GH GambleHub

Axborot beruvchilar uchun kanal va ma’lumotlarni himoya qilish

1) Vazifasi va viloyati

Xodimlar, pudratchilar, affiliatlar va boshqa steykxolderlar uchun qonunbuzarliklar (korrupsiya, firibgarlik, AML/sanksiyalar, RG, GDPR/PII, PCI/IB, reklama/affiliatlar, manfaatlar to’qnashuvi, kamsitish va ta’qib qilish, litsenziya/qonunni buzish). Hujjat kanallar, anonimlik, maʼlumotlarga ishlov berish, tergov jarayonlari va qatagʻondan himoyani tartibga soladi.

2) Qonunning

Qatag’onlarga chidamlilik. Har qanday javob choralari taqiqlangan.
Ma’lumotlarning maxfiyligi va minimallashtirilishi. Yig’im - faqat need-to-know tamoyili bo’yicha zarur.
Axborot beruvchining tanlovi bo’yicha anonimlik. Shaxsni oshkor qilmasdan muloqot qilish imkoniyati.
O’z vaqtida va adolatli. qabul/ko’rib chiqish SLA; hujjatlashtirilgan, xolis metodologiya.
Mustaqillik. Rollarni ajratish: xabarlarni qabul qilish, tekshirish, sanksiyalar.
Jarayonning shaffofligi. Statusni kuzatish, fikr-mulohazalar, shaxsiyatsiz ommaviy statistika.

3) Rollar va RACI

Whistleblowing Officer (WBO) - jarayon egasi, triaj, tergovlarni muvofiqlashtirish, hisobot berish. (A/R)

Compliance/Legal/DPO - huquqiy baholash, ma’lumotlarni himoya qilish, maxfiylik siyosati. (R/C)

InfoSec/CISO - kanal xavfsizligi, shifrlash, kirish nazorati, jurnallash. (R)

HR/ER (Employee Relations) - axloq/xulq-atvor holatlari, qo’llab-quvvatlash choralari. (R)

Internal Audit (IA) - tergov sifatini mustaqil nazorat qilish va CAPA. (C)

Security/Trust & Safety - texnik/frod keyslar, raqamli artefaktlarni to’plash. (R)

Exec Sponsor (CEO/COO) - «tone from the top», resurslar, S1 eskalatsiyalari. (I/A)

4) Xabarlarni qabul qilish kanallari

1. Veb-shakl (tavsiya etiladigan asosiy shakl): anonimlikni qo’llab-quvvatlash; token/pin bo’yicha himoyalangan yozishmalar.
2. Elektron pochta: avto-shifrlangan, avtokvitansiyali, mazmuni oshkor etilmagan ajratilgan quti.
3. Ishonch telefoni: maʼlumotlarni yashirish bilan tizimga yozish.
4. Korporativ messenjerdagi chat-bot: anonim (yoki proksi-mexanizmli) uchun emas.
5. Pochta manzili/jismoniy qutisi: oflayn xabarlar uchun (skanerlash va Tizimga yuklash).
6. WBO/IA bilan toʻgʻridan-toʻgʻri aloqa: shaxsiy uchrashuv - axborotchining xohishiga koʻra.

Kanallarga qo’yiladigan talablar: TLS end-to-end, shifrlangan omborxonada saqlash, RBAC, kirish jurnallari o’zgarmaydi, anonim shaklda IP/qurilmalar trekingining yo’qligi, cookie/loglarning shaffof siyosati.

5) Ma’lumotlarni himoya qilish va huquqiy asoslar

Lawful basis: yuridik vazifalarni bajarish, kompaniyaning qonuniy manfaatlari, jamoatchilik manfaatlari (yurisdiksiyasiga qarab).
DPIA: ishga tushirilgunga qadar - maxfiylikka ta’sirini baholash; tavakkalchiliklarni va kamaytirish choralarini qayd etish.
Ma’lumotlarni tasniflash: shaxsiy, sezgir (salomatlik, etnik va shu kabilar), tijorat siri, tekshiruv artefaktlari.
Minimallashtirish: ortiqcha yig’maslik; nomuvofiq hujjatlarni olib tashlash.
Transchegaraviy o’tkazmalar: faqat huquqiy asoslar va shartnomaviy kafolatlar mavjud bo’lganda.
Ma’lumotlar subyektlarining huquqlari: DSAR DPO tomonidan qayta ishlanadi; istisno: axborotchining shaxsini va tergovni/uchinchi shaxslarni xavf ostiga qo’yadigan ma’lumotlarni oshkor qilmaslik.
Retensiya: xabarlar va artefaktlar - odatda 5 yil yoki siyosat/qonun/litsenziya bo’yicha; keyin xavfsiz oʻchirish (crypto-shred/jurnal bilan mantiqiy oʻchirish).

6) Xavfsizlik va texnik choralar

Shifrlash: at-rest (KMS/HSM), in-transit (TLS), kalitlar - rotatsiya va chegaralash bilan.
Kirish: RBAC/ABAC, eng kichik imtiyozlar printsipi, anonim keyslar uchun alohida domenlar.
Jurnallar: o’zgarmas (WORM), g’ayrioddiy kirish monitoringi, alertlar.
Segmentatsiya: xabarlar tizimi prod-tizimlardan ajratilgan; tiklanishini tekshirgan holda alohida bekaplar.
Meta ma’lumotlar: maxfiylashtirish, ilovalardan EXIFni olib tashlash, ma’lumotni avtomatik ravishda identifikatsiyalash haqida ogohlantirish.
Maxfiy aloqa kanallari: himoyalangan pochta qutisi/ikki tomonlama anonim yozishmalar uchun veb-pochta.

7) Keyslar tasnifi va ustuvorliklari

S1 (Tanqidiy): korruptsiya/pora, yirik frod, PII/PCI sizib chiqishi, hayotga/xavfsizlikka tahdid, litsenziya/qonunlarning jiddiy buzilishi.
S2 (Yuqori): siyosatning tizimli buzilishi (AML/RG/GDPR/IB), jiddiy manfaatlar to’qnashuvi, kamsitish/ta’qib qilish.
S3 (O’rta): protseduralarning mahalliy buzilishi, reklama/affiliatlardagi xatolar, bir martalik xulq-atvor buzilishi.
S4 (Past): yaxshilash bo’yicha takliflar, past daromadli hodisalar.

SLA:
  • Qabul qilinganligi to’g "risidagi kvitansiya: S1/S2 - 24 soat ≤; S3/S4 - ≤ 3 rd.
  • Boshlang’ich baholash (triage): S1 - 48 soat ≤; S2 - ≤ 5 rd.; S3/S4 - ≤ 10 rd.
  • Tekshirish rejasi: S1 - ≤ 3 rd.; S2 - ≤ 10 rd.

8) Xabardan yopishgacha bo’lgan jarayon

1-qadam - Qabul qilish va kvitansiya. ID berish, kanalni tuzatish, dalillarni «qanday bo’lsa» saqlash.
2-qadam - Triaj va mustaqillik. Tayinlanadigan shaxslarning manfaatlari to’qnashuvini tekshirish; mojaroda - qayta taqsimlash.
3-qadam - Tavakkalchilikni baholash va reja. Hajmi, farazlari, usullarning qonuniyligi, artefaktlar ro’yxati, yo’l xaritasi.
4-qadam - Dalillarni to’plash. Hujjatlar, loglar, intervyular, tranzaksiyalar namunalari; chain-of-custody ga rioya qilish.
5-qadam - Tahlil va xulosalar. Fakt → mezon (siyosat/qonun/litsenziya) → xavf → ta’sir.
6-qadam - Tavsiyalar va CAPA. Tuzatish/ogohlantirish harakatlari, egalari, muddatlari, muvaffaqiyat ko’rsatkichlari.
7-qadam - Kommunikatsiyalar va fikr-mulohazalar. Xabardor shaxsni oshkor qilmasdan; aniq til (finalgacha ayblovlarsiz).
8-qadam - Yopish va retensiya. Yakuniy hisobot, maqomi, artefaktlarni saqlash, shaxssiz statistika chiqarish.

9) Kommunikatsiyalar va axborot beruvchini himoya qilish

Hech qanday tipping-off. Xabar/tekshiruv faktini taxmin qilinayotgan qoidabuzarlarga oshkor qilmaslik.
Qatag’onlardan himoya qilish. Kamaytirish, ishdan bo’shatish, bonuslardan mahrum qilish, ta’qib qilish va shu kabilar taqiqlanadi. Javob choralari alohida S1/S2 qoidabuzarlik sifatida qaraladi.
Qo’llab-quvvatlash: zarurat bo’lganda - boshqa jamoaga o’tkazish, ta’til, HR/yuristlar maslahatlari/psixologik qo’llab-quvvatlash.
Ikki tomonlama anonim aloqa: xabardor veb-inbox/token orqali savol berishi va maqom olishi mumkin.

10) Boshqa siyosatchilar bilan o’zaro aloqa

Axloq va xulq-atvor kodeksi - standartlar va kanallar.
Korrupsiyaga qarshi siyosat - due diligence, sovg’alar, vositachilar.
GDPR/PII - ishlov berishning qonuniyligi, DSAR, retensiya.
AML/RG/PCI/IB - profil tartib-taomillari va triaj.
Ichki audit - tekshiruvlar sifatini mustaqil nazorat qilish.

11) Chek-varaqlar

11. 1 Kanalni ishga tushirishdan oldin

  • DPIA va maxfiylik siyosati DPO/Legal tomonidan tasdiqlangan.
  • Texnik arxitektura: shifrlash, RBAC, WORM jurnallari.
  • Anonim veb shakl va ikki tomonlama token aloqasi sozlandi.
  • Tergov metodologiyasi bo’yicha WBO/triaj jamoasini o’qitish.
  • Shablonlar tayyorlandi (kvitansiya, tekshirish rejasi, hisobot, yopilish xati).
  • Aloqa kampaniyasi: «tone from the top», afishalar, intranet, SSS.

11. 2 Xabarni qabul qilish

  • ID berilgan, sana/kanal/S darajasi yozilgan.
  • Tasdiqnoma ma’lumotnomaga tafsilotlarni oshkor qilmasdan yuborildi.
  • Ijrochilar o’rtasida manfaatlar to’qnashuvi tekshirildi.
  • Barcha ilovalar/meta maʼlumotlar qayd etildi va identifikatsiya qilindi.

11. 3 Tekshirish

  • Reja va farazlar tasdiqlandi (Legal/DPO/InfoSec - zarurat bo’lganda).
  • Chain-of-custody har bir artefakt uchun olib boriladi.
  • Intervyular bayonnomaga olinadi; maxfiylik haqida ogohlantirish.
  • Xulosalar tekshiriladigan faktlarga asoslanadi, peer-review o’tkazildi.

11. 4 Yopish

  • CAPA tayinlangan, muddatlari va metrikalari belgilangan.
  • Xabardor (imkoniyat) shaxssiz fikr-mulohazalarni oldi.
  • Retensiya/tasniflash o’rnatilgan; artefaktlar arxivga joylashtirilgan.
  • Statistika dashbordda yangilandi.

12) Hujjatlar namunalari (tez qo’shimchalar)

A) Axborot beruvchiga kvitansiya

💡 Xabar uchun rahmat. ID: WB-XXXX. Biz ma’lumotlarni o’rganamiz va kerak bo’lganda ushbu xavfsiz kanal orqali bog’lanamiz. Anonim qolishingiz mumkin. Iltimos, tekshiruv tugaguniga qadar axborotni oshkor qilmang.

B) Tekshirish rejasi (one-pager)

Case: WB-XXXX Ustuvorlik: S1/S2/S3/S4 Egasi:... Muddati:...
Farazlar/mezonlar:...
Maʼlumot/artefaktlar:...

Intervyu: ro’yxat/jadval

Maxfiylik xavfi/yuridik cheklovlar:...
Aloqa va nazorat nuqtalari:...

C) Yakuniy hisobot (tuzilma)

Xulosa Faktlar Mezonlar (siyosat/qonun) Tahlil Xulosalar Tavsiyalar CAPA Ilovalar (artefaktlar).

D) Yopish xati

💡 Xabar beramizki, WB-XXXX ishini koʻrib chiqish yakunlandi. Muvofiqlik choralari ko’rildi. Kompaniyaning axloqiy va xavfsiz ishiga qoʻshgan hissangiz uchun minnatdormiz.

13) Metrika va dashbord

Intake Volume: toifalar va kanallar boʻyicha xabarlar soni.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
S-darajalar bo’yicha SLAga rioya qilish.
CAPA Progress: bajarildi/ishda/muddati o’tgan, yopilish mediani.
Retaliation Index: ro’yxatdan o’tgan shikoyatlar (maqsad - 0).
Anonymity Rate: anonim xabarlar ulushi va ularni tasdiqlangan holatlarga konvertatsiya qilish.
Repeat Findings: 12 oylik mavzularning takrorlanishi.
Awareness Impact: kampaniyalardan keyin murojaatlarning ko’payishi; NPS ishonch kanali.

14) Tavakkalchiliklar va nazorat choralari

Meta maʼlumotlar orqali deanonimlashtirish. → de-identifikatsiya, EXIF oʻchirish, aniq ogohlantirishlar.
Keylarga kirishning tarqalishi. → RBAC, segmentatsiya, WORM jurnallari, muntazam ravishda kirishni tekshirish.
Xayoliy xabarlar/suiiste’molliklar. → xushmuomala filtr va faktlarni tekshirish; bila turib yolg’on bayonotlar uchun sanksiyalar (qo’rqitish ta’sirisiz).
Tergovda manfaatlar to’qnashuvi. → ijrochilarning rotatsiyasi, IA/Legal ishtirokida.
Repressiyalar. → shikoyatlarning alohida oqimi; HR/Compliance tezkor javobi.

15) O’qitish va xabardorlik

Onbording: kanal, anonimlik va ma’lumotlarni himoya qilish moduli (test ≥ 85%).
Har yili hamma uchun qayta attestatsiyadan o’tkazish; WBO/tergovchilar uchun qo’shimcha treninglar.
Har choraklik kampaniyalar (plakatlar/bot-kvizalar/videolar): misollar qanday taqdim etilishi kutilmoqda.

16) 30 kunlik joriy etish rejasi

1 hafta

1. WBO va ishchi guruhini (Compliance/Legal/DPO/InfoSec/HR/IA) tayinlash.
2. DPIA o’tkazish, maxfiylik va retensiya siyosatini tasdiqlash.
3. O’ziga xos kanallar (veb-shakl/pochta/liniya), anonimlik va loglarga qo’yiladigan talablar.

2 hafta

4. Texnik platformani amalga oshirish: shifrlash, RBAC, WORM jurnallari, anonim veb-inbox.
5. Namunalar va SOPni tayyorlash: kvitansiya, reja, hisobot, yopish xati, CAPA.
6. WBO/triaj-jamoani o’qitish; RACI va SLA yoziladi.

3 hafta

7. Uchuvchi: 1-2 ta test keysi (table-top), dalillar va retensiyalar zanjirini tekshirish.
8. Menejment/qo’mita uchun metrik dashbordni va hisobotni moslash.
9. Kommunikatsiyalar: Bosh direktorning xati, intranet sahifasi, SSS, plakatlar.

4-hafta

10. Kanalni ishga tushirish; SLA/yuk monitoringi; qizg’in qo’llab-quvvatlash.
11. S1/S2 va CAPA-status keyslarining haftalik sharhlari.
12. Retro va tuzatishlar v1. 1 (siyosat, shakllar, o’qitish).

17) Bog’liq bo’limlar

Odob va xulq-atvor kodeksi

Korrupsiyaga qarshi siyosat

AML-treninglar va xodimlarni o’qitish/Xodimlarning komplayens to’g "risida xabardorligi

Noxush pleybuklar va ssenariylar

Dashbord komplayens va monitoring

Ichki audit va tashqi audit

Qoidabuzarliklar to’g "risidagi bildirishnomalar va hisobot muddatlari

Tartibga soluvchi hisobotlar va ma’lumotlar formatlari

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.