GH GambleHub

देशों के बीच डेटा हस्तांतरण

1) उद्देश्य और क्षेत्

व्यक्तिगत डेटा (पीआईआई) और परिचालन सेट (केवाईसी/एएमएल, भुगतान, आरजी/एसई, सीआरएम/विपणन, गेमिंग टेलीमेट्री, लॉग/एडब्ल्यूपी, एनालिटिक्स/डीडब्ल्यूएच) के लिए एक प्रबंधनीय और सुरक्षित मॉडल बनाएं। और विभिन्न न्यायालयों के डेटा संरक्षण कानून। दस्तावेज़ अनुभागों का पूरक है: "डेटा स्थानीयकरण", "विलोपन और गुमनामी", "जीडीपीआर: सहमति", "डीएसएआर"।

2) बुनियादी अवधारणाएं और सिद्धांत

सीमा पार संचरण - विषय/डेटा के "घर" क्षेत्राधिकार के बाहर कोई भी पहुंच/प्रतिकृति/प्रसंस्करण।

प्राप्तकर्ता देश की सुरक्षा की पर्याप्तता पर नियामक के पर्याप्तता/समतुल्यता - निर्णय।

संविदात्मक व्यवस्था - मानक संविदात्मक प्रावधान, स्थानीय समकक्ष, पूरक समझौते।

टीआईए - स्थानांतरण प्रभाव मूल्यांकन

संप्रभुता/निवास - भंडारण स्थान और स्थानीय नियंत्रण अधिकार।

सिद्धांत:

1. स्थानीय-पहला: यदि संभव हो, तो स्थानीय स्तर पर बाहरी - न्यूनतम और नियमों के अनुसार।

2. न्यूनतम करना: "जितना आवश्यक हो उतना ही"; अधिमानतः समुच्चय/उपनाम।

3. क्रिप्टोग्राफी और अलगाव: एन्क्रिप्शन, क्षेत्र में कुंजी, नियंत्रण/डेटा विमान पृथक्करण।

4. प्रोवेबिलिटी: प्रत्येक ट्रांसमिशन, टीआईए और फाउंडेशन कलाकृतियों का लॉग।

5. फेल-बंद: कोई ग्राउंड या टीआईए - कोई ट्रांसमिशन नहीं।

3) भूमिकाएँ और आरएसीआई

डीपीओ/अनुपालन प्रमुख (मालिक) - नीति, सहिष्णुता, टीआईए, अपवाद। (ए)

स्थानांतरण तंत्र, संविदाओं, स्थानीय आवश्यकताओं का कानूनी चयन। (आर)

सुरक्षा/इन्फ्रा - एन्क्रिप्शन, केएमएस/एचएसएम, नेटवर्क परिधि, ऑडिट। (आर)

डेटा प्लेटफ़ॉर्म/एनालिटिक्स - डी-पीआईआई/अनाम, फेडरेटेड/कोहोर्ट रिपोर्टिंग। (आर)

इंजीनियरिंग/एसआरई - रूटिंग, टोकन, निर्यात नियंत्रण। (आर)

विक्रेता प्रबंधक - उप-प्रोसेसर, पुष्टि, ऑफबोर्डिंग का पंजीकरण। (आर)

आंतरिक लेखा परीक्षा - कलाकृति नमूने, CAPA। (सी)

4) डेटा ट्रांसफर मैप

स्रोत → नियुक्ति (देश/क्लाउड/विक्रेता) → डेटा की श्रेणी → उद्देश्य → कानूनी आधार → हस्तांतरण तंत्र → संरक्षण (उन) → भंडारण की अवधि → जिम्मेदारी।

के लिए ग्राफिक रूप से तय किया गया है: समर्थन/सीएस, विश्लेषण/रिपोर्टिंग, धोखाधड़ी/जोखिम दर, खेल प्रदाता और पीएसपी, सहयोगी।

5) कानूनी तंत्र (ढांचा)

1. पर्याप्तता पर निर्णय (यदि लागू हो): सरलीकृत पथ, लेकिन फिर भी विक्रेता के साथ टीआईए कलाकृतियों और अनुबंधों की आवश्यकता है।

2. मानक/मानक संविदात्मक प्रावधान और स्थानीय समकक्ष: अनिवार्य परिशिष्ट (श्रेणियां, उद्देश्य, उपाय) शामिल हैं।

3. बाध्यकारी/अतिरिक्त समझौते: सबप्रोसेसर के कर्तव्यों, सरकारी एजेंसियों से अनुरोधों के बारे में सूचनाओं को स्पष्ट करें।

4. कानून द्वारा अपवाद: बिंदु और दुर्लभ (महत्वपूर्ण हित, अनुबंध की आवश्यकता) - प्रणालीगत निर्यात के लिए नहीं।

5. इंट्रा-ग्रुप नियम: होल्डिंग्स के लिए - नियंत्रण वाले कॉर्पोरेट उपकरण।

💡 तंत्र समाधान हमेशा एक टीआईए और अतिरिक्त उपायों की एक सूची के साथ होता है।

6) स्थानांतरण प्रभाव आकलन (टीआईए)

कारण: नया विक्रेता/देश, नया लक्ष्य, नई श्रेणियां (बायोमेट्रिक्स, आरजी/एसई), कुंजी मोड या मार्गों में परिवर्तन।

सामग्री:
  • संचरण विवरण (डेटा/आयतन/आवृत्ति/प्रतिभागी)।
  • प्राप्तकर्ता देश का कानूनी वातावरण (सरकारी एजेंसियों द्वारा पहुंच के जोखिम, विषयों की सुरक्षा के कानूनी साधन)।
  • तकनीकी उपाय: एन्क्रिप्शन, कुंजियाँ (BYOK/HYOK), छद्म नाम, विभाजन-प्रसंस्करण।
  • संगठनात्मक उपाय: एनडीए, प्रशिक्षण, आवश्यकता-से-पता, लॉगिंग, अनुरोधों के जवाब।
  • अवशिष्ट जोखिम/निर्णय: अनुमति/संशोधित/इनकार; संशोधन अवधि।

टीआईए लघु रूप टेम्पलेट: देखें। 15C।

7) तकनीकी और संगठनात्मक उपाय

7. 1 क्रिप्टोग्राफी और चाबियाँ

आराम पर: AES-256-GCM; पारगमन में: टीएलएस 1। 2 +/mTLS; पीएफएस।

KMS: BYOK (हमारे पास चाबियाँ हैं), अधिमानतः HYOK (क्षेत्र में चाबियाँ बनी हुई हैं); बाजार/किरायेदार द्वारा विभाजन; प्रमुख कार्यों का अपरिवर्तनीय ऑडिट।

क्रिप्टो-श्रेडिंग: समय सीमा के साथ बैकअप और अभिलेखागार के लिए।

7. 2 न्यूनतम और डी-पहचान

निर्यात से पहले अलियासिंग (टोकन गेटवे), क्षेत्र में अलग से मानचित्रण का भंडारण।

एग्रीगेट्स, के-गुमनामी/डेट बिनिंग और जियो, दुर्लभ श्रेणियों का दमन।

PII-मुक्त लॉग/AWS और सर्वर-साइड टैगिंग बिना सहमति के पहचानकर्ताओं के शून्य के साथ।

7. 3 विमानों का इन्सुलेशन

पीआईआई के बिना वैश्विक नियंत्रण-विमान; स्थानीय रूप से पीआईआई के साथ डेटा-प्लेन।

अनुरोध और लॉग के औचित्य के साथ एक प्रॉक्सी परत के माध्यम से पीआईआई तक पहुंच।

7. 4 सरकारी एजेंसियों से अनुरोध

प्रतिक्रिया समोच्च: वैधता का सत्यापन, चुनौती, मात्रा का न्यूनतम होना, अधिसूचना (यदि अनुमत हो), अनुरोधों के रजिस्टर में प्रवेश।

8) डेटा श्रेणियां और हस्तांतरण नियम

श्रेणीक्या मैं विदेश जा सकता हूं? नियम और शर्तें
सीसीएम/बायोमेट्रिक्सप्रतिबंधित रूप से
भुगतान टोकन/पीएसपीहाँ/सशर्त
गेमिंग कच्चे कार्यक्रमप्रतिबंधित रूप से
आरजी/एसई स्टेटसनहीं, यह नहीं है
सीआरएम/विपणनसशर्त रूप से
लॉग/AWSकेवल PII-मुक्त

9) विक्रेताओं और उप-प्रोसेसर

रजिस्ट्री: जुरासिक व्यक्ति, डीसी देश, उप-प्रोसेसर, प्रमाणपत्र, हस्तांतरण तंत्र, कुंजी मोड।

अनुबंध: डीपीए + एससीसी/एनालॉग्स, बदलते स्थानों/उप-प्रोसेसर ≥30 दिनों के बारे में सूचनाएं, ऑडिट/प्रश्नावली अधिकार, बैकअप, एसएलए घटनाओं और डीएसएआर को स्थानीय बनाने के दायित्व।

ऑनबोर्डिंग/समीक्षा: टीआईए, पेन्टेस्ट/सत्यापन, "नमूना हस्तांतरण" परीक्षण।

ऑफबोर्डिंग: निर्यात/हटाएँ/क्रिप्टो-श्रेड + सबूत।

10) बैकअप, लॉग और एनालिटिक्स

बैकअप: एक ही क्षेत्र में; विदेश में निर्यात - केवल एन्क्रिप्टेड रूप में + HYOK; जब समय सीमा समाप्त हो जाती है - क्रिप्टो-शेड।

लॉग/AWS: डिफ़ॉल्ट रूप से PII-मुक्त; यदि नहीं, तो स्थानीय भंडारण, छोटा प्रतिधारण

एनालिटिक्स/डीडब्ल्यूएच: वैश्विक रिपोर्ट केवल समुच्चय/सहकर्मी; क्षेत्र के बाहर कच्चे पहचानकर्ताओं पर प्रतिबंध ल

11) प्रक्रियाएं और घटनाएँ

प्रक्रिया के माध्यम से: स्थानांतरण जांच - बाजार की एक प्रोफाइल की जांच - तंत्र की पसंद टीआईए समन्वय तकनीकी उपाय कलाकृतियों/ऑडिट की निगरानी शुरू करें।

घटनाएँ (न्यूनतम):
  • 'xborder _ transformed _ asseded/denied'
  • 'ट्रांसफर _ निष्पादित' (वॉल्यूम/समय/विक्रेता)
  • 'key _ accessed _ for _ transfer' (KMS ऑडिट)
  • 'gov _ requase _ report/refonded'
  • 'वेंडर _ location _ changed'
  • 'transfer _ review _ dee'

12) डेटा और कलाकृतियाँ (मॉडल)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) केपीआई/केआरआई और डैशबोर्ड

एक्स-बॉर्डर ट्रांसफर रेट (लक्ष्य/विक्रेता/देश द्वारा)।

टीआईए कवरेज (वर्तमान टीआईए के साथ प्रसारण का%)।

BYOK/HYOK कवरेज।

बेनामी निर्यात शेयर (कुल निर्यात/उपनाम में निर्यात का%)।

विक्रेता स्थान बहाव (स्थान परिवर्तन की घटनाएं)।

Gov अनुरोध गणना और औसत प्रतिक्रिया समय।

श्रव्यता स्कोर (कलाकृतियों के पूर्ण पैकेज के साथ रिकॉर्ड का%)।

14) चेकलिस्ट

A) स्थानांतरण से पहले

  • उद्देश्य और वैध उद्देश्य की पुष्टि
  • तंत्र चयनित (पर्याप्तता/अनुबंध/एनालॉग), टीआईए ने प्रदर्शन किया।
  • अलियासिंग/अनाम कॉन्फ़िगर; मात्रा कम से कम।
  • केएमएस/कुंजी: BYOK/HYOK, लॉग सक्षम।
  • विक्रेता अनुबंध: डीपीए + एससीसी/समकक्ष, डीसी/उप-प्रोसेसर परिवर्तन सूचनाएं।
  • बैकअप की निवास और योजना में क्रिप्टो-शेड।

बी) संक्रियाओं में

  • मॉनिटरिंग 'vendor _ location _ changed' and अलर्ट।
  • टीआईए और तंत्र का आवधिक संशोधन।
  • डीएसएआर/विलोपन प्राप्तकर्ता की परिधि (या गुमनामी के माध्यम से) पर सही ढंग से लागू होते हैं।
  • स्थानांतरण लॉग और केएमएस ऑडिट ऑडिट के लिए उपलब्ध हैं।

C) लेखा परीक्षा/सुधार

  • पूर्णता के लिए त्रैमासिक 'ट्रांसफर _ रिकॉर्ड' नमूने।
  • घटनाओं/शिकायतों/नियामक निष्कर्षों पर CAPA।
  • वेंडर "रिवोक एक्सेस" परीक्षण + विलोपन की पुष्टि।

15) साँचा (त्वरित आवेषण)

ए) खंड "सीमा पार स्थानांतरण"

💡 उप-प्रोसेसर केवल घोषित न्यायालयों में डेटा संग्रहीत/संसाधित करता है। किसी अन्य क्षेत्राधिकार में कोई भी हस्तांतरण वर्तमान कानूनी आधार (एससीसी/स्थानीय समकक्ष) और लिखित सहमति के तहत अनुमत है। स्थान/उप-प्रोसेसर - ≥30 दिन नोटिस बदलें। एनक्रिप्शन कुंजियाँ - BYOK/HYOK; अभिगम लॉग अनुरोध पर प्रदान किए जाते हैं।

बी) सरकारी एजेंसी के अनुरोध की अधिसूचना

💡 आपूर्तिकर्ता किसी भी पहुंच आवश्यकता की तुरंत सूचित करेगा (यदि अनुमत है), गुंजाइश को कम करेगा, अत्यधिक अनुरोधों और दस्तावेज़ प्रकटीकरण का विवाद करेगा। सूचनाओं/प्रतिक्रियाओं की प्रतियां - हमारे WORM रजिस्ट्री के लिए।

सी) संक्षिप्त टीआईए (एक-पेजर)

💡 उद्देश्य: {लक्ष्य, डेटा, आयतन, देश}
कानूनी जोखिम: {कुल}
टेक्नीमर्स: {एन्क्रिप्शन, कुंजियाँ, छद्म नाम, स्प्लिट-प्रोसेसिंग}
ऑर्गमर्स: {एनडीए, जरूरत से ज्यादा, ऑडिट}
रिज़ॉल्यूशन: {selve/modify/dene}, समीक्षा {date}

16) 30-दिवसीय कार्यान्वयन योजना

सप्ताह 1

1. सीमा पार ट्रांसमिशन नीतियों, RACI और TIA/DPA टेम्पलेट को मंजूरी दें।

2. वर्तमान प्रवाह का नक्शा और विक्रेताओं/स्थानों/कुंजियों का रजिस्टर बनाना।

3. बाजारों (BYOK/HYOK) द्वारा KMS कॉन्फ़िगर करें, अपरिवर्तित कुंजी ऑडिटिंग सक्षम करें।

सप्ताह 2

4) निर्यात और PII-मुक्त लॉग/AWS से पहले उपनाम सक्षम करें।

5) 'ट्रांसफर _ रिकॉर्ड '/' टिया' रजिस्ट्री (WORM कलाकृतियाँ) शुरू करें।

6) महत्वपूर्ण विक्रेताओं के साथ अनुबंध अपडेट करें: स्थान, सूचनाएं, ऑफबोर्डिंग प्रक्रियाएं।

सप्ताह 3

7) पायलट 2-3 धाराएँ (सीएस, डीडब्ल्यूएच रिपोर्ट): बेनामी निर्यात शेयर, BYOK कवरेज को मापते हैं।

8) सरकारी अनुरोध प्रक्रियाओं और वृद्धि पर ट्रेन उत्पाद/सीएस/बीआई/कानूनी।

9) अलर्ट कनेक्ट करें 'विक्रेता _ स्थान _ परिवर्तित'।

सप्ताह 4

10) पूर्ण रिलीज; केपीआई/केआरआई डैशबोर्ड और त्रैमासिक टीआईए समीक्षा।

11) निष्कर्षों द्वारा CAPA; योजना v1। 1 - फेडरेटेड एनालिटिक्स/डिफ। रिपोर्टों में गोपनीय

12) एक विक्रेता का ऑफबोर्डिंग परीक्षण: विलोपन/क्रिप्टो-श्रेड, पुष्टि।

17) परस्पर संबंधित खंड

न्यायालयों द्वारा डेटा का स्थानीयकरण

डेटा विलोपन और गुमनामी/प्रतिधारण और विलोपन अनुसूची

जीडीपीआर: सहमति प्रबंधन/कुकीज़और सीएमपी नीति

डिजाइन/डीएसएआर द्वारा गोपनीयता

आराम/पारगमन में, KMS/BYOK/HYOK एन्क्रिप्शन

अनुपालन डैशबोर्ड और निगरानी/आंतरिक और बाहरी लेखा परीक्षा

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।