GH GambleHub

ISO 27701: 개인 정보 관리

1) ISO 27701이란 무엇이며 왜 iGaming 연산자입니까?

ISO 27701은 ISMS를 PIMS (Privacy Information Management System) 로 확장하는 ISO 27001 및 27002의 추가 기능입니다.
iGaming의 경우: 개인 정보 보호 요구 사항 (GDPR/UK GDPR/ePrivacy 등) 에 대한 입증 된 준수, 규제 기관/은행/KYC/PSP 파트너와의 작업 가속화, 벌금 위험 감소 및 공급 업체 관리 단순화.

2) PIMS 범위와 맥락

정의:
  • 역할 및 경계: 어떤 프로세스가 컨트롤러, 어디에 프로세서가 있는지; 스코프에 포함 된 브랜드/지역/프로세스
  • 데이터 범주: 등록, 지불, KYC/AML/제재, 행동 이벤트, RG 신호, 지원, 마케팅/SDK.
  • 법적 의무: 지역 개인 정보 보호법, 라이센스 조건, 파트너와의 계약.

출력: PIMS 스코프 및 컨텍스트 문서 + 이해 관계자 맵.

3) 주요 역할과 책임

역할PIMS의 책임
이사회/CEO개인 정보 보호 정책, 리소스 및 목표 승인
DPO (데이터 보호 책임자)독립적 인 개인 정보 보호 감독, 상담 및 DPIA, 연락처
개인 정보 보호 책임자/PIMS 소PIMS 운영 관리, 지표, 보고
법률/준수법적 근거, 조약 (DPA/SCC), 국경 간
보안/ISMS기술 및 조직 조치 (TOM), 로깅
도메인 소유자데이터 세트 및 처리 목표의 소유권
데이터/BI마스킹, RLS/CLS, 개인 정보 보호 임계 값
마케팅/CRMCIW/동의, 프로파일 링, 유지
TPRM/조달공급 업체 및 하위 프로세서: 실사, DPA, SLA

4) ISO 27701 ISO 27001 번들

ISMS (27001/27002): 보안 기반 (자산, 위험, 통제).
PIMS (27701): 개인 정보 보호 정책, 처리 합법성, 주제의 권리, 데이터 수명주기, 계약 및 국경 간 메커니즘을 추가합니다.
SoA/신청성 명세서: PIMS 개인 제어에 의해 확장되었습니다.

5) 처리 등록 (RoPA) 및 데이터 맵

각 프로세스: 목적, 법적 근거, 주제/데이터 범주, 유효 기간, 수령인/서브 프로세서, 지리, TOM, DPIA 플래그.

RoPA 패턴 (조각): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) 합법적 인 기초 및 동의

계약/법적 의무: 지불, KYC/AML, 사기 예방.
합법적 인 관심사: 기본 분석/보안 (필요한 경우 리드 스코어링 및 옵트 아웃 포함).
동의: 엄격하게 필요하지 않은 목적, 특정 유형의 프로파일 링을위한 마케팅, 쿠키/SDK.
특별 범주: 명확한 근거와 강화 된 조치만으로.

CIW/동의 관리: 정책 버전/배너 기록, 목적에 따른 세분성, 리콜 가능성.

7) DPIA/PIA-개인 정보 보호 영향 평가

언제: 새로운 기술, 대규모 처리, 민감한 데이터, 체계적인 프로파일 링, 국경 간.
내용: 처리, 필요성 및 비례 성 설명, 주제의 권리에 대한 위험, 완화 조치.
종료: 결정 (이동/재 작업/거부) + CAPA 계획 및 날짜 제어.

8) 데이터 주제 권리 (DSAR)

권리: 액세스, 수정, 삭제, 제한, 이식성, 이의 제기, 프로파일 링/마케팅 거부.
SLA: 신속하게 요청을 확인하고 예정된 기간 내에 실행하십시오.
실행 흐름: 신원 확인 → 데이터 수집 → 응답/실행 → 로그.

"블라인드 언로드" 금지: 위장과 통나무가있는 창문을 통해서만; 프라이버시 임계 값.

9) 최소화, 마스킹 및 보존

데이터 최소화: 목적에 필요한 것 만 저장하십시오. "죽은" 필드를 정기적으로 삭제/익명화합니다.
마스킹/앨리어싱: PII의 기본값; 마스킹 해제-JIT + '목적' + 감사.
보존 행렬: 프로세스/범주 당 보존 기간, 정지 요인 (법적), 자동 삭제/보관.

10) 국경 간 전송 및 하위 프로세서

계약 배열: DPA, SCC/IDTA, DTIA (전송 평가).
데이터/키의 위치: 물리적 데이터/키 (KMS/HSM), VUOK 정책/지역 키.
하위 프로세서 등록: 변경 사항 알림, 이의 제기 권리, TOM 레벨이 우리보다 낮지 않습니다.

11) 디자인/기본값으로 개인 정보 보호

설계 단계: PRD의 데이터 보호 요구 사항, 개인 위협이있는 위협 모델링 템플릿.
구현: RLS/CLS, 토큰 화, 암호화, 최소 API 스코프, PII가없는 원격 측정.
기본적으로: 선택적 추적기가 비활성화되어 지역/테넌트 당 개별 키/네임 스페이스가 비활성화됩니다.

12) PIMS 로깅, 비용 및 감사

'READ _ PII', 'EXPORT _ DATA', 'PII _ UNMASK', 'CONSENT _ Updates', 'DSAR _', 'BREACH _'.
보고: RoPA 상태, DPIA 캠페인, DSAR SLA/백 로그, 유지 삭제, 공급 업체 변경, 위반/사건.
감사: 매년 (또는 변경된), 개인 컨트롤의 설계/운영 효과 점검.

13) PIMS 지표 (KPI/KRI)

KPI:
  • DSAR 정시 95%
  • RoPA의 관련 관련 98%
  • 위험 실체에 의한 DPIA 적용 범위 = 100%
  • 유지에 의한 자동 제거 비율 (95%)
  • CMP 포함 수준 (기록 된 동의 기록) = 100%
KRI:
  • '목적' 이없는 PII 액세스 = 0
  • 무단 내보내기/전송 = 0
  • 사건/누출 늦게 = 0
  • 활성 전송을 위해 DPA/SCC가 누락됨 = 0

14) 기존 컨트롤과의 통합

IGA/RBAC/ABAC/JIT/PAM: 권리 최소화 및 상황 별 액세스 조건.
로그 정책 및 감사 추적: PII 조치 증명.

TPRM 및 계약: DPA/SCC/DTIA, 감사 권한, SLA 알림

ISO 27001/ISMS: 일반 위험 모델, SoA 및 내부 감사.
사고 및 누출: 플레이 북 위반, 벤더와의 공동 전쟁 실.

15) 아티팩트 패턴 (조각)

15. 1 개인 정보 보호 정책 (내부 발췌)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 마스킹 해제 정책

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR 프로세스

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 유지 매트릭스 (조각)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (절차)

16. 1 RoPA 업데이트

1. 제품/소유자 → 프로세스 카드 → 법률/개인 정보 보호 → 보안 TOM → 출판 및 버전.

16. 2 DPIA

1. 위험 심사 → DPIA 템플릿 → DPO 상담 → CAPA → 결정 및 타이밍

16. 3 DSAR

1. 수락 → 쇼케이스를 통해 → 수집 및 필터링 → 응답/실행 → 로깅 및 닫기.

16. 4 공급 업체/전송

1. 실사 → DPA/SCC/DTIA → 서브 프로세서 레지스트리 → 모니터링 → 오프 보딩 및 삭제 확인.

17) RACI (확대)

활동이사회/CEODPO프라이버시 리드법률/준수보안도메인 소유자데이터/BITPRM
PIMS 정책/목표ACRCCC나는나는
RoPA/유지나는A/RRA/RCRR나는
DPIA/PIA나는A/RRA/RCRC나는
DSAR나는A/RRCCCR나는
공급 업체/전송나는ARA/RCC나는R
감사/측정나는ARCC나는RC

18) 구현 로드맵 (8-10 주)

1-2 주: 범위/상황, 역할 및 RACI, 프로세스/데이터 인벤토리, 초안 RoPA 및 유지 행렬.
3-4 주: 개인 정보 보호 정책, CMP/동의 흐름, DSAR 프로세스, DPIA 템플릿, 공급 업체와의 DPA/SCC/DTIA 업데이트.
5-6 주: TOM 구현 (마스킹, RLS/CLS, JIT/PAM), DSAR, WORM 로그, KPI/KRI보고 용 쇼케이스.
7-8 주: 고위험, 가까운 CAPA, PIMS 내부 감사, 관리 검토 (PIMS) 에 관한 DPIA.
9-10 주: 조정, 정기보고 시작, 외부 평가 준비 (필요한 경우).

19) 빈번한 실수와 피하는 방법

RoPA "쇼": 각 항목을 목표, 기지 및 보류에 연결합니다. 라이브 버전을 유지하십시오.
"원시" 데이터베이스를 통한 DSAR: 마스킹 및 로그가있는 쇼케이스/내보내기 만.
국경 간 DTIA 없음: 미리 발행하고 데이터/키의 위치를 수정하십시오.
비 CMP 마케팅 SDK: CMP 및 계약 TOM이 포함될 때까지 금지합니다.
Pbd/PbD 없음: PRD 및 Done의 정의에 개인 정보 요구 사항을 포함하십시오.

20) PIMS 실행

월간: KPI/KRI 보고서, RoPA 변경 감사, 서브 프로세서 모니터링, DSAR SLA.
분기 별: 유지/삭제, 주제 점검 (마케팅, SDK, KYC) 검토.
연례: PIMS 내부 감사, 상황/위험 업데이트, 직원 교육, 관리 검토.

TL; DR

ISO 27701 = ISMS에 대한 PIMS: RoPA + 법적 근거/동의 + DPIA/DSAR + 최소화/유지 + 국경 간 및 서브 프로세서 + 입증 가능한 TOM. 기존 RBAC/ABAC/JIT/에 로그와 TPRM을 구축하고 관리되고 측정 가능한 개인 정보 보호를 받고 내부 및 외부 점검을 준비합니다.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

Telegram
@Gamble_GC
통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.