删除和匿名数据
1)目的和领域
确保所有系统(产品/钱包、KYC/AML、RG 、营销/CRM 、分析师/DWH 、徽标/ARM)中的玩家数据、交易和运营日志的合法、安全和可证明的删除/匿名化,并考虑到司法管辖区的本地化。
2)原则
1.政治先于实践。在收集之前已定义了召回,目标和存储位置。
2.最小化和分离。PII的单独存储,事件中的标记化。
3.删除=证明事件。任何删除均由人工制品确认。
4.Fail-Closed.未知状态/区域→禁止PII操作。
5.Backups-aware.Backaps遵守与战斗数据相同的规则。
6."匿名而不是无限期存储"。如果法律不要求PII,则将其转换为集合。
3)角色和RACI
DPO/Compliance(所有者)-撤回/删除、排除、审核策略。(A)
Security/Infra-加密、密钥、加密擦除、备份/DR。(R)
Data Platform/Analytics-de-PII pipline、聚合、DWH/DL。(R)
产品/工程/SRE-删除API、级联、测试、可观察性。(R)
法律-本地条款和限制(AML/许可)。(C)
Privacy Ops/DSAR团队-自定义删除/修补程序。(R)
Vendor Manager-供应商义务、执行确认。(R)
内部审计-样本,CAPA。(C)
4)数据分类和回归标准
5)技术方法
5.1个删除
级联逻辑/物理:软删除→ job用于物理删除。
加密擦除(crypto shredding): 销毁段加密/tenant密钥;适用于备份/存档。
回复令牌:从提供商处召回付款/跟踪令牌。
Nullify/Mask:对于需要正式保存记录的字段(例如会计)。
5.2别名
用令牌替换主ID;对应表与单独的KMS分别存储。
5.3匿名
聚合/共同归类,k- anonimnost/ℓ-多样性,binning,稀有值裁切,报告中的差异隐私。
5.4登录屏蔽
代理人在收集中编辑PII(e。g.,电子邮件→ hash/partial),禁止APM中的"原始"ID。
6)删除生命周期
1.触发因素:退约期、DSAR-erase、帐户关闭、同意撤销、合同/目标完成。
2.评估:有法律障碍吗?(AML/合法控股/许可证)。
3.编排:根据系统/供应商形成一个弹性包。
4.执行:级联,revoke令牌,用于档案的加密鞭子。
5.验证:记录核对,残余控制(orphaned data)。
6.工件:带有部分/密钥哈希,时间和体积的报告。
7.报告:KPI dashboard,审计/监管杂志。
7)特别关注区
7.1 Bacaps/档案/DR
同一地区的Backaps,密钥加密和编目。
切合实际:从不可移动的备份中物理删除很困难→在到达截止日期时应用加密剪切段。
7.2逻辑和遥测
默认情况下免费PII政策;如果PII是不可避免的-本地日志,短时间,掩盖代理.
7.3 DWH/分析师
仅de-PII数据;如果需要,历史学家可以匿名并切断与原始PII的联系。
7.4供应商和供应商
DPA/附加协议:时限,处置机制,执行证明书(Destruction/Erase Evidence证书)。
7.5按司法管辖区进行本地化
清除是在区域范围内进行的,禁止将PII出口到其之外;全局报告-仅聚合。
8) API/活动和数据模型
事件(最低):- `retention_due_detected`, `erasure_job_started`, `erasure_job_completed`, `crypto_shred_done`, `vendor_erasure_ack_received`, `erase_validation_failed`, `dsar_erase_linked`, `audit_artifact_saved`.
erasure_job {
id, subject_id_hash scope{cohort partition}, trigger{retention dsar contract_end consent_withdrawn},
market, region, systems[], vendors[],
started_at_utc, completed_at_utc, status{ok partial failed},
method{cascade crypto_shred nullify token_revoke},
counts{records, tables, bytes}, checksum{before, after},
keys_destroyed[{kms_key_id, destroyed_at_utc, evidence_id}],
validation{orphan_scan:passed failed, sample_checks[]},
linked_cases{dsar_case_id?}, owner, approvers{dpo, security}, audit_artifacts[]
}9)控制和可观察性
Erasure Coverage-自动删除覆盖的系统比例。
Time-to-Erase是从触发器到完成的时间中位数。
Orphaned Data Rate是发现的"孤儿"记录。
Backup Crypto-Shred SLA-按时销毁密钥。
Vendor Ack Rate-在截止日期内确认与供应商的距离的比例。
DSAR Erase SLA-遵守用户删除的时间表。
Auditability Score-在样本中存在工件。
10)支票单
A)政策和设计
- Legal/DPO批准了类别/市场转介注册表。
- 指定PII/区域/密钥的系统/供应商地图。
- 确定了方法:用于分析的级联/加密/de-PII。
- DPA/合同更新(删除、确认的SLA)。
B)技术和操作
- 删除API和作业编排器包括在内。
- 无PII的logi/agent掩盖敏感字段。
- Becaps加密,按市场细分密钥。
- 自动测试:DSAR-erase、cron、orphan-scan。
- KPI/Alerta仪表板。
C)审核和改进
- 带有删除工件的系统/供应商的季度样本。
- DR/恢复测试,包括已删除的段。
- CAPA关于发现的残余/违规行为。
11)模板(快速插入)
A) Clause with vendor(删除/转介)
B)匿名解决方桉(内部形式)
C)用户响应(DSAR-erase完成)
12)频繁的错误和预防
从战斗DB中移除,但不从后备箱中移走。→加密和密钥注册。
Logs/ARM中的PII。→代言人面具,简短回避。
正交记录(跨服务)。Orphan扫描和合同级联的→。
带有PII尾巴的DWH。→ DE-PII在出口前装有管线,禁止生标识符。
→强制报告生成和WORM存储。
Vendor没有删除。SLA →和制裁/在确认之前保持付款。
13)30天实施计划
第一周
1.批准修饰登记簿和方法矩阵(级联/加密/de-PII)。
2.绘制系统/供应商/密钥图,标记区域周边。
3.专门介绍KPI工件模型和行车记录仪。
第二周
4)实现删除编排,API和事件;连接DSAR链接。
5)启用登录掩码和"默认情况下不含PII"规则。
6)为备份设置加密包,按市场细分KMS。
第3周
7)DWH的De-PII输送机(cohorts/k 匿名/binning)。
8)试点删除:20个DSAR+2批复审;关闭CAPA。
9)使用关键供应商(SLA/确认)更新DPA。
第四周
10)完整发行;启动dashbord和alerta(时间到时间,Vendor Ack)。
11)具有远程密钥段的DR测试。
12)计划v1。1:diff。报告中的隐私,按计划自动扫描。
14)相互关联的部分
GDPR: 管理用户同意
Cookie和CMP系统政策
Privacy by Design: 设计原则
跨辖区数据本地化
DSAR: 用户的数据请求
加密At Rest/In Transit, KMS/BYOK/HYOK
编译和监视/内部和外部审计