GH GambleHub

ISO 27701: ניהול פרטיות

1) מהו ISO 27701 ומדוע הוא מפעיל iGaming

ISO 27701 הוא תוסף ל-ISO 27001 ו-27002 אשר מרחיב את ISMS ל-PIMS (מערכת ניהול מידע פרטיות).
עבור iGaming: הוכח ציות לדרישות הפרטיות (GDPR/UK GDPR/ePrivacy וכו '), עבודה מואצת עם רגולטורים/בנקים/KYC/PSP שותפים, סיכון מופחת של קנסות וניהול ספקים מפושט.

2) היקף והקשר PIMS

הגדר:
  • תפקידים וגבולות: באילו תהליכים אתה בקר, היכן מעבד; אילו מותגים/אזורים/תהליכים כלולים ב ”סקופ”.
  • קטגוריות נתונים: רישום, תשלומים, KYC/AML/סנקציות, אירועים התנהגותיים, אותות RG, תמיכה, שיווק/SDK.
  • חובות משפטיות: חוקי פרטיות מקומיים, תנאי רישוי, הסכמים עם שותפים.

פלט: PIMS Scope & Context מסמך + Stakeholder mapa.

3) תפקידי מפתח ואחריות

תפקידאחריות בPIMS
לוח/מנכ "למאשר מדיניות פרטיות, משאבים ומטרות
DPO (קצין הגנת נתונים)פיקוח על פרטיות עצמאית, התייעצות וDPIA, נקודת מגע
עופרת פרטיות/בעלים של PIMSניהול תפעולי PIMS, Metrics, Reporting
חוקי/ציותבסיס חוקי, אמנות (DPA/SCCs), חציית גבולות
אבטחה/ISMSאמצעים טכניים וארגוניים (TOMs), כריתת עצים
בעלי דומייןבעלות על נתונים ומטרות עיבוד
נתונים/BIמיסוך, RLS/CLS, סף פרטיות
שיווק/CRMCIW/הסכמה, פרופיל, שימור
TPRM/רכישהספקים ותתי מעבדים: בדיקת נאותות, DPA, SLA

4) צרור ISO 27701 ↔ ISO 27001

(ISMS (27001/27002: בסיס אבטחה (נכסים, סיכונים, בקרה).
PIMS (27701): מוסיף מדיניות פרטיות, חוקיות העיבוד, זכויות הנבדקים, אופן החיים של הנתונים, מנגנוני חוזים וחציית גבולות.
SoA/Statement of Applicability: מורחב על ידי פקדים פרטיים של PIMS.

5) רישום עיבוד (ROPA) ומפת נתונים

לכל תהליך: מטרה, בסיס משפטי, קטגוריות של נושאים/נתונים, חיי מדף, מקבלים/תת-פרוצדורלים, גאוגרפיה, TOMs, דגל DPIA.

תבנית ROPA (שבר): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) בסיס לגיטימי והסכמה

חוזה/התחייבות משפטית: תשלומים, KYC/AML, מניעת הונאה.
עניין לגיטימי: אנליטיקה בסיסית/אבטחה (עם ניקוד עופרת ו opt-out איפה שנדרש).
הסכמה: שיווק, עוגיות/SDK למטרות לא הכרחיות בלבד, סוגים מסוימים של פרופיל.
קטגוריות מיוחדות: רק עם בסיס ברור ואמצעים משופרים.

CIW/Association management: הקלטה של גירסאות מדיניות/באנרים, גרנולריות לפי מטרה, פרופורציות של חזרה.

7) DPIA/PIA - הערכת השפעה על פרטיות

טכנולוגיה חדשה, עיבוד בקנה מידה גדול, מידע רגיש, פרופיל שיטתי, חציית גבולות.
תוכן: תיאור העיבוד, הצורך והמידתיות, סיכונים לזכויות הנבדקים, צעדים מקלים.
יציאה: החלטה (go/rework/design) + תוכנית CAPA ובקרת תאריך.

8) זכויות נושא המידע (DSAR)

זכויות: גישה, תיקון, מחיקה, הגבלה, ניידות, התנגדות, סירוב לפרופיל/שיווק.
אישור הבקשה במהירות וביצוע בתקופה המתוכננת.
זרימה של ביצוע: קבלה = אימות הזהות * אוסף הנתונים * תגובה/ביצוע * רישום.

איסור על ”פריקה עיוורת”: רק דרך חלונות עם הסוואה ויומנים; סף הפרטיות.

9) מזעור, מיסוך ושמירה

מזעור נתונים: לאחסן רק את מה שאתה צריך למטרות שלך; באופן קבוע למחוק/אנונימי שדות ”מתים”.
מיסוך/כינוי: ברירת מחדל ל-PII; חשיפת - JIT + ”מטרה” + ביקורת.
שימור מטריצות: תקופת שימור לכל תהליך/קטגוריה, גורמי עצירה (חוקי), מחיקה אוטומטית/ארכיון.

10) שידורים חוצי גבולות ומעבדי משנה

הסדרים חוזיים: DPA, SCCs/IDTA, DTIA (הערכת העברה).
מיקום נתונים/מפתחות: היכן פיזי נתונים/מפתחות (KMS/HSM), מדיניות VUOK/מפתחות אזוריים.
רישום של תת-מעבדים: הודעה על שינויים, זכות התנגדות, רמת TOMs לא נמוכה משלנו.

11) פרטיות לפי עיצוב/כברירת מחדל

בשלב העיצוב: Data Protection Designs in PRD, דגם איום עם איומים פרטיים.
מיושם: RLS/CLS, אסימון, הצפנה, סקופים מינימליים של API, טלמטריה ללא PII.
כברירת מחדל: גששים אופציונליים מנוטרלים, מפתחות/שמות נפרדים לכל אזור/דייר.

12) כריתת פימס, השגחה וביקורת

CREE _ PII, EXPORT _ DATA, PII _ UNMASK, ”CONSANCE _ UPDATER”, ”DSAR _”.
דיווח: מצב ROPA, קמפיינים של DPIA, DSAR SLA/Backlog, שימור מחיקות, שינויי ספק, הפרות/תקריות.
ביקורת: שנה (או עם שינויים), בדיקת יעילות עיצוב/הפעלה של בקרות פרטיות.

13) PIMS Metrics (KPI/KRI)

KPI:
  • DSAR בזמן 95%
  • רלוונטיות של ROPA with 98%
  • כיסוי DPIA על ידי ישות סיכון = 100%
  • פרופורציה של הסרות אוטומטיות על ידי שימור של 95%
  • רמת הכללה של CMP (רשומות הסכמה מוקלטות) = 100%
KRI:
  • גישת PII ללא ”מטרה” = 0
  • יצוא/העברה לא מורשה = 0
  • אירועים/הדלפות מאוחר = 0
  • חסר DPA/SCCs עבור שידור פעיל = 0

14) אינטגרציה עם פקדים קיימים

IGA/RBAC/ABAC/JIT/PAM: מזעור זכויות ותנאי גישה מקשרים.
מדיניות רישום וביקורת שבילים: הוכחה לפעולות עם PII.
TPRM וחוזים: DPA/SCCs/DTIA, זכויות ביקורת, הודעות SLA על 72 h.
27001/ISMS ISO: מודל סיכון כללי, סואה וביקורות פנימיות.
תקריות והדלפות: פרצת ספר מהלכים, חדר מלחמה משותף עם ספקים.

15) תבניות חפץ (שברים)

15. 1 מדיניות פרטיות (קטע פנימי)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 מדיניות חשיפת מסרים

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 תהליך DSAR

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. מטריצת שימור 4 (מקטע)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (הליכים)

16. עדכון רופא 1

1. Product/בעלים # Process Card # Legal/Privacy Review # Security TOMs # Publication and Version.

16. 2 DPIA

1. CAPA # החלטה ותזמון

16. 3 DSAR

1. קבל action access explorter and filter by showcases = תגובה/ביצוע = רישום וסגירה.

16. 4 ספקים/העברות

1. בדיקת נאותות * DPA/SCCs/DTIA * sub-processor registry _ change introgression lanter # offforming ומאשר מחיקה.

17) RACI (מוגדל)

פעילותלוח/מנכ "לDPOעופרת פרטיותחוקי/ציותאבטחהבעלי דומייןנתונים/BITPRM
מדיניות PIMS/מטרותACRCCCאניאני
ROPA/שימוראניA/RRA/RCRRאני
DPIA/PIAאניA/RRA/RCRCאני
DSARאניA/RRCCCRאני
ספקים/העברותאניARA/RCCאניR
ביקורת חשבונות/מטריהNameאניARCCאניRC

18) מימוש מפת דרכים (8-10 שבועות)

שבועות 1-2: היקף/הקשר, תפקידים ו-RACI, מלאי תהליכים/נתונים, ROPA טיוטה ומטריצות החזקה.
שבועות 3-4: מדיניות פרטיות, זרימת CMP/הסכמה, תהליך DSAR, תבניות DPIA, עדכון DPA/SCCs/DTIA עם ספקים.
שבועות 5-6: יישום TOMS (מיסוך, RLS/CLS, JIT/PAM), תצוגות עבור DSAR, יומני תולעת, דיווח KPI/KRI.
שבועות 7-8: DPIA בסיכון גבוה, CAPA צמוד, ביקורת פנימית PIMS, ביקורת ניהול (PIMS).
שבועות 9-10: התאמות, שיגור דיווח סדיר, הכנה להערכה חיצונית (במידת הצורך).

19) טעויות תכופות וכיצד להימנע מהן

ROPA ”לצורך הצגה”: קישור כל כניסה ליעדים, בסיסים ואחזור; שמור גרסה חיה.
DSAR באמצעות מסדי נתונים ”גולמיים”: רק דרך מאגרי תצוגה/יצוא עם מסכות ויומנים.
אין DTIA כאשר חוצה גבולות: גיליון מראש, לתקן את המיקום של נתונים/מפתחות.
שיווק SDKs לא-CMP: באן עד שייכללו CMP ו-TOMS חוזיים.
אין PBD/PBD: כלל את דרישות הפרטיות ב ־ PRD ואת הגדרת הנעשה.

20) הפעל פימס

חודש: דיווח KPI/KRI, ביקורת שינוי ROPA, ניטור תת-מעבד, SLA DSAR.
רבעון: סקירה של שימור/מחיקות, בדיקות ענייניות (שיווק, SDK, KYC).
שנתי: PIMS Internal Audit, Context/Risk Update, Training Training, Management Review.

TL; DR

ISO 27701 = PIMS over ISMS: ROPA + councents + DPIA + DSAR + מינימיזציה/שימור + חציית גבולות ותת-מעבדים + TOMS. אנחנו בונים יומנים ו-TPRM לתוך RBAC/ABAC/JIT/ומקבלים ניהול, פרטיות ניתנת למדידה, מוכנים לבדיקות פנימיות וחיצוניות.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.