GH GambleHub

NDA və məxfi məlumatların qorunması

1) Məqsədlər və prinsiplər

NDA (Qeyri-Disclosure Agreement) və daxili siyasət qorunur:
  • biznes sirləri (antifrod alqoritmləri, bonus profilləri, ML modelləri, RNG riyaziyyatı);
  • danışıqlar materialları (qiymətlər, offerlər, M&A, due diligence);
  • texnoloji proseslər və mənbələr (memarlıq, IaC, API sxemləri, açarlar);
  • tərəfdaşlıq məlumatları (SDK, roadmaps, beta);
  • şəxsi/kommersiya məlumatları (DPA/DSA çərçivəsində).

Prinsiplər: girişi minimuma endirmək (need-to-know), izləmə, default şifrələmə, rolların/vəzifələrin bölünməsi, birgə inkişaf üçün «təmiz otaq».

2) Məlumatların təsnifatı və etiketlənməsi

Tövsiyə olunan təsnifat səviyyəsi və müraciət qaydaları:
SəviyyəNümunəGirişSaxlamaTransfer
Publicpress-reliz, wiki-arayışbütünümumi saxlamaməhdudiyyətsiz
Internalplaybook sapportişçilərkorporativ disklərKorporativ poçt
Confidentialbazar planları, müqavilələrneed-to-knowat rest şifrələməsonlu şifrələmə, NDA
Strict/Secretaçarlar, antifrod modelləri, RNG mənbələridar dairəHSM/daxili. Seyfyalnız mTLS + jurnal kanalları ilə

Etiketləmə: '[CONFIDENTIAL]', məlumat sahibi, buraxılış müddəti, bilet/giriş əsasına keçid.

3) Kommersiya sirri rejimi (trade secrets)

Jur-akt/siyasət: məlumat siyahısı, müdafiə tədbirləri, məsuliyyət.
Texniki tədbirlər: RBAC/ABAC, giriş jurnalları, DLP, watermarking, çap nəzarət/ekran görüntüləri.
Təşkilati: onboarding/offboarding-çek vərəqləri, təlim, açıqlanmayan müqavilələr, qeydiyyatdan keçmədən media gətirmək/çıxarmaq qadağası.
Doc-intizam: versiyalar, artefaktların reyestri, etiketləmə, «gizli» kanallar (qapalı məkanlar/anbarlar).

4) NDA növləri

Bir tərəfli (one-way): bir tərəfini açır (tipik olaraq - SDK təchizatçısı).
Qarşılıqlı (mutual): hər iki tərəfə məxfi məlumat mübadiləsi (danışıqlar, inteqrasiya).
Çoxşaxəli (multilateral): konsorsiumlar, birgə pilotlar.
NCA/NDA + NCA: NDA-ya qeyri-circumvention (vasitəçinin yan keçməsinə qadağa) əlavə edilir.
NDA tərtibatçı/podratçı ilə: Inventions/Assignment ilə birləşdirilir (nəticə hüquqları).

5) NDA-nın əsas bölmələri (bu tələb olunur)

1. Məxfi Informasiyanın tərifi: o cümlədən şifahi (sonrakı yazılı təsdiq zamanı), elektron, maddi daşıyıcılar; standart nümunələri sadalayın (kod, sxemlər, qiymətlər, daşbordlar).
2. istisnalar: (i) ictimai pozuntusuz bilinir; (ii) artıq qanuni mülkiyyətdə idi; (iii) müstəqil olaraq hazırlanmışdır (sübut edilə bilər); (iv) dövlət orqanlarına qanuni əsaslarla açıqlanmışdır (bildirişlə).
3. Açıqlama məqsədi: konkret (tərəfdaşlıq qiymətləndirilməsi, pilot, audit).
4. Alıcının öhdəlikləri: qorunma səviyyəsi öz səviyyəsindən aşağı deyil; need-to-know, məqsəd üzərində kopyalamaq qadağa, razılıq olmadan geri inkişaf/benchmarking qadağa.
5. Müddət və «sağ qalma»: müqavilə müddəti (məsələn, 2-5 il) + sirlərin müddətdən sonrakı qorunması (məsələn, 5-10 il/sirlər üçün müddətsiz).
6. Geri qaytarılması/məhv edilməsi: sorğu və ya son - təsdiq ilə geri qaytarılması/silinməsi; ehtiyat nüsxələr - avtomatik müddətə qədər saxlama rejimində.
7. Audit və hadisə bildirişləri: bildiriş sürəti (məsələn, 72 saat ≤), istintaqda əməkdaşlıq.
8. Hüquqi müdafiə vasitələri: injunctive relief (məhkəmə qadağası), kompensasiya, limitlər qəsdən pozuntulara tətbiq edilmir.
9. Tətbiq olunan hüquq/arbitraj: yurisdiksiya/forum, dil, ADR/arbitraj.
10. İxrac/sanksiyalar: sanksiya altındakı şəxslərə/yurisdiksiyalara verilməsinin qadağan edilməsi; ixrac nəzarəti (kriptoqrafiya).
11. «Residual Knowledge» (razılaşma əsasında): işçilərin «yazılmamış biliklərini» istifadə etmək olar/edə bilməzsiniz (adətən - istisna etmək və ya məhdudlaşdırmaq).
12. Subpodratçılar/filiallar: yalnız oxşar öhdəliklər və yazılı razılıq olduqda icazə verilir.
13. Verilənlərin qorunması (PII varsa): DPA/DSA-ya keçid, tərəflərin rolu (nəzarətçi/prosessor), məqsədlər/hüquqi əsaslar, transsərhəd ötürmələr, saxlama müddəti.

6) Gizlilik və təhlükəsizlik ilə NDA əlaqəsi

Şəxsi məlumatlar ötürülürsə, NDA kifayət deyil - DPA/DSA və GDPR/analoqlar (hüquqi əsaslar, subyektlərin hüquqları, yüksək risk üçün DPIA) üçün tədbirlər tələb olunur.
Texniki nəzarət: tranzitdə şifrələmə (TLS 1. 2 +), at-rest (AES-256), gizli idarəetmə, açar rotasiyası, cihazlar üçün MDM, 2FA, SSO, PII ilə log minimallaşdırılması.

7) Giriş və mübadilə prosedurları

Kanallar: domen poçt, təhlükəsiz otaqlar (VDR), SFTP/mTLS, şifrəli arxivlər (AES-256 + out-of-band parol).
Qadağan: korporativ inteqrasiya olmadan messencerlər, şəxsi buludlar, ictimai linklər, idarəolunmaz cihazlar.
Çap/ixrac nəzarəti, şəxsi flash daşıyıcıların qadağan edilməsi, geo məhdudiyyətlər (geofenslər).

8) Clean-room və birgə inkişaf

«Görən» və «təmiz» komandaları ayırın, birtərəfli artefaktları ayrıca saxlayın.
Mənbələri və mənşəyini sənədləşdirin (provenance).
Birgə PoC üçün: Derived Data sahibi olan nəticələrin (birgə/assignment) hüquqlarını razılaşdırın.

9) RAG risk matrisi

RiskR (kritik)A (düzəldilə bilər)G (nəzarət)
NDA olmamasıMüqaviləsiz sirlərin mübadiləsiDPA olmadan ümumi şablonNDA + Proqramlar (DPA/sanksiyalar)
GirişŞəxsi poçt/cihazlarQismən MDM/SSOTam MDM/SSO/2FA
EtiketləməTəsnifat yoxdurNatamam etiketləməVahid standart + reyestrlər
HadisələrHeç bir SLA bildirişTestsiz prosedurSLA ≤ 72 saat + təlimlər
SubpodratçılarNDA əhatə olunmayıbQismənFlow-down öhdəlikləri
İxrac/sanksiyalarHeç bir skrininqBirdəfəlik skrininqSiyasət + periodik reskrininq

10) Çek vərəqləri

Məlumat mübadiləsindən əvvəl

  • NDA tərəfindən imzalanmışdır (hüquq/forum/müddət/istisnalar/sanksiyalar).
  • DPA/DSA lazımdır? Əgər belədirsə - imzalanmışdır.
  • Data setinin sahibi və təsnifat səviyyəsi təyin edilmişdir.
  • Kanal mübadiləsi və şifrələmə razılaşdırılmışdır.
  • Alıcıların siyahısı (need-to-know), VDR/qovluqlara giriş konfiqurasiya edilmişdir.

Mübadilə zamanı

  • Faylların etiketlənməsi və versiyası, su işarələri.
  • Giriş jurnalları, razılığı olmadan yenidən paylaşmaq qadağandır.
  • Hash-summalar/artefaktların reyestri.

Tamamlandıqdan sonra

  • Geri qaytarılması/silinməsi və yazılı təsdiqi.
  • Giriş ləğv edildi, tokenlər/açarlar rotaasiya edildi.
  • Post-audit: prosesləri/şablonları yaxşılaşdırmaq üçün nə.

11) Şablonlar (müqavilə bəndlərinin fraqmentləri)

A. tərifi və istisnaları

💡 «Məxfi Məlumat» texniki, kommersiya, maliyyə məlumatları, kod, sənədlər, spesifikasiyalar, inkişaf planları, müqavilələrin şərtləri daxil olmaqla, Tərəfin-Açan Tərəfə-Alıcıya açıqlanmayan hər hansı bir məlumatı ifadə edir. Məlumat məxfi hesab edilmir, əgər: (i) açıqlanmazdan əvvəl ictimaiyyətə açıq idi; (ii) pozuntu nəticəsində ictimai oldu; (iii) qanuni əsaslarla Alıcıda idi; (iv) müstəqil olaraq hazırlanmışdır.

B. öhdəlikləri və Access

💡 Alıcı özündən aşağı olmayan mühafizə rejimini tətbiq edir, yalnız işçilərə/podratçılara «need-to-know» prinsipi ilə giriş imkanı verir, onları ekvivalent müqavilələr imzalamağa məcbur edir, məlumatları Məqsəddən kənarda kopyalamır və istifadə etmir.

C. müddət/Survival

💡 Bu Saziş [24/36/60] ay müddətində qüvvədədir; ticarət sirlərini qorumaq öhdəlikləri [5-10] il ərzində və ya qanuni açıqlanana qədər saxlanılır.

D. geri/məhv

💡 Açan Tərəfin tələbi ilə Alıcı [10] gün ərzində materialları geri qaytarır və ya məhv edir və bunu yazılı şəkildə təsdiq edir; Ehtiyat nüsxələr məxfilik rejiminə uyğun olaraq standart avtomatik silinməyə qədər saxlanılır.

E. hüquqi vasitələr

💡 Tərəflər pozuntunun düzəlməz zərər verə biləcəyini etiraf edirlər; Açıqlayan Tərəf digər müdafiə vasitələri ilə yanaşı, məhkəmə qadağası (injunctive relief) tələb etmək hüququna malikdir.

F. İxrac/Sanksiyalar

💡 Alıcı ixrac nəzarəti və sanksiya rejimlərinə riayət olunmasına zəmanət verir və məhdudiyyətlərə məruz qalan subyektlərə/yurisdiksiyalara məlumat verməyəcək.

G. residual Knowledge (isteğe bağlı)

> Tərəflər razılaşırlar ki, Alıcının işçilərinin maddi formada qeydə alınmamış ümumi bacarıqları və bilikləri qəsdən yadda saxlamaq və mənbə kodundan/məxfi düsturlardan istifadə etmək şərti ilə məxfi məlumat hesab olunmur. (Yüksək riskli layihələrdə istisna etmək və ya ciddi şəkildə məhdudlaşdırmaq tövsiyə olunur.)

12) Tövsiyə olunan reyestrlər (YAML)

12. 1 NDA reyestri

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 Artefaktların mübadiləsi reyestri

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) Təhlükəsizlik siyasəti və təcrübələri (qısa)

Cihazlar: korporativ, tam diskli şifrələmə, MDM, «Secret» üçün BYOD qadağası.
Giriş: SSO/2FA, şərti giriş (geo/cihaz), müvəqqəti rollar (just-in-time).
Qeydlər: giriş saxlama və monitorinq; kütləvi boşaltma/qeyri-standart saat üçün alertlər.
DLP: Domain-dən kənar/şifrəsiz əlavələr bloku, PDF-də su işarələri.
Rahatlıq: təhlükəsiz otaq şablonları (VDR), hazır arxiv şifrələmə skriptləri, standart NDA/DPA.

14) Hadisə-menecment (NDA kontekstində)

1. Fiksasiya: nə zaman, kim, hansı fayllar/anbarlar; sessiyaların dondurulması.
2. İzolyasiya: giriş/açarların geri çağırılması, buludda müvəqqəti «dondurucu».
3. Bildirişlər: məlumat sahibi, hüquqşünaslar, tərəfdaşlar; PII - DPA/GDPR ilə.
4. Araşdırma: qeydlərin toplanması, forensika, zərərin miqdarının müəyyən edilməsi.
5. Remediasiya: sirlərin dəyişdirilməsi, yamalar, playbook yeniləmə, təlim.
6. Hüquqi tədbirlər: NDA, kompensasiyalar üzrə iddialar/iddia işləri.

15) Mini-FAQ

Şəxsi məlumatlar üçün NDA kifayətdirmi? Xeyr, DPA/DSA və gizlilik tədbirləri lazımdır.
Gizli mesajlaşma göndərmək mümkündürmü? Yalnız korporativ təsdiqlənmiş və end-to-end ilə, DLP/jurnallar daxil olduqda.
Materialları nə qədər saxlayın? Məqsəd/müqavilə tələb etdiyi qədər; sonunda - təsdiq ilə geri/silinmə.
Daxili diskləri şifrələmək lazımdırmı? Bəli, tam disk + faylları/sirləri şifrələmək.

16) Nəticə

NDA aysberqin zirvəsidir. Real müdafiə kommersiya sirri rejimi, məxfilik (DPA), ciddi texniki və orqan nəzarəti, mübadilə intizamı və hadisələrə sürətli reaksiya əsasında qurulur. Şablonları standartlaşdırın, reyestrləri və playbukları açın - sirləriniz, kodunuz və danışıqlarınız zəiflik deyil, aktiv olaraq qalacaq.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.