GH GambleHub

Məlumatların qorunması və məxfilik

1) Nə üçün lazımdır (iGaming/fintech konteksti)

iGaming və fintech-də PII/findata, biometrik (selfi-liveness), davranış və ödəniş siqnalları emal olunur. Gizlilik pozuntuları lisenziyalara, PSP tərəfdaşlıqlarına, SEO/nüfuzuna və maliyyə nəticələrinə zərbə vurur. Məqsəd UX və dönüşüm öldürmədən emalın qanuniliyini, təhlükəsizliyini və şəffaflığını təmin etməkdir.

2) Hüquqi prinsiplər və rollar

Əsas prinsiplər: qanunilik, ədalət və şəffaflıq; hədəfin məhdudlaşdırılması; minimallaşdırma; dəqiqlik; saxlama məhdudlaşdırılması; bütövlük və məxfilik; hesabatlılıq.

Rollar və məsuliyyət:
  • Board/Exec: risk-iştah, siyasət təsdiq, resurslar.
  • DPO (məlumatların qorunması üzrə zabit): müstəqil nəzarət, DPIA/DSR, məsləhətləşmələr.
  • Təhlükəsizlik (CISO): texniki nəzarət, hadisələr, fəaliyyət jurnalı, DLP.
  • Engineering/Data: «privacy by design/default» arxitekturası, məlumat kataloqu.
  • Compliance/Legal: hüquqi əsaslar, müqavilələr, transsərhəd köçürmələr.
  • Operations/Support: subyektlərin sorğularının və prosedurların işlənməsi.

3) Verilənlərin kateqoriyaları və qanuni əsasları

Kateqoriyalar: identifikasiya (tam adı, DOB), əlaqə, ödəniş (tokenlər), biometriya (selfi/face-template), davranış (sessiyalar, dərəcələr), texniki (IP/UA/Device), KYC/AML-artefaktlar, loqlar, həmçinin xüsusi kateqoriyalar - yalnız ciddi ehtiyac.

Emal əsasları (təxmini matris):
  • Müqavilə (contract): hesab, ödənişlər, ödənişlər, əməliyyat bildirişləri.
  • Qanun (legal obligation): AML/KYC, mühasibat uçotu, vergi öhdəlikləri, yaş yoxlamaları.
  • Legitim maraq (LIA): antifrod, təhlükəsizlik, UX təkmilləşdirilməsi (maraq balansına test zamanı).
  • Razılıq: marketinq poçt, isteğe bağlı cookies, bir sıra yurisdiksiyalarda biometrik.
  • Emal əməliyyatlarının reyestrində əsas seçimi sənədləşdirin.

4) Privacy by Design / by Default

Dizayn: Fiç başlamazdan əvvəl DPIA (məxfiliyə təsir qiymətləndirilməsi), təhdidlərin modelləşdirilməsi (STRIDE/LINDDUN) həyata keçirilir.
Default: minimum sahə dəstləri, dayandırılmış isteğe bağlı izləyicilər, qapalı giriş.
Mühit izolyasiyası: real PD olmadan dev/stage (və ya maskalama/sintetika ilə).
Sxemlərin versiyası: PD miqrasiya planları ilə miqrasiya.

5) Məlumat arxitekturası və təhlükəsizlik

Saxlama və zonalar:
  • Zone A (Transactional PII): tokenləşdirilmiş ödənişlər, KYC-artefaktlar; giriş - RBAC/ABAC ilə.
  • Zone B (Analytics Pseudonymized): təxəllüslər/hash, yığılmış hadisələr; birbaşa identifikasiya qadağası.
  • Zone C (Anonim BI): anonim hesabat/ML-təlim aqreqatları.
Texniki nəzarət:
  • Transit şifrələmə (TLS 1. 2 +) və at rest (AES-256), HSM/KMS açarları; açarların rotasiyası.
  • Psevdonimizasiya (sabit tokenlər) və anonimləşdirmə (difprivativlik, nəşrlər/tədqiqatlar üçün k-anonimlik).
  • Gizli menecment: vault, zero-trust access, birdəfəlik tokenlər.
  • Qeydlər və audit: kritik hadisələrin dəyişməz WORM-saxlama, izləmə; kütləvi boşaltma nəzarət.
  • DLP: boşaltma qaydaları, su işarələri, «exfiltration» monitorinqi.
  • Endpoint/Access: SSO/MFA, Just-in-Time Access, müvəqqəti rollar, geo/IP məhdudiyyətləri.
  • Etibarlılıq: şifrələmə backaps, bərpa testləri, blast-radius-un minimuma endirilməsi.

6) DPIA/DTIA: nə vaxt və necə

DPIA yüksək risk altında tələb olunur (geniş miqyaslı emal, RG/frod üçün profil, biometriya, yeni mənbələr).

Şablon:

1. Hədəf/emal və PD kateqoriyalarının təsviri.

2. Əsas və zərurət/mütənasiblik (minimallaşdırma, məhdudiyyətlər).

3. Subyektlərin hüquqları/azadlıqları üçün risklərin qiymətləndirilməsi, ehtimal/təsir baxımından veterinasiya.

4. Yumşaltma tədbirləri (tex/org), qalıq risk, fəaliyyət planı.

DTIA (transsərhəd ötürmələr): alıcı ölkənin hüquqlarının təhlili, müqavilə və həmin tədbirlər (şifrələmə, SCC/analoq), dövlətlərin riski.

7) Məlumat subyektlərinin hüquqları (DSR)

Sorğular: giriş, düzəliş, silmə, məhdudiyyət, dözümlülük, etiraz/marketinqdən imtina.

Əməliyyat qaydası:
  • Ərizəçinin yoxlanılması (sızma olmadan).
  • Həllərin loginqi ilə vaxtında (adətən 30 gün) yerinə yetirin.
  • İstisnalar: tənzimləyici/müqavilə öhdəlikləri (məsələn, AML-artefaktların saxlanması).
  • Avtomatlaşdırılmış həllər: məntiq (explainability) və insan tərəfindən yenidən baxılması hüququ haqqında əhəmiyyətli məlumat vermək.

8) Saxlama müddətləri və çıxarılması

Retenshn matrisi: Hər bir PD kateqoriyası üçün - məqsəd, son tarix, əsas, silinmə/anonimləşdirmə üsulu.
AML/KYC/maliyyə tez-tez əlaqələrin bitməsindən sonra 5 il ≥ tələb edir - yerli şərtləri təyin edin.
Deletion pipeline: etiketli silinmə → gecikmiş geri dönməz təmizləmə → silinmə hesabatı; vaxtında arxa planda kaskad.

9) Cookie/SDK/Tracker və Marketinq

Qranulyar razılıq paneli lazımdır (məcburi/funksional/analitik/marketinq).
Cookies/SDK dəqiq təyinatı, ömrü, provayder, üçüncü tərəflərə ötürülməsi.
Reklam üçün Do-Not-Track/Opt-out; yerli tələblərə (banner, reyestr) hörmət edirik.
Server analitikası/aqreqasiyası sızmaları minimuma endirmək üçün prioritetdir.

10) Transsərhəd ötürmələr

Hüquqi alətlər: müqavilə müddəaları (SCC/analoq), korporativ qaydalar, yerli mexanizmlər.
Texniki tədbirlər: ötürülmədən əvvəl şifrələmə, mənşə ölkəsində açarlara girişi məhdudlaşdırmaq, sahələri minimuma endirmək.
Dövlət orqanlarının giriş risklərinin qiymətləndirilməsi: DTIA + əlavə tədbirlər (split-key, mümkün olan yerdə müştəri şifrələməsi).

11) Satıcıların və üçüncü tərəflərin idarə edilməsi

Təchizatçı auditi: lisenziyalar/sertifikatlar, SOC/ISAE, hadisələr, emal coğrafiyası.
DPA/emal aktları: məqsəd, PD kateqoriyaları, şərtlər, alt prosessorlar, breach bildirişlər ≤ 72 saat, audit hüququ.
Texniki nəzarət: şifrələmə, RBAC, loging, müştəri izolyasiyası, uğursuzluq testləri.
Davamlı monitorinq: illik baxış, dəyişikliklər zamanı hadisələrin yenidən nəzərdən keçirilməsi.

12) Hadisələr və bildirişlər

Cavab planı:

1. Aşkarlama və təsnifat (PII scope/kritiklik).

2. İzolyasiya, forensika, aradan qaldırılması, bərpa.

3. Subyektlər üçün risklərin qiymətləndirilməsi, tənzimləyiciyə və istifadəçilərə bildiriş qərarı.

4. Kommunikasiya (lazımsız açıqlama olmadan), PSP/tərəfdaşlarla koordinasiya.

5. Post-dəniz və nəzarət/siyasət yeniləmə.

SLO: ilkin qiymətləndirmə ≤ 24 saat; yerli hüquq müddətində tənzimləyici/affektor bildiriş; zəiflik retest.

13) Metrika və keyfiyyətə nəzarət

DSR SLA: Sorğuların payı vaxtında bağlanır, orta cavab müddəti.
Data Minimization Index: sahələrin/hadisələrin orta sayı; söndürülmüş isteğe bağlı izləyicilərin payı.
Access Violations: icazəsiz giriş/boşaltma sayı/trendi.
Encryption Coverage: şifrələmə və açar rotasiyası ilə% cədvəllər/backets/backaps.
Incident MTTR/MTTD: aşkarlama/aradan qaldırma vaxtı, təkrarlanabilirlik.
Vendor Compliance: rəylərdən keçmək, şərhləri bağlamaq.
Retention Adherence: vaxtında silinmiş qeydlərin payı.

14) Siyasət və sənədlər (wiki üçün skelet)

1. Məlumatların qorunması siyasəti (prinsiplər, rollar, təriflər).
2. Emal əməliyyatlarının reyestri (məqsədlər, əsaslar, kateqoriyalar).
3. DPIA/DTIA proseduru (şablonlar, tetikləyicilər).
4. Subyektlərin hüquqları siyasəti (DSR) (axınlar, SLA, şablonlar).
5. Retenshn və silmə siyasəti (matris, proseslər).
6. Cookie/SDK siyasəti (razılıq paneli, reyestr).
7. Hadisə və bildiriş siyasəti (RACI, son tarixlər, formalar).
8. Vendor-menecment və DPA (yoxlama qiymətləndirmə vərəqləri, şablonlar).
9. Security baseline (şifrələmə, giriş, log, DLP).
10. Təlim və maarifləndirmə (proqramlar, testlər).

15) Çek vərəqləri (əməliyyat)

Yeni bir oyun başlamazdan əvvəl (Privacy by Design):
  • DPIA həyata keçirilmişdir, risk və tədbirlər DPO tərəfindən təsdiq edilmişdir.
  • Məqsədlər/əsaslar müəyyənləşdirilib, reyestr yenilənib.
  • Minimallaşdırılmış sahələr, ayrı bir zonada PII, dev/stage maskalama.
  • Cookie/SDK nəzərə alınır, banner konfiqurasiya, Opt-in/Opt-out seçenəkləri yoxlanılır.
  • Log/Metrik/Alerts özelleştirilmiş, retrenshn və silinməsi təyin edilir.
Rüblük:
  • Giriş review (RBAC/ABAC), «unudulmuş» hüquqların geri çağırılması.
  • Backup Recovery Test.
  • DPA və alt prosessorların yoxlanılması, SDK inventarizasiyası.
  • Gecikmiş və faktiki silmə auditi.
  • IR planı təlim (table-top).
DSR prosedurları:
  • Ərizəçinin yoxlanılması.
  • Sistem reyestrindən məlumatların toplanması; AML/hüquqi istisnalar üçün qırmızı xətlər.
  • Vaxtında cavab və log; kommunikasiya şablonları.

16) Etika, şəffaflıq və UX

Məqsədlər/trekinq haqqında başa düşülən bildirişlər, «laylı» gizlilik siyasəti (qısa + ətraflı).
Qranulyar razılıq açarları, marketinqdən asan imtina.
Avtomatlaşdırılmış həllər üçün Explainability (Frod/RG Scores): səbəbləri, yenidən baxmaq hüququ.
Gizli «qaranlıq nümunələrdən» qaçın; hədəfləmək üçün həssas əlamətlər istifadə etməyin.

17) Tətbiqi yol xəritəsi

1. Verilənlərin və sistemlərin inventarlaşdırılması; PD axın xəritəsi.
2. DPO-nun təyinatı, siyasətin təsdiqi və RACI.
3. Emal əməliyyatları və əsaslar kataloqu; DPIA/DTIA dövrəsini işə salın.
4. Verilənlər bölgüsü, şifrələmə/açarlar, DLP/jurnallar, retenshn-paypline.
5. Razılıq paneli, cookie/SDK reyestri, server analitikası.
6. Vendor-review və DPA; subprosessorlara nəzarət.
7. IR playbook, təlim, metrika və müntəzəm hesabat Board.

Yekun

Məlumatların etibarlı qorunması yalnız şifrələmə deyil: bu, PD həyat dövrünün idarəetmə sistemidir - məqsəd və əsaslardan minimuma qədər, təhlükəsiz arxitektura, DPIA/DTIA, subyektlərin hüquqları, insidentlər və metriklərə qədər. Privacy «default» və proses intizamını inteqrasiya edərək, tənzimləyicilərin və ödəniş tərəfdaşlarının tələblərinə əməl edəcəksiniz, çevirməni saxlayacaqsınız və oyunçuların etibarını gücləndirəcəksiniz.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.