GH GambleHub

ISO 27701: купуялуулукту башкаруу

1) Эмне ISO 27701 жана эмне үчүн ал iGaming оператору

ISO 27701 - ISO 27001 жана 27002 үчүн кошумча, ISMSти PIMS (купуялуулукту башкаруу системасы) чейин кеңейтет.
iGaming үчүн: privacy талаптарга ылайык далилденген (GDPR/UK GDPR/ePrivacy ж.б.), жөнгө салуучу/банктар/KYC/PSP өнөктөштөр менен тездетилген иш, айып тобокелдигин азайтуу жана сатуучуну башкарууну жөнөкөйлөтүү.

2) Аймак жана контекст PIMS

Аныктоо:
  • Ролдору жана чектери: кайсы процесстерде сиз - Controller, кайда - Processor; кайсы бренддер/региондор/жараяндар Scope кирет.
  • Маалыматтар категориялары: каттоо, төлөмдөр, KYC/AML/чаралар, жүрүм-турум окуялар, RG сигналдар, саппорт, маркетинг/SDK.
  • Укуктук милдеттенмелер: купуялык жөнүндө жергиликтүү мыйзамдар, лицензиялык шарттар, өнөктөштөр менен келишимдер.

Жыйынтык: документ PIMS Scope & Context + карта кызыкдар.

3) Негизги ролдору жана жоопкерчиликтери

РолуPIMS жоопкерчилик
Board/CEOКупуялык саясатын, ресурстарын жана максаттарын бекитет
DPO (Data Protection Officer)Көз карандысыз купуялык көзөмөл, консультациялар жана DPIA, байланыш түйүнү
Privacy Lead / PIMS OwnerPIMS иштетүү башкаруу, метрика, отчеттуулук
Legal/ComplianceУкуктук негиздер, келишимдер (DPA/SCCs), чек ара
Security/ISMSТехникалык жана уюштуруу чаралары (TOMs), журналдаштыруу
Domain OwnersМаалымат топтомдоруна жана иштетүү максаттарына ээ болуу
Data/BIMasking, RLS/CLS, privacy thresholds
Marketing/CRMSMR/макулдук, профилирование, retenshn
TPRM/ProcurementСатуучулар жана субпроцессорлор: due diligence, DPA, SLA

4) байламта ISO 27701 ISO 27001

ISMS (27001/27002): коопсуздук базасы (активдер, тобокелдиктер, контролдуктар).
PIMS (27701): купуялык саясатын, иштетүүнүн мыйзамдуулугун, субъекттердин укуктарын, маалыматтардын жашоо циклин, келишимдик жана трансчегаралык механизмдерди кошот.
SoA/Statement of Applicability: PIMS жеке көзөмөлү менен кеңейтилген.

5) иштетүү реестри (RoPA) жана маалыматтар картасы

Ар бир процесс үчүн: максаты, укуктук негизи, субъекттердин/маалыматтардын категориялары, сактоо мөөнөтү, алуучулар/субпроцессорлор, география, TOMs, DPIA желеги.

RoPA үлгүсү (фрагмент): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) мыйзамдуу негиздери жана макулдугу (Lawful Basis & Consent)

Contract/Legal Obligation: төлөмдөр, KYC/AML, алдамчылык алдын алуу.
Legitimate Interest: негизги аналитика/коопсуздук (кызыкчылыктарын баалоо жана зарыл болгон жерде opt-out менен).
Consent: маркетинг, кукилер/SDK эмес зарыл максаттар үчүн, белгилүү бир түрлөрү.
Атайын категориялар: так негиздер жана күчөтүлгөн чаралар менен гана.

СМР/макулдуктарды башкаруу: саясаттын/баннерлердин версиясын жазуу, максаттар боюнча гранулярдуулук, кайра чакыртып алуунун далилдүүлүгү.

7) DPIA/PIA - купуялуулукка таасир баалоо

Качан: жаңы технология, масштабдуу иштетүү, сезимтал маалыматтар, системалуу кароо, чек ара.
Мазмуну: иштетүүнүн сүрөттөлүшү, зарылдыгы жана пропорционалдуулугу, субъекттердин укуктары үчүн тобокелдиктер, төмөндөтүү чаралары.
Чыгуу: чечим (барып/өзгөртүү/четке кагуу) + CAPA планы жана күндөрдү көзөмөлдөө.

8) Маалымат субъекттеринин укуктары (DSAR)

Укуктар: кирүү, оңдоо, өчүрүү, чектөө, чыдамкайлык, каршылык, профилдөөдөн/маркетингден баш тартуу.
SLA: тез жана белгиленген мөөнөттө аткаруу өтүнүчүн ырастоо.
Аткаруу агымы: алуу → жеке текшерүү → маалыматтарды чогултуу → жооп/аткаруу → журнал.

"Сокур түшүрүүгө" тыюу салуу: маскировка жана ийиндери бар витриналар аркылуу гана; чакан тандоолорду чектөө (privacy thresholds).

9) минималдаштыруу, маска жана retenshn

Data Minimization: максаттары үчүн зарыл болгон гана сактоо; "өлүк" талааларды дайыма алып салуу/анонимдештирүү.
Маскировка/псевдоним: PII үчүн демейки; Демо - JIT + 'purpose' + аудит.
Retenshn-матрица: сактоо мөөнөтү per жараяны/категория, токтоо факторлору (юридикалык), auto-алып салуу/архив.

10) Трансчек аралык берүү жана субпроцессорлор

Келишимдик механизмдер: DPA, SCCs/IDTA, DTIA (берүү баа берүү).
Маалыматтарды/ачкычтарды жайгаштыруу: кайсы жерде физикалык маалыматтар/ачкычтар (KMS/HSM), VUOK саясаты/аймактык ачкычтар.
Субпроцессорлордун реестри: өзгөрүүлөр жөнүндө билдирүү, каршы чыгуу укугу, TOMs деңгээли бизден төмөн эмес.

11) Privacy by Design / by Default

Долбоорлоо стадиясында: PRDде Data Protection Requirements, жеке коркунучтар менен threat modeling үлгүсү.
Ишке ашырууда: RLS/CLS, токенизация, шифрлөө, минималдуу API топтомдору, PII жок телеметрия.
демейки: ажыратылган кошумча трекерлер, жеке ачкычтар/неймспейс per аймак/тенант.

12) Логин, далилдөө жана PIMS аудит

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
Отчеттуулук: RoPA статусу, DPIA кампаниясы, DSAR SLA/бэклог, retenshn-алып салуу, сатуучулук өзгөрүүлөр, мыйзам бузуулар/окуялар.
Аудит: жыл сайын (же өзгөрүүлөр менен), жеке контролдорду Дизайн/иш натыйжалуулугун текшерүү.

13) Метрика (KPI/KRI) PIMS

KPI:
  • DSAR on-time ≥ 95%
  • RoPA актуалдуулугу ≥ 98%
  • Тобокелдик объектилери боюнча DPIAны жабуу = 100%
  • Ретеншн боюнча автоматтык өчүрүүлөрдүн үлүшү ≥ 95%
  • CMP күйгүзүү деңгээли (жазылган макулдук жазуулары) = 100%
KRI:
  • 'purpose' = 0 жок PII кирүү
  • Уруксатсыз экспорт/берүү = 0
  • Мезгил өткөндөн кийин билдирилген окуялар/агып кетүүлөр = 0
  • активдүү берүү үчүн жок DPA/SCCs = 0

14) Учурдагы контролдоолор менен интеграция

IGA/RBAC/ABAC/JIT/PAM: минималдаштыруу укуктары жана контексттик кирүү шарттары.
Логдордун саясаты жана аудитордук журналдар: PII менен иш-аракеттердин далилдүүлүгү.
TPRM жана келишимдер: DPA/SCCs/DTIA, аудит укуктары, SLA билдирүүлөр ≤ 72 саат.
ISO 27001/ISMS: жалпы тобокелдик модели, SoA жана ички аудит.
Окуялар жана агып: playbook breach, сатуучулар менен биргелешкен war-room.

15) Артефакттардын үлгүлөрү (фрагменттер)

15. 1 Купуялык саясаты (ички сактоо)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Демо саясаты

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR жараяны

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Retenshn матрица (фрагмент)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (жол-жоболору)

16. 1 RoPA жаңыртуу

1. Өзгөртүү демилгечиси (Product/Owner) → процесс картасы → Мыйзамдуу/Privacy review → Коопсуздук TOMs → жарыялоо жана версия.

16. 2 DPIA өткөрүү

1. Тобокелдик текшерүү → DPIA шаблон → DPO кеңеш → CAPA → чечим жана убакыт контролдоо.

16. 3 DSAR

1. Кабыл → текшерүү → чогултуу жана терезелер аркылуу чыпкалоо → жооп/аткаруу → жазуу жана жабуу.

16. 4 Сатуучулар/берүү

1. Due diligence → DPA/SCCs/DTIA → субпроцессорлор реестри → өзгөрүүлөргө мониторинг → offboarding жана алып салуу ырастоо.

17) RACI (кеңейтилген)

АктивдүүлүкBoard/CEODPOPrivacy LeadLegal/ComplianceSecurityDomain OwnersData/BITPRM
PIMS саясаты/максаттарыACRCCCII
RoPA/retenshnIA/RRA/RCRRI
DPIA/PIAIA/RRA/RCRCI
DSARIA/RRCCCRI
Сатуучулар/берүүIARA/RCCIR
Аудит/метрикаIARCCIRC

18) Жол картасы киргизүү (8-10 жума)

Жумалар 1-2: Scope/контекст, ролдору жана RACI, жараяндарды/маалыматтарды, RoPA долбоору жана retenshn-матрица.
Жумалар 3-4: Купуялык саясаты, CMP/consent-flow, DSAR жараяны, DPIA үлгүлөрү, сатуучулар менен DPA/SCCs/DTIA жаңыртуу.
Жумалар 5-6: TOMs киргизүү (masking, RLS/CLS, JIT/PAM), DSAR үчүн терезелер, WORM-логи, KPI/KRI отчеттуулук.
Жумалар 7-8: жогорку тобокелдик DPIA өткөрүү, CAPA жабуу, ички аудит PIMS, башкаруу Review (PIMS).
Жума 9-10: түзөтүүлөр, үзгүлтүксүз отчеттуулукту ишке киргизүү, тышкы баалоого даярдык (зарыл болгон учурда).

19) Көп каталар жана аларды алдын алуу үчүн кантип

RoPA "көрсөтүү үчүн": максаттары, негиздери жана retenshn ар бир жазуу байлап; тирүү нускасын сактап.
DSAR аркылуу "чийки" DD: гана терезелер/камуфляж жана казык менен экспорт аркылуу.
Чек ара боюнча DTIA жок: алдын ала жол-жоболоштуруу, маалыматтардын/ачкычтардын жайгашкан жерин бекитүү.
CMP жок Marketing SDK: CMP жана келишимдик TOMs киргизүү чейин тыюу.
Pbd/PbD жок: Privacy-талаптарды PRD жана Definition of Done кирет.

20) шайкештик сактоо (Run PIMS)

Ай сайын: KPI/KRI отчеттору, RoPA өзгөрүүлөрүнүн аудити, субпроцессорлордун мониторинги, DSAR SLA.
Чейрек: review retenshn/өчүрүүлөр, тематикалык текшерүүлөр (маркетинг, SDK, KYC).
Жыл сайын: PIMS ички аудит, контекстти/тобокелдиктерди жаңыртуу, персоналды окутуу, Management Review.

TL; DR

ISO 27701 = PIMS ISMS үстүнөн: RoPA + мыйзамдуу негиздер/макулдук + DPIA/DSAR + минималдаштыруу/retenshn + чек ара жана субпроцессорлор + далилденген ТОМ. Учурдагы RBAC/ABAC/JIT/Логи жана TPRM киргизүү - жана ички жана тышкы текшерүүлөргө даяр башкарылуучу, өлчөнүүчү купуялуулукту алуу.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.