GH GambleHub

قوانین و اطلاعیه های نقض اطلاعات

1) معرفی و اهداف

نشت داده ها نه تنها یک حادثه فنی است، بلکه یک روش قانونی با مهلت های مشخص، مخاطب و الزامات رسمی برای محتوای اطلاعیه ها است. اشتباهات در ساعات اولیه خطر جریمه، اقدامات طبقاتی و زیان های اعتباری را افزایش می دهد. این مواد یک نقشه راه عملی برای سیستم عامل های B2C (از جمله iGaming/fintech) است که به همگام سازی کمک می کند: امنیت، وکلا، روابط عمومی، پشتیبانی مشتری و انطباق.

2) چه چیزی «نشت اطلاعات شخصی» محسوب می شود

یک حادثه امنیتی شخصی که منجر به تخریب تصادفی یا غیرقانونی، از دست دادن، تغییر، دسترسی نامعلوم یا افشای اطلاعات شخصی شود. واقعیت خطر برای حقوق و آزادی های افراد (محرمانه بودن، آسیب مالی، تبعیض، فیشینگ، و غیره) مهم است.

3) نقش ها و مسئولیت ها

سرپرست (اپراتور) - اهداف و ابزار پردازش را تعیین می کند ؛ مسئولیت اصلی اعلان ها، حسابداری و انتخاب دلایل قانونی را بر عهده دارد.
پردازنده (پردازنده/پیمانکار) - پردازش داده ها از طرف ؛ باید کنترل کننده بدون تاخیر اطلاع و کمک در تحقیقات و اطلاعیه ها.
سرپرستان مشترک - هماهنگ کردن یک نقطه تماس و تعیین حوزه های مسئولیت در توافقنامه.

4) آستانه اطلاع رسانی: سه سطح خطر

1. بدون خطر (به عنوان مثال رسانه های رمزگذاری شده با کلید های قوی, کلید به خطر بیافتد) → ورود به سیستم حادثه, هیچ اطلاعیه های خارجی.
2. ریسک (احتمال آسیب وجود دارد) → اطلاع از تنظیم کننده در زمان.
3. خطر بالا (آسیب قابل توجهی احتمال دارد: امور مالی، سلامت، کودکان، نشت عظیم، گروه های آسیب پذیر) → اطلاع رسانی اضافی از افراد در زبان قابل فهم و بدون تاخیر.

5) دوره های اطلاع رسانی (معیار برای حالت های کلیدی)

EU/EEA (GDPR): کنترل کننده ظرف 72 ساعت پس از آگاهی از نشت، تنظیم کننده را مطلع می کند. افراد - «بدون تاخیر ناروا» اگر خطر بالا است.
UK GDPR/ICO: شبیه به 72 ساعت تنظیم کننده ؛ ثبت حوادث را ثبت کنید.
کانادا (PIPEDA): به تنظیم کننده و اشخاص - در اسرع وقت اگر «خطر واقعی آسیب قابل توجهی» ؛ حداقل 24 ماه ثبت نام کنید.
سنگاپور (PDPA): در PDPC - در اسرع وقت، نه بعد از 3 روز پس از اتمام ارزیابی ؛ افراد - بدون تاخیر در معرض خطر آسیب قابل توجهی.
برزیل (LGPD): به تنظیم کننده و اشخاص - «در یک زمان معقول» ؛ نقطه عطفی - در اسرع وقت پس از تایید.
امارات متحده عربی (تغذیه. PDPL )/ADGM/DIFC: در اغلب موارد - اطلاع از تنظیم کننده در عرض ~ 72 ساعت در معرض خطر است.
استرالیا (NDB): ارزیابی تا 30 روز ؛ اطلاعیه «در اسرع وقت» پس از تأیید حادثه «قابل اطلاع».
ایالات متحده (قوانین ایالتی): مهلت ها متفاوت است (اغلب «بدون تاخیر غیر ضروری»، گاهی اوقات ثابت 30-60 روز). آستانه برای حجم و انواع داده ها، اطلاع از دادستان کل/سازمان ها در صورت وقوع حوادث عمده.
هند (DPDP): اطلاعیه به تنظیم کننده/اشخاص - مطابق با روش ایجاد شده توسط تنظیم کننده ؛ بلافاصله پس از شناسایی اقدام کنید.

💡 توجه: مهلت ها و آستانه های خاص به روز می شوند. آنها را در «ماتریس کشور» خود ضبط کنید و سه ماهه بررسی کنید.

6) آنچه باید در اطلاعیه ها باشد

به تنظیم کننده:
  • شرح مختصری از حادثه و یک جدول زمانی ؛
  • دسته بندی ها و حجم تقریبی داده ها و موضوعات آسیب دیده ؛
  • عواقب احتمالی ؛
  • اقدامات انجام شده یا پیشنهاد شده (کاهش، جلوگیری از عود) ؛
  • DPO/مسئول تماس با گروه
  • وضعیت: پیام اولیه با یک یادداشت در مورد علاوه بر این پس از آن (اگر نه همه حقایق تاسیس).
افراد داده (کاربران):
  • چه اتفاقی افتاد و چه زمانی ؛
  • چه اطلاعاتی تحت تاثیر قرار می گیرد و عواقب احتمالی ؛
  • آنچه قبلا انجام شده است (قفل، تغییرات کلیدی، چرخش رمز عبور اجباری، و غیره) ؛
  • چه کاربر می تواند انجام دهد (2FA، تغییر رمز عبور، نظارت بر حساب/اعتبار) ؛
  • کانال های پشتیبانی، خدمات رایگان (به عنوان مثال، نظارت بر اعتبار در صورت نشت اطلاعات مالی).

7) تاخیر اطلاع رسانی مجاز

در تعدادی از رژیم ها، اطلاع رسانی می تواند به درخواست اجرای قانون به تأخیر بیفتد، اگر افشای فوری با تحقیقات مواجه شود. ثبت دلیل و دوره فضل در نوشتن.

8) رمزگذاری و بندر امن

بسیاری از قوانین افراد را از اطلاع رسانی معاف می کنند اگر داده ها به طور ایمن رمزگذاری شده باشند و کلید ها به خطر نیفتند. الگوریتم های سند/مدیریت کلید ؛ منطق فنی را به ثبت حادثه پیوست کنید.

9) روش پاسخ: جدول زمانی «72 ساعت اول»

T0-4 ساعت

فعال کردن برنامه IR ؛ اختصاص منجر (SIRT، وکیل، روابط عمومی، DPO).
جداسازی بردار حمله، مجموعه ای از مصنوعات (سیاهههای مربوط، تخلیه)، ثابت کردن زمان سیستم.

صلاحیت اولیه: اطلاعات شخصی ؟ کدام دسته بندی ها ؟ حجم ؟ جغرافیا ؟ پیمانکاران ؟

T4-24 ساعت

ارزیابی ریسک: تأثیر بر حقوق و آزادی ها ؛ کودکان/امور مالی/بهداشت

راه حل: اطلاع رسانی به تنظیم کننده ؟ (اگر بله، ما در حال آماده سازی «اطلاعیه اولیه»).

پیش نویس اطلاعیه به افراد + پرسش و پاسخ برای پشتیبانی ؛ پیام های روابط عمومی

تأیید پیمانکاران/پردازنده ها: درخواست گزارش، سیاهههای مربوط به رویداد.

T24-72 ساعت

ارسال یک اعلان به تنظیم کننده (در صورت لزوم) ؛ ارسال گزارش.
نهایی سازی مجموعه ای از اقدامات کاهش (تغییر رمز عبور مجبور، چرخش کلید، محدودیت زمانی برای عملیات، 2FA).
آماده بیانیه عمومی (در صورت لزوم)، راه اندازی خط تلفن/ربات.

بعد از 72 ساعت

گزارش های اضافی به تنظیم کننده به عنوان آنها روشن می شود ؛ پس از مرگ ؛ به روز رسانی سیاست ها و کنترل.

10) مدیریت پیمانکاران و زنجیره پردازش

DPA های قراردادی/مسئولیت های پردازنده: «اطلاع رسانی فوری»، کانال های تماس 24/7، SLA ها در هر گزارش اولیه (به عنوان مثال 24 ساعت)

حق کنترل کننده برای ممیزی/بررسی اقدامات حفاظتی.
ثبت اجباری تمام حوادث پیمانکار و اقدامات انجام شده.
افزایش تعهدات به زیر پردازنده ها.

11) گروه های خطر و گروه های خاص

کودکان، سلامت، امور مالی، بیومتریک، مدارک تحصیلی - تقریبا همیشه با خطر بالا - اطلاع رسانی اولویت از افراد.
نشت ترکیبی (PII + اعتبار/نشانه) → چرخش اجباری فوری و ناتوانی نشانه.
جغرافیایی: برخی از ایالت ها/کشورها نیاز به اطلاع رسانی از دفاتر اعتباری/آمبودزمان در مقیاس بزرگ دارند.

12) محتوا و شکل ارتباطات

زبان ساده (B1)، بدون اصطلاحات فنی.
شخصی سازی درخواست ها، در صورت امکان ؛ در غیر این صورت - یک اعلامیه عمومی و ایمیل/فشار در ترکیب.
کانال ها: ایمیل + اس ام اس/فشار (در صورت بحرانی) + بنر در حساب شما ؛ برای موارد جمعی - پست عمومی و پرسش و پاسخ.
لینک های فیشینگ را در ایمیل ها وارد نکنید پیشنهاد یک مسیر از طریق وب سایت/برنامه رسمی.

13) ضبط اسناد و ذخیره سازی

گزارش حادثه: تاریخ/زمان، کشف، طبقه بندی، تصمیم گیری و توجیه اطلاع رسانی، متون اطلاع رسانی، لیست های پستی، اثبات اعزام، پاسخ های نظارتی، اقدامات بازسازی.
عمر مفید - با توجه به رژیم (به عنوان مثال، PIPEDA - حداقل 24 ماه ؛ برای دیگران - دوره داخلی 3-6 سال).

14) تحریم و مسئولیت

جریمه تنظیم کننده ها (در اتحادیه اروپا - در صورت نقض سیستماتیک یا نادیده گرفتن مهلت ها قابل توجه است) ؛

ادعای افراد، دستور تغییر شیوه های ایمنی ؛

تعهدات نظارت و گزارش پس از حادثه.

15) خطاهای معمول

تاخیر به دلیل «کمال گرایی»: انتظار برای تصویر کامل به جای اطلاع رسانی به موقع.
دست کم گرفتن خطرات غیر مستقیم (فیشینگ پس از ایمیل + نشت نام کامل).

عدم سازگاری بین تیم ها (وکلا/روابط عمومی/امنیت/پشتیبانی)

تماس های بی ربط از تنظیم کننده ها و «ماتریس کشور».
نادیده گرفتن تعهدات قراردادی پردازنده ها و زیر پردازنده ها.

16) چک لیست آمادگی (قبل از حادثه)

1. تصویب سیاست پاسخ حادثه با نقش ها و کانال های 24/7.
2. DPOs/Responsible و Proxies را برای برقراری ارتباط با تنظیم کننده ها اختصاص دهید.
3. آماده ماتریس کشور: تاریخ، مقصد، آستانه، فرم.
4. قالب های آماده نامه: به تنظیم کننده، افراد، رسانه ها، پرسش و پاسخ برای پشتیبانی.
5. رجیستری پردازش، نقشه داده ها و لیست پردازنده/زیر پردازنده را به روز کنید.
6. تمرینات روی میز را هر 6 تا 12 ماه انجام دهید.
7. شامل در DPA: «اطلاع رسانی در ساعت X»، گزارش اولیه اجباری، گزارش های حسابرسی.
8. رمزگذاری را در حالت استراحت و حمل و نقل، مدیریت کلید، چرخش مخفی فعال کنید.
9. ایجاد نظارت بر ناهنجاری های دسترسی به داده ها و هشدارهای خودکار.
10. آماده دفترچه روابط عمومی و سیاست بیانیه عمومی.

17) مینی ماتریس حوزه های قضایی (خلاصه معیار)

منطقه/حالتتنظیم کنندهاطلاع رسانی به تنظیم کنندهاطلاع رسانی به موضوعاتیادداشت های ویژه
اتحادیه اروپا/EEA (GDPR)DPA بر اساس کشور72 ساعتبدون تاخیر در معرض خطرثبت همه حوادث را حفظ کنید
GDPR انگلستانICO ها72 ساعتبدون تاخیر در معرض خطرپیام حتی در تشخیص دیر هنگام، با توضیح
کانادا (PIPEDA)نرم افزار OPCسیتو سیتی سیموASAP در «خطر واقعی آسیب»ثبت نام ≥ 24 ماه
سنگاپور (PDPA)پی دی پی سی≤ 3 روز پس از ارزیابیبدون تاخیر در خطر ارزشتست آستانه «آسیب قابل توجه»
برزیل (LGPD)انجمن و انجمنزمان معقولزمان معقول در معرض خطراطلاع رسانی سریع توصیه می شود
استرالیا (NDB)انجمن های علمیپس از ارزیابی ≤ 30 روزسیتو سیتی سیمومعیارهای «نقض اطلاعات اختیاری»
ایالات متحده آمریکا (ایالات)AG/دیگرمتفاوت (30-60 روز. (بدون تاخیر)بله، بسته به آستانهاغلب مورد نیاز دفتر اعتباری
امارات متحده عربی/ADGM/DIFCتیخانوفسکایا اجساداغلب ~ 72 ساعتدر معرض خطربررسی قوانین محلی
هند (DPDP)بدن DPبا توجه به روش تاسیسبا توجه به روش تاسیسپیروی از دستورات تنظیم کننده

(ماتریس - نقطه مرجع. مقررات فعلی را قبل از استفاده بررسی کنید.)

18) قالب سند (در مخزن نگه دارید)

سیاست پاسخ حادثه + Runbook 72 ساعت

اخطار نقض اطلاعات - تنظیم کننده (پیش نویس/مقدماتی/نهایی)

اخطار نقض اطلاعات - افراد (e- mail/SMS/баннер/FAQ)

بیانیه مطبوعاتی و پرسش و پاسخ

فرم گزارش نقض پردازنده (برای پیمانکاران)

درس های آموخته شده/قالب پس از مرگ

ماتریکس کشور. xlsx (تماس با تنظیم کننده، مهلت، آستانه)

19) برداشت

عبور موفقیت آمیز از «راهرو قانونی» در صورت نشت، سرعت + اسناد + ارتباطات شفاف است. اصل ساده است: اطلاع رسانی سریع، دستورالعمل های روشن به کاربران، هماهنگی روشن با تنظیم کننده ها و پیمانکاران، و سپس روشن شدن جزئیات بیشتر به عنوان پیشرفت تحقیق. تمرینات منظم و مجموعه ای از قالب های به روز، خطرات قانونی و شهرت را در لحظه بحرانی کاهش می دهد.

💡 مواد از طبیعت کلی است و مشاوره حقوقی نیست. قبل از اقدام در یک حوزه قضایی خاص، با مقررات محلی مشورت کنید و نتیجه گیری مشخصات را دریافت کنید.
Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.