न्यायालयों द्वारा डेटा का स्थानीयकरण

1) उद्देश्य और क्षेत्र

उत्पाद उपलब्धता, सुरक्षा और निष्पादन बनाए रखते हुए सभी लक्ष्य क्षेत्राधिकार में डेटा स्थानीयकरण/निवास आवश्यकताओं का अनुपालन सुनिश्चित करना। कवरेज: उत्पाद (वेब/मोबाइल), केवाईसी/एएमएल/आरजी, भुगतान (पीसीआई), विपणन/सीआरएम, एनालिटिक्स/लॉगिंग, बैकअप/डीआर, गेम प्रदाता/एग्रीगेटर, सहयोगी, क्लाउड वेंडर।

2) बुनियादी अवधारणाएं

डेटा रेजीडेंसी - जहां डेटा शारीरिक रूप से संग्रहीत होता है।

डेटा संप्रभुता: किसी राज्य का अपने क्षेत्र पर स्थित या उसके विषयों से संबंधित डेटा को विनियमित करने का अधिकार।

सीमा पार संचरण: "घर" क्षेत्राधिकार के बाहर पहुंच, प्रतिकृति या प्रसंस्करण।

व्यक्तिगत डेटा (पीआईआई )/संवेदनशील पीआईआई: केवाईसी दस्तावेज, भुगतान विवरण, आरजी/एसई स्टेटस, बायोमेट्रिक्स।

इकाइयां/छद्म नाम/गुमनामी: एनालिटिक्स और एक्सचेंज में जोखिम को कम करने की तकनीक।

3) सिद्धांत

1. स्थानीय-पहला: नियमों की आवश्यकता होने पर व्यक्तिगत डेटा को खिलाड़ी के "घर" क्षेत्र में संग्रहीत और संसाधित किया जाता है।

2. न्यूनतम और अलगाव: केवल आवश्यक, किरायेदारों/क्षेत्रों का स्पष्ट अलगाव संग्रहीत करें।

3. वैध हस्तांतरण: केवल मौजूदा कानूनी तंत्र और जोखिम मूल्यांकन के साथ।

4. क्रिप्टोग्राफिक समर्थन: आराम/पारगमन में एन्क्रिप्शन, क्षेत्रीय पक्ष पर कुंजी प्रबंधन (यदि संभव हो तो अपनी कुंजी लाएं/पकड़ें)।

5. प्रोवेबिलिटी: डेटा मैप, डीपीआईए/टीआरए, एक्सेस लॉग और स्टोरेज लोकेशन पुष्टि।

6. फेल-सेफ: बैकअप और डीआर मुकाबला डेटा के समान रेजीडेंसी नियमों का पालन करते हैं।

4) भूमिकाएँ और आरएसीआई

अनुपालन प्रमुख/डीपीओ - नीति, डीपीआईए, कानूनी तंत्र, लेखापरीक्षा। (ए)

सुरक्षा/इन्फ्रा लीड - क्षेत्रीय वास्तुकला, कुंजी/एन्क्रिप्शन, अभिगम नियंत्रण। (आर)

डेटा प्लेटफ़ॉर्म/एनालिटिक्स - अनाम/छद्म नाम मॉडल, पाइपलाइन। (आर)

इंजीनियरिंग/एसआरई - क्षेत्रों की तैनाती, प्रतिकृति, डीआर/बीसीपी। (आर)

कानूनी - सीमा पार समझौते, विक्रेताओं के साथ अनुबंध, डीपीए/एसए। (सी)

खरीद/विक्रेता Mgmt - आपूर्तिकर्ताओं का मूल्यांकन, डेटा केंद्रों के स्थान। (आर)

आंतरिक लेखा परीक्षा - नमूना, कलाकृति नियंत्रण, CAPA। (सी)

उत्पाद/सीआरएम/बीआई - सुविधाओं/अभियानों/रिपोर्टों में प्रतिबंधों का अनुपालन। (आर)

5) डेटा वर्गीकरण और मानचित्रण

श्रेणी:

केयूएस/आयु: दस्तावेज़, सेल्फी, बायोमेट्रिक्स, परीक्षण परिणाम।
भुगतान/पीसीआई: पैन/टोकन, 3DS/AR, पीएसपी-पहचानकर्ता।
गेमिंग गतिविधि: सत्र, दांव, जीत/हार, आरजी/एसई/आरसी इवेंट।
विपणन/सीआरएम: संपर्क, वरीयता, दमन झंडे।
लॉग/टेलीमेट्री: अनुप्रयोग घटनाओं, त्रुटियों, निशान।
एनालिटिक्स/रिपोर्ट: एग्रीगेट्स, क्यूब्स, एमएल फीचर्स।

डाटा मैप:

स्रोत → सिस्टम → भंडारण क्षेत्र → कानूनी स्थिति → उपभोक्ता → अवधारण अवधि → विलोपन तंत्र।
धाराओं के एक दृश्य मानचित्र की आवश्यकता होती है, जिसमें कौन/कहां दोहराया जाता है और किस रूप में (रॉ/पीआईआई-मुक्त/गुमनाम)।

6) वास्तुशिल्प स्थानीयकरण पैटर्न

क्षेत्रीय किरायेदारी: डीबी/गुप्त/कुंजी अलगाव के साथ व्यक्तिगत समूह (यूरोपीय संघ, यूके, टीआर, बीआर, सीए, एयू, आदि)।

क्षेत्र/बाजार द्वारा डेटा शार्डिंग: चाबियों में उपसर्ग 'किरायेदार _ क्षेत्र', जियो-राउटर/एपीआई गेटवे के माध्यम से अनुरोध।

नियंत्रण विमान बनाम डेटा विमान: पीआईआई के बिना वैश्विक नियंत्रण पैनल; पीआईआई - केवल क्षेत्रीय डेटा प्लेटों में।

पीआईआई के बिना एज कैश: केवल सार्वजनिक/गैर-व्यक्तिगत सामग्री को कैश करें।

डी-पीआईआई पाइपलाइन के माध्यम से एनालिटिक्स: डीडब्ल्यूएच को केवल कुल/उपनाम निर्यात; "स्वच्छ" पीआईआई - क्षेत्र के बाहर प्रतिबंधित।

एक क्षेत्र के भीतर डीआर: एक ही देश/क्षेत्रीय ब्लॉक (या समान सुरक्षा और जुरासिक के साथ एक अनुमत क्रॉस-क्षेत्र) के भीतर एक "गर्म" प्रतिकृति। आधार)।

BYOK/HYOK: क्षेत्र/ग्राहक के नियंत्रण में एन्क्रिप्शन कुंजी; एंड-टू-एंड ऑडिट के साथ केएमएस।

7) सीमा पार स्थानांतरण: कानूनी तंत्र (ढांचा)

संविदात्मक:

मानक संविदात्मक प्रावधान/स्थानीय समकक्ष (SCC/IDTA/ext। समझौते)।
अतिरिक्त तृतीय पक्ष स्थानांतरण समझौते (डीपीए, एसएसए, श्रेम्स-अनुपालन जोखिम मूल्यांकन)।
जोखिम आकलन: टीआईए/टीआरए (स्थानांतरण/तीसरे देश के जोखिम मूल्यांकन)।
तकनीकी उपाय: एन्क्रिप्शन, भूमिका पृथक्करण, टोकन, न्यूनतम करना।
ऑर्गमर्स: जरूरत से ज्यादा पहुंच नीति, लॉगिंग, प्रशिक्षण।

💡 उत्पाद में: समर्थन, BI, या डेवलपर द्वारा कोई भी "आउट-ऑफ-रीजन" डेटा एक्सेस एक प्रॉक्सी परत के माध्यम से जाता है: (ए) पीआईआई को साफ करता है, (बी) एक एक्सेस आधार, (सी) लॉग कलाकृतियों को लागू करता है।

8) क्षेत्रीय प्रोफाइल (टेम्पलेट)

प्रत्येक बाजार के लिए, कार्ड का समर्थन करें:


Юрисдикция: ______
Требования к резидентности: (обязательная/рекомендуемая/нет)
Запреты на трансграничность: (полный/условный/нет)
Разрешенные механизмы передачи: (SCC/IDTA/локальное соглашение)
Особые категории: (биометрия/финансы/RG)
Бэкапы/DR: (где, частота, шифрование)
Логи/телеметрия: (можно ли выводить за рубеж, в каком виде)
Сроки хранения: (KYC, платежи, игровые, RG/SE)
Удаление/DSAR: (SLA, подтверждения)
Вендоры/облака: (разрешенные регионы)

9) बैकअप, लॉग, विश्लेषकों का स्थानीयकरण

बैकअप: एन्क्रिप्टेड, एक ही क्षेत्र में, स्थान साक्ष्य की निर्देशिका (प्रदाता id/bacap-wolth/retention)।

लॉग/ट्रेल्स: PII-मुक्त डिफ़ॉल्ट रूप से; यदि पीआईआई अपरिहार्य है - स्थानीय लॉग स्टोर, संपादन/मास्किंग के साथ।

एनालिटिक्स/DWH: केवल एलियास्ड कुंजी; के-गुमनामी के साथ समुच्चय; बिना कारण क्षेत्र के बाहर "कच्ची" घटनाओं को उतारने पर प्रतिबंध।

10) विक्रेताओं और बादलों

क्षेत्रों के साथ विक्रेता पंजीकरण: पंजीकरण, डेटा केंद्र क्षेत्र, प्रमाणपत्र (आईएसओ/पीसीआई/एसओसी), डीपीए/एससीसी/आईडीटीए हस्ताक्षर, कुंजी मोड, उप-प्रोसेसर।

पूर्व उड़ान प्रक्रिया: क्षेत्राधिकार मूल्यांकन, डीपीआईए/टीआईए, क्षेत्र-व्यापी लचीलापन परीक्षण, आराम क्षेत्र सत्यापन पर डेटा।

अनुबंध खंड: उप-प्रोसेसर/स्थान, लेखा परीक्षा अधिकार, उन्मूलन के लिए समय सीमा, जुर्माना के परिवर्तन की अधिसूचना।

11) निष्कासन, प्रतिधारण और डीएसएआर

भंडारण नीति: सीयूएस/वित्त/गेम/लॉग - अलग शब्द (अक्सर अनुपालन के लिए 5-7 वर्ष; विपणन में - संक्षेप में)।

तकनीकी रूप से मजबूर विलोपन (मिटाना): रिपोर्ट के साथ नौकरियों को हटाना; अभिलेखागार के लिए क्रिप्टो डिलीट (कुंजी हटाना)।

DSAR/विषय अधिकार: केवल क्षेत्रीय परिधि में प्रसंस्करण पहुंच/उपचार/विलोपन अनुरोध; प्रतिक्रिया कलाकृतियाँ - स्थानीय WORM में।

12) नियंत्रण प्रक्रियाएं और लेखा परीक्

डेटा वंश: खेतों की उत्पत्ति, सीमा पार प्रवाह का मार्ग, निर्यात हैश हस्ताक्षर।

पहुंच समीक्षा: पहुंच अधिकारों की तिमाही समीक्षा, क्रॉस-क्षेत्रीय अनुरोधों पर रिपोर्ट।

स्थानांतरण लॉग: कौन/क्या/कब/कहां/आधार/प्रकार का डेटा/पीआईआई मास्क/परिणाम।

विक्रेता समीक्षा: वार्षिक रिपोर्ट और प्रवेश परीक्षण/मूल्यांकन।

CAPA: खोज, समय सीमा और जिम्मेदारी के लिए सुधार।

13) उत्पाद और एपीआई आवश्यकताएं

जियो-राउटर: 'प्लेयर _ क्षेत्र' को हल करता है और मार्गों को 'होम' क्लस्टर के लिए अनुरोध करता है।

नीति-जागरूक एपीआई: тег 'डेटा _ वर्ग = {PII	पीसीआई	ANON} ',' क्षेत्र _ स्कोप = {स्थानीय	global_anon}', 'ट्रांसफर _ birish _ id'।
घटनाएँ:
'data _ redigency _ asserted',
'xborder _ export _ निवेदित/अनुमोदित/अस्वीकृत',
'backup _ complended _ local',
'dsar _ fulled _ local'।
असफल-बंद: जब क्षेत्र अपरिभाषित होता है, तो पीआईआई के साथ संचालन पर प्रतिबंध लगाएं।

14) "क्या संग्रहीत करना है" मैट्रिक्स (उदाहरण)

श्रेणी	भंडारण स्थान	क्या मैं विदेश में दोहरा सकता हूं	नियम और शर्तें
केवाईसी दस्तावेज/बायोमेट्रिक्स	स्थानीय क्षेत्र	नहीं, यह नहीं है	केवल कुल/फैसले "पास/फेल" आउट
भुगतान टोकन	क्षेत्र + पीसीआई क्षेत्र	सशर्त रूप से	टोकन, पीसीआई-स्कोप, पीएसपी अनुबंध
खेल घटनाएँ (रॉ)	क्षेत्र	सशर्त रूप से	उपनाम → ग्लोबल DWH के लिए एग्रीगेट्स
आरजी/एसई स्टेटस	क्षेत्र	नहीं, यह नहीं है	वैश्विक प्रणालियों पर केवल "अनाम" झंडे की अनुमति है
सीआरएम संपर्क	क्षेत्र	सशर्त रूप से	संकल्प और डीपीए के साथ; स्थानीय रूप से दमन झंडे
लॉग/ट्रेल्स	क्षेत्र	केवल PII-मुक्त	कलेक्टर पर पीआईआई मास्किंग/हटाना

15) केपीआई/स्थानीयकरण अनुपालन डैशबोर्ड

रेजीडेंसी कवरेज: % विषय जिनके पीआईआई सही क्षेत्र में हैं।

एक्स-बॉर्डर रिक्वेस्ट रेट: क्रॉस-बॉर्डर एक्सेस अनुरोधों (रोल/डिवीजन द्वारा) का हिस्सा।

बेनामी निर्यात शेयर: वैश्विक डीडब्ल्यूएच को निर्यात का अनुपात जो डी-पीआईआई पारित कर चुका है।

बैकअप लोकल एसएलए: स्थानीय क्षेत्र में% बैकअप की पुष्टि की गई।

विक्रेता क्षेत्र बहाव: स्थान/उप-प्रोसेसर परिवर्तन घटनाएं।

DSAR SLA: क्षेत्रीय परिधि में मेडियन निष्पादन।

ऑडिट निष्कर्ष (दोहराएं): आवर्ती विसंगतियाँ।

16) चेकलिस्ट

नए अधिकार क्षेत्र में प्रवेश करने से

डेटा मानचित्र और वर्गीकरण।
क्षेत्राधिकार कार्ड (आवश्यकताएं, बैकअप, लॉग, प्रतिधारण अवधि)।
क्षेत्र की वास्तुशिल्प योजना (वीपीसी/क्लस्टर/डीबी/केएमएस)।
डीपीआईए/टीआईए, अनुबंध (डीपीए/एससीसी/स्थानीय समकक्ष)।
विक्रेता मूल्यांकन (डीसी स्थान, उप-प्रोसेसर)।
पहुँच/हटाएँ/निर्यात नीति सेट।

संचालन में

नए रिकॉर्ड के खिलाफ "रेजीडेंसी दावे" का दैनिक सत्यापन।
क्रॉस-रीजन प्रश्नों और विचलन की निगरानी करें।
बैकअप/लॉग के इलाके की जाँच करें।
क्षेत्र के भीतर DSAR कतार।

लेखा परीक्षा/सुधार

विक्रेताओं/क्षेत्रों का त्रैमासिक संशोधन।
प्रत्येक क्षेत्र में डीआर परीक्षण (1/चौथाई)।
उल्लंघन के लिए CAPA (समय सीमा/जिम्मेदार व्यक्ति)।

17) साँचा (त्वरित आवेषण)

A) विक्रेता के साथ खंड (डेटा स्थानीयकरण)

💡 आपूर्तिकर्ता श्रेणियों के कस्टम डेटा के भंडारण और प्रसंस्करण की गारंटी देता है {PII/RG/KYC} विशेष रूप से क्षेत्र में {...}। किसी भी सीमा पार हस्तांतरण की अनुमति तभी दी जाती है जब मौजूदा कानूनी तंत्र और लिखित समझौता हो। स्थान का परिवर्तन - अधिसूचना ≥ 30 दिनों के साथ।

बी) निर्यात नीति (आंतरिक अनुप्रयोग)

💡 मैं बाजार {...} द्वारा अवधि {...} के लिए समुच्चय के निर्यात का अनुरोध करता हूं. डेटा श्रेणी: {ANON}। कारण: {report/audit}। जोखिम का आकलन किया, कोई पीआईआई नहीं। उत्तरदायी: {...}। विलोपन अवधि अपलोड करें: {...}।

सी) व्यापार के साथ एसएलए में पाठ

💡 डीएसएआर के लिए प्रतिक्रिया समय - एक्स दिनों तक, विलोपन - कैस्केडिंग, पुष्टि - क्षेत्रीय वर्म भंडारण से कलाकृतियाँ।

18) बार-बार गलतियाँ और रोकथाम

एक "सुविधाजनक" पड़ोसी क्षेत्र में बैकअप। → निषेध; केवल स्थानीय बैकअप।

PII के साथ लॉग वैश्विक APM में उड़ ते हैं। → एजेंट-स्तर मास्किंग, स्थानीय चोट।

कच्चे आईडी के साथ वैश्विक रिपोर्ट। → केवल कुल/उपनाम।

मिश्रण नियंत्रण/डेटा विमानों। → वैश्विक नियंत्रण विमान - पीआईआई के बिना।

रेजीडेंसी के सबूतों की कमी। → संग्रहीत कलाकृतियां: आईडी-संसाधन, कॉन्फिग शॉट्स, प्रदाता रिपोर्ट।

19) 30-दिवसीय कार्यान्वयन योजना

सप्ताह 1

1. स्थानीयकरण नीति और डेटा वर्गीकरण मॉडल को मंजूरी दें।

2. मौजूदा बाजारों का प्राथमिक प्रवाह मानचित्र बनाएं।

3. क्षेत्रीय सीमा सेवाओं और प्रमुख आवश्यकताओं (BYOK/HYOK) को परिभाषित करें।

सप्ताह 2

4. प्राथमिकता नंबर 1 (ईयू/यूके/...) के क्षेत्रीय समूहों को तैनात करें; जियो-राउटर सक्षम करें।

5. DWH में डी-पीआईआई पाइपलाइनें सक्षम करें, स्थानीय लॉग/AWS कॉन्फ़िगर करें।

6. कुंजी विक्रेताओं के साथ DPA/SCC/IDTA साइन/अपडेट करें।

सप्ताह 3

7. पीआईआई क्षेत्रीय डेटाबेस में प्रवास; स्थानीय बैकअप और डीआर योजना।

8. सीमा पार निर्यात अनुप्रयोगों (पोर्टल + जर्नल) के लिए एक प्रक्रिया शुरू करें।

9. नए नियमों के अनुसार ट्रेन कमांड (Prod/BI/CS/Legal)।

सप्ताह 4

10. डीआर परीक्षण और यादृच्छिक निवास लेखा परीक्षा का संचालन करें।

11. केपीआई डैशबोर्ड (रेजीडेंसी कवरेज, बैकअप लोकल एसएलए) सक्षम करें।

12. अंतर के लिए CAPA को योजना v1 मिला। 1 (निम्नलिखित बाजार)।

20) परस्पर संबंधित खंड

केवाईसी प्रक्रियाएं और सत्यापन स्तर/आयु सत्यापन

एएमएल नीति और लेनदेन नियंत्रण

जिम्मेदार खेल और सीमा/एसई/वास्तविकता जाँच

नियामक रिपोर्ट और डेटा प्रारूप

अनुपालन डैशबोर्ड और निगरानी

आंतरिक/बाहरी लेखा परीक्षा और लेखा परीक्षा सूची

BCP/DRP और "एट रेस्ट/इन ट्रांजिट एन्क्रिप्शन"