GH GambleHub

نقل البيانات بين البلدان

1) الغرض والمنطقة

إنشاء نموذج يمكن التحكم فيه وآمن بشكل يمكن إثباته لعمليات نقل البيانات الشخصية عبر الحدود (PII) والمجموعات التشغيلية (KYC/AML، المدفوعات، RG/SE، CRM/التسويق، قياس الألعاب عن بُعد، السجلات/AWP، التحليلات/DWHH)، مع مراعاة متطلبات تراخيص وبيانات iGaming في مختلف الولايات القضائية. تكمل الوثيقة الأقسام: «توطين البيانات»، «الحذف وإخفاء الهوية»، «اللائحة العامة لحماية البيانات: الموافقة»، «DSAR».

2) المفاهيم والمبادئ الأساسية

الإرسال عبر الحدود - أي وصول/نسخة طبق الأصل/معالجة خارج اختصاص «المنزل» للموضوع/البيانات.
الكفاية/التكافؤ - قرارات الجهة التنظيمية بشأن كفاية حماية البلد المتلقي.
الترتيبات التعاقدية - الأحكام التعاقدية الموحدة، والمعادلات المحلية، والاتفاقات التكميلية.

TIA - تقييم تأثير النقل

السيادة/الإقامة - موقع التخزين وحق التحكم المحلي.

المبادئ:

1. محليا أولا: تجهيزها محليا إن أمكن ؛ إلى الخارج - إلى الحد الأدنى ووفقا للقواعد.

2. التقليل إلى أدنى حد: «بالقدر اللازم» ؛ يفضل التجميعات/الأسماء المستعارة.

3. التشفير والعزل: التشفير، المفاتيح في المنطقة، فصل مستوى التحكم/البيانات.

4. قابلية الإثبات: سجل لكل إرسال و TIA والتحف الأساسية.

5. إغلاق الفشل: لا أرض أو TIA - لا إرسال.

3) الأدوار و RACI

DPO/رئيس الامتثال (المالك) - السياسة، التسامح، TIA، الاستثناءات. (أ)

القانون - اختيار آلية النقل، والعقود، والمتطلبات المحلية. (ص)

Security/Infra - encryption, KMS/HSM, network perimers, audit. (ص)

Platform/Analytics - de-PII/annomization, Federated/court reporting. (ص)

الهندسة/SRE - التوجيه، الترميز، مراقبة الصادرات. (ص)

مدير البائعين - سجل المعالجات الفرعية، التأكيدات، الإقلاع. (ص)

المراجعة الداخلية للحسابات - عينات القطع الأثرية، CAPA. (جيم)

4) خريطة نقل البيانات

المصدر → التعيين (البلد/السحابة/البائع) → فئة البيانات → الغرض → الأساس القانوني → آلية النقل → الحماية (تلك) → فترات التخزين → المسؤولية.
تم تحديده بيانيًا لـ: الدعم/CS، والتحليل/الإبلاغ، ومعدلات الاحتيال/المخاطر، ومقدمي الألعاب و PSPs، والشركات التابعة.

5) الآليات القانونية (الإطار)

1. مقرر بشأن الكفاية (عند الاقتضاء): مسار مبسط، ولكنه لا يزال بحاجة إلى قطع أثرية وعقود مع البائع.
2. الأحكام التعاقدية الموحدة والمكافئات المحلية: تشمل التذييلات الإلزامية (الفئات والأهداف والتدابير).
3. الاتفاقات الملزمة/الإضافية: توضيح واجبات الجهات الفرعية والإخطارات المتعلقة بالطلبات المقدمة من الوكالات الحكومية.
4. الاستثناءات بموجب القانون: نقطة ونادرة (المصالح الحيوية، اشتراط العقد) - وليس للتصدير النظامي.
5. القواعد داخل المجموعة: للممتلكات - أدوات الشركات مع السيطرة.

💡 الحل الآلي مصحوب دائمًا بـ TIA وفهرس للتدابير الإضافية.

6) تقييم تأثير النقل (TIA)

السبب: بائع/بلد جديد، هدف جديد، فئات جديدة (القياسات الحيوية، RG/SE)، التغيير في الوضع أو الطرق الرئيسية.

محتويات

وصف الإرسال (البيانات/الحجم/التردد/المشاركون).
البيئة القانونية للبلد المتلقي (مخاطر وصول الوكالات الحكومية، والوسائل القانونية لحماية الأشخاص).
التدابير التقنية: التشفير، المفاتيح (BYOK/HYOK)، الاسم المستعار، معالجة التجزئة.
التدابير التنظيمية: اتفاق عدم الإفشاء، والتدريب، والحاجة إلى المعرفة، وقطع الأشجار، والاستجابة للطلبات.
المخاطر/القرارات المتبقية: السماح/التعديل/الرفض ؛ فترة التنقيح.

TIA short form complate: see à 15C.

7) التدابير التقنية والتنظيمية

7. 1 التشفير والمفاتيح

في الراحة: AES-256-GCM ؛ العابر: TLS 1. 2 +/mTLS ؛ PFS.
KMS: BYOK (لدينا مفاتيح)، ويفضل HYOK (لا تزال المفاتيح في المنطقة) ؛ والتجزئة حسب السوق/المستأجر ؛ مراجعة الحسابات غير القابلة للتغيير للعمليات الرئيسية.
تمزيق التشفير: للنسخ الاحتياطية والأرشيف مع المواعيد النهائية.

7. 2 التقليل إلى أدنى حد وإلغاء الهوية

التسمية قبل التصدير (بوابة رمزية)، وتخزين الخرائط بشكل منفصل في المنطقة.
مجاميع، k-unhonity/date binning و geo، قمع الفئات النادرة.
سجلات/AWS خالية من PII وعلامات جانب الخادم مع تصفير المعرفات دون موافقة.

7. 3 عزل الطائرات

طائرة التحكم العالمية بدون مؤشر التحكم الدولي ؛ طائرة بيانات مع PII محليًا.
الوصول إلى PII من خلال طبقة وكيل مع تبرير الطلب والسجل.

7. 4 طلبات من الوكالات الحكومية

محتوى رد الفعل: التحقق من الشرعية، والطعن، وتقليل الحجم، والإخطار (إذا سمح بذلك)، والقيد في سجل الطلبات.

8) فئات البيانات وقواعد النقل

الفئةهل يمكنني الذهاب إلى الخارج ؟ الشروط والأحكام
CCM/القياسات الحيويةبشكل مقيد
رموز الدفع/PSPنعم/مشروط
أحداث الألعاب الخامبشكل مقيد
حالة RG/SEلا ، ليس كذلك
إدارة علاقات العملاء/التسويقبشروط
Logs/AWSخالية من PII فقط

9) البائعون والمجهزون الفرعيون

السجل: الشخص المحكوم عليه، بلدان العاصمة، المجهزون الفرعيون، الشهادات، آليات النقل، الطريقة الرئيسية.
العقود: DPA + SCC/analogues، إخطارات عن تغيير المواقع/المعالجات الفرعية ≥30 أيام، حقوق مراجعة الحسابات/الاستبيانات، التزامات توطين النسخ الاحتياطية، حوادث جيش تحرير السودان، منطقة DSAR.
على متن الطائرة/مراجعة: اختبار TIA، خماسي/شهادة، «نقل العينات».
الإقلاع: التصدير/الحذف/التشفير + الأدلة.

10) النسخ الاحتياطية والسجلات والتحليلات

النسخ الاحتياطية: في نفس المنطقة ؛ التصدير إلى الخارج - فقط في شكل مشفر + هيوك ؛ عندما يتم الوصول إلى الموعد النهائي - تمزيق التشفير.
Logs/AWS: خالية من PII افتراضيًا ؛ إذا لم يكن كذلك، التخزين المحلي، الاحتفاظ القصير.
التحليلات/مجالات الاهتمام الرئيسية: التقارير العالمية مجمعات/مجموعات فقط ؛ حظر تحديد الهوية الخام خارج المنطقة.

11) العمليات والأحداث

من خلال العملية: التحري عن النقل التحقق من ملامح السوق اختيار الآلية الشفافية في التجارة التنسيق التدابير التقنية للبدء رصد القطع الأثرية/مراجعة الحسابات.

الأحداث (الحد الأدنى):
  • 'xborder _ transfer _ مطلوب/معتمد/مرفوض'
  • «نقل _ نفذ» (الحجم/الوقت/البائع)
  • «key _ accessed _ for _ transfer» (تدقيق KMS)
  • 'gov _ request _ received/resulted'
  • «البائع _ الموقع _ تغير»
  • «transfer _ review _ due»

12) البيانات والتحف (نموذج)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI ولوحة القيادة

معدل التحويل عبر الحدود (حسب الهدف/البائع/البلد).
تغطية TIA (٪ من الإرسال مع TIA الحالي).
تغطية BYOK/HYOK.
حصة التصدير المجهولة (النسبة المئوية من الصادرات بالمجاميع/الأسماء المستعارة).
انجراف موقع البائع (حوادث تغيير الموقع).
عدد طلبات الحكومة ومتوسط وقت الاستجابة.
درجة القابلية للتدقيق (٪ من السجلات مع حزمة كاملة من القطع الأثرية).

14) القوائم المرجعية

أ) قبل النقل

  • تأكيد الغرض والغرض المشروع.
  • آلية مختارة (الكفاية/العقد/التناظرية)، تم تنفيذ اتفاق التسلح.
  • الإغفال/إخفاء الهوية ؛ إلى أدنى حد.
  • KMS/Keys: BYOK/HYOK، تمكين السجل.
  • عقد البائع: إشعارات تغيير DPA + SCC/المكافئ، DC/sub-processor.
  • إقامة النسخ الاحتياطية والتشفير في الخطة.

باء) في العمليات

  • رصد 'البائع _ الموقع _ تغير' والتنبيهات.
  • تنقيح دوري للتقييمات والآليات.
  • يتم تطبيق DSAR/الحذف بشكل صحيح في محيط المتلقي (أو من خلال إخفاء الهوية).
  • سجلات التحويل ومراجعات KMS متاحة للمراجعة.

C) مراجعة الحسابات/التحسينات

  • عينات «نقل _ سجل» ربع سنوية للاكتمال.
  • CAPA بشأن الحوادث/الشكاوى/النتائج التنظيمية.
  • اختبار البائع «إلغاء الوصول» + تأكيد الحذف.

15) قوالب (إدخالات سريعة)

ألف) بند «النقل عبر الحدود»

💡 يقوم المعالج الفرعي فقط بتخزين/معالجة البيانات في الولايات القضائية المعلنة. أي نقل إلى ولاية قضائية أخرى مسموح به بموجب الأساس القانوني الحالي (SCC/المعادل المحلي) والموافقة الخطية. تغيير الموقع/المعالج الفرعي - إشعار ≥30 أيام. مفاتيح التشفير - BYOK/HYOK ؛ ويتم توفير سجلات الدخول عند الطلب.

باء) الإخطار بطلب وكالة حكومية

💡 يقوم المورد على الفور بإخطار (إذا كان مسموحا به) بأي شرط للوصول، وتقليل النطاق إلى أدنى حد، ومنازعة الطلبات المفرطة، وكشف المستندات. نسخ من الإخطارات/الردود - على سجل WORM الخاص بنا.

C) موجز TIA (جهاز استدعاء واحد)

💡 الغرض: {الهدف، البيانات، الحجم، البلدان}
المخاطر القانونية: {المجموع}
التقنيون: {تشفير، مفاتيح، تسمية مستعارة، معالجة مقسمة}
Orgmers: {NDA، الحاجة إلى المعرفة، التدقيق}
القرار: {السماح/التعديل/الرفض}، المراجعة {التاريخ}

16) خطة تنفيذ مدتها 30 يومًا

الأسبوع 1

1. الموافقة على سياسات النقل عبر الحدود، ونماذج RACIs و TIA/DPA.
2. وضع خريطة للتدفقات الحالية وسجل للبائعين/المواقع/المفاتيح.
3. قم بتهيئة KMS حسب الأسواق (BYOK/HYOK)، وتمكين التدقيق الرئيسي دون تغيير.

الأسبوع 2

4) تمكين التسمية قبل التصدير والسجلات الخالية من PII/AWS.
5) بدء سجل «transfer _ record »/« tia» (القطع الأثرية WORM).
6) تحديث العقود مع البائعين المهمين: المواقع والإخطارات وإجراءات الإقلاع.

الأسبوع 3

7) التدفقات التجريبية 2-3 (CS، تقارير DWH): قياس حصة التصدير المجهولة، تغطية BYOK.
8) تدريب المنتج/CS/BI/Legal على إجراءات الطلب الحكومي والتصعيد.
9) توصيل التنبيهات «البائع _ الموقع _ تغير».

الأسبوع 4

10) الإفراج الكامل ؛ لوحة القيادة KPI/KRI والاستعراضات الفصلية TIA.
11) نتائج CAPA ؛ v1. 1 - التحليلات الفيدرالية/diff. الخصوصية في التقارير.
12) اختبار الإقلاع عن متن أحد البائعين: الحذف/التشفير، التأكيد.

17) الأقسام المترابطة

تحديد مواقع البيانات حسب الولايات القضائية

جداول حذف البيانات وإغفالها/الاحتفاظ بها وحذفها

اللائحة العامة لحماية البيانات: إدارة الموافقة/ملفات تعريف الارتباط وسياسة CMP

الخصوصية حسب التصميم/DSAR

في Rest/In Transit، تشفير KMS/BYOK/HYOK

لوحة متابعة الامتثال والرصد/المراجعة الداخلية والخارجية

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.