نگهداری داده ها و برنامه های حذف

1) هدف و منطقه

ایجاد یک برنامه نگهداری واحد و برنامه های حذف/ناشناس مدیریت برای تمام سیستم ها و حوزه های قضایی به:

مطابق با قوانین/مجوز (GDPR/ePrivacy/AML/اقدامات محلی) ؛
به حداقل رساندن حجم PII ؛
اطمینان از قابلیت اطمینان از عملکرد (مصنوعات/سیاهههای مربوط) ؛
کاهش ریسک حادثه و هزینه های ذخیره سازی

پوشش: حساب/مشخصات, KYC/AML, پرداخت/PSP, تله متری بازی, RG/SE, CRM/بازاریابی, وابسته, سیاهههای مربوط/AWP, تجزیه و تحلیل/DWH, پشتیبان گیری/آرشیو, ارائه دهندگان/فروشندگان, تمام بازارهای هدف.

2) اصول

1. قانونی و هدفمند. مهلت ها به دلایل قانونی و اهداف پردازش گره خورده است.
2. به حداقل رساندن داده ها. حداقل زمینه ها/تاریخ ؛ «ناشناس به جای ذخیره سازی دائمی».
3. اول محلی. نگهداری در منطقه مشاهده می شود (اقامت داده ها).
4. سیاست به عنوان داده. نمودارها به عنوان سوابق قابل خواندن ماشین (نمودارها) ذخیره می شوند، نسخه بندی شده و توسط اتوماسیون اعمال می شوند.
5. خرابی بسته شده منقضی شده/ناشناخته → مجوز/حذف ماشه.
6. قابلیت شنیدن. هر حذف/ناشناس → یک مصنوع در فروشگاه WORM.
7. پشتیبان گیری آگاه است. پشتیبان گیری/آرشیو ها به همان مهلت ها (بخش های خرد کننده رمزنگاری) بستگی دارد.

3) نقش ها و RACI

DPO/رئیس انطباق (مالک) - سیاست، ثبت نام، تفسیر هنجارها، استثنائات. (الف)

حقوقی - زمینه های قانونی/مهلت برای بازار، قانونی نگه می دارد. (R)

امنیت/Infra - KMS/رمزگذاری، رمزنگاری، دسترسی به سیستم. (R)

پلت فرم داده/تجزیه و تحلیل - de-PII/ناشناس، قوانین DWH/DL. (R)

مهندسی/SRE - ارکستر نگهداری، آبشار، ادغام با سیستم/فروشندگان. (R)

محصول/CRM - انطباق ویژگی ها و جریان های سرکوب با مهلت. (ج)

مدیر فروشنده - DPA/SLA برای حذف، تایید از ارائه دهندگان. (R)

حسابرسی داخلی - انتخاب، CAPA، تأیید مستقل. (ج)

4) طبقه بندی داده ها و اساس

دسته بندی ها (مثال):

KUS/سن/بیومتریک - اسناد، selfies/liveliness، احکام. (زمینه: قانون/مجوز، منافع عمومی ؛ اغلب 5-7 سال)
پرداخت/PCI - نشانه ها، معاملات/ثبت ها، بازپرداخت. (دلایل: قرارداد/قانون حسابداری/PCI)
فعالیت بازی - شرط/برنده، پاداش، تخفیف. (زمینه: قرارداد/مجوز، بهره اپراتور)
RG/SE - وضعیت خود حذفی, چک در دسترس بودن/واقعیت چک. (زمینه: قانون/مجوز، منافع عمومی)
CRM/بازاریابی - اطلاعات تماس، رضایت، تاریخچه مبارزات انتخاباتی. (زمینه: رضایت/منافع مشروع)
Affiliates - click-id, placement, terms-hash (without player PII). (زمینه: قرارداد، منافع مشروع)
Logs/AWS - رویدادهای فنی (به طور پیش فرض بدون PII). (زمینه: منافع مشروع/ایمنی)
تجزیه و تحلیل ترافیک/DWH - aggregates/pseudonyms، ویژگی های ML. (زمینه: علاقه مشروع/تحقیق)

5) ماتریس جدول زمانی (چارچوب)

دسته بندی	ساختار شرکت	نگهداری (اساسی)	پس از مدت
CCM/بیومتریک	گذرنامه/سلفی/حکم	5-7 سال (یا در بازار)	cascade + crypto-shred در آرشیو
پرداخت ها	عملیات، نشانه	حسابداری/PCI	لغو نشانه + پوشش هویت
رویدادهای بازی	شرط/برنده/پاداش	نیاز کسب و کار/مجوز (به عنوان مثال 5 سال)	de-PII → گروه ها
RG/SE	وضعیت/پرچم	مدت مجوز/پیشگیری	صرفه جویی در پرچم بدون PII، حذف بسته نرم افزاری
CRM/موافقت می کند	ایمیل/اس ام اس/فشار، خطوط TC	تا otzyva/≤24 ماه عدم فعالیت	سرکوب فوری + حذف
سیاهههای مربوط/AWS	خطاها/مسیرها (بدون PII)	30-180 روز	خودکار پاکسازی/چرخش
تجزیه و تحلیل/DWH	aggregates/k-anon. بدون اصطلاح (اگر ناشناس)	—

💡 مهلت های خاص در سطح صلاحیت در پروفایل ها تعیین می شود (نگاه کنید به § 7).

6) استثنائات و بلوک ها

AML/مجوز مورد نیاز - اولویت بیش از نرم افزار برای حذف (DSAR-پاک کردن)، محدودیت و به حداقل رساندن اعمال می شود.
برگزاری حقوقی/اختلافات/تحقیقات - توقف پرچم برای حذف ؛ ما پایه و اساس را تعیین می کنیم.
حقوق/اسرار شخص ثالث - ویرایش/depersonalization هنگام صدور/صادرات.
ثبت های عملیاتی (به عنوان مثال، حسابداری) - پوشش به جای حذف کلید های اولیه.

7) پروفایل های منطقه ای (قالب)


Юрисдикция: ______
KYC/биометрия: срок ___; особые запреты/форматы: ___
Платежи/бухучет: срок ___; маскирование: ___
Игровая активность: срок ___; анонимизация: k≥__
RG/SE: срок ___; политика хранения флага: ___
CRM/согласия: неактивность ≤ __ мес; double opt-in: да/нет
Логи/APM: __ дней; PII-free: да/нет
Бэкапы/архивы: локализация ___; crypto-shred SLA ___
Исключения/легал-холд: условия ___

8) سیاست به عنوان داده: مدل نمودار

نمودار ها را به عنوان ورودی در پایگاه داده/رجیستری پیکربندی ذخیره کنید:


retention_rule {
rule_id, version, market, data_class{KYC    PCI    GAME    RG    CRM    LOG    ANON},
lawful_basis{consent    contract    legal_obligation    legit_interest    public_interest},
retention_days, grace_days, action_after{erase    anonymize    mask    revoke_token},
pii{yes/no}, residency_region, backups_policy{crypto_shred:true, kms_key_scope:region},
dsar_applicable{yes/no}, exceptions{aml:true, legal_hold:true},
owner{dpo    legal    security    data}, approved_at_utc, next_review_at_utc
}

نسخه مورد نیاز است: هر ویرایش → نسخه جدید + برنامه مهاجرت.

9) گردش کار (طرح)

1. تشخیص: 'retention _ due _ detected' (cron/stream by creation events).
2. واجد شرایط بودن: بررسی استثنائات (AML/hold/residency).
3. ارکستراسیون: یک بسته از سیستم ها/فروشندگان تشکیل شده است، استراتژی (پاک کردن/ناشناس).
4. اعدام: آبشاری شغل حذف, لغو نشانه, کلید بخش رمزنگاری چند تکه در پشتیبان گیری.
5. اعتبار سنجی: آشتی سوابق، اسکن یتیم، تأیید انتخابی DWH/سیاهههای مربوط.

6. شواهد: گزارش (مقادیر چک، شناسه کلیدی، زمان، حجم) در WORM ؛ لینک به داشبورد

7. گزارش دهی: KPI ها، هشدارها، CAPA ها در صورت خرابی.

10) پشتیبان گیری، آرشیو و DR

محلی سازی: پشتیبان گیری در همان منطقه/بلوک.
رمزگذاری: در هر منطقه KMS/HSM ؛ کلید ها توسط بازار/مستاجر تقسیم می شوند.
خرد کردن رمزنگاری: در رسیدن به مهلت - تخریب کلید بخش، با «kms _ key _ id» گزارش دهید.
ذخیره سازی های غیر قابل تغییر: علامت «waiting for crypto-shred» در برنامه ریز.

11) تجزیه و تحلیل/DWH و ناشناس

خط لوله De-PII: قبل از صادرات به DWH - نشانه گذاری/برش/k-anon، تاریخ بینینگ/جغرافیایی، سرکوب مقادیر نادر، تفاوت. حریم خصوصی در گزارش ها

گزارش های جهانی - فقط جمع آوری ؛ ممنوعیت PII «خام» در خارج از منطقه.
سرنوشت مورخان: پس از اصطلاح - شکستن روابط با شناسه های اولیه.

12) ادغام با DSAR/CMP/محلی سازی

DSAR-erase: از همان مکانیزم ارکستراسیون/مصنوع استفاده می کند. در صورت درگیری با AML، → محدودیت به جای حذف.
CMP/رضایت: خروج از رضایت → توقف فوری پردازش و گنجاندن یک تایمر حفظ اطلاعات بازاریابی.
اقامت: نمودار ها در محیط منطقه ای اعمال می شود، صادرات PII وابسته به مکانیزم های مرزی است.

13) مدل مصنوعات حذف


erasure_artifact {
job_id, rule_version, market, region, scope{subject    partition    cohort},
systems[], vendors[], method{cascade    crypto_shred    anonymize    mask    revoke_token},
started_at_utc, completed_at_utc, status{ok    partial    failed},
counts{records, tables, bytes}, checksum{before, after},
kms_keys_destroyed[{id, destroyed_at_utc}], orphan_scan{passed    failed},
dsar_case_id?, approvers{dpo, security}, evidence_uri(WORM)
}

14) KPI/KRI و داشبورد

Retention Compliance Rate - نسبت پرونده هایی که به مهلت رسیده اند و در SLA پردازش شده اند.
زمان به پاک کردن - متوسط/درصد 95 از ماشه به اتمام است.
پشتیبان گیری Crypto-Shred SLA - نسبت بخش هایی با کلید های نابود شده در زمان.
نرخ داده یتیم - سوابق یتیم/کپی غیر همزمان.
فروشنده پاک کردن ACK - تایید از فروشندگان در زمان.
DSAR ارتباط - نسبت حذف در ارتباط با موارد DSAR.
نمره Auditability -٪ از وظایف با بسته کامل مصنوعات.
Exceptions Mix: نسبت سوابق نگهداری شده توسط AML/hold.

15) چک لیست

الف) طراحی و سیاست

دسته و بازار ثبت تایید شده توسط DPO/حقوقی.
مبنای قانونی و action_after برای هر رکورد تعریف شده است.
نسخه بندی برنامه و تاریخ تجدید نظر بعدی.
سیستم/فروشنده/نقشه کلیدی و محیط های محلی سازی.

ب) تکنیک و عملیات

Orchestrator ارائه شده به تمام سیستم ها متصل است.
حذف آبشار/پوشش/ناشناس تست شده است.
Crypto-shred برای پشتیبان گیری: کلید ها تقسیم می شوند، گزارش ها تولید می شوند.
اسکن یتیم و نمونه اعتبار برنامه ریزی شده.
فروشگاه مصنوعی WORM برای ممیزی در دسترس است.

ج) فروشندگان

DPA/SLA: دوره حذف، فرمت تایید، مجازات.
تایید سه ماهه، حذف آزمون.
لیست سیاه ارائه دهندگان با نقض.

16) قالب (درج سریع)

A) رکورد برنامه (مثال YAML)

yaml
- rule_id: CRM-MKT-EMAIL version: 1.3 market: EU data_class: CRM lawful_basis: consent retention_days: 730  # ≤24 мес неактивности grace_days: 30 action_after: erase pii: true residency_region: EU backups_policy: { crypto_shred: true, kms_key_scope: region }
dsar_applicable: true exceptions: { aml: false, legal_hold: true }
owner: dpo

ب) بند فروشنده (حذف/تایید)

💡 تهیه کننده باید ظرف N روز از تاریخ درخواست، داده ها را مطابق با برنامه نگهداری پیوست شده حذف/ناشناس کند و تأیید کند (حجم، روش، زمان، شناسه های کلید/لات).

ج) تصمیم ناشناس (DWH)

کلید> رویدادهای فردی منقضی شده است. ما فقط با جمع آوری k≥20، تاریخ تولد (هفته)، جغرافیایی تا «منطقه»، سرکوب دسته های نادر <0. 5%.

17) اشتباهات مکرر و پیشگیری

از پایگاه داده تولید حذف شده است، اما نه از پشتیبان گیری. → Crypto-shred، حسابداری کلیدی توسط بازار.
PII به AWS/سیاهههای مربوط می افتد. → PII رایگان به طور پیش فرض، ماسک بر روی عامل، احتباس کوتاه.
DWH با دم PII → خط لوله اجباری de-PII قبل از صادرات.
→ تولید اجباری ذخیره سازی 'erasure _ artifact' و WORM.
فروشنده حذف را تأیید نکرد. → نگه داشتن پرداخت/تحریم، تشدید و خروج.

18) برنامه اجرایی 30 روزه

1 هفته

1. طبقه بندی/زمینه ها و ثبت اولیه retentions توسط دسته ها را تایید کنید.
2. آماده سازی پروفایل های منطقه ای (EU/UK/...): مهلت، استثنا، پشتیبان گیری.
3. مدل «retention _ rule» و «erasure _ artifact» را مشخص کنید.

2 هفته

4) استقرار ارکستر ارائه (cron/جریان)، اتصال سیستم های کلیدی.
5) تنظیم رمزنگاری (KMS توسط بازار)، ورود به سیستم عملیات کلیدی.
6) شامل خط لوله de-PII برای DWH/گزارش.

3 هفته

7) خلبان: 2 دسته (CRM/سیاهههای مربوط) + 1 بخش رویداد بازی → ناشناس.
8) تست فروشنده: درخواست برای حذف و تایید.
9) داشبورد KPI/KRI و هشدارها (زمان پاک کردن، نرخ یتیم).

4 هفته

10) انتشار کامل ؛ بررسی سه ماهه برنامه ها و پروفایل های منطقه ای.
11) CAPA برای باقی مانده/نقض یافت می شود.
12) برنامه v1. 1: اسکن خودکار یتیم و گزارش فروشنده.

19) بخش های مرتبط

داده ها را حذف و ناشناس کنید

DSAR: درخواست کاربر برای داده ها

بومی سازی داده ها توسط حوزه های قضایی

GDPR: مدیریت رضایت/کوکی ها و سیاست CMP

حریم خصوصی بر اساس طراحی

در حالت استراحت/در حال حمل و نقل، رمزگذاری KMS/BYOK/HYOK

داشبورد انطباق و نظارت/ممیزی داخلی و خارجی