आईएसओ 27701: गोपनीयता प्रबंधन

1) आईएसओ 27701 क्या है और यह एक आईगेमिंग ऑपरेटर क्यों है

आईएसओ 27701 आईएसओ 27001 और 27002 का एक ऐड-ऑन है जो आईएसएमएस को पीआईएमएस (गोपनीयता सूचना प्रबंधन प्रणाली) तक विस्तारित करता है।

IGaming के लिए: गोपनीयता आवश्यकताओं (GDPR/UK GDPR/eProvince, आदि) के साथ सिद्ध अनुपालन, नियामकों/बैंकों/KYC/PSP भागीदारों के साथ त्वरित कार, जुर और सरलीकृत्मक प्मक।

2) पीआईएमएस स्कोप और संदर्भ

• भूमिकाएँ और सीमाएँ: जिन प्रक्रियाओं में आप नियंत्रक हैं, जहां प्रोसेसर है; कौन से ब्रांड/क्षेत्र/प्रक्रियाएं स्कोप में शामिल हैं।
• डेटा श्रेणियां: पंजीकरण, भुगतान, केवाईसी/एएमएल/प्रतिबंध, व्यवहार संबंधी घटनाएं, आरजी संकेत, समर्थन, विपणन/एसडीके।
• कानूनी दायित्व: स्थानीय गोपनीयता कानून, लाइसेंसिंग शर्तें, भागीदारों के साथ समझौते।

आउटपुट: PIMS स्कोप & संदर्भ दस्तावेज़ + हितधारक नक्शा.

3) प्रमुख भूमिकाएँ और जिम्मेदारियाँ

4) आईएसओ 27701 ↔ आईएसओ 27001 बंडल

आईएसएमएस (27001/27002): सुरक्षा आधार (संपत्ति, जोखिम, नियंत्रण)।

PIMS (27701): गोपनीयता नीतियों, प्रसंस्करण की वैधता, विषयों के अधिकार, डेटा जीवनचक्र, संविदात्मक और सीमा पार तंत्र को जोड़ ता है।

SoA/प्रयोज्यता का विवरण: PIMS निजी नियंत्रणों द्वारा विस्तारित।

5) प्रोसेसिंग रजिस्टर (RoPA) और डेटा मैप

प्रत्येक प्रक्रिया के लिए: उद्देश्य, कानूनी आधार, विषयों/डेटा की श्रेणियां, शेल्फ जीवन, प्राप्तकर्ता/सबप्रोसेसर, भूगोल, टीओएम, डीपीआईए ध्वज।

yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) वैध आधार और सहमति

संविदा/कानूनी दायित्व: भुगतान, केवाईसी/एएमएल, धोखाधड़ी रोकथाम।

वैध रुचि: बुनियादी एनालिटिक्स/सुरक्षा (लीड स्कोरिंग और ऑप्ट-आउट के साथ जहां आवश्यक हो)।

सहमति: गैर-सख्ती से आवश्यक उद्देश्यों के लिए विपणन, कुकीज ़/एसडीके, कुछ प्रकार की प्रोफाइलिंग।

विशेष श्रेणियां: केवल स्पष्ट आधार और बढ़ाए गए उपायों के सा

CIW/सहमति प्रबंधन: नीति संस्करण/बैनर की रिकॉर्डिंग, उद्देश्य से दानेदारी, रिकॉल की प्रावधानता।

7) डीपीआईए/पीआईए - गोपनीयता प्रभाव आकलन

कब: नई तकनीक, बड़े पैमाने पर प्रसंस्करण, संवेदनशील डेटा, व्यवस्थित प्रोफाइलिंग, सीमा पार।

सामग्री: प्रसंस्करण, आवश्यकता और आनुपातिकता का विवरण, विषयों के अधिकारों के लिए जोखिम, शमन उपाय।

बाहर निकलें: निर्णय (गो/रीवर्क/रिजेक्ट) + CAPA योजना और तारीख नियंत्रण।

8) डेटा विषय अधिकार (DSAR)

अधिकार: पहुंच, सुधार, विलोपन, प्रतिबंध, पोर्टेबिलिटी, आपत्ति, प्रोफाइलिंग/विपणन से इनकार।

SLA: अनुरोध की पुष्टि जल्दी और निर्धारित अवधि के भीतर निष्पादन।

निष्पादन का प्रवाह: पहचान का सत्यापन डेटा का संग्रह प्रतिक्रिया/निष्पादन लॉग।

"ब्लाइंड अनलोडिंग" पर प्रतिबंध: केवल छलावरण और लॉग के साथ खिड़कियों के माध्यम से; गोपनीयता सीमा।

9) न्यूनतम, मास्किंग और प्रतिधारण

डेटा मिनिमाइजेशन: केवल अपने उद्देश्यों के लिए आपको जो चाहिए उसे संग्रहीत करें नियमित रूप से "मृत" क्षेत्रों को हटाएं/गुमनाम करें

मास्किंग/अलियासिंग: पीआईआई के लिए डिफ़ॉल्ट; अनमास्किंग - JIT + 'उद्देश्य' + ऑडिट।

प्रतिधारण मैट्रिक्स: प्रति प्रक्रिया/श्रेणी, स्टॉप कारक (कानूनी), ऑटो-विलोपन/संग्रह।

10) सीमा पार प्रसारण और उप-प्रोसेसर

संविदात्मक व्यवस्था: डीपीए, एससीसी/आईडीटीए, डीटीआईए (पारेषण मूल्यांकन)।

डेटा/कुंजियों का स्थान: जहां शारीरिक रूप से डेटा/कुंजी (KMS/HSM), VUOK नीति/क्षेत्रीय कुंजियाँ।

उप-प्रोसेसर का रजिस्टर: परिवर्तनों की अधिसूचना, आपत्ति का अधिकार, टीओएम स्तर हमारी तुलना में कम नहीं।

11) डिजाइन/डिफ़ॉल्ट द्वारा गोपनीयता

डिजाइन चरण में: पीआरडी में डेटा संरक्षण आवश्यकताएं, निजी खतरों के साथ मॉडलिंग टेम्पलेट का खतरा।

कार्यान्वित: आरएलएस/सीएलएस, टोकन, एन्क्रिप्शन, न्यूनतम एपीआई स्कोप, पीआईआई के बिना टेलीमेट्री।

डिफ़ॉल्ट रूप से: वैकल्पिक ट्रैकर अक्षम हैं, प्रति क्षेत्र/किरायेदार व्यक्तिगत कुंजी/नेमस्पेस।

12) पीआईएमएस लॉगिंग, प्रोविबिलिटी और ऑडिटिंग

Логи (WORM+подпись): 'READ _ PII', 'EXPORT _ DATA', 'PII _ UNMASK', 'CONSENT _ UPDATE', 'DSAR _', 'BREACC O _'।

रिपोर्टिंग: RoPA स्थिति, DPIA अभियान, DSAR SLA/बैकलॉग, प्रतिधारण विलोपन, विक्रेता परिवर्तन, उल्लंघन/घटनाएं।

लेखा परीक्षा: प्रतिवर्ष (या परिवर्तनों के साथ), डिजाइन/परिचालन प्रभावशीलता निजी नियंत्रणों की जांच।

13) पिम्स मेट्रिक्स (केपीआई/केआरआई)

• डीएसएआर ऑन-टाइम ≥ 95%
• RoPA ≥ 98% की प्रासंगिकता
• जोखिम इकाई = 100% द्वारा डीपीआईए कवरेज
• प्रतिधारण ≥ 95% द्वारा स्वचालित निष्कासन का अनुपात
• सीएमपी समावेशन स्तर (दर्ज सहमति रिकॉर्ड) = 100%

• पीआईआई 'उद्देश्य' = 0 के बिना पहुंच
• अनधिकृत निर्यात/हस्तांतरण = 0
• घटनाएं/लीक्स लेट = 0
• सक्रिय ट्रांसमिशन = 0 के लिए DPA/SCs गुम

14) मौजूदा नियंत्रणों के साथ एकीकरण

IGA/RBAC/ABAC/JIT/PAM: अधिकार न्यूनतम और प्रासंगिक पहुंच की स्थिति।

लॉग पॉलिसी और ऑडिट ट्रेल्स: पीआईआई के साथ कार्रवाई का प्रमाण।

TPRM और अनुबंध: DPA/SCCs/DTIA, ऑडिट अधिकार, SLA सूचनाएं ≤ 72 h।

आईएसओ 27001/ISMS: सामान्य जोखिम मॉडल, एसओए और आंतरिक ऑडिट।

घटनाएं और लीक: प्लेबुक ब्रीच, विक्रेताओं के साथ संयुक्त युद्ध कक्ष।

15) कलाकृतियाँ पैटर्न (टुकड़े)

15. 1 गोपनीयता नीति (आंतरिक अंश)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 अनमास्किंग नीति

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 डीएसएआर प्रक्रिया

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 रिटेंशन मैट्रिक्स (टुकड़ा)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) एसओपी (प्रक्रियाएं)

16. 1 RoPA अपडेट

1. उत्पाद/मालिक → प्रक्रिया कार्ड → कानूनी/गोपनीयता समीक्षा → सुरक्षा TOMs → प्रकाशन और संस्करण।

16. 2 डीपीआईए

1. जोखिम स्क्रीनिंग → डीपीआईए टेम्पलेट → डीपीओ परामर्श → सीएपीए → निर्णय और समय

16. 3 डीएसएआर

1. सत्यापित करें शोकेस के माध्यम से संग्रह और फ़िल्टर करें प्रतिक्रिया/निष्पादन - लॉगिंग और समापन।

16. 4 विक्रेता/स्थानान्तरण

1. परिश्रम के कारण → DPA/SCCs/DTIA → उप-प्रोसेसर रजिस्ट्री → निगरानी बदलें → ऑफबोर्डिंग और विलोपन की पुष्टि।

17) आरएसीआई (बढ़ाहुआ)

18) कार्यान्वयन रोडमैप (8-10 सप्ताह)

सप्ताह 1-2: स्कोप/संदर्भ, भूमिकाएं और आरएसीआई, प्रक्रिया/डेटा इन्वेंटरी, ड्राफ्ट आरओपीए और रिटेंशन मैट्रिसेस।

सप्ताह 3-4: गोपनीयता नीति, सीएमपी/सहमति प्रवाह, डीएसएआर प्रक्रिया, डीपीआईए टेम्पलेट, डीपीए/एससीसी/डीटीआईए विक्रेताओं के साथ अपडेट।

सप्ताह 5-6: TOMs कार्यान्वयन (मास्किंग, RLS/CLS, JIT/PAM), DSAR, WORM लॉग, KPI/KRI रिपोर्टिंग के लिए शोकेस।

सप्ताह 7-8: उच्च जोखिम वाले, करीबी CAPA, PIMS आंतरिक ऑडिट, प्रबंधन समीक्षा (PIMS) पर DPIA।

सप्ताह 9-10: समायोजन, नियमित रिपोर्टिंग का शुभारंभ, बाहरी मूल्यांकन की तैयारी (यदि आवश्यक हो)।

19) बार-बार गलतियाँ और उनसे कैसे बचें

RoPA "शो के लिए": प्रत्येक प्रविष्टि को लक्ष्यों, आधारों और प्रतिधारणों से जोड़ें; एक लाइव संस्करण रखें।

"कच्चे" डेटाबेस के माध्यम से डीएसएआर: केवल मास्किंग और लॉग के साथ शोकेस/निर्यात के माध्यम से।

सीमा पार करते समय कोई DTIA नहीं: अग्रिम में जारी करें, डेटा/कुंजियों के स्थान को ठीक करें।

गैर-सीएमपी विपणन एसडीके: सीएमपी और संविदात्मक टीओएम तक प्रतिबंध शामिल हैं।

कोई Pbd/PbD नहीं: PRD में गोपनीयता आवश्यकताओं और परिभाषा की परिभाषा शामिल करें।

20) पिम्स चलाएं

मासिक: केपीआई/केआरआई रिपोर्ट, आरओपीए ऑडिट, उप-प्रोसेसर निगरानी, डीएसएआर एसएलए बदलते हैं।

त्रैमासिक: प्रतिधारण/विलोपन, विषयगत जांच (विपणन, एसडीके, केवाईसी) की समीक्षा।

वार्षिक: PIMS आंतरिक लेखा परीक्षा, संदर्भ/जोखिम अद्यतन, कर्मचारी प्रशिक्षण, प्रबंधन समीक्षा।

टीएल; डीआर

ISO 27701 = ISMS पर PIMS: RoPA + कानूनी आधार/सहमति + DPIA/DSAR + कम से कम करने/प्रतिधारण + सीमा पार और उप-प्रोसेसर + सिद्ध TOMS। हम मौजूदा आरबीएसी/एबीएसी/जेआईटी/में लॉग और टीपीआरएम का निर्माण करते हैं और आंतरिक और बाहरी जांच के लिए तैयार प्रबंधित, औसत दर्जे की गोपनीयता प्राप्त करते हैं।