Маалыматтарды коргоо жана купуялуулук

1) Эмне үчүн керек (iGaming/fintech контекстинде)

iGaming жана fintech PII/findata, биометрия (селфи-жашоо), жүрүм-турум жана төлөм сигналдары менен иштетилет. Купуялык бузуулар лицензияларга, PSP өнөктөштүктөрүнө, SEO/аброюна жана финансылык натыйжаларга зыян келтирет. Максаты - UX өлтүрүү жана конверсия жок иштетүү мыйзамдуулугун, коопсуздугун жана ачык-айкындуулугун камсыз кылуу.

2) Укуктук принциптер жана ролдор

Негизги принциптер: мыйзамдуулук, адилеттүүлүк жана ачык-айкындуулук; максатты чектөө; минималдаштыруу; тактык; сактоону чектөө; бүтүндүгү жана купуялуулугу; жоопкерчилик.

• Board/Exec: тобокелдик табити, саясатты бекитүү, ресурстар.
• DPO (маалыматтарды коргоо кызматкери): көз карандысыз көзөмөл, DPIA/DSR, кеп.
• Security (CISO): техникалык көзөмөл, окуялар, иш-аракеттер журналы, DLP.
• Engineering/Data: архитектура "privacy by design/default", маалыматтар каталогу.
• Compliance/Legal: укуктук негиздер, келишимдер, трансчек аралык которуулар.
• Operations/Support: субъекттердин суроо-талаптарын жана жол-жоболорун иштеп чыгуу.

3) Маалыматтардын категориялары жана мыйзамдуу негиздери

Категориялар: идентификациялык (аты-жөнү, DOB), байланыш, төлөм (токендер), биометрия (селфи/face-template), жүрүм-турум (сессиялар, тарифтер), техникалык (IP/UA/Device), KYC/AML-артефакттар, логилер, ошондой эле атайын категориялар - катуу зарыл.

• Келишим (contract): эсеп, төлөмдөр, төлөмдөр, транзакциялык билдирүүлөр.
• Мыйзам (мыйзамдуу obligation): AML/KYC, бухгалтердик эсеп, салык милдеттери, курактык текшерүү.
• Легитимдүү кызыкчылык (LIA): анти-тир, коопсуздук, UX жакшыртуу (кызыкчылыктардын балансын сыноо).
• Макулдук: маркетинг жөнөтүүлөр, кошумча кукилер, бир катар юрисдикцияларда биометрия.
• Иштетүү операцияларынын реестринде негиз тандоону документтештириңиз.

4) Privacy by Design / by Default

Долбоорлоо: Чичи башталганга чейин DPIA (купуялыкка тийгизген таасирин баалоо), коркунучтарды моделдөө (STRIDE/LINDDUN) жүргүзүлөт.
демейки: минималдуу талаа топтомдору, өчүрүлгөн кошумча трекерлер, жабык кирүү.
Айлана-чөйрөнү изоляциялоо: чыныгы PD жок dev/этап (же маскировка/синтетика менен).
Схемаларды версиялоо: ПД боюнча миграциялык пландар менен миграция.

5) Маалыматтар архитектурасы жана коопсуздук

• Zone A (Transactional PII): токенизацияланган төлөмдөр, KYC артефакттары; кирүү - RBAC/ABAC боюнча катуу.
• Zone B (Analytics Pseudonymized): псевдонимдер/хэштер, бириктирилген окуялар; түздөн-түз де-идентификацияга тыюу салуу.
• Zone C (Anonymized BI): Anonymous отчеттуулук агрегаттары/ML-окутуу.

• In transit шифрлөө (TLS 1. 2 +) жана at rest (AES-256), HSM/KMS ачкычтары; ачкычтарды айлантуу.
• Псевдонимдештирүү (туруктуу токендер) жана анонимдештирүү (диффиваттуулук, жарыялоо/изилдөө үчүн k-анонимдүүлүк).
• Жашыруун башкаруу: vault, zero-trust кирүү, бир жолу токендер.
• Логи жана аудит: өзгөрүлбөс WORM-маанилүү окуялар сактоо, жолдорду; массалык түшүүлөрдү көзөмөлдөө.
• DLP: түшүрүү эрежелери, суу белгилери, мониторинг "exfiltration".
• Endpoint/Access: SSO/MFA, Just-in-Time Access, убактылуу ролдору, гео/IP чектөөлөрү.
• Ишенимдүүлүк: шифрлөө backaps, калыбына келтирүү тесттер, blast-radius минималдаштыруу.

6) DPIA/DTIA: качан жана кантип

DPIA жогорку тобокелдик менен милдеттүү болуп саналат (масштабдуу иштетүү, RG/Frod, биометрия, жаңы булактары үчүн кароо).

1. PD максаты/иштеп чыгуу жана категорияларынын баяндамасы.

2. Негиз жана зарылчылык/шайкештик (минималдаштыруу, чектөөлөр).

3. Субъекттердин укуктары/эркиндиктери үчүн тобокелдиктерди баалоо, ыктымалдуулук/таасир этүү.

4. Жумшартуу чаралары (тех/орг), калдык тобокелдик, иш-аракеттер планы.

DTIA (трансчегаралык которуулар): алуучу өлкөнүн укугун талдоо, келишимдик жана ошол чаралар (шифрлөө, SCC/аналог), мамлекеттердин тобокелдиги.

7) Маалымат субъекттеринин укуктары (DSR)

Суроолор: кирүү, оңдоо, алып салуу, чектөө, сабырдуулук, каршы чыгуу/маркетингден баш тартуу.

• өтүнмө ээсин текшерүү (агып жок).
• Чечимди логирлөө менен өз убагында (адатта 30 күн) аткарыңыз.
• Өзгөчөлүктөр: жөнгө салуучу/келишимдик милдеттенмелер (мисалы, AML-артефакттарды сактоо).
• Автоматташтырылган чечимдер: логика (explainability) жана адам тарабынан кайра карап чыгуу укугу жөнүндө олуттуу маалымат берүү.

8) Сактоо мөөнөтү жана алып салуу

Retenshn-матрица: PD ар бир категориясы үчүн - максаты, мөөнөтү, негизи, алып салуу/анонимизациялоо ыкмасы.
AML/KYC/каржы көп учурда мамилелер аяктагандан кийин ≥ 5 жыл талап кылат - жергиликтүү мөөнөттөрдү белгилөө.
Deletion pipeline: белгиленген алып салуу → кечиктирилген кайтарымсыз тазалоо → алып салуу жөнүндө отчет; убакыт боюнча бэкап боюнча каскад.

9) Cookie/SDK/трекерлер жана маркетинг

Гранулярдык макулдук панели керек (милдеттүү/функционалдык/аналитикалык/маркетинг).
Cookies/SDK так максаты, өмүр бою, провайдер, үчүнчү жактарга өткөрүп берүү.
Жарнамалоо үчүн Do-Not-Track/Opt-out; жергиликтүү талаптарды (баннер, реестр) сыйлайбыз.
Сервердик аналитика/агрегация - агып чыгууларды азайтуу үчүн артыкчылыктуу болуп саналат.

10) Чек ара өткөрмөлөрү

Укуктук инструменттер: келишимдик жоболор (SCC/аналог), корпоративдик эрежелер, жергиликтүү механизмдер.
Техникалык чаралар: которууга чейин шифрлөө, келип чыккан өлкөдө ачкычтарга жетүүнү чектөө, талааларды минималдаштыруу.
Мамлекеттик органдардын кирүү тобокелдиктерин баалоо: DTIA + кошумча чаралар (split-key, мүмкүн болгон жерде кардар шифрлөө).

11) Сатуучуларды жана үчүнчү жактарды башкаруу

Камсыздоочунун аудити: лицензиялар/сертификаттар, SOC/ISAE, окуялар, иштетүү географиясы.
DPA/иштетүү актылары: максаты, PD категориялары, мөөнөттөр, субпроцессорлор, breach-билдирүүлөр ≤ 72 саат, аудит укугу.
Техникалык көзөмөл: шифрлөө, RBAC, логинг, кардарларды изоляциялоо, бузулууга туруктуулук тесттери.
Үзгүлтүксүз мониторинг: жыл сайын карап чыгуу, өзгөрүүлөр учурунда окуя кайра карап чыгуу.

12) Окуялар жана билдирүүлөр

1. Аныктоо жана классификациясы (PII scope/criticity).

2. Изоляция, форензия, жоюу, калыбына келтирүү.

3. Субъекттер үчүн тобокелдикти баалоо, жөнгө салуучуга жана пайдалануучуларга маалымдоо жөнүндө чечим.

4. Байланыш (ашыкча ачыкка жок), PSP/өнөктөштөр менен макулдашуу.

5. Пост-деңиз жана контролдорду/саясатты жаңылоо.

SLO: баштапкы баа ≤ 24 саат; жергиликтүү укук мөөнөттөрүндө жөнгө салуучуга/аффектилерге билдирүү; алсыздык retest.

13) Метрика жана сапатын контролдоо

DSR SLA: суроо-талаптардын үлүшү өз убагында жабылат, жооп берүүнүн орточо убактысы.
Data Minimization Index: Fich боюнча талаалардын/окуялардын орточо саны; өчүрүлгөн кошумча трекерлердин үлүшү.
Access Violations: саны/тренд уруксатсыз кирүү/чыгаруу.
Encryption Coverage: шифрлөө жана ачкычтарды айлантуу менен% таблицалар/бакеттер/backaps.
Incident MTTR/MTTD: аныктоо/жоюу убактысы, кайталануу.
Vendor Compliance: сын-пикирлерди өткөрүү, сын-пикирлерди жабуу.
Retention Adherence: убакыт боюнча өчүрүлгөн жазуулардын үлүшү.

14) Саясат жана документтер (wiki үчүн скелет)

1. Маалыматтарды коргоо саясаты (принциптер, ролдор, аныктамалар).
2. Иштетүү операцияларынын реестри (максаттары, негиздери, категориялары).
3. DPIA/DTIA жол-жобосу (шаблондор, триггерлер).
4. Субъекттердин укуктары саясаты (DSR) (агымдар, SLA, шаблондор).
5. Кайра иштетүү жана алып салуу саясаты (матрица, процесстер).
6. Cookie/SDK саясаты (макулдук панели, реестр).
7. Инциденттер жана билдирүүлөр саясаты (RACI, мөөнөттөр, формалар).
8. Сатуучу-башкаруу жана DPA (чек-баалоо барактары, үлгүлөрү).
9. Security baseline (шифрлөө, кирүү, логиндер, DLP).
10. Окутуу жана маалымдуулук (программалар, тесттер).

15) Чек-баракчалар (операциялык)

• DPIA өткөрүлдү, тобокелдик жана чаралар DPO тарабынан бекитилген.
• Максаттар/негиздер аныкталды, реестр жаңыланды.
• Минималдаштырылган талаалар, өзүнчө зонада PII, dev/этапта жашыруу.
• Cookie/SDK эске алынган, баннер орнотулган, Opt-in/Opt-out параметрлери текшерилген.
• Логи/метрика/Алерт орнотулган, retenshn жана алып салуу жазылган.

• Кирүү Review (RBAC/ABAC), "унутулган" укуктарды кайра чакыртып алуу.
• Backup калыбына келтирүү сыноо.
• DPA жана субпроцессорлорду текшерүү, SDK инвентаризациясы.
• Аудит retenshn жана иш жүзүндө алып салуу.
• IR-план окутуу (table-top).

• Арыз ээсин текшерүү.
• Системалардын реестринен маалыматтарды чогултуу; AML/укуктук өзгөчөлүктөр үчүн кызыл сызыктар.
• жооп жана өз убагында логин; байланыш үлгүлөрү.

16) Этика, ачык-айкындуулук жана UX

Максаттар/трекинг жөнүндө түшүнүктүү билдирүүлөр, "катмар" купуялык саясаты (кыскача + деталдар).
Гранулярдык макулдук өчүргүчтөрү, маркетингден оңой баш тартуу.
Автоматташтырылган чечимдер үчүн Explainability (Frode/RG): себептери, кайра карап чыгуу укугу.
Жашыруун "караңгы үлгүлөрдөн" алыс болуңуз; максаттуу үчүн сезимтал белгилерди колдонбогула.

17) Ишке ашыруунун жол картасы

1. Маалыматтарды жана системаларды инвентаризациялоо; PD агымынын картасы.
2. DPO дайындоо, саясат жана RACI бекитүү.
3. Иштетүү операцияларынын жана негиздеринин каталогу; DPIA/DTIA контурун ишке киргизүү.
4. Маалымат зоналарын бөлүү, шифрлөө/ачкычтар, DLP/журналдар, retenshn-paypline.
5. Макулдук панели, cookie/SDK реестри, сервер аналитикасы.
6. Vendor-ревю жана DPA; субпроцессорлорду көзөмөлдөө.
7. IR ойнотмо, машыгуу, метрика жана үзгүлтүксүз отчеттуулук Board.

Жыйынтык

Ишенимдүү маалыматтарды коргоо бир гана шифрлөө эмес: бул PD жашоо циклин башкаруу системасы - максаттардан жана негиздерден минималдаштырууга, коопсуз архитектурага, DPIA/DTIA, субъекттердин укуктарына, инциденттерге жана метриктерге чейин. "Демейки" купуялуулукту жана процесстердин тартибин орнотуу менен, сиз жөнгө салуучулардын жана төлөм өнөктөштөрүнүн талаптарын аткарып, конверсияны кармап, оюнчулардын ишенимин бекемдейсиз.