Өлкөлөр ортосунда маалыматтарды берүү

1) Максаты жана аймагы

Жеке маалыматтардын (PII) жана операциялык комплекттердин (KYC/AML, төлөмдөр, RG/SE, CRM/маркетинг, оюн телеметриясы, логи/ARM, аналитика/DWH) башкарылуучу жана далилденүүчү коопсуз моделин түзүү i Gaming жана ар кандай юрисдикциялардын маалыматтарды коргоо мыйзамдары. Документ "Маалыматтарды локалдаштыруу", "Өчүрүү жана анонимизациялоо", "GDPR: макулдук", "DSAR" бөлүмдөрүн толуктайт.

2) Негизги түшүнүктөр жана принциптер

Трансчек аралык берүү - субъекттин/маалыматтардын "үй" юрисдикциясынан тышкары ар кандай жеткиликтүүлүк/реплика/иштетүү.
Адекваттуулук/эквиваленттүүлүк - алуучу өлкөнү коргоонун жетиштүүлүгү жөнүндө жөнгө салуучу чечимдер.
Келишимдик механизмдер - стандарттык келишимдик жоболор, жергиликтүү аналогдор, кошумча макулдашуулар.
TIA (Transfer Impact Assessment) - конкреттүү которуунун укуктук/техникалык тобокелдиктерин баалоо.
Эгемендүүлүк/резиденттүүлүк - сактоо орду жана жергиликтүү контролдоо укугу.

1. Local-first: мүмкүн болушунча жергиликтүү иштеп чыгуу; сыртка - минималдуу жана эрежелер боюнча.

2. минималдаштыруу: "так канча керек"; жакшыраак агрегаттар/псевдонимдер.

3. Криптография жана изоляция: шифрлөө, аймактагы ачкычтар, control/data plane бөлүштүрүү.

4. Далилдөө: ар бир берүү журналы, TIA артефакттары жана негиздери.

5. Fail-closed: эч кандай негиз же TIA - эч кандай өткөрүп берүү.

3) Ролдору жана RACI

DPO/Head of Compliance (Owner) - саясат, уруксат, ТИА, өзгөчөлүктөр. (A)

Legal - өткөрүп берүү механизмин тандоо, келишимдер, жергиликтүү талаптар. (R)

Security/Infra - шифрлөө, KMS/HSM, тармактык периметрлер, аудит. (R)

Data Platform/Analytics - де-PII/атын атагысы келбеген, федералдык/кохорт отчеттор. (R)

Engineering/SRE - багыттоо, токендөө, экспортту көзөмөлдөө. (R)

Vendor Manager - субпроцессорлордун реестри, тастыктоо, offboarding. (R)

Internal Audit - экспонаттардын үлгүлөрү, CAPA. (C)

4) Агымдардын картасы (Data Transfer Map)

Булак → максаты (өлкө/булут/сатуучу) → маалымат категориясы → максаты → укуктук негизи → берүү механизми → коргоо (тех/орган) → сактоо мөөнөтү → жоопкерчилик.
Графикалык түрдө белгиленет: колдоо/CS, талдоо/отчеттуулук, фрод/тобокелдик скоры, оюн провайдерлери жана PSP, аффилиаттар.

5) Укуктук механизмдер (каркас)

1. адекваттуулук жөнүндө чечим (эгер колдонулса): жөнөкөйлөтүлгөн жол, бирок дагы эле TIA-артефакттар жана сатуучу менен келишимдер керек.
2. Стандарттык/типтүү контракттык жоболор жана жергиликтүү аналогдор: милдеттүү тиркемелерди (категорияларды, максаттарды, чараларды) камтыйт.
3. Binding/кошумча макулдашуулар: субпроцессорлордун милдеттерин, мамлекеттик органдардын суроо-талаптары жөнүндө билдирүүлөрдү тактайт.
4. Мыйзам боюнча өзгөчөлүктөр: максаттуу жана сейрек кездешүүчү (турмуштук кызыкчылыктар, келишим талабы) - системалуу экспорт үчүн эмес.
5. Топ ичиндеги эрежелер: холдингдер үчүн - көзөмөлү бар корпоративдик инструменттер.

6) Transfer Impact Assessment (TIA)

Себеп: жаңы сатуучу/өлкө, жаңы максат, жаңы категориялар (биометрия, RG/SE), ачкычтын же каттамдардын режимин өзгөртүү.

• берүү баяндамасы (маалыматтар/көлөмү/жыштыгы/катышуучулары).
• Алуучу өлкөнүн укуктук чөйрөсү (мамлекеттик органдардын кирүү тобокелдиктери, субъекттерди коргоонун укуктук каражаттары).
• Техникалык чаралар: шифрлөө, ачкычтар (BYOK/HYOK), псевдонимизация, split-processing.
• Уюштуруу чаралары: NDA, окутуу, "need-to-know", журнал, суроо-жооп.
• Калдык тобокелдик/чечим: уруксат/өзгөртүү/тыюу салуу; кайра карап чыгуу мөөнөтү.

TIA кыска үлгү: кара § 15C.

7) Техникалык жана уюштуруу чаралары

7. 1 Крипто жана ачкычтар

At rest: AES-256-GCM; in transit: TLS 1. 2+/mTLS; PFS.
KMS: BYOK (биз ачкычтар бар), HYOK артык (ачкычтар аймакта кала берет); рыноктор/тенанттар боюнча сегменттөө; ачкычтар менен операциялардын өзгөрүлбөс аудити.
Crypto-shredding: мөөнөтүндө арыздар жана архивдер үчүн.

7. 2 минималдаштыруу жана де-идентификация

экспорттун алдында псевдонимизациялоо (token gateway), аймакта өзүнчө mapping сактоо.
Агрегаттар, k-anonymability/күнүн жана гео, сейрек категорияларын басуу.
PII-free логи/ARM жана макулдугусуз нөлгө идентификаторлору менен server-side tagging.

7. 3 жылуулоо учак

PII жок Global control-plane; PII менен data-plane жергиликтүү.
өтүнүч негиздемеси жана журнал менен прокси катмары аркылуу PII жетүү.

7. 4 Мамлекеттик органдардын суроо-талаптары

Реакциянын контуру: мыйзамдуулукту текшерүү, талашуу, көлөмдү минималдаштыруу, билдирүү (уруксат берилсе), суроо-талаптардын реестрине жазуу.

8) Маалымат категориялары жана берүү эрежелери

9) Сатуучулар жана субпроцессорлор

Реестр: юр. адам, DC өлкөлөрү, субпроцессорлор, сертификация, берүү механизмдери, ачкыч режими.
Келишимдер: DPA + SCC/аналогдор, 30 күн ≥ жайгаштыруу/субпроцессорлор жөнүндө билдирүүлөр, аудит/сурамжылоо укугу, backup локализациялоо милдеттенмелери, SLA инциденттери жана DSAR.
Onbording/review: TIA, пентест/аттестация, тест "үлгү өткөрүп берүү".
Offboarding: экспорт/алып салуу/крипто-shred + ырастоо (evidence).

10) Backup, Логи жана аналитика

Бэкаптар: ошол эле аймакта; чет өлкөгө экспорт - шифрленген түрдө гана + HYOK; убакыт жеткенде - крипто-shred.
Логи/ARM: PII-эркин демейки; жок болсо - жергиликтүү сактоочу жай, кыска ретенция.
Аналитика/DWH: глобалдык отчеттор гана агрегаттар/кохорттор; чийки идентификаторлорго аймактан тышкары тыюу салуу.

11) Процесстер жана окуялар

Аркылуу жараян: суроо-талап → рыноктук кароо текшерүү → механизм тандоо → TIA → макулдашуу → техникалык чаралар → ишке → мониторинг → экспонаттар/аудит.

• `xborder_transfer_requested/approved/denied`
• 'transfer _ executed' (көлөм/убакыт/сатуучу)
• `key_accessed_for_transfer` (KMS audit)
• `gov_request_received/responded`
• `vendor_location_changed`
• `transfer_review_due`

12) Маалыматтар жана экспонаттар (модель)

transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI жана дашборд

X-Border Transfer Rate (максаттар/сатуучулар/өлкөлөр боюнча).
TIA Coverage (учурдагы TIA менен% берүү).
BYOK/HYOK Coverage (аймактык ачкычтар менен берүү үлүшү).
Anonymized Export Share (агрегаттарда/псевдонимдерде% экспорт).
Vendor Location Drift (орун өзгөртүү окуялар).
Gov Request Count жана орточо жооп убактысы.
Auditability Score (экспонаттардын толук пакети менен% жазуулар).

14) Чек-баракчалар

A) берүү алдында

• Максаты жана мыйзамдуу максаты тастыкталган.
• Механизм тандалган (шайкештик/келишим/аналог), ТИА аткарылды.
• Псевдонимизациялоо/анонимизациялоо орнотулган; көлөмү минималдаштырылган.
• KMS/ачкычтар: BYOK/HYOK, журнал кирет.
• сатуучу менен келишим: DPA + SCC/аналогу, DC/субпроцессорлорду өзгөртүү жөнүндө билдирүүлөр.
• Rezidention backaps жана крипто-shred планда.

B) Операцияларда

• Мониторинг 'vendor _ location _ changed' жана алерталар.
• TIA жана механизмдерин мезгил-мезгили менен кайра карап чыгуу.
• DSAR/алып салуу туура алуучунун периметри (же атын атагысы келбеген аркылуу) колдонулат.
• тиштүү жана KMS аудит аудит үчүн жеткиликтүү.

C) Аудит/жакшыртуу

• Чейректик үлгүлөрү 'transfer _ record' толук.
• CAPA окуялар/даттануулар/жөнгө салуучу табылгалар.
• сыноо "кайра кирүү" сатуучу + алып салуу ырастоо.

15) Үлгүлөр (тез киргизүү)

A) Клауза "чек ара өткөрүп берүү"

B) Мамлекеттик органдын өтүнүчү жөнүндө билдирүү

C) Кыска TIA (one-pager)

16) 30 күндүк ишке ашыруу планы

1-жума

1. Чек ара берүү саясатын, RACI жана TIA/DPA үлгүлөрүн бекитүү.
2. Учурдагы агымдардын картасын жана сатуучулардын/жайгашкан жерлердин/ачкычтардын реестрин түзүү.
3. рыноктордо KMS орнотуу (BYOK/HYOK), өзгөрүлбөс ачкычтар аудит кирет.

Жума 2

4) экспорттоо жана PII-free логи/ARM алдында псевдонимизацияны киргизүү.
5) реестрин баштоо 'transfer _ record '/' tia' (WORM-экспонаттар).
6) Критикалык сатуучулар менен келишимдерди жаңыртуу: жайгашкан жерлер, билдирүүлөр, offboarding-процедуралар.

Жума 3

7) учкуч 2-3 агымдар (CS, DWH отчеттор): Anonymized Export Share, BYOK Coverage өлчөө.
8) Продукт/CS/BI/Юридикалык мамлекеттик органдардын суроо-талап жол-жоболору жана эскалация боюнча окутуу.
9) Alerty 'vendor _ location _ changed' туташтыруу.

4-жума

10) Толук релиз; dashboard KPI/KRI жана чейректик TIA review.
11) CAPA табылгалар боюнча; план v1. 1 - федеративдик аналитика/дифф. отчеттордо купуялуулук.
12) бир сатуучу offboarding сыноо: алып салуу/крипто-shred, ырастоо.

17) Өз ара байланышкан бөлүмдөр

Юрисдикциялар боюнча маалыматтарды локалдаштыруу

Маалыматтарды өчүрүү жана анонимизациялоо/Сактоо жана өчүрүү графиктери

GDPR: макулдук башкаруу/Cookies жана CMP саясаты

Privacy by Design / DSAR

On Rest/In Transit, KMS/BYOK/HYOK шифрлөө

Dashboard комплаенс жана мониторинг/Ички жана тышкы аудит