GH GambleHub

Privacy by Design prinsipi

1) Privacy by Design nədir və niyə lazımdır

Privacy by Design (PbD) - istifadəçi gizliliyinin məhsula əvvəldən daxil edildiyi yanaşma: məlumat memarlığı, proseslər və interfeys dizaynı. Məqsəd məhsulun sürətinə, uyğunluğuna və dönüşümünə zərər vermədən gizlilik hüququna riayət etməkdir.

Əsas faydalar: tənzimləyici risklərə qarşı müqavimət, istifadəçilərin/ödəniş tərəfdaşlarının etimadı, proqnozlaşdırıla bilən dəyişiklik xərcləri, auditlərdən sonra daha az «dəyişiklik».

2) Yeddi PbD prinsipləri (məhsul üçün uyğunlaşma)

1. Proaktivlik deyil, reaktivlik: dizayn zamanı riskləri müəyyən edin (DPIA/təhdid modelləşdirmə).
2. Default privacy: minimum ödənişlər, «hələ lazım deyil», açıq opt-in.
3. Dizaynda quraşdırılmış gizlilik: şifrləmə, tokenizasiya, məlumatların bölünməsi - «plugin» deyil, arxitekturanın bir hissəsidir.
4. Tam funksionallıq: balans «məxfiliyin biznes dəyəri» (sıfır məbləğ deyil).
5. Əvvəldən axıra qədər təhlükəsizlik: PD həyat dövrünün bütün mərhələlərində qorunma.
6. Şəffaflıq: başa düşülən siyasətlər, giriş qeydləri, avtomatlaşdırılmış həllərin izahlılığı.
7. İstifadəçiyə hörmət: aydın dil, başa düşülən parametrlər, razılığın asan geri çağırılması.

3) Verilənlərin həyat dövrü və nəzarət nöqtələri

Yığma → Saxlama → İstifadə → Transfer → Arxiv → Silmə/Anonimləşdirmə

Hər mərhələ üçün aşağıdakıları təyin edin:
  • Emal məqsədi və əsası (contract/legal interest/consent və s.).
  • Minimum sahələr (data minimization).
  • Saxlama sahəsi (PII/təxəllüs/anonim).
  • Vaxt (Retention Matrix).
  • Giriş nəzarəti və müşahidə (RBAC/ABAC, log, alert).
  • / DSR silmə proseduru (giriş/düzəliş/silmə/dözümlülük).

4) PbD memarlıq nümunələri

4. 1 Məlumat zonalarının seqmentləşdirilməsi

Zone A (PII/həssas): ciddi RBAC/ABAC, at-rest şifrələmə, JIT access.
Zone B (təxəllüslər): identifikatorlar əvəzinə sabit tokenlər.
Zone C (anonim aqreqatlar): BI/tədqiqat, nəşrlərdə diffivativlik.

4. 2 Minimallaşdırma və təxəllüsləşdirmə

Yalnız lazımi sahələri toplamaq; aradan qaldırılması/istifadə edildikdən sonra maskalanması.
raw şəkillər əvəzinə biometrik şablonları saxlamaq; ödəniş məlumatlarını qeyd etmək.

4. 3 «Privacy-aware» inteqrasiya

Server-side analytics və postback əvəzinə «yağlı» brauzer SDK.
Prior-blocking tags/SDK razılığı əvvəl (CMP + Tag Manager).
Xidmətlər arasında data contracts: açıq sxemlər, versiyalar, sahələrin polisləşdirilməsi.

4. 4 Giriş nəzarəti və müşahidə

SSO, MFA, JIT-access, gizli menecment.
WORM-saxlama oxu/yükləmə qeydləri, anomaliya-yükləmə detalı.

5) SDLC-də PbD (keçici inteqrasiya)

Discovery: privacy-triage (PD/uşaqlar/biometrik/profil/xaricə ötürülməsi var).
Design: DPIA/DTIA, data mapping, zonaların və minimum sahələrin seçimi, consent sxemləri.
Build: sxem linterləri, maskalama testləri, PD ixrac geytaları, siyasət versiyalarının fiksasiyası.
Başlanğıc: PbD çek siyahısı, DPO/təhlükəsizlik siqnalı, razılıq/log jurnalları daxil.
Run: metriklər, giriş review, satıcı auditləri, hadisə retainer, müntəzəm re-consent.

6) «privacy by default» UX nümunələri

«Hamısını qəbul et/Hamısını rədd et/Konfiqurasiya».
Fərdi məlumat kateqoriyalarının nə üçün addım-addım izahları.
Üstünlük mərkəzi: razılığın tez geri alınması, GPC statusu (mümkünsə).
«Qatlanmış» siyasət: qısa + ətraflı; avtomatlaşdırılmış həllər ilə başa düşülən reason codes.
Əlçatanlıq: sadə dil, lokallar, «qaranlıq nümunələr» olmadan.

7) Satıcılar və müqavilələr

Hədəflərin məhdudlaşdırılması, DSR kaskad dəstəyi və hadisə bildirişləri ilə DPA.
Transsərhəd ötürmələrin emal coğrafiyası və mexanizmləri.
SDK/piksellərin periodik auditi, restricted processing rejimləri.

8) PbD metrikası (ölçürük, sözə inanmırıq)

RoPA Completeness: emal reyestrinin tamlığı.
Data Minimization Index: fich/hadisə başına ortalama PD sayı.
Encryption Coverage: şifrələmədə% cədvəllər/backets/backaps.
Access/Export Violations: icazəsiz oxu/yükləmə.
DSR SLA: Sorğuların payı vaxtında bağlanır.
Consent/GPC Honor Rate: razılıq/siqnalların hesabının düzgünlüyü.
Retention Adherence: Qrafik üzrə silinmiş qeydlərin% -i.
Incident MTTD/MTTR: aşkar/aradan qaldırılması vaxt.

9) Rollar və məsuliyyət (RACI)

Product Owner: hədəflər, minimum sahələr, RoPA-giriş.
DPO/Privacy: metodologiya, DPIA/DTIA, sign-off, təlim.
Təhlükəsizlik/CISO: texniki nəzarət, IR planı, giriş/boşaltma auditi.
Data/Engineering: sxemlər, data contracts, təxəllüslü fiche-store.
Legal/Compliance: əsaslar, müqavilələr, transsərhəd ötürmələr.
Support/Operations: DSR axınları, razılıq jurnalları, kommunikasiyalar.

10) Çek vərəqləri (istifadəyə hazır)

Fiç başlamazdan əvvəl

  • Emal məqsədi və əsası təsvir edilmişdir.
  • Minimum sahələr və saxlama sahəsi müəyyən edilmişdir (A/B/C).
  • DPIA/DTIA tərəfindən yerinə yetirilmişdir (tetikləyicilər olduqda).
  • CMP/consent və prior-blocking.
  • RoPA-ya daxil edilmişdir; retenshn və aradan qaldırılması təyin edilir.

Buraxılışdan əvvəl

  • at-rest/in-tranzit şifrələmə; KMS/HSM açarları.
  • RBAC/ABAC və JIT giriş, audit daxildir.
  • Server analitikası, identifikatorların maskalanması.
  • DSR/ixrac testləri, rabitə şablonları hazırdır.

Rüblük

  • Giriş review, lazımsız geri çağırış.
  • Satıcıların auditi/SDK, siyahı və məqsədlər aktualdır.
  • Retention Adherence və faktiki silmə yoxlama.
  • IR planı təlim həyəcan (table-top).

11) Tez-tez səhvlər və onlardan necə qaçmaq olar

Privacy «əlavə kimi» buraxıldıqdan sonra → dizayn daxil edin (SDLC-geytlar).
«Hər ehtimala qarşı» yığımı → minimum sahə dəstini qeyd edin.
Marketinq və təhlükəsizlik qarışdırma → əsasları bölün (consent vs LIA/legal).
Pro-PD ilə Dev/stage → sintetik/maskalama istifadə edin.
Heç bir razılıq jurnalı/log → uyğunluğu sübut edəcək heç bir şey yoxdur.
Heç bir explainability → profil üçün mürəkkəb müraciətlər.

12) Hadisə playbook (privacy-focused)

1. Hadisəni təsnif edin: miqyaslı, PD kateqoriyaları, subyektlərə risk.
2. İzolyasiya/forensika, aradan qaldırılması, dəliklərin bağlanması.
3. Bildirişlər haqqında qərar (nəzarət/subyektlər), məktub şablonları.
4. Post-dəniz: memarlıq/proseslərdə dəyişiklik səbəbləri.
5. DPIA/siyasətlərini yeniləyin, komandaları öyrədin.

13) Sizin wiki üçün artefakt şablonları

Privacy-by-Design Checklist. md (SDLC gates üçün).
Data Map (zonalar və axınlar diaqramı).
Retention Matrix (kateqoriya → müddət → çıxarılması metodu).
DSR SOP (prosedurlar, SLA, cavab şablonları).
Vendor DPA Checklist (məhdudiyyətlər, alt prosessorlar, geo).
Explainability Playbook (reason codes, apellyasiya, bias auditləri).
Incident Response (Privacy) Runbook.

14) Yol xəritəsi (6 addım)

1. Məlumat və axınların inventarlaşdırılması; baza RoPA, A/B/C zonaları.
2. Şablonlar və geytalar: PbD-çek siyahısı, DPIA/DTIA-triaj SDLC-də.
3. Memarlıq: şifrələmə, təxəllüs, server-side analytics, prior-blocking.
4. Proseslər: CMP, DSR, retenshn/silmə, razılıq və giriş jurnalları.
5. Satıcılar: DPA, alt prosessor reyestri, SDK/piksel auditi.
6. Monitorinq: PbD metrləri, rüblük auditlər, IR təlimləri, Board hesabatı.

Yekun

Privacy by Design «saytdakı siyasət» deyil, mühəndislik və təşkilati intizamdır: məlumatların minimuma endirilməsi, zonaların ayrılması, şifrləmə və jurnallar + anlaşılan razılıq interfeysləri və müntəzəm auditlər. SDLC və əməliyyatlarda PbD inteqrasiyası ilə hüquqi riskləri azaltmaq, tərəfdaşlarla inteqrasiyanı asanlaşdırmaq və UX məhsulunun sürətini və keyfiyyətini itirmədən istifadəçilərin etibarını gücləndirmək.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.