GH GambleHub

הגנה על נתונים ופרטיות

1) מדוע יש צורך (הקשר iGaming/fintech)

ב-iGaming ו-fintech, PII/findata, ביומטריה (סלפי-לביאה), אותות התנהגות ותשלום מעובדים. עבירות פרטיות פוגעות ברישיונות, שותפויות PSP, מוניטין/מוניטין ותוצאות כספיות. המטרה היא להבטיח עיבוד חוקי, בטוח ושקוף ללא הריגת UX והמרה.

2) עקרונות ותפקידים משפטיים

עקרונות בסיסיים: חוקיות, הגינות ושקיפות; מגבלת מטרות; מזעור; דיוק; הגבלת אחסון; יושרה וסודיות; דין וחשבון.

תפקידים ואחריות:
  • לוח/Exec: סיכון תיאבון, אישור מדיניות, משאבים.
  • DPO (קצין הגנת נתונים): פיקוח עצמאי, DPIA/DSR, ייעוץ.
  • בקרה טכנית, תקריות, יומן פעילות, DLP.
  • הנדסה/נתונים: ”פרטיות לפי עיצוב/ברירת מחדל” ארכיטקטורה, קטלוג נתונים.
  • ציות/משפטי: עילה משפטית, חוזים, העברות חוצה גבולות.
  • מבצעים/תמיכה: עיבוד בקשות של נושאים ונהלים.

3) קטגוריות מידע ועילות משפטיות

קטגוריות: זיהוי (שם מלא, DOB), מגע, תשלום (tokens), ביומטריה (סלפי/פנים-תבנית), התנהגות (הפעלות, תעריפים), טכני (IP/UA/Device), חפצי KYC/AML, יומנים, וכן קטגוריות מיוחדות - רק אם יש צורך.

בסיסי עיבוד (מטריצה למופת):
  • חוזה: חשבון, תשלומים, תשלומים, הודעות עסקה.
  • חוק (חובה חוקית): AML/KYC, חשבונאות, חובות מס, בדיקות גיל.
  • אינטרס לגיטימי (LIA): אנטי-הונאה, ביטחון, שיפור UX (כאשר בוחנים את מאזן האינטרסים).
  • הסכמה: דואר שיווק, עוגיות אופציונליות, ביומטריה במספר תחומי שיפוט.
  • תיעד את בחירת ההתייחסות במרשם העיבוד.

4) פרטיות לפי עיצוב/ברירת מחדל

עיצוב: לפני השקת התכונות, DPIA (הערכת פגיעה בפרטיות), מודל איום (STRIDE/LINDDUN) מבוצע.
ברירת מחדל: מערך שדה מינימלי, גששים אופציונליים מנוטרלים, גישה סגורה.
בידוד סביבות: dev/stage ללא PD אמיתי (או עם מסכות/סינתטיות).
תוכנית גירה: נדידה עם תוכניות הגירה למשטרת ניו יורק.

5) ארכיטקטורת מידע וביטחון

אחסון ואזורים:
  • אזור A (Transactional PII): תשלומים מותאמים, חפצי KYC; גישה - אך ורק על ידי RBAC/ABAC.
  • אזור B (Analytics Pseudonimized): שמות בדויים/חשיש, אירועים מצורפים; איסור על ביטול זיהוי ישיר.
  • אזור C (אנונימי BI): צבירה אנונימית לאימוני דיווח/ML.
שליטה טכנית:
  • הצפנה במעבר (TLS 1. 2 +) ומנוחה (AES-256), מפתחות HSM/KMS; סיבוב מפתח.
  • פסאודונימיזציה (אסימונים יציבים) ואנונימיות (דיפוזיות, k-אנונימיות לפרסום/מחקרים).
  • ניהול סודי: כספת, גישה לאפס אמון, אסימונים לשימוש יחיד.
  • יומנים וביקורות: אחסון תולעת בלתי משתנה של אירועים קריטיים, עקבות; שליטה על פריקות המוניות.
  • DLP: פריקת כללים, סימני מים, ”חילוץ” ניטור.
  • Endpoint/Access: SSO/MFA, גישת Just-in-Time, תפקידים זמניים, הגבלות Geo/IP.
  • אמינות: גיבויים מוצפנים, בדיקות התאוששות, מזעור רדיוס פיצוץ.

6) DPIA/DTIA: מתי וכיצד

DPIA נדרש לסיכון גבוה (עיבוד בקנה מידה גדול, פרופיל עבור RG/הונאה, ביומטריה, מקורות חדשים).

תבנית:

1. תיאור המטרה/עיבוד וקטגוריות של PD.

2. בסיס וצורך/מידתיות (מזעור, מגבלות).

3. הערכת סיכונים עבור זכויות/חירויות של נבדקים, ותיקים על ידי הסתברות/השפעה.

4. אמצעי הפחתה (טק/אורג), סיכון שיורי, תוכנית פעולה.

DTIA (שידורים חוצי גבולות): ניתוח חוק המדינה הנמענת, חוזי ואלה אמצעים (הצפנה, SCC/אנלוגי), סיכון מדינה.

7) זכויות נושא המידע (DSR)

בקשות: גישה, תיקון, מחיקה, הגבלה, ניידות, התנגדות/סירוב לשיווק.

פקודה מבצעית:
  • ודא מועמד (אין דליפה).
  • ביצוע בזמן (בדרך כלל 30 יום) עם פתרונות כריתת עצים.
  • יוצאים מן הכלל: אחריות רגולטורית/חוזית (למשל: אחסון חפצי AML).
  • פתרונות אוטומטיים: לספק מידע משמעותי על לוגיקה (הסברה) ועל הזכות לסקור על ידי אדם.

8) שימור ואופי

מטריצת שימור: לכל קטגוריה של PD - מטרה, מונח, סיבה, שיטה להסרה/אנונימיות.
AML/KYC/Finance דורשת לעתים קרובות 5 שנים לאחר סיום מערכת היחסים - לתקן מועדים מקומיים.
מחיקת צינור: מחיקה מסומנת * איחור בניקיון * דו "ח מחיקה; קסקייד על גיבויים לטווח.

9) עוגיות/SDK/גששים ושיווק

יש צורך בלוח הסכמה גרנולרי (חובה/פונקציונלי/אנליטי/שיווק).
מטרה ברורה של קוקי-אס-די-קיי, לכל החיים, לספק, להעביר לצדדים שלישיים.
Do-Not-Track/Opt-Out לפרסום; כיבוד דרישות מקומיות (באנר, רישום).
אנליטיקת שרת/צבירה - עדיפות למזעור דליפות.

10) העברות חוצות גבולות

כלים משפטיים: הוראות חוזיות (SCC/analogue), חוקים תאגידיים, מנגנונים מקומיים.
אמצעים טכניים: הצפנה לפני שידור, הגבלת גישה למפתחות בארץ המוצא, מזעור שדות.
הערכה של סיכוני גישה ממשלתיים: DTIA + אמצעים נוספים (פיצול-מפתח, הצפנת לקוח במידת האפשר).

11) ספק וניהול צד שלישי

ביקורת ספק: רישיונות/תעודות, SOC/ISAE, תקריות, גיאוגרפיה עיבוד.
פעולות DPA/עיבוד: תכלית, קטגוריות PD, מועדים, תת-מעבדים, הודעה על הפרת 72 h, זכות לביקורת.
בקרה טכנית: הצפנה, RBAC, רישום, בידוד לקוחות, בדיקות סובלנות פגמים.
ניטור מתמשך: סקירה שנתית, סקירת אירועים עם שינויים.

12) אירועים והודעות

תכנית תגובה:

1. גילוי וסיווג (היקף/ביקורת) של PII.

2. בידוד, זיהוי פלילי, חיסול, התאוששות.

3. הערכת סיכונים לנבדקים, החלטה להודיע לרגולטור ולמשתמשים.

4. תקשורת (ללא גילוי מיותר), תיאום עם PSP/שותפים.

5. בקרה/מדיניות שלאחר הים ועדכון.

SLO: הערכה ראשונית של 24 h; הודעה של הרגולטור/מושפע במסגרת תנאי החוק המקומי; בחן שוב פגיעות.

13) מדדים ובקרת איכות

DSR SLA: אחוז הבקשות נסגר בזמן, זמן תגובה ממוצע.

אינדקס מזעור נתונים: מספר ממוצע של שדות/אירועים לכל תכונה; אחוז הגששים האופציונליים כבויים

הפרות גישה: מספר/מגמה של גישה/העלאות לא מורשות.
כיסוי הצפנה:% מהשולחנות/דליים/גיבויים עם הצפנה וסיבוב מפתחות.
תקרית MTTR/MTTD: זמן גילוי/תגובה, יכולת חזרה.
ספקים צייתנים: ביקורות חולפות, הערות סיכום.
שימור אדהרנות- הפרופורציה של רשומות שנמחקו לפי תאריך.

14) מדיניות ותיעוד (שלד לוויקי)

1. מדיניות הגנה על נתונים (עקרונות, תפקידים, הגדרות).
2. רישום פעולות עיבוד (מטרות, בסיס, קטגוריות).
3. הליך DPIA/DTIA (תבניות, מפעיל).
4. מדיניות זכויות הישות (DSR) (זרמים, SLAs, תבניות).
5. מדיניות שימור ומחיקה (מטריצה, תהליכים).
6. מדיניות עוגיות/SDK (לוח הסכמה, רישום).
7. מדיניות תקרית והודעה (RACI, מועדים, טפסים).
8. ניהול ספקים ו ־ DPA (רשימת בדיקות הערכה, תבניות).
9. בסיס אבטחה (הצפנה, גישה, רישומים, DLP).
10. אימונים ומודעות (תוכניות, מבחנים).

15) רשימות בדיקה (הפעלה)

לפני השקת תכונה חדשה (פרטיות בעיצוב): 
[ ] DPIA ביצע, סיכון ואמצעים שאושרו על ידי DPO.
[ ] מטרות/עילה מוגדרת, רישום מעודכן.
[ ] שדות ממוזערים, מח "ש באזור נפרד, מסווה בדב/במה.
[ שקולים ] עוגיות/SDKs, באנר מוגדר, אפשרויות Opt-in/Opt-out נבחנות.
[ ] יומנים/מדדים/התראות מוגדרים, שימור ומחיקה רשומים.
רבעון: 
[ ] Access Review (RBAC/ABAC), ביטול זכויות ”נשכחות”.
[ ] מבחן התאוששות גיבוי.
[ ] DPA ואימות תת מעבד, מלאי SDK.
[ ] שמירת ביקורת ומחיקות בפועל.
[ ] אימוני תוכנית IR (שולחן עליון).
נהלי DSR: 
[ ] אימות הפונים.
[ ] איסוף נתונים מרשם המערכות; קווים אדומים לפטורים משפטיים.
[ ] תגובה ורישום בזמן; תבניות תקשורת.

16) אתיקה, שקיפות ו ־ UX

הודעות ברורות על מטרות/מעקב, מדיניות פרטיות ”שכבה” (בקיצור + פרטים).
מתגי הסכמה גרעיניים, דחייה קלה של השיווק.
הסברים לפתרונות אוטומטיים (שיעורי הונאה/RG): סיבות, זכות סקירה.
הימנע ”דפוסים אפלים” חבויים; אל תשתמש במאפיינים רגישים למטרה.

17) מימוש מפת דרכים

1. מלאי של נתונים ומערכות; מפת המשטרה זורמת.
2. הקצאת מח ”ש, אישור מדיניות ומע” מ.
3. ספרייה של פעולות עיבוד ובסיסים; הפעל את לולאת DPIA/DTIA.
4. הפרדה של אזורי נתונים, הצפנה/מפתחות, DLP/יומנים, צינור שימור.
5. פנל הסכמה, רישום עוגיות/SDK, ניתוח שרת.
6. סקירת ספקים וDPA; ניטור מעבד משנה.
7. ספר משחקים, אימונים, מדדים ודיווח לוח רגיל.

תוצאות

הגנה אמינה על מידע אינה רק הצפנה: היא מערכת לניהול מעגל החיים של PD - ממטרות ויסודות למזעור, ארכיטקטורה מאובטחת, DPIA/DTIA, זכויות נושא, תקריות ומדדים. אם תבנו פרטיות ”כברירת מחדל” ותנהלו משמעת, תעמדו בדרישות הרגולטורים והשותפים לתשלום, תשמרו על ההמרה ותחזקו את אמונם של השחקנים.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.