디자인 별 개인 정보 보호: 디자인 원칙

1) 필요한 이유 (목표 및 영역)

PbD는 프라이버시가 기본적으로 "붙여 넣기" 가 아닌 제품에 내장되어 있는지 확인합니다. iGaming의 경우 규제 위험 (GDPR/ePrivacy/로컬 법률) 을 줄이고 취약한 사용자를 보호하며 신뢰를 높이며 사고 비용을 줄입니다. 적용 범위: 웹/모바일, KYC/AML/RG, 결제, 마케팅/CRM, 분석/DWH, 로그/AWP, 파트너/공급 업체.

2) 7 가지 원칙 (및 운영에 착륙하는 방법)

1. 활동, 비 반응성

발견 단계에서 위협 모델링 (LINDDUN/STRIDE).
Jira/PR 템플릿의 개인 정보 보호 수락 기준.

2. 기본값으로 개인 정

계약이 없을 때까지 모든 마케팅/개인화 토글 스위치가 꺼져 있습니다.
"엄격히 필요한" 기본 식별자 만 수집하십시오.

3. 개인 정보 보호는 디자인에 내장되어 있습니다

PII는 PII없이 지역 회로 (데이터 레지던트), 제어 평면에 저장됩니다.
서비스 이벤트에서 키의 토큰 화/앨리어싱.

4. 전체 기능 (윈윈)

"익명 분석" 및 "동의하는 개인화" 모드.
추적을 거부 한 사람들을 차별하지 않고 동등한 UX.

5. 수명주기를 통한 보안

휴식/운송 중 암호화; BYOK/HYOK; 네트워크 세분화; 비밀 관리.
증거 및 감사에 대한 WORM 로그.

6. 투명도

주요 조건의 짧은 정책 및 "요약 상자"; 프로필의 개인 정보 패널.
보고: 누가/무엇/언제/왜 데이터에 액세스했는지.

7. 사용자 방향

간단한 텍스트, 어두운 패턴 부족, WCAG AA + 의 가용성.
쉬운 동의 철회 및 편리한 DSAR 채널.

3) 역할 및 RACI

DPO/준수 책임자-PbD 정책, DPIA/TRA, 위험 제어. (A)

보안/인프라 리드-암호화, 액세스, 로그, 공급 업체. (R)

제품/UX-기능의 개인 정보 보호 요구 사항, 어두운 패턴 부족. (R)

엔지니어링/아키텍처-토큰 화, 테넌트/지역 격리, API 계약. (R)

데이터/분석-PII 파이프 라인, PET, 집계. (R)

법적 근거, 텍스트 및 로케일. (C)

마케팅/CRM-동의/억제, 정직한 커뮤니케이션. (R)

내부 감사-아티팩트 샘플, CAPA. (C)

4) 데이터의 분류 및 분류

PII 기본: 전체 이름, 전자 메일, 전화, 주소, 생년월일, 장치의 IP/ID.
민감한 PII: 생체 인식 (셀카/활기), KYC 문서, 지불 세부 정보, RG/SE 상태.
운영실: 게임 이벤트, 로그/트레일 (기본적으로 PII 무료).
마케팅/분석: 쿠키/SDK (동의).

규칙: 최소화, 별도의 보관, 명시 적 목적 및 유효 기간.

5) 데이터 라이프 사이클

1. 수집 - 필요한 필드 만; CIW/동의; 연령 확인.
2. 전송 - TLS 1. 2 +/mSL, 웹훅 서명, 지역 라우팅.
3. 스토리지-암호화, 토큰 화, 키 회전, 시장 격리.
4. 사용-분석을위한 RBAC/ABAC, 알아야 할 PET.
5. 교환-DPA/SCC, 최소 세트, 감사 채널.

6. 보존/제거 - 카테고리 별 용어; 캐스케이드는 암호화 작업 삭제 아카이브를 삭제

7. 보고/감사-액세스 및 내보내기 로그, DPIA/DSAR 아티팩트.

6) DPIA/TRA (간단히 수행하는 방법)

방아쇠: 새로운 PII 범주, 특수 범주, 새로운 공급 업체, 국경 간 전송, 높은 RG/생체 인식 위험.
DPIA 템플릿: 목적 → 데이터 범주 → 법적 근거 → 흐름/맵 → 측정 값 (기술/org) → 잔류 위험 → 결정.
아티팩트: 흐름 다이어그램, 필드 목록, 위험 표, 승인 프로토콜.

7) PbD의 건축 패턴

세입자/지역 격리: 데이터베이스, 키 및 비밀의 물리적/논리적 분리.
제어 대 데이터 비행기: 글로벌 제어-PII 없음; 로컬에서만 PII.
De-PII 파이프 라인: DWH로 내보내기 전에-해시/소금, 잘림, k- 익명 성/코호테이션.
토큰 화 게이트웨이: 서비스 버스의 기본 식별자 대신 토큰.
PII가없는 가장자리: CDNA/가장자리 캐시-공개 컨텐츠 만 해당.
실패: 알 수없는 'player _ region' → PII 작업은 허용되지 않습니다.

8) 기술 조치 및 표준

암호화: 휴식 시간에 AES-256/GCM; TLS 1. 2+/1. 3; PFS.
키: KMS, BYOK/HYOK, 회전, HSM 역할 액세스, 주요 작업 기록.
액세스: RBAC/ABAC, JIT 액세스, 별도의 관리자 및 감사 역할.
로그: 불변의 (WORM), 해시 체인, 해당 지역의 스토리지.
DevSecOps: Vault의 비밀, SAST/DAST, PII 필드 린터, CI의 개인 정보 보호 테스트.
테스트 데이터: 기본 합성; 재 데이터가 식별되지 않고 짧은 보존 인 경우.

9) PET (개인 정보 보호 기술)

할당: ID를 토큰으로 대체; 키맵은 별도로 저장됩니다.
익명 화: 골재, k- 아노 니모 스트/리버티, 비닝/코호트.
차등 개인 정보 보호: 보고서의 소음, "개인 정보 보호 예산".
연방 분석: 로컬 모델, 가중치/집계 만 내보냅니다.
마스킹/편집: KYC 문서에서 편집, 분쇄 필드를 삭제하십시오.

10) 어두운 패턴이없는 UX

동일한 가시성 "모두 거부 "/" 모두 수락 "/" 사용자 정의"

대상 텍스트 및 데이터 사용 예를 지우십시오.
개인화하지 않으면 기본 경험이 손상되지 않습니다.
모든 곳에서 1-2 클릭의 개인 정보 패널; AA + 가용성.

11) 공급 업체 및 데이터 전송

공급 업체 레지스트리: DC 관할 구역, 하위 프로세서, 인증, 스토리지 영역, DPA/SCC/IDTA.
"최소 세트" 정책: 필요한 필드 만, 무료 수출은 없습니다.

위치/하위 프로세서를 변경할 때 알림 및 수정

12) 데이터 및 이벤트 (최소 모델)

data_asset{id, category{KYC    PCI    RG    CRM    LOG    ANON}, region, owner, retention_days, lawful_basis, pii{yes/no}}
processing_event{id, actor, purpose, lawful_basis, started_at, ended_at, records_count, export{yes/no, basis_id}}
access_log{id, subject_id_hash, actor, action{read/write/export/delete}, ts_utc, reason, ticket_id}
erasure_job{id, subject_id_hash, scope, started_at, completed_at, evidence_id}

13) KPI/KRI 및 대시 보드 PbD

PII 최소화 지수 (기능 당 평균 PII 필드 수).
거주 범위 (올바른 지역 기록의%).
수출 정당화 비율.
DSAR SLA (중간 성능/정확도).
태그 발사 위반.
감사 점수 (아티팩트 전체 패키지가있는 경우의%).
사건/발견.

14) 점검표

디자인 전 A

• 처리 목적과 법적 근거가 정의됩니다.
• PII/민감도로 표시된 데이터 맵 및 필드 목록.
• DPIA/TRA가 실행되었습니다. 잔여 위험이 수용됩니다.
• "익명 모드" 또는 최소 데이터가있는 모드가 고려됩니다.

B. 빌드/릴리스

• 관리자의 비밀, 키/암호화 구성.
• PII가없는 로그; 이벤트 및 감사가 가능합니다.
• 지역 라우팅 및 보존 정책이 활성화되어 있습니다.
• 테스트: 동의 게이트, 기본값으로 태그 거부, 소거 경로.

C. 작업 중

• 분기 별 액세스 및 수출 검토.
• 발사 위반 및 국경 간 요청 모니터링.
• DSAR/삭제는 정시에 수행됩니다. 인공물이 보존됩니다.

15) 템플릿 (빠른 삽입)

A) DPIA 템플릿 (짧음)

B) 현장 최소화 정책

C) 공급 업체와의 조항 (PbD 의무)

D) DSAR 응답 (셔터 속도)

16) 빈번한 실수와 피하는 방법

경우에 따라 수집 ". "→ 최소화 정책 + 체계의 코드 검토.
원시 로그는 APM에서 PII로 로그합니다. → 에이전트, 로컬 스토리지에 대한 마스킹/편집.
PII를 사용한 글로벌 DWH. → De-PII 집계/별칭 만.
DPIA/동의 아티팩트가 없습니다. → WORM 저장소, UI/텍스트의 자동 스냅 샷.
설명되지 않은 공급 업체/SDK. → 분기 별 등록, "회색" 연결 금지.

17) 30 일 이행 계획

1 주차

1. PbD 정책 및 DPIA/TRA 템플릿 승인.
2. 키 영역 (KYC/PCI/RG/CRM/Logs) 별로 데이터/스트림 맵을 작성하십시오.
3. 지역 경계 강조 (EU/UK/...); 키 모델 (BYOK/HYOK) 을 정의하십시오.

둘째 주

4) Tokenization/de-PII 파이프 라인을 사용하고 태그를 기본적으로 거부합니다.
5) WORM 로그 설정 (액세스/내보내기/동의/삭제).
6) 공급 업체 계약 업데이트 (DPA/SCC, 위치, 하위 프로세서).

셋째 주

7) CI (PII 린터, CMP 화면 고정, 소거 -E2E) 의 개인 정보 보호 테스트 구현.
8) 프로필에서 개인 정보 보호 패널의 릴리스; 텍스트와 로케일을 향상시킵니다.
9) 훈련 팀 (제품/Eng/데이터/CS/법률).

넷째 주

10) 상위 기능에 대한 DPIA 검토를 수행하고 CAPA를 닫습니다.
11) KPI/KRI 대시 보드를 시작하십시오 (주거, 수출, DSAR SLA).
12) 계획 v1. 1: diff. 보고서, 연합 파이프 라인에 대한 개인 정보.

18) 상호 관련 섹션

GDPR: 사용자 동의 관리/쿠키 및 CMP 정책

관할 구역별 데이터 현지화

연령 확인 및 연령 필터

AML/KYC 및 아티팩트 스토리지

준수 대시 보드 및 모니터링/규제 보고서

내부/외부 감사 및 감사 체크리스트

BCP/DRP/휴식 및 대중 교통 암호화