IV 27701 'սեփականատիրության կառավարում

1) Ի՞ նչ է RF 27701 և ինչու է այն iGaming-օպերատոր։

ISO 27701-ը ISO 27001-ի և 27002-ի վերադասավորումն է, որը ընդլայնում է ISSA-ն մինչև PIMS (գաղտնիության մասին տեղեկատվության կառավարման համակարգեր)։

IGaming-ի համար ապացուցված համապատասխանում է մասնագիտության պահանջներին (GDPR/UK GDPR/ePrivacy և այլն), արագացված աշխատանքը կարգավորիչների/բանկերի/գործընկերների հետ KYC/PSA-ի, տուգանքների ռիսկի նվազեցումը և գենդերային կառավարման պարզեցումը։

2) PIMS տարածքը և կոնտեքստը

Մոսկվան

Դերերն ու սահմանները 'ո՞ ր գործընթացներում եք դուք' Deller, որտեղ 'Processor; որ բրենդերը/շրջանները/գործընթացները ներառված են Scope-ում։

Տվյալների կատեգորիաները ՝ 108, վճարումները, KYC/AML/սանկցիաները, վարքագծային իրադարձությունները, RG ազդանշանները, սապորտը, մարքեթինգը/MSK։

Իրավական պարտավորությունները 'տեղական օրենքները գաղտնիության մասին, բյուջետային պայմանները, գործընկերների հետ պայմանագրերը։

Արդյունքը 'PIMS Scope & Exprest + փաստաթուղթը հետաքրքրված կողմերի քարտեզը։

3) Հիմնական դերերն ու պատասխանատվությունները

Դերը	Պատասխանատվությունը PIMS-ում
Board/CEO	Ասում է գաղտնիության, ռեսուրսների և նպատակների քաղաքականությունը
DPO (Data Protection Officer)	Անկախ պաշտպանություն գաղտնիության, խորհրդատվության և DPIA, կապի կետ
Privacy Lead / PIMS Owner	PIMS վիրահատական կառավարում, մետրիկներ, հաշվետվություններ
Legal/Compliance	Իրավական հիմքերը, պայմանագրերը (DPA/SCCs), օբյեկտիվությունը
Security/ISMS	Տեխնոլոգիական և կազմակերպական միջոցներ (TOMS), ամսագրեր
Domain Owners	Տվյալների հավաքածուներ և վերամշակման նպատակներ
Data/BI	Դիմակավորում, RFC/CLS, privacy thresholds
Marketing/CRM	SMR/համաձայնություն, ավելացում, rentenshn
TPRM/Procurement	Վենդորներն ու ենթահամակարգերը ՝ due diligence, DPA, SLA

4) XVIII 27701-ի միացումը 27001-ը։

ISSA (27001/27002) 'անվտանգության բազա (ակտիվներ, ռիսկեր, վերահսկում)։

PIMS (27701) 'ավելացնում է գաղտնիության քաղաքականությունը, մշակման օրինականությունը, սուբյեկտների իրավունքները, կյանքի տվյալների ցիկլը, պայմանագրային և հիբրիդային մեխանիզմները։

SoA/Statronic of Appicability: Այն ընդլայնվում է PIMS-ի մասնավոր կառավարություններով։

5) Վերամշակման համակարգը (RoPA) և տվյալների քարտեզը

Յուրաքանչյուր գործընթացի համար նպատակը, իրավական հիմքը, սուբյեկտների/տվյալների կատեգորիաները, պահեստավորման ժամանակահատվածը, ստացող/ենթահամակարգերը, աշխարհագրությունը, TOMS, DPIA դրոշը։

RoPA (հատված)

yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Իրավական հիմքերը և համաձայնությունները (Lawful Basis & Consent)

Euract/Legal Obligation: Վճարումներ, KYC/AML, խարդախության կանխումը։

Legitimate Interest: Ռուսական վերլուծություն/անվտանգություն (հետաքրքրությունների գնահատմամբ և opt-out-ով, որտեղ պահանջվում է)։

Consent: մարքեթինգը, cookies/MSK-ը ոչ խիստ անհրաժեշտ նպատակների համար, որոշակի տեսակի ավելացման համար։

Հատուկ կատեգորիաներ 'միայն հստակ հիմքերով և ուժեղացված միջոցառումներով։

SMR/համաձայնությունների կառավարումը 'քաղաքականության/բանների տարբերակների ձայնագրումը, նպատակների նռնակությունը, ելույթի ապացույցը։

7) DPIA/PIA - գաղտնիության վրա ազդեցության գնահատումը

Երբ 'նոր տեխնոլոգիա, լայնածավալ վերամշակում, զգայուն տվյալներ, համակարգային ավելացում, կայունություն։

Բովանդակությունը 'վերամշակման, անհրաժեշտության և համամասնության նկարագրություն, սուբյեկտների իրավունքների ռիսկեր, նվազեցման միջոցներ։

Ելքը 'լուծում (գնալ/հեռացնել/շեղել) + CAPA պլանը և վերահսկել ամսաթիվը։

8) Տվյալների սուբյեկտների իրավունքները (DSAR)

Իրավունքները 'հասանելիություն, ուղղում, հեռացում, սահմանափակում, հանդուրժողականություն, առարկություն, հրաժարվել ավելացումից/մարքեթինգից։

SLA 'հարցման հաստատումը արագ և կատարումը վաղաժամ։

Կատարողականի հոսքը ՝ ինքնության ստուգում, տվյալների հավաքում/կատարումը։

Արգելքը «կույր արտանետումների» վրա 'միայն վիտրինի միջոցով' քողարկմամբ և լոգարաններով։ փոքր ընտրության սահմանափակումը (privacy thresholds)։

9) Նվազեցում, դիմակավորում և ռենտենշն

Minimization-ը 'պահել միայն անհրաժեշտ նպատակների համար։ պարբերաբար/հեռացնել «մեռած» դաշտերը։

Դիմակավորում/կեղծանունացում 'լռելյայն PII-ի համար։ ազդանշանը JIT + «purpose» + աուդիտ է։

Retenshn-մատրիցա 'per/կատեգորիա, stop գործոններ (իրավաբանական), avto-հեռացում/արխիվ։

10) Հիբրիդային փոխանցումները և ենթահամակարգերը

Պայմանագրային մեխանիզմները ՝ DPA, SCCS/IDTA, DTIA (փոխանցման գնահատում)։

Տվյալների միգրացիա/07: Որտեղ ֆիզիկապես տվյալները/բանալիները (KFC/HSM), VUOK/տարածաշրջանային բանալիներ։

Ենթահամակարգերի իրականացումը 'փոփոխությունների մասին ծանուցում, փորձարկման իրավունք, TOMS մակարդակը ոչ պակաս է, քան մեր։

11) Privacy by Design / by Default

Նախագծման փուլում 'Lenta.ru Requirements PRD-ում, threat modeling-ը մասնավոր սպառնալիքներով։

Իրականացման մեջ ՝ RSA/CLS, տոկենիզացիա, կոդավորում, API նվազագույն ոսկորներ, telemetry առանց PII։

Լռելյայն 'անջատվում են ալյումինե ճեղքերը, առանձին բանալիները/նյարդային սպեյսները per/tenant։

12) Տրամաբանությունը, ապացուցումը և PIMS-ի աուդիտը

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.

Հաշվետվություններ ՝ RoPA կարգավիճակը, DPIA քարոզարշավը, DSAR SLA/beklog, rentenshn-2019, վենդորական փոփոխությունները, խախտումները/միջադեպերը։

Աուդիտ 'ամեն տարի (կամ փոփոխություններով), Design/Operating Effectiveness մասնավոր վերահսկողների ստուգում։

13) Metriki (KPI/KRI) PIMS (KPI/KRI) PIMS (k

KPI:

DSAR on-time ≥ 95%
RoPA-ի արդիականությունը 3898 տոկոսն է
Ռիսկի բարձրացման DPIA ծածկույթը = 100 տոկոսը
Ավտոմատ հեռացման մասնաբաժինը rentenshn-ի վրա 95 տոկոսն է
CBS ներառման մակարդակը (բաղաձայնների ձայնագրությունները) = 100 տոկոսը

KRI:

PII հասանելիությունը առանց «purpose» = 0
Էքսպորտը/փոխանցումը = 0
Միջադեպեր/արտահոսքեր, որոնք ավելի ուշ տեղեկացված են ժամանակահատվածի = 0
Բացակայում DPA/SCCS ակտիվ փոխանցման համար = 0

14) Ինտեգրումը գոյություն ունեցող վերահսկողության հետ

IGA/RBAC/ABAC/JIT/PAM 'իրավունքների նվազեցումը և հասանելիության համատեքստային պայմանները։

Լոգարանների քաղաքականությունը և լսարանի ամսագրերը 'PII-ի հետ գործողությունների ապացույցը։

TPRM-ը և պայմանագրերը ՝ DPA/SCCs/DTIA, մրցույթի իրավունքները, SLA ծանուցումները 2472 ռուբլյան

ISO 27001/ISSA 'ընդհանուր ռիսկի մոդել, SoA և ներքին աուդիտներ։

Պատահականներն ու արտահոսքերը 'playbook breach, միասին war-room հետ։

15) Արտեֆակտների ձևանմուշները (բեկորներ)

15. 1 Գաղտնիության քաղաքականություն (ներքին դիմադրություն)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Ապամոնտաժման քաղաքականություն

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR գործընթացը

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Retenshn-մատրիցա (հատված)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (ընթացակարգեր)

16. 1 RoPA նորարարություն

1. Փոփոխության նախաձեռնողը (Cort/Owner) մեջբերում է Legal/Privacy-ի գործընթացի քարտը WintTOMS-ի կողմից։

16. 2 DPIA

1. Ռիսկի սկրինինգը բացատրում է DPIA-ի ձևը DPO-ի խորհրդատվությունը CAPA-ի լուծումը և վերահսկումը։

16. 3 DSAR

1. Ընդունեք, թե ինչպես կարելի է հավաքել և ֆիլտրել վիտրինի միջոցով։

16. 4 Վենդորներ/փոխանցումներ

1. Due diligence www.DPA/SCCS/DTIA-ը բացատրում է ենթահամակարգերի ցանկը, որոնք համապատասխանում են www.boarding-ի փոփոխություններին և հաստատմանը։

17) RACI (փխրուն)

Ակտիվություն	Board/CEO	DPO	Privacy Lead	Legal/Compliance	Security	Domain Owners	Data/BI	TPRM
Քաղաքականություն/PIMS նպատակներ	A	C	R	C	C	C	I	I
RoPA/retenshn	I	A/R	R	A/R	C	R	R	I
DPIA/PIA	I	A/R	R	A/R	C	R	C	I
DSAR	I	A/R	R	C	C	C	R	I
Wendors/փոխանցումներ	I	A	R	A/R	C	C	I	R
Audit/metriki	I	A	R	C	C	I	R	C

18) Ճանապարհի քարտեզը (8-10 շաբաթ)

Շաբաթներ 1-2: Scope/ենթատեքստը, դերերը և RACI-ը, գործընթացների/տվյալների բուլարիզացիան, RoPA-ի չեռնովիկը և ռենտեն-մատրիցան։

Շաբաթներ 3-4 'գաղտնիության քաղաքականությունը, CBS/consent-ֆլոուն, DSAR գործընթացը, DPIA-ի ձևանմուշները, DPA/SCCS/DTIA-ի նորարարությունը։

5-6 շաբաթ 'TOMS-ի ներդրումը (դիմակավորում, RSA/CLS, JIT/PAM), DSAR-ի, WORM-լոգայի, KPI/KRI զեկույցները։

Շաբաթ 7-8: անցկացնել DPIA high-risk-ը, փակել CAPA-ը, PIMS ներքին աուդիտը, Media Review (PIMS)։

Շաբաթներ 9-10: 105, ռուսական հաշվետվությունների արձակումը, արտաքին գնահատման պատրաստումը (անհրաժեշտության դեպքում)։

19) Հաճախակի սխալներ և ինչպես խուսափել դրանցից

RoPA «վագոնի համար» 'յուրաքանչյուր գրառում տեղադրեք նպատակների, հիմքերի և ռետենշների վրա։ պահեք կենդանի տարբերակը։

DSAR-ը «հում» BD-ի միջոցով 'միայն վիտրինի/սուլֆայի միջոցով' դիմակավորված և լոբի միջոցով։

Ոչ մի DTIA-ն թերապևտության դեպքում 'նախօրոք գրանցեք, գրանցեք տվյալները/։

Մարքեթինգային PPK-ն առանց CBS-ի 'արգելքը մինչև CBS-ի և պայմանագրային TOMs-ի ընդգրկումը։

Pbd/PbD-ի բացակայությունը 'ներառեք Privacy պահանջները PRD-ում և Done-ում։

20) Միգրացիայի պահպանումը (Run PIMS)

Ամեն ամիս, KPI/KRI զեկույցները, RoPA-ի փոփոխությունների աուդիտը, ենթահամակարգերի իրականացումը, DSAR SLA-ը։

Եռամսյակային 'ռեթենշնի/հեռացման, թեմատիկ ստուգումների (մարքեթինգը, MSK, KYC)։

Ամեն տարի 'PIMS ներքին աուդիտ, ենթատեքստի/ռիսկերի նորարարություն, անձնակազմի ուսուցում, Live Review։

TL; DR

MS27701 = PIMS 'RoPA + օրինական հիմքեր/համաձայնություն + DPIA/DSAR + նվազագույնի/ռետենշն + ինտենսիվ և ենթահամակարգեր + ապացուցված TOMS։ Մենք կառուցում ենք գոյություն ունեցող RBAC/ABAC/JIT/logy և TPRM-ում, և ստանում ենք կառավարվող, չափված գաղտնիությունը, որը պատրաստ է ներքին և արտաքին ստուգումների։

IV 27701 'սեփականատիրության կառավարում

TL; DR

Կապ հաստատեք մեզ հետ

Արագ կապ

Տեսանյութը շուտով կթարմացվի

Այս պահին մենք ծանրաբեռնված ենք նախագծերով