GH GambleHub

ISO 27701: Məxfiliyin idarə edilməsi

1) ISO 27701 nədir və niyə iGaming operatoru

ISO 27701 - ISMS-i PIMS-ə (məxfilik məlumat idarəetmə sistemləri) genişləndirən ISO 27001 və 27002-yə əlavə.
iGaming üçün: gizlilik tələblərinə (GDPR/UK GDPR/ePrivacy və s.) uyğunluq, KYC/PSP tənzimləyiciləri/bankları/tərəfdaşları ilə sürətləndirilmiş iş, cərimələr riskinin azaldılması və satıcı menecmentinin sadələşdirilməsi.

2) PIMS sahəsi və konteksti

Müəyyən edin:
  • Rollar və sərhədlər: hansı proseslərdə - Controller, harada - Prosessor; hansı markalar/regionlar/proseslər Scope daxildir.
  • Məlumat kateqoriyaları: qeydiyyat, ödənişlər, KYC/AML/sanksiyalar, davranış hadisələri, RG siqnalları, sapport, marketinq/SDK.
  • Hüquqi öhdəliklər: məxfilik haqqında yerli qanunlar, lisenziya şərtləri, tərəfdaşlarla müqavilələr.

Nəticə: PIMS Scope & Context sənədi + maraqlı tərəflərin xəritəsi.

3) Əsas rollar və məsuliyyətlər

RolPIMS-də məsuliyyət
Board/CEOGizlilik siyasətini, resurslarını və məqsədlərini təsdiq edir
DPO (Data Protection Officer)Müstəqil gizlilik nəzarəti, məsləhətləşmələr və DPIA, əlaqə nöqtəsi
Privacy Lead / PIMS OwnerPIMS Əməliyyat İdarəetmə, Metrika, Hesabat
Legal/ComplianceHüquqi əsaslar, müqavilələr (DPA/SCCs), transsərhəd
Security/ISMSTexniki və təşkilati tədbirlər (TOMs), jurnallaşdırma
Domain OwnersData dəsti və emal məqsədlərinə sahib olmaq
Data/BIMaskalanma, RLS/CLS, privacy thresholds
Marketing/CRMSMR/razılıq, profil, retenshn
TPRM/ProcurementSatıcılar və alt prosessorlar: due diligence, DPA, SLA

4) ISO 27701 ISO 27001 bağlayıcı

ISMS (27001/27002): təhlükəsizlik bazası (aktivlər, risklər, nəzarətlər).
PIMS (27701): gizlilik siyasətini, emal qanuniliyini, subyektlərin hüquqlarını, verilənlərin həyat dövrünü, müqavilə və transsərhəd mexanizmləri əlavə edir.
SoA/Statement of Applicability: PIMS şəxsi nəzarətləri ilə genişləndirilir.

5) Emal reyestri (RoPA) və məlumat kartı

Hər bir proses üçün: məqsəd, hüquqi əsas, subyektlərin/məlumatların kateqoriyaları, saxlama müddəti, alıcılar/subprosessorlar, coğrafiya, TOMs, DPIA bayrağı.

RoPA şablon (fraqment): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Qanuni əsaslar və razılıq (Lawful Basis & Consent)

Contract/Legal Obligation: ödənişlər, KYC/AML, saxtakarlığın qarşısının alınması.
Legitimate Interest: əsas analitika/təhlükəsizlik (maraqların qiymətləndirilməsi və tələb olunan opt-out ilə).
Consent: marketinq, cookies/SDK qeyri-ciddi məqsədlər üçün, müəyyən profil növləri.
Xüsusi kateqoriyalar: yalnız aydın əsaslar və gücləndirilmiş tədbirlər zamanı.

SMR/razılığın idarə edilməsi: siyasət/banner versiyasının yazılması, hədəflərə görə qranulyarlıq, geri çağırışın sübuta yetirilməsi.

7) DPIA/PIA - məxfiliyə təsirin qiymətləndirilməsi

Nə zaman: yeni texnologiya, miqyaslı emal, həssas məlumatlar, sistematik profil, transsərhəd.
Məzmun: emal təsviri, zərurət və mütənasiblik, subyektlərin hüquqları üçün risklər, azaltma tədbirləri.
Çıxış: həll (gedin/dəyişdirin/rədd edin) + CAPA planı və tarixlərə nəzarət.

8) Məlumat subyektlərinin hüquqları (DSAR)

Hüquqlar: giriş, düzəliş, silmə, məhdudiyyət, dözümlülük, etiraz, profil/marketinqdən imtina.
SLA: tələbin tez təsdiqlənməsi və vaxtında yerinə yetirilməsi.
İcra axını: qəbul → şəxsiyyət yoxlama → məlumatların toplanması → cavab/icra → jurnal.

«Kor boşaltma» qadağası: yalnız maska və log ilə vitrinlər vasitəsilə; kiçik seçicilərin məhdudlaşdırılması (privacy thresholds).

9) Minimallaşdırma, maskalama və retenshn

Data Minimization: yalnız məqsədlər üçün lazım olanları saxlamaq; «Ölü» sahələri müntəzəm olaraq silmək/anonimləşdirmək.
Maskalanma/təxəllüs: PII üçün default; demaking - JIT + 'purpose' + audit.
Retenshn matrisi: saxlama müddəti per proses/kateqoriya, dayandırma faktorları (hüquqi), avtomatik çıxarılması/arxiv.

10) Transsərhəd ötürmələr və subprosessorlar

Müqavilə mexanizmləri: DPA, SCCs/IDTA, DTIA (ötürmənin qiymətləndirilməsi).
Verilənlərin/açarların yeri: harada fiziki verilənlər/açarlar (KMS/HSM), VUOK siyasəti/regional açarlar.
Subprosessor reyestri: dəyişiklik bildirişi, etiraz hüququ, TOM səviyyəsi bizdən aşağı deyil.

11) Privacy by Design / by Default

Dizayn mərhələsində: PRD-də Data Protection Requirements, xüsusi təhdidlərlə threat modelinq şablonu.
Həyata: RLS/CLS, tokenizasiya, şifrələmə, minimal API topları, PII olmadan telemetry.
Default: isteğe bağlı izləyicilər, ayrı-ayrı açarlar/namespace per region/tenant.

12) Loging, sübut və PIMS audit

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
Hesabat: RoPA statusu, DPIA kampaniyaları, DSAR SLA/baclog, retenshn-silmə, satıcı dəyişiklikləri, pozuntular/hadisələr.
Audit: hər il (və ya dəyişikliklər zamanı), Dizayn/Əməliyyat Effektivliyi private controls yoxlama.

13) Metrika (KPI/KRI) PIMS

KPI:
  • DSAR on-time ≥ 95%
  • RoPA-nın aktuallığı ≥ 98%
  • Risk obyektləri üzrə DPIA əhatə = 100%
  • Avtomatik retenşn silinmələrinin payı ≥ 95%
  • CMP aktivlik səviyyəsi (qeyd razılıq qeydləri) = 100%
KRI:
  • 'purpose' = 0 olmadan PII-yə giriş
  • Icazəsiz ixrac/transfer = 0
  • Vaxtından sonra xəbərdar edilən hadisələr/sızmalar = 0
  • Aktiv ötürmə üçün eksik DPA/SCCs = 0

14) Mövcud nəzarət ilə inteqrasiya

IGA/RBAC/ABAC/JIT/PAM: hüquqların minimuma endirilməsi və kontekst giriş şərtləri.
Log siyasəti və audit jurnalları: PII ilə sübut edilə bilən fəaliyyət.
TPRM və müqavilələr: DPA/SCCs/DTIA, audit hüquqları, SLA bildirişlər ≤ 72 saat.
ISO 27001/ISMS: ümumi risk modeli, SoA və daxili auditlər.
Hadisələr və sızmalar: playbook breach, satıcılar ilə birgə war-room.

15) Artefaktların şablonları (fraqmentlər)

15. 1 Gizlilik Siyasəti (Daxili Saxlanma)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Maskalanma siyasəti

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR prosesi

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Retenshn matrisi (fraqment)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (prosedurlar)

16. 1 RoPA yenilənməsi

1. Dəyişiklik təşəbbüskarı (Product/Owner) → proses kartı → Legal/Privacy review → Security TOMs → nəşr və versiya.

16. 2 DPIA-nın keçirilməsi

1. Risk yoxlama → DPIA şablon → DPO məsləhət → CAPA → həll və vaxt nəzarəti.

16. 3 DSAR

1. Qəbul → yoxlamaq → yığmaq və vitrinlər vasitəsilə süzmək → cavab/icra → log və bağlama.

16. 4 Satıcılar/ötürmələr

1. Due diligence → DPA/SCCs/DTIA → subprosessor reyestri → dəyişiklik monitorinqi → offboarding və çıxarılması təsdiq.

17) RACI (böyük)

AktivlikBoard/CEODPOPrivacy LeadLegal/ComplianceSecurityDomain OwnersData/BITPRM
PIMS Siyasəti/MəqsədləriACRCCCII
RoPA/RetenshnIA/RRA/RCRRI
DPIA/PIAIA/RRA/RCRCI
DSARIA/RRCCCRI
Satıcılar/ötürmələrIARA/RCCIR
Audit/MetrikaIARCCIRC

18) Yol xəritəsi (8-10 həftə)

1-2 həftələr: Scope/kontekst, rollar və RACI, proseslərin/məlumatların inventarlaşdırılması, RoPA və retenshn matrisi.
3-4 həftələr: gizlilik siyasəti, CMP/consent-flow, DSAR prosesi, DPIA şablonları, satıcılarla DPA/SCCs/DTIA yeniləmələri.
5-6 həftələr: TOMs (maskalama, RLS/CLS, JIT/PAM), DSAR, WORM-loqlar üçün vitrinlər, KPI/KRI hesabatlarının tətbiqi.
Həftələr 7-8: yüksək riskli DPIA keçirmək, CAPA bağlamaq, PIMS daxili audit, Management Review (PIMS).
9-10 həftələr: düzəlişlər, müntəzəm hesabatların başlaması, xarici qiymətləndirməyə hazırlıq (lazım gələrsə).

19) Tez-tez səhvlər və onlardan necə qaçmaq olar

RoPA «işarə üçün»: hər bir yazını hədəflərə, əsaslara və retenşnlərə bağlayın; canlı versiyası saxlayın.
DSAR «xam» DD vasitəsilə: yalnız vitrinlər/maskalanma və log ilə ixrac vasitəsilə.
Transsərhəd DTIA yoxdur: əvvəlcədən tərtib edin, məlumat/açar yerini qeyd edin.
CMP olmadan marketinq SDK: CMP və müqavilə TOMs daxil qədər qadağa.
Pbd/PbD yoxdur: Privacy tələblərini PRD və Done Definition-a daxil edin.

20) Uyğunluğun qorunması (Run PIMS)

Aylıq: KPI/KRI hesabatları, RoPA dəyişikliklərinin auditi, subprosessorların monitorinqi, DSAR SLA.
Rüblük: review retenshn/silinmə, tematik yoxlamalar (marketinq, SDK, KYC).
Hər il: PIMS daxili audit, kontekstin/risklərin yenilənməsi, kadr hazırlığı, Menecment Review.

TL; DR

ISO 27701 = ISMS üzərində PIMS: RoPA + qanuni əsasları/razılığı + DPIA/DSAR + minimallaşdırma/retenshn + transsərhəd və subprosessor + sübut TOMs. Mövcud RBAC/ABAC/JIT/LOG və TPRM-lərə inteqrasiya edirik və daxili və xarici yoxlamalara hazır olan idarə edilə bilən, ölçülə bilən məxfilik əldə edirik.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.