GH GambleHub

ISO 27701: კონფიდენციალურობის მენეჯმენტი

1) რა არის ISO 27701 და რატომ არის ის iGaming ოპერატორი

ISO 27701 არის ISO 27001 და 27002 სუპერსტრუქტურა, რომელიც ISMS- ს აფართოებს PIMS- ს (კონფიდენციალურობის შესახებ ინფორმაციის მართვის სისტემები).
IGaming: დადასტურებული შესაბამისობა კონფიდენციალურობის მოთხოვნებთან (GDPR/UK GDPR/ePrivacy და ა.შ.), დაჩქარებული მუშაობა რეგულატორებთან/ბანკებთან/KYC/PSP პარტნიორებთან, ჯარიმების რისკის შემცირება და გამარტივება.

2) ტერიტორია და კონტექსტი PIMS

განსაზღვრეთ:
  • როლები და საზღვრები: რა პროცესებში ხართ Controller, სადაც - პროფესორი; რა ბრენდები/რეგიონები/პროცესები შედის სკოპში.
  • მონაცემთა კატეგორიები: რეგისტრაცია, გადახდა, KYC/AML/სანქციები, ქცევითი მოვლენები, RG სიგნალები, საფოსტო პორტი, მარკეტინგი/SDK.
  • იურიდიული ვალდებულებები: ადგილობრივი კანონები კონფიდენციალურობის შესახებ, სალიცენზიო პირობები, პარტნიორებთან ხელშეკრულებები.

შედეგი: PIMS Scope & Context + დაინტერესებული მხარეების რუკა.

3) ძირითადი როლები და პასუხისმგებლობები

როლიპასუხისმგებლობა PIMS- ში
Board/CEOამტკიცებს კონფიდენციალურობის, რესურსებისა და მიზნების პოლიტიკას
DPO (Data Protection Officer)დამოუკიდებელი კონფიდენციალურობის ზედამხედველობა, კონსულტაციები და DPIA, საკონტაქტო წერტილი
Privacy Lead / PIMS Ownerოპერაციული მენეჯმენტი PIMS, მეტრიკა, მოხსენებები
Legal/Complianceიურიდიული საფუძვლები, ხელშეკრულებები (DPA/SCCs), ტრანსსასაზღვრო
Security/ISMSტექნიკური და ორგანიზაციული ზომები (TOMs), ჟურნალისტიკა
Domain Ownersმონაცემთა პაკეტების ფლობა და დამუშავების მიზნები
Data/BIშენიღბვა, RLS/CLS, პირადი thresholds
Marketing/CRMSMR/თანხმობა, პროფილირება, ჭრა
TPRM/Procurementმოვაჭრეები და ქვე-პროცესორები: Due diligence, DPA, SLA

4) ISO 27701 ISO 27001

ISMS (27001/27002): უსაფრთხოების ბაზა (აქტივები, რისკები, კონტროლი).
PIMS (27701): დასძენს კონფიდენციალურობის პოლიტიკას, დამუშავების კანონიერებას, სუბიექტების უფლებებს, მონაცემთა სასიცოცხლო ციკლს, ხელშეკრულებებსა და ტრანსსასაზღვრო მექანიზმებს.
SoA/Applicability: ფართოვდება PIMS- ის პირადი კონტროლებით.

5) დამუშავების რეესტრი (RoPA) და მონაცემთა რუკა

თითოეული პროცესისთვის: მიზანი, იურიდიული საფუძველი, სუბიექტების/მონაცემების კატეგორიები, შენახვის ვადა, მიმღები/სუბპროცესორები, გეოგრაფია, TOMs, DPIA დროშა.

RoPA შაბლონი (ფრაგმენტი): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) იურიდიული საფუძვლები და შეთანხმებები (Lawful Basis & Consent)

Contract/Legal Obligation: გადახდა, KYC/AML, თაღლითობის პრევენცია.
იურიდიული ინტერესი: ძირითადი ანალიტიკა/უსაფრთხოება (ინტერესთა შეფასებით და opt-out, სადაც საჭიროა).
Consent: მარკეტინგი, ქუქი-ფაილები/SDK არასასურველი მიზნებისათვის, პროფილის გარკვეული ტიპები.
სპეციალური კატეგორიები: მხოლოდ მკაფიო საფუძველზე და გაძლიერებული ზომებით.

SMR/თანხმობის მენეჯმენტი: პოლიტიკის/ბანერების ვერსიის ჩაწერა, მიზნების მარცვალი, მიმოხილვის დადასტურება.

7) DPIA/PIA - კონფიდენციალურობაზე გავლენის შეფასება

როდის: ახალი ტექნოლოგია, ფართომასშტაბიანი დამუშავება, მგრძნობიარე მონაცემები, სისტემატური პროფილირება, ტრანსსასაზღვრო.
შინაარსი: დამუშავების აღწერა, საჭიროება და პროპორციულობა, სუბიექტების უფლებების რისკები, შემცირების ზომები.
გამოსავალი: გადაწყვეტილება (წასვლა/დასრულება/უარყოფა) + CAPA გეგმა და თარიღების კონტროლი.

8) მონაცემთა სუბიექტების უფლებები (DSAR)

უფლებები: წვდომა, კორექტირება, მოცილება, შეზღუდვა, ტოლერანტობა, წინააღმდეგობა, პროფილის/მარკეტინგის უარყოფა.
SLA: მოთხოვნის დადასტურება სწრაფად და მარეგულირებელ ვადაში.
შესრულების ნაკადი: პიროვნების მიღება, გადამოწმება, მონაცემების შეგროვება, პასუხი/შესრულება - ჟურნალი.

აკრძალვა „ბრმა გადმოტვირთვაზე“: მხოლოდ ფანჯრების საშუალებით შენიღბვით და ლოგოებით; მცირე ნიმუშების შეზღუდვა (პირადი ნიმუშები).

9) მინიმიზაცია, შენიღბვა და გადაშენება

Data Minimization: შეინახეთ მხოლოდ საჭირო მიზნებისათვის; „მკვდარი“ მინდვრების რეგულარულად ამოღება/ანონიმიზაცია.
შენიღბვა/ფსევდონიზაცია: ნაგულისხმევი PII; დემონტაჟი - JIT + 'purpose' + აუდიტი.
retenshn მატრიცა: per პროცესის შენახვის დრო/კატეგორია, გაჩერების ფაქტორები (იურიდიული), მანქანის მოცილება/არქივი.

10) ტრანსსასაზღვრო გადაცემები და ქვე-პროცესორები

საკონტრაქტო მექანიზმები: DPA, SCCs/IDTA, DTIA (გადაცემის შეფასება).
მონაცემთა/გასაღებების ადგილმდებარეობა: სადაც ფიზიკურად მონაცემები/გასაღებები (KMS/HSM), VUOK/რეგიონალური გასაღებები.
სუბპროცესორების რეესტრი: შეტყობინება ცვლილებების შესახებ, წინააღმდეგობის უფლება, TOMs დონე ჩვენზე დაბალი არ არის.

11) Privacy by Design / by Default

დიზაინის ეტაპზე: მონაცემთა დაცვა Requirements PRD- ში, პირადი საფრთხეების შაბლონი.
განხორციელებაში: RLS/CLS, ტოკენიზაცია, დაშიფვრა, მინიმალური API სკოპები, telemetry PII გარეშე.
ნაგულისხმევი: გამორთულია არჩევითი ტრეკერები, ინდივიდუალური გასაღებები/ნეიმსპეისები per რეგიონი/ტენანტი.

12) PIMS- ის ლოგიკა, დადასტურება და აუდიტი

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
ანგარიში: RoPA- ს სტატუსი, DPIA კამპანია, DSAR SLA/backlog, retenshny მოცილება, ვენდორის ცვლილებები, დარღვევები/ინციდენტები.
აუდიტი: ყოველწლიურად (ან ცვლილებების დროს), პირადი კონტროლების დიზაინის/ოპერაციების შემოწმება.

13) მეტრიკი (KPI/KRI) PIMS

KPI:
  • DSAR on-time ≥ 95%
  • RoPA აქტუალობა 98%
  • DPIA დაფარვა რისკის ობიექტებზე = 100%
  • ავტომატური ჩამორთმევის წილი 95% -ს შეადგენს
  • ჩართვის დონე CMP (ჩაწერილი თანხმობის ჩანაწერები) = 100%
KRI:
  • წვდომა PII- ს გარეშე 'purpose' = 0
  • უნებართვო ექსპორტი/გადაცემა = 0
  • ინციდენტები/გაჟონვა შეტყობინებულია ვადის შემდეგ = 0
  • არ არსებობს DPA/SCCs აქტიური გადაცემისთვის = 0

14) ინტეგრაცია არსებულ კონტროლებთან

IGA/RBAC/ABAC/JIT/PAM: უფლებების შემცირება და კონტექსტური წვდომის პირობები.
ლოგოს პოლიტიკა და აუდიტის ჟურნალები: PII- სთან მოქმედებების დადასტურება.

TPRM და კონტრაქტები: DPA/SCCs/DTIA, აუდიტის უფლებები, SLA შეტყობინებები 72:
  • ISO 27001/ISMS: ზოგადი რისკის მოდელი, SoA და შიდა აუდიტი.
  • ინციდენტები და გაჟონვა: playbook breach, ერთობლივი ომის ოთახი ვენდორებით.

15) არტეფაქტების შაბლონები (ფრაგმენტები)

15. 1 კონფიდენციალურობის პოლიტიკა (შიდა გამძლეობა)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 დემარკაციის პოლიტიკა

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR პროცესი

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 რეტენის მატრიცა (ფრაგმენტი)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (პროცედურები)

16. 1 RoPA განახლება

1. ცვლილების ინიციატორი (Product/Owner) - Legal/Privacy პროცესის ბარათი revision. Security TOMS პუბლიკაცია და ვერსია.

16. 2 DPIA

1. რისკის სკრინინგი - DPIA შაბლონი - DPO - CAPA კონსულტაცია - გამოსავალი და ვადების კონტროლი.

16. 3 DSAR

1. მიღებას, გადამოწმებას, შეგროვებას და გაფილტვრას ფანჯრების საშუალებით, პასუხი/შესრულება, ლოჯისტიკა და დახურვა.

16. 4 გამყიდველები/გადაცემები

1. Due diligence - DPA/SCCs/DTIA არის სუბპროცესორების რეესტრი, რომელიც აკონტროლებს ოფშორულ ცვლილებებს და წაშლის დადასტურებას.

17) RACI (გაფართოებული)

აქტივობაBoard/CEODPOPrivacy LeadLegal/ComplianceSecurityDomain OwnersData/BITPRM
პოლიტიკა/მიზნები PIMSACRCCCII
RoPA/retenshneIA/RRA/RCRRI
DPIA/PIAIA/RRA/RCRCI
DSARIA/RRCCCRI
გამყიდველები/გადაცემებიIARA/RCCIR
აუდიტი/მეტრიკაIARCCIRC

18) განხორციელების გზის რუკა (8-10 კვირა)

კვირები 1-2: Scope/კონტექსტი, როლები და RACI, პროცესების/მონაცემების ინვენტარიზაცია, RoPA პროექტი და retenshny მატრიცა.
კვირები 3-4: კონფიდენციალურობის პოლიტიკა, CMP/consent flow, DSAR პროცესი, DPIA შაბლონები, DPA/SCCs/DTIA განახლება გამყიდველებთან.
კვირები 5-6: TOMs- ის დანერგვა (შენიღბვა, RLS/CLS, JIT/PAM), ფანჯრები DSAR, WORM ფირები, KPI/KRI ანგარიშები.
კვირა 7-8: გამართეთ DPIA მაღალი რანგის მიხედვით, დახურეთ CAPA, PIMS შიდა აუდიტი, მენეჯმენტის მიმოხილვა (PIMS).
არგუმენტები 9-10: კორექტირება, რეგულარული ანგარიშგების დაწყება, საგარეო შეფასებისთვის მომზადება (საჭიროების შემთხვევაში).

19) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

RoPA „შოუსთვის“: მიეწოდეთ ყველა ჩანაწერი მიზნების, საფუძვლებისა და ჭრისთვის; შეინარჩუნეთ ცოცხალი ვერსია.
DSAR „ნედლეული“ BD- ის საშუალებით: მხოლოდ ფანჯრების/ექსპორტის საშუალებით შენიღბვით და ლოგებით.
ტრანსსასაზღვრო დროს არ არსებობს DTIA: წინასწარ შედგენა, მონაცემების/გასაღებების ადგილმდებარეობის დაფიქსირება.
მარკეტინგული SDK CMP გარეშე: აკრძალვა CMP და სახელშეკრულებო TOMs ჩართვამდე.
Pbd/PbD არარსებობა: ჩართეთ პირადი მოთხოვნები PRD და Definition of Done.

20) შესაბამისობის შენარჩუნება (Run PIMS)

ყოველთვიურად: KPI/KRI მოხსენებები, RoPA ცვლილებების აუდიტი, სუბპროცესორების მონიტორინგი, DSAR SLA.
კვარტალი: retenshn/წაშლა, თემატური შემოწმება (მარკეტინგი, SDK, KYC).
ყოველწლიურად: PIMS- ის შიდა აუდიტი, კონტექსტის/რისკების განახლება, პერსონალის ტრენინგი, მენეჯმენტის მიმოხილვა.

TL; DR

ISO 27701 = PIMS თავზე ISMS: RoPA + ლეგიტიმური საფუძვლები/თანხმობა + DPIA/DSAR + მინიმიზაცია/გადაკვეთა + ტრანსსასაზღვრო და სუბპროცესორები + დადასტურებული TOMs. ჩვენ ვაწყობთ არსებულ RBAC/ABAC/JIT/ლოგებს და TPRM- ს - და ვიღებთ კონტროლირებად, გაზომილ კონფიდენციალურობას, რომელიც მზად არის შიდა და გარე შემოწმებისთვის.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

Telegram
@Gamble_GC
ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.