohida kalitlar
  • Hodisa bo’yicha test qum qutisi/tabletka o’tkazildi
  • Chiqish/migratsiya rejasi va escrow rasmiylashtirilgan

Har chorakda (Tier 1-2)

  • SLA/hodisalar/SDK-zaifliklar monitoringi
  • Sertifikatlar/hisobotlar, subprotsessorlar reyestrini yangilash
  • DR/BCP testi tasdiqlandi
  • Fin-skrining (barqarorlik), sanksiya tekshiruvlari
  • Konsentratsiya tavakkalchiliklari va muqobillari revyusi

Offboarding

  • Kalitlar/kirish bekor qilindi
  • Maʼlumotlarni eksport qilish tugadi, oʻchirish/qaytarishni tasdiqlash
  • Yopish dalolatnomalari, yangilangan Data Mar/reyestrlar

15) Namunaviy stsenariylar va chora-tadbirlar

A) Marketingning SDKdagi zaifligi

Darhol uzib qo’yish, PII to’plash uchun blok, zarur hollarda DPO/regulyatorlarni xabardor qilish, vendorda CAPA, retest.

B) PSP SLA bo’yicha tanazzulga uchraydi

Zaxira PSPga avto-routing trafigi, limitlarni pasaytirish, service credits-ni faollashtirish, shartnomani qayta ko’rib chiqish/ekzit-reja.

C) KYC provayderida sizib chiqish

Integratsiyani izolyatsiya qilish, tokenlarni revokatsiya qilish, ta’sir ko’rsatilgan yozuvlarni xaritalash, bildirishnomalar, qo’lda ishlatiladigan KYC high-risk, vendor auditi, mumkin bo’lgan almashtirish.

16) TPRMni joriy etishning yo’l xaritasi

1-2 haftalar: vendorlarni inventarizatsiya qilish, Data Map, tiring, bazaviy so’rovnoma va reyestr.
3-4 hafta: SLA/DPA/qo’shimchalar namunalari, onboarding/monitoring/offboarding jarayoni, SIEM/CMDB/IDP bilan integratsiya.
2-oy: Tier 1-2 uchuvchisi, choraklik sharhlarni boshlash, sertifikatlar/muddatlarni tekshirishni avtomatlashtirish.
3 + oy: masshtablash, skoring/dashbordlar, BCP/DR stress-testlari, konsentratsion xavflarni optimallashtirish va muqobil yo’nalishlar.

TL; DR

Kuchli TPRM = vendorlarning to’liq xaritasi → tiring va skoring → qattiq shartnomalar (SLA/DPA/BCP/DTIA) → segmentatsiya va xavfsiz integratsiyalar → uzluksiz monitoring va audit → tezkor exit/remediatsiya. Bu pul, ma’lumotlar va litsenziyalarni himoya qiladi va sheriklar muvaffaqiyatsizlikka uchragan taqdirda ham biznesning barqarorligini saqlab qoladi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.