데이터 유출 절차
1) 목적과 범위
목표: 손상을 최소화하고 법적 요구 사항을 준수하며 개인/지불/운영 데이터의 확인 또는 유출 가능성이있는 정상 작동을 신속하게 복원합니다.
적용 범위: PII 플레이어 및 직원, 결제 아티팩트, 액세스 로그/토큰, KYC/AML 문서, 제휴/파트너 데이터, 기밀 제품 및 인프라 아티팩트.
2) "누출" 정의 및 기준
데이터 유출-보안 사고 또는 프로세스 오류로 인한 개인 데이터 (또는 기타 보호 된 정보) 의 기밀 유지, 무결성 또는 가용성 위반.
확인 된 대 용의자: 모든 지표 (SIEM 이상, 공급 업체/사용자의 메시지, 붙여 넣기 사이트) 는 반박 전에 절차를 시작합니다.
3) 심각도 분류 (예)
4) SLA 및 "사고 다리"
개시: Medium + 에서는 전쟁 실 (채팅/호출) 이 생성되고 IC (Incident Commander) 가 할당됩니다.
SLA: 낮음-24 시간· 중간-4 시간· 높음-1 시간· 중요-15 분
업데이트 중심: 30-60 분마다 (내부), 2-4 시간마다 (외부 이해 관계자).
5) RACI (확대)
6) 응답 절차 (단계별)
1. 식별 및 기본 검증
SIEM/EDR/사기 방지/공급 업체/사용자의 신호 → 사건 레지스터의 항목.
최소한의 사실 수집: 데이터 유형 및 관할권에 영향을 미치는 사실/언제/어디서/얼마나.
2. 격리
취약한 엔드 포인트/기능, 지오 세그먼트, 시간 제한, 동결 해제 비활성화.
키/토큰 회전, 액세스 취소, 손상된 계정 차단
3. 박멸
패치/설정 수정, 악성 아티팩트 청소, 이미지 재구성, 하위 프로세서 확인.
4. 복구 (복구)
카나리아 트래픽 진입, 회귀 모니터링, 무결성 점검 통과.
5. 법의학 및 영향 평가
부피, 민감도, 지역, 대상 위험 계산; 영향을받은 기록의 확인.
6. 알림 및 통신
DPO/Legal은 통지의 의무와시기를 정의합니다. 텍스트 준비; 수취인에게 분포.
7. 사후 및 CAPA
근본 원인 분석 (5 Whys), 소유자와의 교정/예방 조치 계획.
7) 72 시간의 창문 및 법적 수신자 (랜드 마크)
데이터 감시 (DPA) -피험자의 권리/자유에 대한 위험이 제외되지 않는 경우 심각한 누출이 감지 된 후 72 시간 이내에 알립니다.
사용자- "과도한 지연없이" 위험이 높은 (명확한 권장 사항 포함).
도박 규제 기관-플레이어/지속 가능성/보고에 영향을 줄 때.
은행/PSP-토큰/의심스러운 거래의 지불/손상 위험이 있습니다.
파트너/공급 업체-일반적인 흐름/데이터가 영향을 받거나 조치가 필요한 경우.
8) 법의학과 "증거의 양육권"
볼륨/로그의 스냅 샷, 해싱이있는 아티팩트 내보내기 (Ś-256).
사본/스냅 샷으로 만 작업; 소스 시스템-읽기 전용.
행동 프로토콜: 누가/언제/무엇을했는지, 명령/도구를 사용했습니다.
WORM/객체 스토리지의 스토리지; 제한된 액세스, 감사.
9) 커뮤니케이션 (내부/외부)
원칙: 사실 → 측정 → 권장 사항 → 다음 업데이트.
PAI를 게시하고, 테스트되지 않은 가설을 작성하고, 통제없이 마감일을 약속하는 것은 불가능합니다.
- 무엇을 찾을 수 있습니까?· 규모/범주· 현재 측정 및 위험· 다음 단계· HH: MM의 다음 업데이트
10) 공급 업체/하위 프로세서와의 상호 작용
사고 레지스터, 액세스 로그, 알림 SLA, 하위 프로세서 목록을 확인하십시오.
요청 보고서 (펜트/레이트), 데이터 삭제/반환의 기록 확인.
DPA 불일치의 경우-에스컬레이션 및 일시적인 격리/통합 중단.
11) 알림 템플릿 (조각)
11. 1 감독 기관 (DPA)
이벤트 및 탐지 시간, 범주/대략적인 데이터 양, 주제 그룹, 지리, 결과 및 위험, 취해/계획, DPO 연락, 응용 프로그램 (타임 라인, 해시 요약) 에 대한 간략한 설명.
11. 사용자 2 명
무슨 일이 있었는지; 영향을받은 데이터; 우리가 한 일; 할 수있는 일 (비밀번호 변경, 거래 제어, 피싱 팁); 연락 방법; FAQ/지원 센터에 연결합니다.
11. 3 파트너/PSP/레귤레이터
사실과 영향을받는 인터페이스; 예상되는 파트너 활동 마감일; 연락 담당자.
12) 사건 등록 (최소 필드)
ID· 발견/확인 시간· 심각성· 시스템/데이터· 범위/카테고리· 지리· 관련 공급 업체· 시간이 걸리는 동작· 알림 (~/언제)· 책임자 (RACI)· 아티팩트 참조· CAPA/마감일· 상태.
13) 측정 및 대상
MTTD/MTTC/MTTR (탐지/격리/복구).
72 시간에 알림의% - 100%.
근본 원인이 식별 된 사고의 비율은 90% 이상입니다.
CAPA는 95% 이상 닫힙니다.
한 가지 이유로 반복되는 사건
SLA (Medium/High/Critical) 에서 종료 된 사건의 비율: 90/95/99%.
14) 점검표
14. 1 시작 (처음 60 분)
- IC 할당 및 전쟁 실 개방
- 안정화 측정 (연결 해제/제한/키 회전)
- 최소한의 사실과 스크린 샷/로그 수집
- DPO/법률 통지, 예비 클래스 정의
- 동결 해제 및 로그 청소 프로토콜
14. 2 최대 24 시간
- 법의학: 범위/범주/지리 (초안)
- 알림 결정, 텍스트 준비
- 복구/무결성 계획
- WORM 증거 패키지, 이벤트 타임 라인
14. 3 최대 72 시간
- DPA/레귤레이터/PSP 알림 (필요한 경우)
- 사용자에게 전화 (위험이 높음)
- CAPA 계획, 소유자 및 타임 라인 업데이트
15) 전형적인 시나리오 및 측정
A) 스토리지 세그먼트를 열기 위해 지원 채팅 데이터
조치: 긴밀한 액세스, 재고 다운로드, 영향을받는 통지, S3/ACL 정책 강화, DLP 내보내기 규칙.
B) API 액세스 토큰의 타협
측정: 즉시 회전, 새로 고침 토큰 리콜, 통화 로그 확인, 웹 후크 재 서명, 트래픽 세분화.
C) 공급 업체를 통한 KYC 유출 스캔
조치: 통합 격리, 삭제 확인, 고위험 클라이언트 수동 재확인, DPA/공제 수정.
D) 공공 덤프 출판
측정: 아티팩트 수정 (해시), 링크 제거 (게시 중단), 알림, 추가 게시물 모니터링.
16) 규정 준수 및 개인 정보 보호와의 통합
GDPR 프로세스가있는 번들: DSAR, RoPA, DPIA/DTIA; 공급 업체/목표가 변경 될 경우 정책 및 쿠키/CIW 업데이트
위험 행렬에 사건을 포함시키고 임계 값/제어를 수정하십시오.
17) CAPA 및 사후 부검 (안정화 72 시간)
보고서 구조: 사실/타임 라인· 영향· 근본 원인· 작동/작동/작동· CAPA 목록 (소유자, 용어, 성공 기준)· 효과 점검 날짜 (30-60 일).
18) 프로세스 성숙도 로드맵
1 개월: 플레이 북, 연락처, 템플릿, WORM 아카이브, 알림 테스트 업데이트.
2 월: 탁상 운동 (PII 누출/공급 업체/토큰), SOAR 플레이 북.
3 개월 이상: 분기 별 회고전, 공급 업체 감사, 사기 방지/탐지 모델의 바이어스 테스트, 정기적 인 임계 값 수정.
TL; DR
누출의 경우: 신속하게 (격리), 정확하게 (법의학) 확인, 정시에 알림 (DPA/사용자/파트너), 투명하게 문서화 (레지스트리, 타임 라인, 증거) 및 근본 원인 (CAPA) 을 수정합니다. 그 결과 플레이어와 파트너의 피해, 규정 준수 및 신뢰 회복이 줄어 듭니다.