GH GambleHub

Ölkələr arasında məlumat ötürülməsi

1) Məqsəd və sahə

Fərdi məlumatların transsərhəd ötürülməsinin (PII) və əməliyyat dəstlərinin (KYC/AML, ödənişlər, RG/SE, CRM/marketinq, oyun telemetriyası, loqlar/ARM, analitika/DWH) idarə olunan və sübut edilə bilən təhlükəsiz modelini i lisenziyalarının tələblərinə uyğun olaraq formalaşdırmaq Gaming və müxtəlif yurisdiksiyaların məlumatların qorunması haqqında qanunlar. Sənəd «Məlumatların lokallaşdırılması», «Silmə və anonimləşdirmə», «GDPR: razılıq», «DSAR» bölmələrini tamamlayır.

2) Əsas anlayışlar və prinsiplər

Transsərhəd ötürmə - subyektin/məlumatların «ev» yurisdiksiyasından kənarda hər hansı bir giriş/replika/emal.
Adekvatlıq/ekvivalentlik - alıcı ölkənin qorunmasının yetərliliyi barədə tənzimləyicinin qərarıdır.
Müqavilə mexanizmləri - standart müqavilə müddəaları, yerli analoqlar, əlavə sazişlər.
TİA (Transfer Impact Assessment) - konkret ötürmənin hüquqi/texniki risklərinin qiymətləndirilməsi.
Suverenlik/rezidentlik - saxlama yeri və yerli nəzarət hüququ.

Prinsiplər:

1. Local-first: mümkün qədər yerli emal; xaricə - minimal və qaydalara uyğun.

2. Minimallaşdırma: «lazım olduğu qədər»; daha çox aqreqatlar/təxəllüslər.

3. Kriptoqrafiya və təcrid: şifrələmə, regionda açarlar, control/data plane bölgüsü.

4. Sübut oluna bilər: hər bir verilişin jurnalı, TIA artefaktları və əsasları.

5. Fail-closed: heç bir əsas və ya TIA - heç bir transfer.

3) Rollar və RACI

DPO/Head of Compliance (Owner) - siyasət, tolerantlar, TIA, istisnalar. (A)

Legal - ötürmə mexanizminin seçilməsi, müqavilələr, yerli tələblər. (R)

Security/Infra - şifrələmə, KMS/HSM, şəbəkə perimetri, audit. (R)

Data Platform/Analytics - de-PII/anonimləşdirmə, federativ/koxort hesabatları. (R)

Engineering/SRE - marşrutlaşdırma, tokenlaşdırma, ixraca nəzarət. (R)

Vendor Manager - subprosessor reyestri, təsdiq, offboarding. (R)

Internal Audit - artefaktların nümunələri, CAPA. (C)

4) Axın xəritəsi (Data Transfer Map)

Mənbə → təyinat (ölkə/bulud/satıcı) → məlumat kateqoriyası → məqsəd → hüquqi əsas → ötürmə mexanizmi → müdafiə (tex/org) → saxlama vaxtı → məsuliyyət.
Qrafik üçün qeyd olunur: dəstək/CS, analiz/hesabat, frod/risk skor, oyun provayderləri və PSP, affiliates.

5) Hüquqi mexanizmlər (çərçivə)

1. Adekvatlıq qərarı (mümkünsə): sadələşdirilmiş yol, lakin yenə də TIA artefaktları və satıcı ilə müqavilələr lazımdır.
2. Standart/standart müqavilə müddəaları və yerli analoqlar: məcburi tətbiqlər (kateqoriyalar, məqsədlər, tədbirlər) daxildir.
3. Binding/əlavə müqavilələr: subprosessorların vəzifələrini, dövlət orqanlarının sorğuları barədə bildirişləri aydınlaşdırır.
4. Qanun istisnaları: nöqtəli və nadir (həyat maraqları, müqavilə tələbi) - sistemli ixrac üçün deyil.
5. Qrupdaxili qaydalar: holdinqlər üçün - nəzarət edilən korporativ alətlər.

💡 Mexanizmin həlli həmişə TIA və əlavə tədbirlər kataloqu ilə müşayiət olunur.

6) Transfer Impact Assessment (TIA)

Fürsət: yeni satıcı/ölkə, yeni hədəf, yeni kateqoriyalar (biometrik, RG/SE), açar və ya marşrut rejiminin dəyişdirilməsi.

Məzmun:
  • Transmissiya təsviri (məlumat/həcm/tezlik/iştirakçılar).
  • Alıcı ölkənin hüquqi mühiti (dövlət orqanlarının giriş riskləri, subyektlərin hüquqi müdafiə vasitələri).
  • Texniki tədbirlər: şifrələmə, açarlar (BYOK/HYOK), təxəllüs, split-processing.
  • Təşkilati tədbirlər: NDA, təlim, «need-to-know», jurnallaşdırma, sorğulara cavab.
  • Qalıq risk/həll: icazə/dəyişdirmək/qadağan; yenidən baxılma müddəti.

TIA qısa formasının şablonu: bax § 15C.

7) Texniki və təşkilati tədbirlər

7. 1 Kriptoqrafiya və açarlar

At rest: AES-256-GCM; in transit: TLS 1. 2+/mTLS; PFS.
KMS: BYOK (açarlar bizdə), tercihen HYOK (açarlar bölgədə qalır); bazarlar/tenantlar üzrə seqmentasiya; açar əməliyyatlarının dəyişməz auditi.
Crypto-shredding: vaxtında arxivlər və arxivlər üçün.

7. 2 Minimallaşdırma və de-identifikasiya

İxracdan əvvəl təxəllüs (token gateway), mappinqin bölgədə ayrıca saxlanması.
Aqreqatlar, k-anonimlik/binning tarixi və geo, nadir kateqoriyaların yatırılması.
PII-free log/ARM və razılığı olmadan sıfırlama identifikatorları ilə server-side tagging.

7. 3 Müstəvilərin izolyasiyası

PII olmadan qlobal control-plane; yerli PII ilə data-plane.
Sorğu əsaslandırılması və jurnal ilə proxy təbəqəsi vasitəsilə PII-yə giriş.

7. 4 Dövlət orqanlarının sorğuları

Reaksiya konturu: qanuniliyin yoxlanılması, mübahisə, həcmin minimuma endirilməsi, bildiriş (əgər icazə verilirsə), sorğuların reyestrinə qeyd.

8) Verilənlərin kateqoriyaları və ötürmə qaydaları

KateqoriyaXaricə gedə bilərəmmi? Şərtlər
KUS/BiometriyaMəhdud
Ödəniş tokenləri/PSPBəli/şərti
Oyun xam hadisələrMəhdud
RG/SE statuslarıYox
CRM/MarketinqŞərti
Loqlar/ARMYalnız PII-free

9) Satıcılar və alt prosessorlar

Reyestr: jur. üz, DC ölkələri, alt prosessorlar, sertifikatlaşdırma, ötürmə mexanizmləri, açar rejimi.
Müqavilələr: DPA + SCC/analoqları, 30 gün ≥ yerlərin/subprosessorların dəyişdirilməsi barədə bildirişlər, audit/anket hüququ, backup lokalizasiya öhdəlikləri, SLA hadisələri və DSAR.
Onbording/review: TIA, pentest/sertifikatlaşdırma, test «sample transfer».
Offboarding: ixrac/silmə/crypto-shred + təsdiq (evidence).

10) Backup, log və analitika

Backaps: eyni bölgədə; xaricə ixrac - yalnız şifrələnmiş formada + HYOK; müddət çatdıqda - crypto-shred.
Log/ARM: PII-free default; yoxdursa - yerli saxlama, qısa retensiya.
Analitika/DWH: qlobal hesabatlar yalnız aqreqatlar/koxortlar; xam identifikatorların regiondan kənarda qadağan edilməsi.

11) Proseslər və hadisələr

Transmissiya prosesi: sorğu → bazar profili yoxlama → mexanizm seçimi → TIA → razılaşma → texniki tədbirlər → başlanğıc → monitorinq → artefaktlar/audit.

Hadisələr (minimum):
  • `xborder_transfer_requested/approved/denied`
  • 'transfer _ executed' (həcm/vaxt/satıcı)
  • `key_accessed_for_transfer` (KMS audit)
  • `gov_request_received/responded`
  • `vendor_location_changed`
  • `transfer_review_due`

12) Məlumatlar və artefaktlar (model)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI və dashboard

X-Border Transfer Rate (məqsədlər/satıcılar/ölkələr üzrə).
TIA Coverage (aktual TIA ilə ötürmələr%).
BYOK/HYOK Coverage (regional açarları olan ötürmələrin payı).
Anonymized Export Share (aqreqatlarda/təxəllüslərdə% ixrac).
Vendor Location Drift (yer dəyişikliyi hadisələri).
Gov Request Count və orta cavab vaxtı.
Auditability Score (artefaktların tam paketi ilə% qeydlər).

14) Çek vərəqləri

A) Ötürülmədən əvvəl

  • Təyinat və qanuni məqsəd təsdiqlənir.
  • mexanizmi seçildi (adekvatlıq/müqavilə/analoq), TIA tamamlandı.
  • Psevdonimization/anonimləşdirilməsi xüsusi; həcmi minimuma endirilib.
  • KMS/açarları: BYOK/HYOK, jurnal daxil edilmişdir.
  • Satıcı ilə müqavilə: DPA + SCC/analoq, DC/alt prosessorların dəyişdirilməsi barədə bildirişlər.
  • Backup rezidentlik və planda crypto-shred.

B) Əməliyyatlarda

  • Monitorinq 'vendor _ location _ changed' və alertlər.
  • TIA və mexanizmlərin periodik yenidən baxılması.
  • DSAR/silinmə alıcının perimetrində (və ya anonimləşdirmə yolu ilə) düzgün tətbiq olunur.
  • Dişli log və KMS audit audit mövcuddur.

C) Audit/təkmilləşdirmə

  • Rüblük nümunələr 'transfer _ record' tam.
  • Hadisə/şikayət/tənzimləyici tapıntılar üzrə CAPA.
  • Test «revoke access» satıcı + çıxarılması təsdiq.

15) Şablonlar (sürətli əlavələr)

A) Klaus «transsərhəd ötürmə»

💡 Subprosessor məlumatları yalnız elan edilmiş yurisdiksiyalarda saxlayır/emal edir. Digər yurisdiksiyaya hər hansı bir köçürmə mövcud hüquqi əsaslarla (SCC/yerli analoq) və yazılı razılıqla mümkündür. Yerin/alt prosessorun dəyişdirilməsi - 30 gün ≥ bildiriş. Şifrələmə açarları - BYOK/HYOK; giriş qeydləri tələb olunur.

B) Dövlət orqanının sorğusu barədə bildiriş

💡 Təchizatçı dərhal (icazə verildikdə) hər hansı bir giriş tələbi barədə məlumat verir, həcmi minimuma endirir, həddindən artıq sorğulara etiraz edir və açıqlamanı sənədləşdirir. Bildirişlərin/cavabların surətləri - WORM reyestrimizə.

C) Qısa TIA (one-pager)

💡 Mahiyyəti: {məqsəd, məlumatlar, həcm, ölkələr}
Hüquqi risklər: {yekun}
Texniki tədbirlər: {şifrələmə, açarlar, təxəllüs, split-processing}
Orqmerlər: {NDA, need-to-know, audit}
Həll: {allow/modify/deny}, yenidən baxılması {tarix}

16) 30 günlük tətbiq planı

Həftə 1

1. Transsərhəd ötürmə siyasətini, RACI və TIA/DPA şablonlarını təsdiq edin.
2. Cari axınlar xəritəsini və satıcıların/yerlərin/açarların reyestrini qurun.
3. KMS bazarlarını (BYOK/HYOK) konfiqurasiya edin, dəyişməz açar auditini daxil edin.

Həftə 2

4) ixrac və PII-free log/ARM əvvəl psevdonimization daxil edin.
5) Reyestri işə salın 'transfer _ record '/' tia' (WORM-artefaktlar).
6) Kritik satıcılarla müqavilələri yeniləyin: yerlər, bildirişlər, offboarding prosedurları.

Həftə 3

7) Pilot 2-3 axını (CS, DWH hesabatları): Anonymized Export Share, BYOK Coverage ölçün.
8) Product/CS/BI/Legal dövlət orqanlarının sorğu prosedurları və eskalasiyalar üzrə təlim.
9) Alert 'vendor _ location _ changed' qoşun.

Həftə 4

10) Tam buraxılış; KPI/KRI dashboard və rüblük TIA review.
11) Tapıntılara görə CAPA; plan v1. 1 - federal analitika/diff. hesabatlarda gizlilik.
12) Bir satıcının offboarding testi: çıxarılması/crypto-shred, təsdiq.

17) Qarşılıqlı bağlı bölmələr

Yurisdiksiyalar üzrə məlumatların lokallaşdırılması

Məlumatların silinməsi və anonimləşdirilməsi/Saxlama və silmə qrafikləri

GDPR: Razılıq İdarəetmə/Cookies və CMP Siyasəti

Privacy by Design / DSAR

Şifrələmə At Rest/In Transit, KMS/BYOK/HYOK

Daşbord komplayens və monitorinq/Daxili və xarici audit

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.