GH GambleHub

Yurisdiksiyalar üzrə məlumatların lokallaşdırılması

1) Məqsəd və sahə

Məhsulun mövcudluğunu, təhlükəsizliyini və performansını qoruyarkən bütün hədəf yurisdiksiyalarında məlumatların lokalizasiya/rezidentlik tələblərinə uyğunluğunu təmin edin. əhatə: məhsul (web/mobile), KYC/AML/RG, ödənişlər (PCI), marketinq/CRM, analitika/loging, backup/DR, oyun provayderləri/aqreqatorları, filialları, bulud satıcıları.

2) Əsas anlayışlar

Verilənlərin rezidentliyi (Data Residency): verilənlər fiziki olaraq harada saxlanılır.
Məlumatların suverenliyi (Data Sovereignty): dövlətin onun ərazisində yerləşən və ya onun subyektlərinə aid məlumatları tənzimləmək hüququ.
Transsərhəd ötürmə: «ev» yurisdiksiyasından kənarda giriş, replikasiya və ya emal.
Şəxsi məlumatlar (PII )/həssas PII: KYC-sənədlər, ödəniş rekvizitləri, RG/SE-statuslar, biometriya.
Aqreqatlar/təxəllüsləşdirmə/anonimləşdirmə: analitik və mübadilə zamanı risklərin minimuma endirilməsi texnikası.

3) Prinsiplər

1. Local-first: Şəxsi məlumatlar qaydalar tələb edərsə, oyunçunun «ev» bölgəsində saxlanılır və emal olunur.
2. Minimallaşdırma və təcrid: tenant/bölgələrin yalnız zəruri, aydın parçalanması saxlayın.
3. Qanuni ötürmə: yalnız mövcud hüquqi mexanizm və risklərin qiymətləndirilməsi ilə.
4. Kriptoqrafik təminat: at rest/in transit şifrələmə, region tərəfində açarların idarə edilməsi (mümkünsə «bring/hold your own key»).
5. Sübut oluna bilər: məlumat kartları, DPIA/TRA, giriş qeydləri və saxlama yerinin təsdiqlənməsi.
6. Fail-safe: backup və DR döyüş məlumatları ilə eyni rezidentlik qaydalarına uyğundur.

4) Rollar və RACI

Baş Compliance/DPO - siyasət, DPIA, hüquqi mexanizmlər, audit. (A)

Security/Infra Lead - regional arxitektura, açarlar/şifrələmə, giriş nəzarəti. (R)

Data Platform/Analytics - anonimləşdirmə/təxəllüs modelləri, konveyerlər. (R)

Engineering/SRE - regionların yerləşdirilməsi, replikasiyalar, DR/BCP. (R)

Legal - transsərhəd müqavilələr, satıcılarla müqavilələr, DPA/SA. (C)

Procurement/Vendor Mgmt - təchizatçıların qiymətləndirilməsi, məlumat mərkəzlərinin yerləri. (R)

Internal Audit - nümunələr, artefaktlara nəzarət, CAPA. (C)

Product/CRM/BI - Fich/kampaniyalar/hesabatlarda məhdudiyyətlərə riayət etmək. (R)

5) Məlumatların təsnifatı və kartoqrafiyası

Kateqoriyalar:
  • KUS/Yaş: sənədlər, selfie, biometriya, yoxlamaların nəticələri.
  • Ödənişlər/PCI: PAN/tokenlər, 3DS/AR, PSP identifikatorları.
  • Oyun fəaliyyəti: sessiyalar, bahislər, uduşlar/itkilər, RG/SE/RC hadisələri.
  • Marketinq/CRM: əlaqə, üstünlüklər, suppression-bayraqlar.
  • Log/tele-metriya: proqram hadisələri, səhvlər, izlər.
  • Analitika/Reports: aqreqatlar, kublar, ML-fiçlər.
Kartoqrafiya (Data Map):
  • Mənbə → sistem → saxlama bölgəsi → hüquqi status → istehlakçılar → saxlama müddəti → silmə mexanizmi.
  • Kim/hara və hansı formada (RAW/PII-free/anonimləşdirilmiş) daxil olmaqla vizual axın xəritəsi tələb olunur.

6) Memarlıq lokalizasiya nümunələri

Regional Tenancy: ayrı-ayrı klasterlər (EU, UK, TR, BR, CA, AU və s.) DB/gizli/açar izolyasiyası ilə.
region/bazar üzrə Data Sharding: açarlarda 'tenant _ region' prefiksi, Geo-Router/API Gateway vasitəsilə sorğuların marşrutlaşdırılması.
Control Plane vs Data Plane: PII olmadan qlobal idarəetmə paneli; PII - yalnız regional data-pleynlərdə.
PII olmadan Edge cache: Yalnız ictimai/qeyri-personal məzmun cache.
De-PII Pipeline vasitəsilə analitik: DWH-yə yalnız aqreqatlar/təxəllüslər ixrac; «təmiz» PII - regiondan kənarda qadağandır.
DR region daxilində: «isti» replika eyni ölkə/regional blok (və ya oxşar qorunması və kar ilə icazə cross-region. əsas).
BYOK/HYOK: regionun/müştərinin nəzarəti altında şifrələmə açarları; KMS audit ilə.

7) Transsərhəd ötürmələr: hüquqi mexanizmlər (çərçivə)

Müqaviləli:
  • Standart müqavilə müddəaları/yerli analoqlar (SCC/IDTA/əlavə. müqavilələr).
  • Üçüncü ölkələrə köçürmə haqqında əlavə razılaşmalar (DPA, SSA, Schrems-uyğun risk qiymətləndirmələri).
  • Risk qiymətləndirmələri: TIA/TRAs (Transfer/Third-Country Risk Assessments).
  • Texniki tədbirlər: şifrələmə, rolların ayrılması, tokenizasiya, minimuma endirmə.
  • Orqmerlər: «need-to-know» giriş siyasəti, jurnallaşdırma, təlim.
💡 Məhsulda: hər hansı bir dəstək xidməti, BI və ya inkişaf etdirici tərəfindən «bölgədən kənar» məlumatlara müraciət: (a) PII-ni təmizləyən, (b) giriş əsasını tətbiq edən, (c) artefaktları loglaşdıran proksi təbəqədən keçir.

8) Regional profillər (şablon)

Hər bazar üçün kartı dəstəkləyin: 

Юрисдикция: ______
Требования к резидентности: (обязательная/рекомендуемая/нет)
Запреты на трансграничность: (полный/условный/нет)
Разрешенные механизмы передачи: (SCC/IDTA/локальное соглашение)
Особые категории: (биометрия/финансы/RG)
Бэкапы/DR: (где, частота, шифрование)
Логи/телеметрия: (можно ли выводить за рубеж, в каком виде)
Сроки хранения: (KYC, платежи, игровые, RG/SE)
Удаление/DSAR: (SLA, подтверждения)
Вендоры/облака: (разрешенные регионы)

9) Backup, log, analitiklərin lokallaşdırılması

Arxa planlar: eyni bölgədə şifrələnmiş, yerləşmə sübutları kataloqu (provayder id/bakap-vult/retensiya).
Log/treys: PII-free default; PII qaçılmazsa - redaktə/maskalanma ilə yerli log anbarları.
Analitika/DWH: Yalnız təxəllüslü açarlar; k-anonimliyi olan aqreqatlar; «xam» hadisələrin səbəbsiz olaraq regiondan kənara çıxarılmasına qadağa qoyulur.

10) Təchizatçılar və buludlar

Sahələri olan satıcıların qeydiyyatı: qeydiyyat ölkəsi, məlumat mərkəzlərinin bölgələri, sertifikatlar (ISO/PCI/SOC), DPA/SCC/IDTA imzaları, açar rejimi, alt prosessorlar.
«Pre-flight» proseduru: yurisdiksiyaların qiymətləndirilməsi, DPIA/TIA, regionda uğursuzluq testi, regionun «data at rest» yoxlaması.
Müqavilə klauzları: alt prosessorun/yerin dəyişdirilməsi barədə bildiriş, audit hüququ, aradan qaldırma müddəti, cərimələr.

11) Aradan qaldırılması, retensiya və DSAR

Saxlama siyasəti: KOS/Maliyyə/Oyun/Log - Ayrı-ayrı müddətlər (tez-tez uyğunluq üçün 5-7 il; marketinqdə - qısa).
Texniki zorla çıxarılması (erasure): hesabatlar ilə kaskad delete jobs; arxivlər üçün kriptovalyutası silmək (açarları silmək).
DSAR/Subject Rights: yalnız regional perimetrdə giriş/düzəliş/silmə sorğularının işlənməsi; cavab artefaktları - yerli WORM-də.

12) Nəzarət prosedurları və audit

Data Lineage: sahələrin mənşəyi, transsərhəd axınlar marşrutu, ixrac hash imzası.
Access Reviews: rüblük giriş hüquqları reviews, regional sorğular üzrə hesabatlar.
dişli log: kim/nə/zaman/hara/baz/data növü/PII maska/nəticə.
Satıcıların yoxlanılması: illik hesabatlar və pentestlər/sertifikatlar.
CAPA: tapıntılar, son tarixlər və məsuliyyətli düzəlişlər.

13) Məhsul və API tələbləri

Geo-router: «player _ region» və «ev» klasterinə sorğular göndərir.

Policy-aware APIs: тег `data_class={PIIPCIANON}`, `region_scope={localglobal_anon}`, `transfer_basis_id`.
Tədbirlər:
'data _ residency _ asserted' (bölgə təsdiqləndi),
`xborder_export_requested/approved/denied`,
`backup_completed_local`,
`dsar_fulfilled_local`.
Fail-Closed: qeyri-müəyyən bölgədə - PII ilə əməliyyatların qadağan edilməsi.

14) Harada saxlamaq lazımdır matrisi (nümunə)

KateqoriyaSaxlama yeriXaricdə təkrarlamaq mümkündürmü?Şərtlər
KYC sənədləri/biometrikYerli regionYoxYalnız aqreqatlar/hökmlər «pass/fail» xaricə
Ödəniş tokenləriRegion + PCI zonasıŞərtiTokenizasiya, PCI-skopu, PSP ilə müqavilə
Oyun tədbirləri (xam)RegionŞərtiQlobal DWH üçün təxəllüs → aqreqatları
RG/SE statuslarıRegionYoxQlobal sistemlərə yalnız «anonymized» bayraqlarına icazə verilir
CRM kontaktlarıRegionŞərtiQətnamə və DPA ilə; suppression-bayraqlar yerli
Loqi/treysRegionYalnız PII-freeYığıcıda PII maskalanması/çıxarılması

15) lokalizasiya komplayens KPI/daşbord

Residency Coverage: PII düzgün bölgədə olan subyektlərin%.
X-Border Request Rate: Transsərhəd giriş sorğularının payı (rollar/bölmələr üzrə).
Anonymized Export Share: De-PII-dən keçən qlobal DWH ixracatlarının payı.
Backup Locality SLA:% yerli bölgədə təsdiqlənmiş backaps.
Vendor Region Drift: Yerlərin/alt prosessorların dəyişdirilməsi hadisələri.
DSAR SLA: regional perimetrdə icra medianı.
Audit Findings (repeat): təkrarlanan uyğunsuzluqlar.

16) Çek vərəqləri

Yeni yurisdiksiyaya keçməzdən əvvəl

  • Verilənlər xəritəsi və kateqoriyalar üzrə təsnifat.
  • Yurisdiksiya kartı (tələblər, arxa planlar, qeydlər, saxlama müddəti).
  • Regionun memarlıq planı (VPC/klaster/BD/KMS).
  • DPIA/TIA, müqavilələr (DPA/SCC/yerli analoqlar).
  • Vendor assessment (DC yerləri, alt prosessorlar).
  • Siyasət dəsti: giriş/silinmə/ixrac.

Əməliyyatlarda

  • Yeni qeydlər üçün «residency assertions» gündəlik validasiya.
  • Xaç-regional sorğuların və sapmaların monitorinqi.
  • Backup/jurnalların yerliliyini yoxlamaq.
  • Bölgə daxilində DSAR növbəsi.

Audit/təkmilləşdirmə

  • Satıcıların/regionların rüblük auditi.
  • Hər bir bölgədə DR testi (1/rüb).
  • CAPA pozuntuları (vaxt/məsul).

17) Şablonlar (sürətli əlavələr)

A) Satıcı ilə klauza (məlumatların lokallaşdırılması)

💡 Təchizatçı {PII/RG/KYC} Kateqoriyalı Xüsusi Məlumatların yalnız {...} bölgəsində saxlanmasını və emalını təmin edir. Hər hansı bir transsərhəd ötürülməyə yalnız mövcud hüquqi mexanizmlər və yazılı razılıq olduqda icazə verilir. Yerin dəyişdirilməsi - 30 gün ≥ bildirişlə.

B) İxrac siyasəti (daxili müraciət)

💡 {...} dövrü üçün {...} bazarı üzrə aqreqatların ixracını tələb edirəm. Verilənlər kateqoriyası: {ANON}. Əsas: {hesabat/audit}. Risklər qiymətləndirilir, PII yoxdur. Cavabdeh: {...}. Boşaltma müddəti: {...}.

C) Biznes ilə SLA-da mətn

💡 DSAR-a reaksiya vaxtı - X günə qədər, silmə - kaskad, təsdiq - regional WORM-saxlama artefaktı ilə.

18) Tez-tez səhvlər və profilaktika

«Rahat» qonşu bölgədə backaps. → Qadağa; yalnız yerli backup.
PII loqləri qlobal APM-ə uçur. → Agent səviyyəsində maskalanma, yerli çəngəllər.
Xam identifikatorlu qlobal hesabatlar. → Yalnız aqreqatlar/təxəllüslər.
control/data planes qarışdırılması. → Qlobal control plane - PII olmadan.
Rezidentlik sübut yoxdur. → Artefaktları saxlayın: id-resurslar, konfiqurasiya şəkilləri, provayder hesabatları.

19) 30 günlük tətbiq planı

Həftə 1

1. Lokalizasiya siyasətini və məlumatların təsnifat modelini təsdiq edin.
2. Mövcud bazarlar üzrə ilkin axın xəritəsi qurun.
3. Regional boundary xidmətlərini və açar tələblərini müəyyən edin (BYOK/HYOK).

Həftə 2

4. Prioritet № 1 regional klasterləri yerləşdirmək (EU/UK/...); Geo-Router daxil.
5. De-PII konveyerlərini DWH-yə daxil edin, lokal log/ARM-i qurun.
6. DPA/SCC/IDTA-nı əsas satıcılarla imzalayın/yeniləyin.

Həftə 3

7. Regional DB-yə PII miqrasiyası; yerli backup və DR planı.
8. Transsərhəd ixrac üçün müraciətlər prosesini daxil edin (portal + jurnal).
9. Komandaları (Prod/BI/CS/Legal) yeni qaydalarla öyrətmək.

Həftə 4

10. DR testi və seçmə rezidentlik auditini aparın.
11. KPI daşbordunu (Residency Coverage, Backup Locality SLA) işə salın.
12. Tapılan uyğunsuzluqlara görə CAPA; plan v1. 1 (aşağıdakı bazarlar).

20) Qarşılıqlı bağlı bölmələr

KYC prosedurları və yoxlama səviyyələri/Yaş testi

AML siyasəti və əməliyyatlara nəzarət

Məsuliyyətli oyun və limitlər/SE/Reality Checks

Tənzimləyici hesabatlar və məlumat formatları

Dashboard komplayens və monitorinq

Daxili/xarici audit və audit yoxlama vərəqləri

BCP/DRP və «Şifrələmə At Rest/In Transit»

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.