数据存储和删除时间表

1）目的和领域

为所有系统和司法管辖区创建一个统一的Retention注册表（Retention Schedule）和托管的删除/匿名时间表,以便：

遵守法律/许可证（GDPR/ePrivacy/AML/本地行为）；
最大程度地减少PII的体积；
确保可证明的执行（文物/日志）；
降低事故风险和存储成本。

覆盖范围：帐户/配置文件，KYC/AML，付款/PSP，游戏遥测，RG/SE，CRM/营销，会员，logi/ARM，分析/DWH，备份/档案，提供商/供应商，所有目标市场。

2）原则

1.Lawful & Purpose-bound.时间表与处理的法律依据和目标有关。
2.Data Minimization.最小字段/时限；"匿名而不是无限期存储"。
3.Local-first.在该地区（数据驻留）内观察到Retence。
4.Policy-as-Data.图形以机器可读记录（图形）的形式存储，转换并自动应用。
5.Fail-Closed.截止日期/未知原因→使用禁令/删除触发器。
6.Auditability.每次删除/匿名→ WORM存储中的工件。
7.Backups-aware.Backaps/Archives遵守相同的截止日期（crypto shredding片段）。

3）角色和RACI

DPO/Compliance of Compliance（所有者）-政策，注册表，规范解释，例外情况。(A)

法律是市场的法律依据/时限，法律基础。(R)

Security/Infra-KMS/加密、加密和日志访问。(R)

数据平台/分析-de-PII/匿名，DWH/DL规则。(R)

Engineering/SRE-与系统/供应商集成的缓解，级联编排器。(R)

Product/CRM-Fichs和Suppression Stream的时间匹配。(C)

Vendor Manager-删除的DPA/SLA，来自提供商的确认。(R)

内部审计-样本，CAPA，独立验证。(C)

4）数据分类学和基础

类别（示例）：

KUS/年龄/生物识别法-文件，自拍/生存，判决。（理由：法律/许可证，公共利益；通常是5-7岁）
付款/PCI-令牌，操作/注册表，充电包。（理由：bukuchet/PCI合同/法律）
游戏活动-投注/获胜，奖金，折扣。（理由：合同/许可证、经营者权益）
RG/SE-自我体验，可用性检查/现实检查状态。（理由：法律/许可证，公共利益）
CRM/营销-联系，同意，活动历史。（理由：同意/合法利益）
附属关系是点击式，放置，terms-hash（没有玩家的PII）。（理由：合同、合法利益）
Logi/ARM-技术操作（默认情况下为无PII）。（理由：合法利益/安全）
Analytics/DWH-聚合/别名，fici ML。（理由：合法利益/研究）

5）时间表矩阵（框架）

类别	二.组成情况	Retentia（基本）	截止日期后
CUS/生物识别	护照/自拍照/判决	5-7岁（或按市场）	档案中的级联+crypto shred
付款	手术,代币	通过bukuchet/PCI	revoke代币+掩盖道具
游戏活动	投注/奖金/奖金	商业需要/许可证（同上，5年）	de-PII →单元（cohorts）
RG/SE	状态/标志	许可证/预防期限	保存不含PII的标志,删除韧带
CRM/同意	电子邮件/SMS/push, TC行	多达otzyva/≤24个月的非活动时间	立即执行suppression+删除
Logi/ARM	错误/拖车（PII）	30-180天	自动紫色/轮换
分析/DWH	聚合物/k-anon。没有期限（如果匿名）	—

💡 具体时间表设置在概况中的司法管辖级别（见第7节）。

6）例外和块

AML/许可要求-优先于删除申请（DSAR-erase）,应用限制和最小化。
法律保留/争议/调查-删除停止标志；记录基础和期限。
第三方权利/保密-在签发/导出时编辑/删除身份。
操作注册表（例如会计）-掩盖而不是删除主密钥。

7）区域简介（模板）


Юрисдикция: ______
KYC/биометрия: срок ___; особые запреты/форматы: ___
Платежи/бухучет: срок ___; маскирование: ___
Игровая активность: срок ___; анонимизация: k≥__
RG/SE: срок ___; политика хранения флага: ___
CRM/согласия: неактивность ≤ __ мес; double opt-in: да/нет
Логи/APM: __ дней; PII-free: да/нет
Бэкапы/архивы: локализация ___; crypto-shred SLA ___
Исключения/легал-холд: условия ___

8） Policy-as-Data： 图形模型

将图形作为条目存储在配置DB/注册表中：


retention_rule {
rule_id, version, market, data_class{KYC    PCI    GAME    RG    CRM    LOG    ANON},
lawful_basis{consent    contract    legal_obligation    legit_interest    public_interest},
retention_days, grace_days, action_after{erase    anonymize    mask    revoke_token},
pii{yes/no}, residency_region, backups_policy{crypto_shred:true, kms_key_scope:region},
dsar_applicable{yes/no}, exceptions{aml:true, legal_hold:true},
owner{dpo    legal    security    data}, approved_at_utc, next_review_at_utc
}

考试是强制性的：任何编辑→新版本+迁移计划。

9）工作流程（sketch）

1.检测："retention_due_detected" （cron/stream by create events）。
2.Eligibility：异常验证（AML/hold/residency）。
3.编排：正在形成一个系统/供应商包,策略（erase/anonymize）。

4.Execution： 级联删除jobs, revoke令牌,crypto-shred段键在后备箱.

5.验证：记录核对，orphan-scan，DWH/logs抽样检查。
6.Evidence：WORM中的报告（支票金额，密钥id，时间，数量）；链接到dashboard。
7.报告：KPI, Alerts, CAPA崩溃。

10）Bacaps，档案馆和DR

本地化：在同一区域/区块中备份。
加密：按区域KMS/HSM；按市场/tenant细分密钥。
Crypto-shredding：到期时-销毁段密钥,报告中带有"kms_key_id"。
固定存储：在调度程序中标记"等待加密"。

11）分析/DWH和匿名

De-PII管道：在出口到DWH之前-令牌/截断/k-anon，日期/地理宾宁，稀有值抑制，diff。报告中的隐私。
全球报告：只有综合报告；禁止"生"PII进入该地区。
历史学家的命运：在最后期限之后-与主要标识符断绝关系。

12）与DSAR/CMP/本地化集成

DSAR-erase：使用相同的编排/工件机制；与AML发生冲突时，→限制而不是删除。
CMP/Consent：撤消同意→立即停止处理并启用营销数据回复计时器。
居留权：时间表适用于区域范围，PII出口受跨境安排约束。

13）删除工件模型


erasure_artifact {
job_id, rule_version, market, region, scope{subject    partition    cohort},
systems[], vendors[], method{cascade    crypto_shred    anonymize    mask    revoke_token},
started_at_utc, completed_at_utc, status{ok    partial    failed},
counts{records, tables, bytes}, checksum{before, after},
kms_keys_destroyed[{id, destroyed_at_utc}], orphan_scan{passed    failed},
dsar_case_id?, approvers{dpo, security}, evidence_uri(WORM)
}

14） KPI/KRI和dashboard

Retention Compliance Rate-在SLA中到期和处理的条目的比例。
Time-to-Erase 是从触发器到完成的中位数/第95个感应器。
Backup Crypto-Shred SLA-按时销毁密钥的细分市场份额。
Orphaned Data Rate是"孤儿"记录/非同步副本。
Vendor Erasure Ack-供应商及时确认。
DSAR Linkage是与DSAR案例相关的删除的比例。
Auditability Score是具有完整工件包的任务的百分比。
Exceptions Mix-AML/hold保留的条目比例。

15）支票单

A）设计和政策

DPO/Legal批准了按类别和市场划分的豁免登记册。
为每个条目定义了lawful basis和action_after。
时间表的审查和下一次审查的日期。
系统/供应商/密钥地图和本地化周边。

B）技术和运营

复仇编排器连接到所有系统。
级联删除/掩蔽/匿名测试。
Crypto shred for backaps：按键分段,报告生成。
Orphan扫描和定时验证样本。
文物的WORM存储库可供审核。

C）供应商

DPA/SLA：删除期限，确认格式，罚款。
季度确认，测试删除。
违规提供商黑名单。

16）模板（快速插入）

A）图形记录（YAML示例）

yaml
- rule_id: CRM-MKT-EMAIL version: 1.3 market: EU data_class: CRM lawful_basis: consent retention_days: 730  # ≤24 мес неактивности grace_days: 30 action_after: erase pii: true residency_region: EU backups_policy: { crypto_shred: true, kms_key_scope: region }
dsar_applicable: true exceptions: { aml: false, legal_hold: true }
owner: dpo

B）供应商的克劳（删除/确认）

💡 供应商承诺从请求之日起N日内删除/匿名数据,以符合所附的请求时间表并提供确认（范围、方法、时间、密钥/批次标识符）。

C）匿名决定（DWH）

💡 个别事件已过期。我们只保留c k≥20聚合，日期二进制（周），地理-直到"区域"，抑制稀有类别<0.5％。

17）频繁的错误和预防

已从prod-DB中删除，但未从备用中删除。→ Crypto shred，按市场计算密钥。
PII属于ARM/logi。默认情况下→没有PII，代理掩码和简短的回避。
带有"尾巴"PII的DWH。在出口之前→强制性的de-PII管道。
→强制生成'erasure_artifact'和WORM存储。
Vendor尚未确认撤职，→保持付款/制裁，升级和离岸。

18）30天实施计划

第一周

1.批准分类法/理由和按类别划分的主要转介登记册。
2.准备区域简介（EU/UK/……）：时间表、例外、备用。
3.专门介绍"retention_rule"和"erasure_artifact"模型。

第二周

4）部署静止编排器（cron/stream）,连接关键系统。
5）设置关键交易日志crypto shred（按市场划分的KMS）。
6）为DWH/报告启用 de-PII管道。

第3周

7）飞行员：2个类别（CRM/logi）+1个游戏事件派对→匿名。
8）供应商测试：删除和确认请求。
9）Dashbord KPI/KRI和Alerta（时间到Erase，Orphan Rate）。

第四周

10）完整发行；季度对时间表和区域概况的评论。
11） CAPA关于发现的残余/违规行为。
12）计划v1。1：自动orphan扫描和供应商报告。

19）相互关联的部分

删除和匿名数据

DSAR： 用户的数据请求

跨辖区数据本地化

GDPR： 同意管理/Cookie和CMP政策

Privacy by Design

加密At Rest/In Transit, KMS/BYOK/HYOK

编译和监视/内部和外部审计