数据泄露程序

1）目的和应用范围

目的：在确认或可能泄露个人/付款/运营数据时,尽量减少损害,满足法律要求并迅速恢复正常运行。
覆盖范围：玩家/员工的PII，支付文物，访问标记/代币，KYC/AML文件，会员/合作伙伴数据，产品和基础设施的机密文物。

2）"泄漏"的定义和标准"

数据泄漏（data breach）-由于安全事件或过程错误,侵犯个人数据（或其他受保护信息）的隐私、完整性或可用性。
确认的vs嫌疑人：任何指标（SIEM异常，供应商/用户的消息，Paste站点）都会触发该程序，然后再进行反驳。

3）严重性分类（示例）

4）SLA和"事件桥"

启动：在Medium+中创建一个战争室（聊天/呼叫）,分配给事件指挥官（IC）。
SLA： Low-24小时·中学-4小时·高-1小时·Critical-15分钟。
加登斯：每30-60分钟（内部），每2-4小时（外部利益相关者）。

5）RACI（简称）

6）应对程序（逐步）

1.识别和初级验证

SIEM/EDR/antifrod/vendor/用户的信号 →写入事件注册表。
收集最低限度的事实：什么/何时/何地/多少，受影响的数据类型和管辖权。

2.集中（遏制）

禁用易受攻击的残局/残局，地理段，时间限制，冻结发布。
按键/令牌轮换,取消访问,阻止受损帐户。

3.解散（消除）

补丁/伪造,清除恶意工件,重新组合映像,检查子处理器。

4.恢复（恢复）

加那利交通输入，回归监控，完整性支票通过。

5.Forenzics和影响评估

计算受试者的数量，敏感性，地理位置，风险；确认受影响的记录。

6.通知和通讯

DPO/Legal确定通知的义务和期限；编写桉文；发送给收件人。

7.后太平间和CAPA

原因分析（5 Whys），有业主和时间表的纠正/预防措施计划。

7）72小时窗口和法律收件人（地标）

数据监督（DPA）-在发现重大泄漏后不迟于72小时通知,除非排除对实体权利/自由的风险。
用户-在高风险下"没有不合理的延迟"（带有清晰的建议）。
赌博监管机构-影响玩家/可持续性/报告。
银行/PSP-存在付款/代币损害/可疑交易的风险。
合作伙伴/供应商-如果共享流/数据受到影响或需要操作。

8）Forenzik和"证据存储链"

卷/逻辑快照，散列工件导出（SHA-256）。
仅使用副本/快照；源系统只读。
操作协议：谁/时间/做了什么,使用的命令/工具。
存储在WORM/对象存储中；有限的访问，审核。

9）通讯（内部/外部）

原则：事实→措施→建议→下一次补充。
不可能：发布PII，构建未经检验的假设，承诺没有控制的时间表。

• 检测到什么?·规模/类别·当前措施·风险·下一步步骤·HH： MM的下一个升级。

10）与供应商/子处理器的交互

检查他们的事件注册表、访问日志、通知SLA、子处理器列表。
请求报告（pentest/Forenzica）,提交数据删除/退回确认。
如果不一致，DPA-升级和临时隔离/暂停集成。

11）通知模板（片段）

11.1监督机构（DPA）

简要说明发现事件和时间、类别/大致数据量、主题组、地理、影响和风险、采取/计划措施、DPO联系人、应用程序（时间线、哈希摘要）。

11.2个用户

发生了什么？哪些数据可能受到影响；我们做了什么；您可以做什么（更改密码、事务控制、网络钓鱼提示）；如何联系；链接到常见问题/支持中心。

11.3 合作伙伴/PSP/监管机构

事实和受影响的接口；合作伙伴的预期行动；截止日期；联系人。

12）事件登记册（最低字段）

ID·发现时间/确认时间·严重性·来源·系统/数据·范围/类别·地理·涉及的供应商·采取的措施（时间）·通知（人员/时间）·负责任（RACI）·参考文物·SARA/时限·状态。

13）度量指标和目标基准

MTTD/MTTC/MTTR（检测/遏制/恢复）。
72小时通知的百分比为100%。
确定根本原因的事件比例≥ 90％。
CAPA按时关闭≥ 95%。
由于一个原因而重复发生的事件≤ 5％。
SLA （Medium/High/Critical）中关闭的事件比例为90/95/99%。

14）支票单

14.1开始（前60分钟）

• 指定IC并打开战争室
• 稳定措施（断开/限制/钥匙旋转）
• 收集最低限度的事实和截图/标志
• 已通知DPO/Legal，确定了前期类别
• 冻结发布和登录清除协议

14.2至24小时

• Forenzika：范围/类别/地理（草稿）
• 关于通知、起草桉文的决定
• 反应/完整性检查计划
• WORM中的证据包，事件的时间线

14.3到72小时

• 向DPA/监管机构/PSP发送通知（如果需要）
• 用户配合（高风险）
• 更新CAPA计划、所有者和时间表

15）示范情景和措施

A）将札幌聊天基地出口到开放式存储区

措施：关闭访问，清点下载，通知受影响者，加强S3/ACL政策，DLP出口规则。

B）破坏API访问令牌

措施：立即轮换，refresh代币召回，呼叫日志验证，网络手册重新签名，流量分割。

C） KYC扫描通过供应商泄漏

措施：集成隔离，删除确认，手动重新验证高风险客户，DPA/保留修订。

D）在公众中发布转储内容

措施：固定文物（哈希），合法删除链接（接管），通知，监控进一步出版物。

16）与合规性和隐私集成

与GDPR过程的结合：DSAR，RoPA，DPIA/DTIA；在供应商/目标更改时更新策略和cookie/CMR。
将事件纳入风险矩阵并修改阈值/控制。

17）CAPA和后太平间（稳定后≤ 72小时）

报告结构：事实/时间线·影响·根本原因·CAPA列表（所有者、期限、成功标准）·有效性检查日期（30-60天后）。

18）流程成熟度路线图

月1：更新剧本、联系人、模板、WORM存档、通知测试。
第二个月：tabletop演习（泄漏PII/供应商/代币），SOAR花花公子。
第3个月以上：季度回顾、供应商审核、反亲属/检测模型生物测试、定期阈值修订。

TL;DR

泄漏：快速稳定（封装）,准确确认（forenzika）,及时通知（DPA/用户/合作伙伴）,透明记录（注册表、时间线、证据）和修复根本原因（CAPA）。结果-减少损害，合规性以及恢复玩家和合作伙伴的信心。