GH GambleHub

მონაცემთა გადაცემა ქვეყნებს შორის

1) მიზანი და რეგიონი

ჩამოაყალიბეთ პირადი მონაცემების ტრანსსასაზღვრო გადაცემების (PII) და ოპერაციული კომპლექტების (KYC/AML, გადახდები, RG/SE, CRM/მარკეტინგი, თამაშის ტელემეტრია, ლოგები/ARM, ანალიტიკა/DWH) ლიცენზიების მოთხოვნების გათვალისწინებით სხვადასხვა იურისდიქციის მონაცემები. დოკუმენტი ავსებს სექციებს: „მონაცემთა ლოკალიზაცია“, „მოცილება და ანონიმიზაცია“, „GDPR: თანხმობა“, „DSAR“.

2) ძირითადი ცნებები და პრინციპები

ტრანსსასაზღვრო გადაცემა - ნებისმიერი წვდომა/რეპლიკა/დამუშავება საგნის/მონაცემების „სახლის“ იურისდიქციის გარეთ.
ადეკვატურობა/ეკვივალენტობა - რეგულატორის გადაწყვეტილებები მიმღები ქვეყნის საკმარისი დაცვის შესახებ.
სახელშეკრულებო მექანიზმები - სტანდარტული სახელშეკრულებო დებულებები, ადგილობრივი ანალოგები, დამატებითი ხელშეკრულებები.
TIA (Transfer Impact Assessment) - კონკრეტული გადაცემის სამართლებრივი/ტექნიკური რისკების შეფასება.
სუვერენიტეტი/რეზიდენტობა - ადგილობრივი კონტროლის ადგილმდებარეობა და უფლება.

პრინციპები:

1. ადგილობრივი პირველი: თუ ეს შესაძლებელია, ადგილობრივად ვიმუშავებთ; გარედან - მინიმალური და წესების შესაბამისად.

2. მინიმიზაცია: „ზუსტად იმდენი, რამდენიც საჭიროა“; სასურველია აგრეგატები/ფსევდონიმები.

3. კრიპტოგრაფია და იზოლაცია: დაშიფვრა, გასაღებები რეგიონში, კონტროლის/მონაცემთა გეგმის გამიჯვნა.

4. დადასტურება: თითოეული პროგრამის ჟურნალი, TIA არტეფაქტები და საფუძვლები.

5. Fail-closed: არ არსებობს საფუძველი ან TIA - არ არსებობს გადაცემა.

3) როლები და RACI

DPO/Head of Compliance (Owner) - პოლიტიკა, დაშვება, TIA, გამონაკლისი. (A)

ლეგალი - გადაცემის მექანიზმის არჩევანი, ხელშეკრულებები, ადგილობრივი მოთხოვნები. (R)

უსაფრთხოება/ინფრა - დაშიფვრა, KMS/HSM, ქსელის პერიმეტრები, აუდიტი. (R)

Data Platform/Analytics - de PII/ანონიმიზაცია, ფედერალური/კოჰორტის მოხსენებები. (R)

Engineering/SRE - მარშრუტიზაცია, ტოკენიზაცია, ექსპორტის კონტროლი. (R)

Vendor Manager - ქვე-პროცესორების, დადასტურების, ოფშორული ოპერაციების რეესტრი. (R)

Internal Audit - არტეფაქტების ნიმუშები, CAPA. (C)

4) ნაკადის რუკა (Data Transfer Map)

წყარო - დანიშნულება (ქვეყანა/ღრუბელი/გამყიდველი) - მონაცემთა კატეგორია - მიზანი - იურიდიული საფუძველი - გადაცემის მექანიზმი - დაცვა (en/org) - შენახვის დრო და პასუხისმგებლობა.
გრაფიკულად ფიქსირდება: მხარდაჭერა/CS, ანალიზი/მოხსენება, ფროიდი/რისკი, თამაშების პროვაიდერები და PSP, აფილატები.

5) იურიდიული მექანიზმები (ჩარჩო)

1. გადაწყვეტილება ადეკვატურობის შესახებ (თუ გამოიყენება): გამარტივებული გზა, მაგრამ მაინც საჭიროა TIA არტეფაქტები და კონტრაქტები ვენდორთან.
2. სტანდარტული/სტანდარტული ხელშეკრულების დებულებები და ადგილობრივი ანალოგები: შედის სავალდებულო პროგრამები (კატეგორიები, მიზნები, ზომები).
3. Binding/დამატებითი ხელშეკრულებები: დაზუსტებულია სუბპროცესორების მოვალეობები, შეტყობინებები სამთავრობო უწყებების მოთხოვნების შესახებ.
4. გამონაკლისები კანონით: წერტილები და იშვიათი (ცხოვრების ინტერესები, ხელშეკრულების მოთხოვნა) - არა სისტემური ექსპორტისთვის.
5. შიდა ჯგუფური წესები: ჰოლდინგისთვის - კორპორატიული კონტროლის ინსტრუმენტები.

💡 მექანიზმის გადაწყვეტას ყოველთვის თან ახლავს TIA და დამატებითი ზომების დირექტორია.

6) Transfer Impact Assessment (TIA)

მიზეზი: ახალი გამყიდველი/ქვეყანა, ახალი მიზანი, ახალი კატეგორიები (ბიომეტრია, RG/SE), გასაღების ან მარშრუტების რეჟიმის შეცვლა.

შინაარსი:
  • გადაცემის აღწერა (მონაცემები/მოცულობა/სიხშირე/მონაწილეები).
  • მიმღები ქვეყნის სამართლებრივი გარემო (სამთავრობო უწყებების დაშვების რისკი, სუბიექტების დაცვის სამართლებრივი საშუალებები).
  • ტექნიკური ზომები: დაშიფვრა, გასაღებები (BYOK/HYOK), ფსევდონიზაცია, split-processing.
  • ორგანიზაციული ზომები: NDA, ტრენინგი, „ახლა“, ჟურნალისტიკა, რეაგირება მოთხოვნებზე.
  • ნარჩენი რისკი/გამოსავალი: დაშვება/შეცვლა/აკრძალვა; გადასინჯვის ვადა.

მოკლე ფორმის TIA შაბლონი: იხ. § 15C.

7) ტექნიკური და ორგანიზაციული ზომები

7. 1 კრიპტოგრაფია და გასაღებები

At rest: AES-256-GCM; in transit: TLS 1. 2+/mTLS; PFS.
KMS: BYOK (ჩვენი გასაღებები), სასურველია HYOK (გასაღებები რჩება რეგიონში); სეგმენტი ბაზრებზე/ტენანტებში; ოპერაციების უცვლელი აუდიტი კლავიშებით.
Crypto-shredding: ბეკეტებისა და არქივებისთვის ვადებში.

7. 2 მინიმიზაცია და დე იდენტიფიკაცია

ექსპორტამდე ფსევდონიმიზაცია (ტოკენ გეთვეი), მაპინგის შენახვა რეგიონში ცალკე.
დანაყოფები, k-ანონიმურობა/თარიღი და გეო, იშვიათი კატეგორიების ჩახშობა.
PII უფასო logs/ARM და server side tagging იდენტიფიკატორების გაუქმებით თანხმობის გარეშე.

7. 3 თვითმფრინავების იზოლაცია

გლობალური კონტროლის გეგმა PII გარეშე; მონაცემთა გეგმა PII ადგილობრივად.
PII- ზე წვდომა მარიონეტული ფენის საშუალებით, მოთხოვნის დასაბუთებით და ჟურნალით.

7. 4 სახელმწიფო ორგანოების მოთხოვნები

რეაქციის წრე: კანონიერების შემოწმება, სადავო, მოცულობის შემცირება, შეტყობინება (თუ ნებადართულია), ჩაწერა მოთხოვნის რეესტრში.

8) მონაცემთა კატეგორიები და გადაცემის წესები

კატეგორიაშეგიძლიათ საზღვარგარეთ? პირობები
KUS/ბიომეტრიაშეზღუდული
გადახდის ნიშნები/PSPდიახ/პირობითად
სათამაშო ნედლეული მოვლენებიშეზღუდული
RG/SE სტატუსებიარა
CRM/მარკეტინგიპირობითად
ლოგოები/ARMმხოლოდ PII უფასო

9) ვენდორები და ქვე-პროცესორები

რეესტრი: იური. სახე, DC ქვეყნები, სუბპროცესორები, სერთიფიკატები, გადაცემის მექანიზმები, გასაღების რეჟიმი.
კონტრაქტები: DPA + SCC/ანალოგები, ადგილების/სუბპროცესორების შეცვლის შესახებ შეტყობინებები 30 დღე, აუდიტის/კითხვარის უფლება, ბეკების ლოკალიზაციის ვალდებულებები, ინციდენტების SLA და DSAR.
Onboarding/review: TIA, პენტესტი/სერტიფიკაცია, sample transfer ტესტი.
Offboarding: ექსპორტი/მოცილება/crypto-shred + დადასტურება (evidence).

10) Bacapes, logs და ანალიტიკა

Bacapy: იმავე რეგიონში; ექსპორტი საზღვარგარეთ - მხოლოდ დაშიფრული ფორმით + HYOK; ვადის მიღწევისას - crypto-shred.
ლოგოები/ARM: PII-უფასო ნაგულისხმევი; თუ არა, ადგილობრივი საცავი, მოკლე რეტენსია.
ანალიტიკა/DWH: გლობალური მოხსენებები მხოლოდ აგრეგატები/კოჰორტები; ნედლეული იდენტიფიკატორების აკრძალვა რეგიონის გარეთ.

11) პროცესები და მოვლენები

პროცესის დასრულება: ბაზრის პროფილის გადაცემის მოთხოვნა - შემოწმება, TIA მექანიზმის შერჩევა, ტექნიკური მოწყობილობის კოორდინაცია და არტეფაქტების/აუდიტის დაწყება და მონიტორინგი.

მოვლენები (მინიმალური):
  • `xborder_transfer_requested/approved/denied`
  • 'transfer _ executed' (მოცულობა/დრო/გამყიდველი)
  • `key_accessed_for_transfer` (KMS audit)
  • `gov_request_received/responded`
  • `vendor_location_changed`
  • `transfer_review_due`

12) მონაცემები და არტეფაქტები (მოდელი)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI და დაშბორდი

X-Border Transfer Rate (მიზნების/გამყიდველების/ქვეყნების მიხედვით).
TIA Coverage (% გადაცემათა კოლოფი შესაბამისი TIA).
BYOK/HYOK Coverage (გადაცემათა წილი რეგიონალური კლავიშებით).
Anonymized Export Share (ექსპორტის% ერთეულებში/ფსევდონიმებში).
Vendor Location Drift (ადგილმდებარეობის ცვლილების ინციდენტები).
Gov Request Count და საშუალო პასუხი.
Auditability Score (ჩანაწერების% სრული ჩანთით).

14) ჩეკის ფურცლები

ა) პროგრამის დაწყებამდე

დასტურდება დანიშვნა და კანონიერი მიზანი.

  • შეირჩა მექანიზმი (ადეკვატურობა/კონტრაქტი/ანალოგი), TIA დასრულებულია.
  • ფსევდონიმიზაცია/ანონიმიზაცია; მოცულობა მინიმუმამდეა დაყვანილი.
  • KMS/გასაღებები: BYOK/HYOK, ჟურნალი.
  • კონტრაქტი გამყიდველთან: DPA + SCC/ანალოგი, შეტყობინებები DC/ქვე-პროცესორების შეცვლის შესახებ.
  • bacap- ებისა და crypto-shred- ის რეზიდენცია გეგმაში.

B) ოპერაციებში

  • 'vendor _ location _ changed' და ალერტის მონიტორინგი.
  • TIA და მექანიზმების პერიოდული მიმოხილვა.
  • DSAR/წაშლა სწორად გამოიყენება მიმღების პერიმეტრში (ან ანონიმიზაციის გზით).
  • გადაცემის ლოგოები და KMS აუდიტი ხელმისაწვდომია აუდიტისთვის.

C) აუდიტი/გაუმჯობესება

  • კვარტალური ნიმუშები 'transfer _ record' სრულყოფილად.
  • CAPA ინციდენტების/საჩივრების/მარეგულირებელი აღმოჩენების შესახებ.
  • გამყიდველის მიერ „revoke წვდომის“ ტესტი + მოცილების დადასტურება.

15) შაბლონები (სწრაფი ჩანართები)

ა) კლაუსი „ტრანსსასაზღვრო გადაცემა“

💡 სუბპროცესორი ინახავს/ამუშავებს მონაცემებს მხოლოდ დეკლარირებულ იურისდიქციებში. ნებისმიერი გადაცემა სხვა იურისდიქციაში დასაშვებია მოქმედი იურიდიული საფუძველზე (SCC/ადგილობრივი ანალოგი) და წერილობითი თანხმობით. ადგილმდებარეობის/სუბპროცესორის შეცვლა - შეტყობინება 30 დღის განმავლობაში. დაშიფვრის გასაღებები - BYOK/HYOK; ლოგები ხელმისაწვდომია მოთხოვნით.

B) შეტყობინება მთავრობის მოთხოვნის შესახებ

💡 მიმწოდებელი დაუყოვნებლივ აცნობებს (თუ ნებადართულია) დაშვების ნებისმიერი მოთხოვნის შესახებ, ამცირებს მოცულობას, ასაჩივრებს გადაჭარბებულ მოთხოვნებს და დოკუმენტაციას უწევს გამჟღავნებას. შეტყობინებების/პასუხების ასლები მოცემულია ჩვენს WORM რეესტრში.

C) მოკლე TIA (ერთი პაგერი)

💡 არსი: {მიზანი, მონაცემები, მოცულობა, ქვეყანა}
სამართლებრივი რისკები: {შედეგი}
techmers: {დაშიფვრა, გასაღებები, ფსევდონიზაცია, split-processing
Orgmers: {NDA, need-to-now, აუდიტი
გამოსავალი: {allow/modify/deny}, გადასინჯვა {თარიღი}

16) 30-დღიანი განხორციელების გეგმა

კვირა 1

1. დაამტკიცეთ ტრანსსასაზღვრო გადაცემების პოლიტიკა, RACI და TIA/DPA შაბლონები.
2. მიმდინარე ნაკადების რუქის შექმნა და მოვაჭრეების რეესტრი/ადგილმდებარეობა/გასაღებები.
3. KMS- ის ბაზრის კონფიგურაცია (BYOK/HYOK), ჩართეთ საკვანძო აუდიტი.

კვირა 2

4) ჩართეთ ფსევდონიმი ექსპორტის წინ და PII უფასო ლოგები/ARM.
5) დაიწყეთ რეესტრი 'transfer _ record '/' tia' (WORM არტეფაქტები).
6) განაახლეთ ხელშეკრულებები კრიტიკულ გამყიდველებთან: ადგილმდებარეობა, შეტყობინებები, ოფშორული პროცედურები.

კვირა 3

7) 2-3 ნაკადის მფრინავი (CS, DWH ანგარიშები): გაზომეთ Anonymized Export Share, BYOK Coverage.
8) ასწავლეთ Product/CS/BI/Legal სახელმწიფო ორგანოებისა და ესკალაციების მოთხოვნის პროცედურებზე.
9) დაკავშირება alerta 'vendor _ location _ changed'.

კვირა 4

10) სრული გამოშვება; დაშბორდი KPI/KRI და კვარტალური TIA-revies.
11) CAPA ნაპოვნი; გეგმა v1. 1 - ფედერალური ანალიტიკა/რედაქტორი. კონფიდენციალურობა მოხსენებებში.
12) ერთი გამყიდველის დაქირავების ტესტი: მოცილება/crypto-shred, დადასტურება.

17) ურთიერთდაკავშირებული სექციები

იურისდიქციის მონაცემების ლოკალიზაცია

მონაცემთა წაშლა და ანონიმიზაცია/შენახვისა და წაშლის გრაფიკები

GDPR: თანხმობის მენეჯმენტი/ქუქი-ფაილების პოლიტიკა და CMP

Privacy by Design / DSAR

დაშიფვრა At Rest/In Transit, KMS/BYOK/HYOK

დაშბორდის შესაბამისობა და მონიტორინგი/შიდა და გარე აუდიტი

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.