न्यायालयों द्वारा डेटा का स्थानीयकरण
1) उद्देश्य और क्षेत्र
उत्पाद उपलब्धता, सुरक्षा और निष्पादन बनाए रखते हुए सभी लक्ष्य क्षेत्राधिकार में डेटा स्थानीयकरण/निवास आवश्यकताओं का अनुपालन सुनिश्चित करना। कवरेज: उत्पाद (वेब/मोबाइल), केवाईसी/एएमएल/आरजी, भुगतान (पीसीआई), विपणन/सीआरएम, एनालिटिक्स/लॉगिंग, बैकअप/डीआर, गेम प्रदाता/एग्रीगेटर, सहयोगी, क्लाउड वेंडर।
2) बुनियादी अवधारणाएं
डेटा रेजीडेंसी - जहां डेटा शारीरिक रूप से संग्रहीत होता है।
डेटा संप्रभुता: किसी राज्य का अपने क्षेत्र पर स्थित या उसके विषयों से संबंधित डेटा को विनियमित करने का अधिकार।
सीमा पार संचरण: "घर" क्षेत्राधिकार के बाहर पहुंच, प्रतिकृति या प्रसंस्करण।
व्यक्तिगत डेटा (पीआईआई )/संवेदनशील पीआईआई: केवाईसी दस्तावेज, भुगतान विवरण, आरजी/एसई स्टेटस, बायोमेट्रिक्स।
इकाइयां/छद्म नाम/गुमनामी: एनालिटिक्स और एक्सचेंज में जोखिम को कम करने की तकनीक।
3) सिद्धांत
1. स्थानीय-पहला: नियमों की आवश्यकता होने पर व्यक्तिगत डेटा को खिलाड़ी के "घर" क्षेत्र में संग्रहीत और संसाधित किया जाता है।
2. न्यूनतम और अलगाव: केवल आवश्यक, किरायेदारों/क्षेत्रों का स्पष्ट अलगाव संग्रहीत क
3. वैध हस्तांतरण: केवल मौजूदा कानूनी तंत्र और जोखिम मूल्यांकन के साथ।
4. क्रिप्टोग्राफिक समर्थन: आराम/पारगमन में एन्क्रिप्शन, क्षेत्रीय पक्ष पर कुंजी प्रबंधन (यदि संभव हो तो अपनी कुंजी लाएं/पकड़ें)।
5. प्रोवेबिलिटी: डेटा मैप, डीपीआईए/टीआरए, एक्सेस लॉग और स्टोरेज लोकेशन पुष्टि।
6. फेल-सेफ: बैकअप और डीआर मुकाबला डेटा के समान रेजीडेंसी नियमों का पालन करते हैं।
4) भूमिकाएँ और आरएसीआई
अनुपालन प्रमुख/डीपीओ - नीति, डीपीआईए, कानूनी तंत्र, लेखापरीक्षा। (ए)
सुरक्षा/इन्फ्रा लीड - क्षेत्रीय वास्तुकला, कुंजी/एन्क्रिप्शन, अभिगम नियंत्रण। (आर)
डेटा प्लेटफ़ॉर्म/एनालिटिक्स - अनाम/छद्म नाम मॉडल, पाइपलाइन। (आर)
इंजीनियरिंग/एसआरई - क्षेत्रों की तैनाती, प्रतिकृति, डीआर/बीसीपी। (आर)
कानूनी - सीमा पार समझौते, विक्रेताओं के साथ अनुबंध, डीपीए/एसए। (सी)
खरीद/विक्रेता Mgmt - आपूर्तिकर्ताओं का मूल्यांकन, डेटा केंद्रों के स्थान। (आर)
आंतरिक लेखा परीक्षा - नमूना, कलाकृति नियंत्रण, CAPA। (सी)
उत्पाद/सीआरएम/बीआई - सुविधाओं/अभियानों/रिपोर्टों में प्रतिबंधों का अनुपालन। (आर)
5) डेटा वर्गीकरण और मानचित्रण
श्रेणी:- केयूएस/आयु: दस्तावेज़, सेल्फी, बायोमेट्रिक्स, परीक्षण परिणाम।
- भुगतान/पीसीआई: पैन/टोकन, 3DS/AR, पीएसपी-पहचानकर्ता।
- गेमिंग गतिविधि: सत्र, दांव, जीत/हार, आरजी/एसई/आरसी इवेंट।
- विपणन/सीआरएम: संपर्क, वरीयता, दमन झंडे।
- लॉग/टेलीमेट्री: अनुप्रयोग घटनाओं, त्रुटियों, निशान।
- एनालिटिक्स/रिपोर्ट: एग्रीगेट्स, क्यूब्स, एमएल फीचर्स।
- स्रोत → सिस्टम → भंडारण क्षेत्र → कानूनी स्थिति → उपभोक्ता → अवधारण अवधि → विलोपन तंत्र।
- धाराओं के एक दृश्य मानचित्र की आवश्यकता होती है, जिसमें कौन/कहां दोहराया जाता है और किस रूप में (रॉ/पीआईआई-मुक्त/गुमनाम)।
6) वास्तुशिल्प स्थानीयकरण पैटर्न
क्षेत्रीय किरायेदारी: डीबी/गुप्त/कुंजी अलगाव के साथ व्यक्तिगत समूह (यूरोपीय संघ, यूके, टीआर, बीआर, सीए, एयू, आदि)।
क्षेत्र/बाजार द्वारा डेटा शार्डिंग: चाबियों में उपसर्ग 'किरायेदार _ क्षेत्र', जियो-राउटर/एपीआई गेटवे के माध्यम से अनुरोध।
नियंत्रण विमान बनाम डेटा विमान: पीआईआई के बिना वैश्विक नियंत्रण पैनल; पीआईआई - केवल क्षेत्रीय डेटा प्लेटों में।
पीआईआई के बिना एज कैश: केवल सार्वजनिक/गैर-व्यक्तिगत सामग्री को कैश करें।
डी-पीआईआई पाइपलाइन के माध्यम से एनालिटिक्स: डीडब्ल्यूएच को केवल कुल/उपनाम निर्यात; "स्वच्छ" पीआईआई - क्षेत्र के बाहर प्रतिबंधित।
एक क्षेत्र के भीतर डीआर: एक ही देश/क्षेत्रीय ब्लॉक (या समान सुरक्षा और जुरासिक के साथ एक अनुमत क्रॉस-क्षेत्र) के भीतर एक "गर्म" प्रतिकृति। आधार)।
BYOK/HYOK: क्षेत्र/ग्राहक के नियंत्रण में एन्क्रिप्शन कुंजी; एंड-टू-एंड ऑडिट के साथ केएमएस।
7) सीमा पार स्थानांतरण: कानूनी तंत्र (ढांचा)
संविदात्मक:- मानक संविदात्मक प्रावधान/स्थानीय समकक्ष (SCC/IDTA/ext। समझौते)।
- अतिरिक्त तृतीय पक्ष स्थानांतरण समझौते (डीपीए, एसएसए, श्रेम्स-अनुपालन जोखिम मूल्यांकन)।
- जोखिम आकलन: टीआईए/टीआरए (स्थानांतरण/तीसरे देश के जोखिम मूल्यांकन)।
- तकनीकी उपाय: एन्क्रिप्शन, भूमिका पृथक्करण, टोकन, न्यूनतम करना।
- ऑर्गमर्स: जरूरत से ज्यादा पहुंच नीति, लॉगिंग, प्रशिक्षण।
8) क्षेत्रीय प्रोफाइल (टेम्पलेट)
प्रत्येक बाजार के लिए, कार्ड का समर्थन क
Jurisdiction: ______
Residency requirements: (mandatory/recommended/not)
Cross-border bans: (full/conditional/no)
Permitted transfer mechanisms: (SCC/IDTA/local agreement)
Special categories: (biometrics/finance/RG)
Backups/DR: (where, frequency, encryption)
Logs/telemetry: (is it possible to withdraw abroad, in what form)
Retention periods: (KYC, payments, gaming, RG/SE)
Delete/DSAR: (SLA, confirmations)
Vendors/Clouds: (Permitted Regions)9) बैकअप, लॉग, विश्लेषकों का स्थानीयकरण
बैकअप: एन्क्रिप्टेड, एक ही क्षेत्र में, स्थान साक्ष्य की निर्देशिका (प्रदाता id/bacap-wolth/retention)।
लॉग/ट्रेल्स: PII-मुक्त डिफ़ॉल्ट रूप से; यदि पीआईआई अपरिहार्य है - स्थानीय लॉग स्टोर, संपादन/मास्किंग के साथ।
एनालिटिक्स/DWH: केवल एलियास्ड कुंजी; के-गुमनामी के साथ समुच्चय; बिना कारण क्षेत्र के बाहर "कच्ची" घटनाओं को उतारने पर प्रतिबंध।
10) विक्रेताओं और बादलों
क्षेत्रों के साथ विक्रेता पंजीकरण: पंजीकरण, डेटा केंद्र क्षेत्र, प्रमाणपत्र (आईएसओ/पीसीआई/एसओसी), डीपीए/एससीसी/आईडीटीए हस्ताक्षर, कुंजी मोड, उप-प्रोसेसर।
पूर्व उड़ान प्रक्रिया: क्षेत्राधिकार मूल्यांकन, डीपीआईए/टीआईए, क्षेत्र-व्यापी लचीलापन परीक्षण, आराम क्षेत्र सत्यापन पर डेटा।
अनुबंध खंड: उप-प्रोसेसर/स्थान, लेखा परीक्षा अधिकार, उन्मूलन के लिए समय सीमा, जुर्माना के परिवर्तन की अधिसूचना।
11) निष्कासन, प्रतिधारण और डीएसएआर
भंडारण नीति: सीयूएस/वित्त/गेम/लॉग - अलग शब्द (अक्सर अनुपालन के लिए 5-7 वर्ष; विपणन में - संक्षेप में)।
तकनीकी रूप से मजबूर विलोपन (मिटाना): रिपोर्ट के साथ नौकरियों को हटाना; अभिलेखागार के लिए क्रिप्टो डिलीट (कुंजी हटाना)।
DSAR/विषय अधिकार: केवल क्षेत्रीय परिधि में प्रसंस्करण पहुंच/उपचार/विलोपन अनुरोध; प्रतिक्रिया कलाकृतियाँ - स्थानीय WORM में।
12) नियंत्रण प्रक्रियाएं और लेखा परीक्
डेटा वंश: खेतों की उत्पत्ति, सीमा पार प्रवाह का मार्ग, निर्यात हैश हस्ताक्षर।
पहुंच समीक्षा: पहुंच अधिकारों की तिमाही समीक्षा, क्रॉस-क्षेत्रीय अनुरोधों पर रिपोर्ट।
स्थानांतरण लॉग: कौन/क्या/कब/कहां/आधार/प्रकार का डेटा/पीआईआई मास्क/परिणाम।
विक्रेता समीक्षा: वार्षिक रिपोर्ट और प्रवेश परीक्षण/मूल्यांकन।
CAPA: खोज, समय सीमा और जिम्मेदारी के लिए सुधार।
13) उत्पाद और एपीआई आवश्यकताएं
जियो-राउटर: 'प्लेयर _ क्षेत्र' को हल करता है और मार्गों को 'होम' क्लस्टर के लिए अनुरोध करता है।
नीति-जानकार API: тег 'data _ class = {PII' PCI 'ANON}', 'redea _ scope = {local' global _ anon} ',' transform _ bissid _ id '।
घटनाएँ:- 'data _ redigency _ asserted',
- 'xborder _ export _ निवेदित/अनुमोदित/अस्वीकृत',
- 'backup _ complended _ local',
- 'dsar _ fulled _ local'।
- असफल-बंद: जब क्षेत्र अपरिभाषित होता है, तो पीआईआई के साथ संचालन पर प्रतिबंध लगाएं।
14) "क्या संग्रहीत करना है" मैट्रिक्स (उदाहरण
15) केपीआई/स्थानीयकरण अनुपालन डैशबोर्ड
रेजीडेंसी कवरेज: % विषय जिनके पीआईआई सही क्षेत्र में हैं।
एक्स-बॉर्डर रिक्वेस्ट रेट: क्रॉस-बॉर्डर एक्सेस अनुरोधों (रोल/डिवीजन द्वारा) का हिस्सा
बेनामी निर्यात शेयर: वैश्विक डीडब्ल्यूएच को निर्यात का अनुपात जो डी-पीआईआई पारित कर चुका है।
बैकअप लोकल एसएलए: स्थानीय क्षेत्र में% बैकअप की पुष्टि की गई।
विक्रेता क्षेत्र बहाव: स्थान/उप-प्रोसेसर परिवर्तन घटनाएं।
DSAR SLA: क्षेत्रीय परिधि में मेडियन निष्पादन।
ऑडिट निष्कर्ष (दोहराएं): आवर्ती विसंगतियाँ।
16) चेकलिस्ट
नए अधिकार क्षेत्र में प्रवेश करने से
- डेटा मानचित्र और वर्गीकरण।
- क्षेत्राधिकार कार्ड (आवश्यकताएं, बैकअप, लॉग, प्रतिधारण अवधि)।
- क्षेत्र की वास्तुशिल्प योजना (वीपीसी/क्लस्टर/डीबी/केएमएस)।
- डीपीआईए/टीआईए, अनुबंध (डीपीए/एससीसी/स्थानीय समकक्ष)।
- विक्रेता मूल्यांकन (डीसी स्थान, उप-प्रोसेसर)।
- पहुँच/हटाएँ/निर्यात नीति सेट।
ऑपरेशन में
- नए रिकॉर्ड के खिलाफ "रेजीडेंसी दावे" का दैनिक सत्यापन।
- क्रॉस-रीजन प्रश्नों और विचलन की निगरानी करें।
- बैकअप/लॉग के इलाके की जाँच करें।
- क्षेत्र के भीतर DSAR कतार।
लेखा परीक्षा/सुधार
- विक्रेताओं/क्षेत्रों का त्रैमासिक संशोधन।
- प्रत्येक क्षेत्र में डीआर परीक्षण (1/चौथाई)।
- उल्लंघन के लिए CAPA (समय सीमा/जिम्मेदार व्यक्ति)।
17) साँचा (त्वरित आवेषण)
A) विक्रेता के साथ खंड (डेटा स्थानीयकरण)
बी) निर्यात नीति (आंतरिक अनुप्रयोग)
C) व्यवसाय के साथ SLA में पाठ
18) बार-बार गलतियाँ और रोकथाम
एक "सुविधाजनक" पड़ोसी क्षेत्र में बैकअप। → निषेध; केवल स्थानीय बैकअप।
PII के साथ लॉग वैश्विक APM में उड़ ते हैं। → एजेंट-स्तर मास्किंग, स्थानीय चोट।
कच्चे आईडी के साथ वैश्विक रिपोर्ट। → केवल कुल/उपनाम।
मिश्रण नियंत्रण/डेटा विमानों। → वैश्विक नियंत्रण विमान - पीआईआई के बिना।
रेजीडेंसी के सबूतों की कमी। → संग्रहीत कलाकृतियां: आईडी-संसाधन, कॉन्फिग शॉट्स, प्रदाता रिपोर्ट।
19) 30-दिवसीय कार्यान्वयन योजना
सप्ताह 1
1. स्थानीयकरण नीति और डेटा वर्गीकरण मॉडल को मंजूरी दें।
2. मौजूदा बाजारों के प्राथमिक प्रवाह मानचित्र का नि
3. क्षेत्रीय सीमा सेवाओं और प्रमुख आवश्यकताओं (BYOK/HYOK) को परिभाषित करें।
सप्ताह 2
4. प्राथमिकता नंबर 1 (ईयू/यूके/...) के क्षेत्रीय समूहों को तैनात करें; जियो-राउटर सक्षम करें।
5. DWH में डी-पीआईआई पाइपलाइनें सक्षम करें, स्थानीय लॉग/AWS कॉन्फ़िगर करें।
6. कुंजी विक्रेताओं के साथ DPA/SCC/IDTA साइन/अपडेट करें।
सप्ताह 3
7. पीआईआई क्षेत्रीय डेटाबेस में प्रवास; स्थानीय बैकअप और डीआर योजना।
8. सीमा पार निर्यात अनुप्रयोगों (पोर्टल + जर्नल) के लिए एक प्रक्रिया शुरू करें।
9. नए नियमों के अनुसार ट्रेन कमांड (Prod/BI/CS/Legal)।
सप्ताह 4
10. डीआर परीक्षण और यादृच्छिक निवास लेखा परीक्षा का संचालन करें।
11. केपीआई डैशबोर्ड (रेजीडेंसी कवरेज, बैकअप लोकल एसएलए) सक्षम करें।
12. अंतर के लिए CAPA को योजना v1 मिला। 1 (निम्नलिखित बाजार)।
20) परस्पर संबंधित खंड
केवाईसी प्रक्रियाएं और सत्यापन स्तर/आयु सत्यापन
एएमएल नीति और लेनदेन नियंत्रण
जिम्मेदार खेल और सीमा/एसई/वास्तविकता जाँच
नियामक रिपोर्ट और डेटा प्रारूप
अनुपालन डैशबोर्ड और निगरानी
आंतरिक/बाहरी लेखा परीक्षा और लेखा परीक्षा सूची
BCP/DRP और "एट रेस्ट/इन ट्रांजिट एन्क्रिप्शन"