GH GambleHub

Ölkələr və regionlar arasında məlumat ötürülməsi

1) Transsərhəd transfer hesab olunur və niyə vacibdir

Transsərhəd ötürmə - şəxsi məlumatların (və ya onlara uzaqdan giriş açılır) ilkin emal yurisdiksiyasından çıxdığı hər hansı bir əməliyyatdır. Bura aiddir:
  • başqa bir bölgədə hostinq/replikasiya,
  • üçüncü tərəfin uzaqdan girişi (sapport/administrator daxil olmaqla),
  • qlobal bulud xidmətləri vasitəsilə marşrutlaşdırma, CDN, diaqnostik/analitik SDK.

iGaming/fintech-də transsərhəd lisenziyalaşdırmaya, PSP/banklarla tərəfdaşlığa və hadisələrin risk profilinə təsir göstərir.

2) Hüquqi əsaslar (ümumiləşdirilmiş model)

Sözlər ölkələr üzrə fərqli olsa da, adətən üç nəzarət təbəqəsi fəaliyyət göstərir:

1. Mənbədə emal qanuniliyi: məqsəd, əsas (müqavilə/öhdəlik/qanuni maraq/razılıq), minimallaşdırma və retenshn.

2. Ötürmə mexanizmi:
  • adekvatlıq haqqında qərar (əgər alıcı «kifayət qədər qorunma» ilə yurisdiksiyada olarsa);
  • müqavilə alətləri: standart müddəalar/şərtlər, korporativ qaydalar (BCR), qruplararası sazişlər;
  • digər əsaslar (müqavilə zərurəti, açıq razılıq, həyatın qorunması və s. - dar və kontekstli).

    • 3. Əlavə mühafizə tədbirləri: Üçüncü tərəflərin və dövlət orqanlarının giriş risklərinin məqbul səviyyəyə endirildiyini təsdiq edən tex/org tədbirləri.

3) DTIA: transfer qiymətləndirilməsi (Data Transfer Impact Assessment)

DTIA suallara cavab verir: "Hara çatdırırıq? Kim alır? Hansı qanunlar/məlumatlara giriş riskləri? Bizim tədbirlərimiz kifayətdirmi?"

DTIA skeleti:

1. Əməliyyat və kontekst (PD/subyektlərin kateqoriyaları, məqsədlər, həcmlər, tezlik).

2. Alıcılar və sabprosessorlar zənciri (yerlər, rollar, alt emalçılar).

3. Alıcı ölkənin hüquqi təhlili (dövlət əldə etmə riskləri, məlumat sorğusu prosedurları, hüquqi müdafiə vasitələri).

4. Texniki/təşkilati tədbirlər: şifrələmə, açar ayrılması, təxəllüs, giriş məhdudiyyətləri.

5. Qalıq risk və həll: «ötürmək/tədbirləri gücləndirmək/ötürmək deyil».

6. Monitorinq planı: hadisələrə yenidən baxılması (provayder/geo/qanunun dəyişdirilməsi).

4) Standart ötürmə mexanizmləri (GDPR və ekvivalentləri ilə analoji)

Adekvatlıq: əlavə müqavilə alətləri olmadan, lakin əsas tədbirlərlə (minimallaşdırma, şifrələmə, retenshn) ötürülə bilər.
Standart müqavilə müddəaları (SCC/analoq): müqavilə zəmanətləri + DTIA + əlavə tədbirlər.
Korporativ qaydalar (BCR): transmilli qruplar üçün; tənzimləyicinin və yetkin daxili gizlilik proqramının təsdiqini tələb edir.
Digər əsaslar: açıq razılıq, subyektlə müqavilə üçün zərurət, mühüm ictimai maraqlar - dar və əməliyyat otağına keçə bilməz.

5) Texniki və təşkilati tədbirlər (konstruktor)

Kriptoqrafiya və açarlar

in transit və at rest şifrələmə; minimum TLS 1. 2+/AES-256.
Split-key/envelope encryption: açarlar mənşə ölkəsində qalır (KMS/HSM «evdə»), alıcı ölkədə - yalnız sarğı açarları.
Xüsusi həssas dəstlər üçün müştəri şifrələmə.

De-identifikasiya

Ötürülmədən əvvəl təxəllüs: PII əvəzinə sabit tokenlər; alıcı tərəfində PII ilə birbaşa join qadağan.
Analitik və hesabat üçün anonimləşdirmə/aqreqasiya (mümkün olan yerlərdə); nəşrlər üçün diferensial məxfiliyi.

Giriş və əməliyyat

JIT Access, RBAC/ABAC, İxrac Nəzarəti (DLP), WORM-loqlar.
Dev/stage-də prod-PD qadağası; sintetik və ya maskalama.
Geo-məhdudiyyətlər və IP allowlist administratorları üçün.

Satıcılara nəzarət

DPA/müqavilə ikinci dərəcəli məqsədlər qadağan və onward transfer razılığı olmadan.
Coğrafiya ilə subprosessorların reyestri; SLA hadisə bildirişləri.
İllik revyu/audit; yurisdiksiya/hostinq dəyişikliklərinin monitorinqi.

6) Memarlıq nümunələri «data/key residency»

A. data residency (regional saxlama):
  • «EU-only »/« BR-only »/« IN-only» klasterləri; anonim aqreqatların «dünya» DWH sinxronizasiyası.
  • Geo-charding istifadəçi mənşəyi və lisenziya yeri ilə marşrutlaşdırma ilə.
B. Key Residency (açar bölgəsi):
  • Məlumatlar qlobal miqyasda şifrələnmiş formada, açarlar isə yalnız mənşə ölkəsində (split-key, remote KMS) saxlanıla bilər.
  • Deşifrə sorğuları audit və kvotalarla səlahiyyətli «açar proxy» vasitəsilə həyata keçirilir.
C. Privacy-aware inteqrasiya:
  • Server-side analytics və server postbekləri (affiliates/atributions) əvəzinə «yağlı» brauzer SDK.
  • Hadisələrin redaktəsi ilə Edge qat (PII-nin çıxarılması) qlobal paylaynlara daxil edilməzdən əvvəl.

7) Regional xüsusiyyətlər (yüksək səviyyəli)

Avropa Yanaşması (GDPR): Transfer + DTIA haqqında fəsil; dövlət orqanlarının əlçatanlığına və hüquqi müdafiə vasitələrinə xüsusi diqqət yetirilir.
ABŞ (standart məxfilik rejimləri): üçüncü şəxslər arasında «satış/paylaşma» və müqavilə məhdudiyyətlərinə diqqət; reklam ssenariləri üçün ayrı-ayrı siqnallar (məsələn, GPC).
Braziliya (LGPD): adekvatlıq/müqavilə zəmanətləri/sertifikatlaşdırma/razılıq; təcrübələr Avropa ilə oxşardır (riskli müalicələr üçün RIPD).
Hindistan, Asiya və s.: Yerli nüsxə saxlama tələbləri, tənzimləyicilərə qeydiyyat/bildirişlər, «həssas» dəstlər üzrə məhdudiyyətlər mümkündür - lisenziyaların/ödəniş tərəfdaşlarının sənaye norma və şərtlərini yoxlayın.

(Bölmə qəsdən ümumiləşdirilmişdir: başlamazdan əvvəl yerli hüququ və lisenziyalarınızın və PSP-nin tələblərini yeniləyin.)

8) Nə sənədləşdirmək (artefaktlar)

Ötürmə reyestri: ölkələr/provayderlər/mexanizm (adekvatlıq/SCC/BCR/digər )/PD kateqoriyalar/əsaslar/şərtlər.
Hər bir ötürmə üçün DTIA (və dəyişikliklər zamanı yeniləmələr).
DPA/prosessorlar/sabprosessorlar ilə müqavilələr; regionlar üzrə subprosessorların siyahısı.
key residency siyasəti və KMS/HSM sxemləri.
Xəbərdarlıqların coğrafiyası və vaxtı nəzərə alınmaqla insident prosedurları.
Data map/lineage üçün kaskad və ixrac.

9) Transsərhəd ötürmə zamanı insidentlər və bildirişlər

Təsirli PD-lərin həcmini və coğrafiyasını, tətbiq olunan tənzimləyiciləri/bildiriş müddətlərini tez bir zamanda müəyyənləşdirin.
Provayderlərlə/sabprosessorlarla hərəkətləri əlaqələndirmək; texniki artefaktlar almaq (log, müvəqqəti pəncərələr, giriş açarları).
Kommunikasiyalar - «minimal kifayət qədər», lazımsız açıqlanmadan; təsirlənən subyektlər üçün - başa düşülən tövsiyələr (şifrələrin dəyişdirilməsi, əməliyyatlara nəzarət və s.).
Post-dəniz: DTIA yenilənməsi, tədbirlərin gücləndirilməsi, müqavilələrin düzəldilməsi.

10) Metrika və keyfiyyətə nəzarət

DTIA Coverage - cari təsir qiymətləndirmələri ilə verilişlərin payı.
Key Residency Enforcement - regional KMS-dən keçən şifrələrin% -i.
Vendor Geo Accuracy - vəd edilmiş və faktiki emal coğrafiyasının üst-üstə düşməsi.
Export Violations - icazəsiz ixrac cəhdləri/faktları.
Transsərhəd hallar üzrə Incident MTTD/MTTR.
RoPA/Transfer Registry Completeness - reyestrlərin tamlığı.
Xaricə ötürülən məlumatlar üçün Retention Adherence.

11) Çek vərəqləri (əməliyyat)

Transferi başlamazdan əvvəl

  • Məqsəd/əsaslandırma/minimuma endirmə RoPA-ya daxil edilmişdir.
  • mexanizmi seçilir: adekvatlıq/SCC (və ya analoq )/BCR/digər.
  • DTIA tərəfindən həyata keçirilib, əlavə tədbirlər görülüb (şifrələmə, split-keys, təxəllüs).
  • DPA/onward transfer məhdudiyyətləri ilə müqavilələr, audit hüququ.
  • DLP, DLP, ixrac riskləri.

Əməliyyat

  • Coğrafiya monitorinqi (provayderlər/replikalar/CDN/SDK).
  • DTIA və sabprosessor siyahılarının illik/hadisə yenidən baxılması.
  • DR ssenarilərində bərpa/sanitariya testləri.

Dəyişikliklər zamanı

  • Ölkəni/provayderi/hüquqi rejimi dəyişdirərkən Re-DTIA.
  • Reyestrlərin yenilənməsi və DPO/hüquqşünasların xəbərdarlığı.
  • «key residency» və deşifrə marşrutlarının yoxlanılması.

12) Matris «verilənlər kateqoriyası → qorunma ölçüsü → ötürülə bilərmi»

KateqoriyaMinimum tədbirlərTipik nəticə
İdentifikasiya PIIŞifr. at rest/in transit, təxəllüs, key-residencySCC/BCR + Dopmers
Ödəniş tokenləriTokenizasiya, zonaların ayrılması, split-keysCiddi müqavilələr və KMS «evdə» mümkündür
KYC-artefaktlar/biometriyaŞablonları saxlamaq, JIT-ə daxil olmaq, üçüncü ölkəni raw-nüsxələrdə qadağan etməkMümkünsə yerli saxlayın; yalnız təxəllüsləri ötürmək
Təhlükəsizlik qeydləriMaskalanma, TTL, anonimləşdirməAqreqatlar/anonim - qlobal SIEM üçün məqbul
Hadisələrin analitikasıTəxəllüs/aqreqasiya, server-sideQlobal DWH/BI - tamam, PII olmadan

13) wiki/anbar üçün şablonları

DTIA-Template. md (bölmələr 1-6 + çek siyahısı dopmer).
Transfer-Registry. xlsx/MD (əməliyyat → ölkə → provayder → mexanizm → tədbirlər).
Key-Residency-Policy. md (KMS/HSM arxitekturası, rollar, audit).
Vendor-DPA-Checklist. md (məhdudiyyətlər, sabprosessorlar, yerlər, bildirişlər).
DR-Sanitization-Runbook. md (bərpa edilmiş mühitləri necə təmizləmək olar).
Geo-Monitoring SOP (faktiki coğrafiyanı necə idarə etmək olar).

14) Yol xəritəsi (6 addım)

1. Verilişlərin inventarlaşdırılması: PD mənbələri, alıcılar, marşrutlar, SDK/etiketlər.
2. Hüquqi konturu: mexanizmlərin seçilməsi (adekvatlıq/SCC/BCR), DPA hazırlanması, reyestrin işə salınması.
3. DTIA və dopmerlər: kriptovalyuta arxitekturası (split-keys, key residency), təxəllüsləşdirmə, DLP/audit.
4. «data residency» arxitekturası: geo-klasterlər, marşrutlaşdırma qaydaları, server-side analytics.
5. Əməliyyatlar və monitorinq: provayderlərin/sabprosessorların geo-monitorinqi, DR-sanitizasiya, metriklər.
6. Auditlər/təlimlər: DTIA/reyestrlərin illik yenidən baxılması, hadisə təlimləri, rəhbərlik üçün hesabatlar.

Yekun

Transsərhəd ötürmənin idarə edilməsi «müqavilənin nişanı» deyil, hüquqi mexanizmlərin, kriptovalyuta arxitekturasının və əməliyyat intizamının birləşməsidir. Aydın DTIA, müqavilə məhdudiyyətləri, «data/key residency», təxəllüsləşdirmə və satıcıların nəzarəti, sürəti və tənzimləyicilərin və ödəniş tərəfdaşlarının tələblərinə uyğunluğu itirmədən məhsulu regionlar üzrə təhlükəsiz şəkildə genişləndirməyə imkan verir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.