ISO 27701:隐私管理
1)什么是ISO 27701,为什么是iGaming操作员
ISO 27701是ISO 27001和27002的上层建筑,将ISMS扩展到PIMS(隐私信息管理系统)。
对于iGaming:可证明的隐私合规性(GDPR/UK GDPR/ePrivacy等),与监管机构/银行/合作伙伴KYC/PSP的加速合作,减少罚款风险并简化供应商管理。
2) PIMS领域和上下文
定义:- 角色和界限:控制器在哪个过程中,处理器在哪里;Scope包含哪些品牌/区域/流程。
- 数据类别:注册,付款,KYC/AML/制裁,行为事件,RG信号,札幌,市场营销/SDK。
- 法律义务:地方隐私法,许可条款,与合作伙伴的合同。
结果:PIMS Scope&Context文档+利益相关者地图。
3)主要角色和责任
4) ISO 27701 ↔ ISO 27001捆绑包
ISMS (27001/27002):安全基础(资产、风险、控制)。
PIMS (27701):增加隐私政策、处理合法性、主体权利、数据生命周期、合同和跨境安排。
SoA/Applicability Statement:PIMS私人控制扩展。
5)处理注册表(RoPA)和数据地图
对于每个过程:目标,法律基础,主体/数据类别,保留期,收件人/子处理器,地理,TOMs,DPIA标志。
RoPA模板(片段):yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false6)合法理由和同意(Lawful Basis&Consent)
合同/法律审查:付款,KYC/AML,防止欺诈。
Legitimate Interest:基本分析/安全性(根据需要进行兴趣评估和选择退出)。
Consent:市场营销,cookie/SDK,用于非严格所需目的,某些类型的分析。
特殊类别:只有明确理由和加强措施。
SMR/同意管理:记录策略/横幅版本,目标粒度,召回的可证明性。
7) DPIA/PIA-隐私影响评估
时间:新技术,大规模处理,敏感数据,系统分析,跨境。
内容:处理描述,必要性和比例性,对受试者权利的风险,减少措施。
退出:解决方桉(去/完成/拒绝)+CAPA计划和日期控制。
8)数据主体权利(DSAR)
权限:访问、修补、删除、限制、可移植性、异议、拒绝分析/营销。
SLA:快速确认请求,并在法定时限内执行。
执行流:获得→验证个性→数据收集→响应/执行→日志。
禁止"盲人卸货":仅通过蒙面店面和博客;对小样本的限制(privacy thresholds)。
9)最小化,掩盖和重置
数据最小化:仅存储所需的目标;定期删除/匿名"死"字段。
掩蔽/别名:PII的默认值;揭秘-JIT +'purpose'+审核。
重构矩阵:每个过程/类别的保留时间,停止因素(法律),自动删除/存档。
10)跨境传输和子处理器
合同安排:DPA,SCCs/IDTA,DTIA(转让评估)。
数据/密钥位置:物理数据/密钥位置(KMS/HSM),WUOC策略/区域密钥。
子处理器注册表:更改通知,反对权,TOM级别不低于我们。
11) Privacy by Design / by Default
在设计阶段:PRD中的数据保护请求,带有私有威胁的威胁建模模式。
在实现中:RLS/CLS,令牌化,加密,最小API扫描,没有PII的遥测。
默认值:关闭可选跟踪器、按区域/tenant 的单个密钥/neyspace。
12) PIMS的逻辑、可证明性和审计
Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
报告:RoPA状态,DPIA活动,DSAR SLA/backlog,还原删除,vendor更改,违规行为/事件。
审计:每年(或更改时),设计/运营效率检查私人控制。
13) Metrics (KPI/KRI) PIMS
KPI:
DSAR on-time ≥ 95%
RoPA相关性≥ 98%
按风险对象划分的DPIA覆盖率=100%
重建自动拆除的比例≥ 95%
CMP启用率(记录的同意记录)=100%
KRI:
访问没有"purpose"=0的PII
未经授权的出口/转让=0
逾期通知=0的事件/泄漏
缺失的活动传输DPA/SCC=0
14)与现有控制器集成
IGA/RBAC/ABAC/JIT/PAM:权限最小化和上下文访问条件。
博客政策和审计期刊:使用PII进行操作的可证明性。
TPRM和合同:DPA/SCCs/DTIA,审计权,通知的SLA ≤ 72小时。
ISO 27001/ISMS:一般风险模型、SoA和内部审计。
事件和泄漏:剧本突破,与供应商合作的战争室。
15)工件模板(片段)
15.1隐私政策(内部摘录)
yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 415.2揭露政策
yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]15.3个DSAR过程
yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]15.4重构矩阵(片段)
yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents: {basis: legal, period: "P5Y", storage: "vault_encrypted"}16) SOP(程序)
16.1 RoPA更新
1.更改启动器(Product/Owner) →流程卡→法律/隐私评论→安全TOM →发布和版本。
16.2举办DPIA
1.风险筛查→ DPIA模板→ DPO → CAPA咨询→解决方案和时间表控制。
16.3 DSAR
1.接受→验证→收集和过滤通过店面→响应/执行→编译和关闭。
16.4个供应商/传输
1.尽职调查→ DPA/SCCs/DTIA →子处理器注册表→监控离岸→更改并确认删除。
17) RACI(简称)
18)实施路线图(8-10周)
第一至第二周:Scope/上下文、角色和 RACI、过程/数据清单、RoPA草稿和重建矩阵。
第三至第四周:隐私政策,CMP/consent-flow,DSAR过程,DPIA模板,DPA/SCCs/DTIA更新与供应商。
5-6周:引入TOM(掩码、RLS/CLS、JIT/PAM)、DSAR展示、WORM博客、KPI/KRI报告。
第7周至第8周:进行DPIA高风险,关闭CAPA,PIMS内部审计,管理评论(PIMS)。
第9周至第10周:调整,启动定期报告,准备进行外部评估(如有必要)。
19)频繁的错误以及如何避免错误
RoPA"用于打勾":将每个条目带到目标,基础和重构;保持实时版本。
DSAR通过"原始"DB:仅通过带有掩码和日志的店面/出口。
跨境时没有DTIA:提前签发,捕获数据/密钥位置。
没有CMP的营销SDK:在包含CMP和合同TOM之前禁止。
缺少Pbd/PbD:在PRD和Definition of Done中包含隐私要求。
20)保持合规性(Run PIMS)
每月:KPI/KRI报告,RoPA更改审核,子处理器监控,DSAR SLA。
每季度:重播/删除评论,主题检查(营销,SDK,KYC)。
每年:PIMS内部审计,上下文/风险更新,员工培训,管理评论。
TL;DR
ISO 27701=ISMS之上的PIMS:RoPA+合法理由/同意+DPIA/DSAR+最小/重生+跨界和子处理器+证明的TOM。我们嵌入到现有的RBAC/ABAC/JIT/logs和TPRM中,并获得可管理的、可测量的隐私,可进行内部和外部检查。