حریم خصوصی توسط طراحی: اصول طراحی
1) چرا مورد نیاز است (هدف و منطقه)
PbD تضمین می کند که حریم خصوصی به طور پیش فرض در محصول ساخته شده است، نه «جا به جا» در بالا. برای iGaming، خطرات نظارتی (GDPR/ePrivacy/قوانین محلی) را کاهش می دهد، از کاربران آسیب پذیر محافظت می کند، اعتماد را افزایش می دهد و هزینه حوادث را کاهش می دهد. پوشش: وب/تلفن همراه، KYC/AML/RG، پرداخت، بازاریابی/CRM، تجزیه و تحلیل/DWH، سیاهههای مربوط/AWP، شرکا/فروشندگان.
2) هفت اصل (و چگونگی پیاده سازی آنها در عملیات)
1. فعالیت، عدم واکنش
مدلسازی تهدید (LINDDUN/STRIDE) در مرحله کشف
معیارهای پذیرش حریم خصوصی در قالب های جیرا/PR.
2. حریم خصوصی به طور پیش فرض
تمام سوئیچ های بازاریابی/شخصی سازی تا زمانی که توافق وجود نداشته باشد خاموش است.
فقط شناسه های پیش فرض «ضروری» را جمع آوری کنید.
3. حریم خصوصی در طراحی ساخته شده است
PII در مدار منطقه ای (اقامت داده ها)، هواپیمای کنترل - بدون PII ذخیره می شود.
Tokenization/aliasing کلید در رویدادهای سرویس.
4. قابلیت های کامل (برنده)
حالت های «تجزیه و تحلیل ناشناس» و «شخصی سازی با رضایت».
UX برابر بدون تبعیض از کسانی که ردیابی را رد کردند.
5. امنیت از طریق چرخه عمر
رمزگذاری در حالت استراحت/حمل و نقل ؛ بایوک/هیوک ؛ تقسیم بندی شبکه ؛ مدیریت مخفی
WORM برای شواهد و حسابرسی وارد می شود.
6. شفافیت
سیاست های کوتاه و «جعبه خلاصه» از شرایط کلیدی ؛ پانل حفظ حریم خصوصی در مشخصات.
گزارش: چه کسی/چه چیزی/چه زمانی/چرا به داده ها دسترسی پیدا کرده است.
7. جهت گیری کاربر
متون ساده، فقدان الگوهای تاریک، در دسترس بودن WCAG AA +.
برداشت آسان رضایت و کانال های DSAR مناسب.
3) نقش ها و RACI
DPO/رئیس انطباق - سیاست PbD، DPIA/TRA، کنترل ریسک. (الف)
امنیت/Infra سرب - رمزنگاری، دسترسی، سیاهههای مربوط، فروشندگان. (R)
محصول/UX - الزامات حریم خصوصی در ویژگی ها، عدم وجود الگوهای تاریک. (R)
مهندسی/معماری - نشانه گذاری، جداسازی مستاجر/منطقه، قراردادهای API. (R)
داده ها/تجزیه و تحلیل - خطوط لوله de-PII، PET، تجمع. (R)
حقوقی - زمینه های قانونی، متون و مناطق. (ج)
بازاریابی/CRM - رضایت/سرکوب، ارتباطات صادقانه. (R)
حسابرسی داخلی - نمونه های مصنوعی، CAPA. (ج)
4) طبقه بندی و طبقه بندی داده ها
پایه PII: نام کامل، ایمیل، تلفن، آدرس، تاریخ تولد، IP/ID دستگاه.
PII حساس: بیومتریک (selfies/liveliness)، اسناد KYC، جزئیات پرداخت، وضعیت RG/SE.
اتاق های عمل: رویدادهای بازی، سیاهههای مربوط/مسیرهای پیاده روی (PII رایگان به طور پیش فرض).
بازاریابی/تجزیه و تحلیل: کوکی ها/SDK ها (با رضایت).
قوانین: به حداقل رساندن، ذخیره سازی جداگانه، هدف صریح و عمر مفید.
5) چرخه عمر داده
1. مجموعه - فقط فیلدهای مورد نیاز ؛ CIW/رضایت ؛ چک های سن
2. انتقال - TLS 1. 2 +/mTLS، امضای webhook، مسیریابی منطقه ای.
3. ذخیره سازی - رمزگذاری، نشانه گذاری، چرخش کلید، انزوای بازار.
4. استفاده - RBAC/ABAC، نیاز به دانستن، PET برای تجزیه و تحلیل.
5. تبادل - DPA/SCC، حداقل مجموعه، کانال های حسابرسی.
6. حفظ/حذف - اصطلاح بر اساس طبقه بندی ؛ Cascade حذف شغل آرشیو حذف رمزنگاری.
7. گزارش/حسابرسی - دسترسی و صادرات سیاهههای مربوط، مصنوعات DPIA/DSAR.
6) DPIA/TRA (نحوه انجام آن به طور خلاصه)
محرک ها: دسته های جدید PII، دسته های ویژه، فروشندگان جدید، انتقال مرزی، خطرات RG/بیومتریک بالا.
قالب DPIA: هدف → دسته بندی داده ها → مبنای قانونی → جریان/نقشه → خطرات → اقدامات (tech/org) → ریسک باقیمانده → تصمیم گیری.
مصنوعات: نمودار جریان، لیست زمینه، جدول ریسک، پروتکل تصویب.
7) الگوهای معماری PbD
جداسازی مستاجر/منطقه: جداسازی فیزیکی/منطقی پایگاه های داده، کلید ها و اسرار.
کنترل در مقابل داده هواپیما: کنترل جهانی - بدون PII ؛ PII فقط به صورت محلی
De-PII Pipeline: قبل از صادرات به DWH - هش/نمک، برش، k-ناشناس/cohortation.
Tokenization Gateway: توکنها به جای شناسههای اولیه در گذرگاه سرویس.
Edge without PII: CDN/edge cache - فقط محتوای عمومی.
Fail-Closed: عملیات ناشناخته «player _ region» → PII مجاز نیست.
8) اقدامات فنی و استانداردها
رمزگذاری: AES-256/GCM در حالت استراحت ؛ TLS 1. 2+/1. 3; پی اف اس
کلید: KMS، BYOK/HYOK، چرخش، دسترسی توسط نقش HSM، ورود به سیستم از عملیات کلیدی.
دسترسی: RBAC/ABAC، دسترسی JIT، نقش های جداگانه مدیریت و حسابرسی.
سیاهههای مربوط: تغییر ناپذیر (WORM)، زنجیره های هش، ذخیره سازی در منطقه.
DevSecOps: اسرار در Vault، SAST/DAST، زمینه زمینه PII، آزمایش های حریم خصوصی در CI.
داده های تست: مصنوعی پیش فرض ؛ اگر داده های مجدد شناسایی و نگهداری کوتاه باشد.
9) PET (فن آوری های تقویت حریم خصوصی)
Aliasing: جایگزینی شناسه با نشانه ؛ key-map به طور جداگانه ذخیره می شود.
ناشناس سازی: aggregates، k anonimnost/ℓ -diversity، bining/cohorts.
حریم خصوصی دیفرانسیل: سر و صدا در گزارش، «بودجه حریم خصوصی».
تجزیه و تحلیل فدرال: مدل های محلی، صادرات وزن/aggregates تنها.
پنهان کردن/ویرایش: حذف EXIF، زمینه های خرد کردن در اسناد KYC.
10) UX بدون الگوهای تاریک
دید برابر «رد همه «/» پذیرش همه «/» سفارشی «.
روشن متون هدف و نمونه هایی از استفاده از داده ها.
شخصی سازی تجربه اصلی را مختل نمی کند.
پانل حریم خصوصی در 1-2 کلیک از همه جا ؛ AA + در دسترس بودن
11) فروشندگان و انتقال داده ها
رجیستری فروشنده: حوزه های قضایی DC، زیر پردازنده ها، صدور گواهینامه، مناطق ذخیره سازی، DPA/SCC/IDTA.
سیاست «حداقل مجموعه»: فقط زمینه های مورد نیاز، بدون صادرات آزاد.
اطلاع رسانی و تجدید نظر در هنگام تغییر مکان/زیر پردازنده.
12) داده ها و رویدادها (حداقل مدل)
data_asset{id, category{KYC PCI RG CRM LOG ANON}, region, owner, retention_days, lawful_basis, pii{yes/no}}
processing_event{id, actor, purpose, lawful_basis, started_at, ended_at, records_count, export{yes/no, basis_id}}
access_log{id, subject_id_hash, actor, action{read/write/export/delete}, ts_utc, reason, ticket_id}
erasure_job{id, subject_id_hash, scope, started_at, completed_at, evidence_id}13) KPI/KRI و PbD داشبورد
PII Minimization Index (میانگین تعداد فیلدهای PII در هر ویژگی).
پوشش اقامت (٪ از سوابق در منطقه صحیح).
نرخ توجیه صادرات.
DSAR SLA (عملکرد/دقت متوسط).
تخلفات شلیک برچسب.
نمره حسابرسی (٪ موارد با بسته کامل مصنوعات).
حوادث/یافته ها
14) چک لیست
A. قبل از طراحی
- اهداف و زمینه های قانونی پردازش تعریف شده است.
- نقشه داده ها و لیست زمینه مشخص شده PII/حساس.
- DPIA/TRA اعدام شد ؛ ریسکهای باقیمانده پذیرفته میشوند.
- یک «حالت ناشناس» یا یک حالت با حداقل داده ها در نظر گرفته می شود.
B. ساخت/انتشار
- اسرار در مدیر، کلید/رمزگذاری پیکربندی شده است.
- سیاهههای مربوط بدون PII ؛ رویدادها و حسابرسی امکان پذیر است.
- سیاست مسیریابی و نگهداری منطقه ای فعال است.
- تست: رضایت دروازه، انکار به طور پیش فرض برای برچسب ها، پاک کردن مسیر.
C. در عملیات
- بررسی دسترسی و صادرات سه ماهه.
- نظارت بر نقض آتش و درخواست های مرزی.
- DSARs/deletions در زمان انجام می شود ؛ مصنوعات حفظ می شود.
15) قالب (درج سریع)
الف) قالب DPIA (کوتاه)
دسته بندی داده ها: ____ (PII: بله/خیر)
دلیل: ____
جریان/مکان: ____
خطر/تأثیر: ____
اقدامات: کسانی که (رمز/نشانه/انزوا), ORG (RBAC/آموزش)
خطر باقی مانده: تصمیم ____: تصویب/بازیافت
B) سیاست حداقل سازی زمینه
C) بند با فروشنده (تعهد PbD)
16) اشتباهات مکرر و چگونگی اجتناب از آنها
جمع آوری "فقط در مورد. "→ سیاست به حداقل رساندن + بررسی کد از طرح.
سیاهههای خام با PII در APM. → پوشش/ویرایش بر روی عامل، ذخیره سازی محلی.
DWH جهانی با PII → فقط تجمعات De-PII/نام مستعار.
بدون مصنوعات DPIA/رضایت. → مخزن WORM، عکس های خودکار از UI/متون.
فروشندگان حساب نشده/SDK. → ثبت نام سه ماهه، ممنوعیت اتصالات «خاکستری».
17) برنامه اجرایی 30 روزه
1 هفته
1. سیاست PbD و الگوهای DPIA/TRA را تأیید کنید.
2. نقشه داده ها/جریان ها را با مناطق کلیدی (KYC/PCI/RG/CRM/Logs) ایجاد کنید.
3. برجسته محیط های منطقه ای (EU/UK/...) ؛ مدل کلید را تعریف کنید (BYOK/HYOK).
2 هفته
4) فعال کردن خطوط لوله tokenization/de-PII و انکار به طور پیش فرض برای برچسب ها.
5) پیکربندی سیاهههای مربوط WORM (دسترسی/صادرات/رضایت/حذف).
6) به روز رسانی قرارداد فروشنده (DPA/SCC، مکان، زیر پردازنده).
3 هفته
7) پیاده سازی تست های حریم خصوصی در CI (PII linter، تثبیت صفحه نمایش CMP، پاک کردن E2E).
8) انتشار پانل حریم خصوصی در مشخصات ؛ بهبود متون و مناطق.
9) تیم های آموزش (محصول/مهندسی/داده/CS/حقوقی).
4 هفته
10) انجام یک بررسی DPIA از ویژگی های بالا، نزدیک CAPA.
11) داشبورد KPI/KRI (اقامت، صادرات، DSAR SLA) را شروع کنید.
12) برنامه v1. 1: تفاوت. حریم خصوصی برای گزارش، خطوط لوله فدرال.
18) بخش های مرتبط
GDPR: مدیریت رضایت کاربر/کوکی ها و سیاست CMP
بومی سازی داده ها توسط حوزه های قضایی
تایید سن و فیلترهای سن
AML/KYC و ذخیره سازی مصنوعی
داشبورد انطباق و نظارت/گزارش های نظارتی
چک لیست های حسابرسی داخلی/خارجی
BCP/DRP/در حالت استراحت و در رمزگذاری حمل و نقل