GH GambleHub

Юрисдикциялар бойынша деректерді оқшаулау

1) Мақсаты және саласы

Өнімнің қолжетімділігін, қауіпсіздігін және өнімділігін сақтай отырып, барлық нысаналы юрисдикцияларда деректердің оқшаулау/резиденттік талаптарына сәйкестігін қамтамасыз ету. Қамту: өнім (веб/мобайл), KYC/AML/RG, төлемдер (PCI), маркетинг/CRM, талдау/логика, бэкап/DR, ойын провайдерлері/агрегаторлар, аффилиаттар, бұлтты вендорлар.

2) Базалық ұғымдар

Деректердің резиденттігі (Data Residency): деректер нақты сақталатын жерде.
Деректердің егемендігі (Data Sovereignty): мемлекеттің оның аумағындағы немесе оның субъектілеріне жататын деректерді реттеу құқығы.
Трансшекаралық беру: «үй» юрисдикциясынан тыс қол жеткізу, репликациялау немесе өңдеу.
Дербес деректер (PII )/сезімтал PII: KYC-құжаттар, төлем деректемелері, RG/SE-мәртебелері, биометрия.
Агрегаттар/бүркеншік атау/анонимдеу: талдау және алмасу кезінде қауіптерді азайту техникасы.

3) Қағидаттар

1. Local-first: егер ереже талап етсе, дербес деректер ойыншының «үй» аймағында сақталады және өңделеді.
2. Барынша азайту және оқшаулау: тек қажеттіні сақтау, тенанттардың/өңірлердің нақты сегрегациясы.
3. Заңды беру: қолданыстағы құқықтық тетікпен және тәуекелдерді бағалаумен ғана.
4. Криптографиялық қамтамасыз ету: at rest/in transit шифрлау, өңір жағында кілттерді басқару (мүмкіндігінше «bring/hold your own key»).
5. Дәлелденуі: деректер карталары, DPIA/TRA, қол жеткізу логтары және сақтау орнын растау.
6. Fail-safe: бэкаптар мен DR жауынгерлік деректер сияқты резиденттік ережелеріне сәйкес келеді.

4) Рөлдер және RACI

Head of Compliance/DPO - саясат, DPIA, заңдық тетіктер, аудит. (A)

Security/Infra Lead - аймақтардың архитектурасы, кілттер/шифрлау, қолжетімділікті бақылау. (R)

Data Platform/Analytics - анонимдеу/бүркеншік атау модельдері, конвейерлер. (R)

Engineering/SRE - аймақтарды өрістету, репликалау, DR/BCP. (R)

Legal - трансшекаралық келісімдер, вендорлармен шарттар, DPA/SA. (C)

Procurement/Vendor Mgmt - жеткізушілерді бағалау, дата-орталықтардың орналасуы. (R)

Internal Audit - іріктемелер, артефактілерді бақылау, CAPA. (C)

Product/CRM/BI - фичтерде/науқандарда/есептерде шектеулерді сақтау. (R)

5) Деректерді жіктеу және картография

Санаттар:
  • Жасы: құжаттар, селфи, биометрия, тексеру нәтижелері.
  • Төлемдер/PCI: PAN/токендер, 3DS/AR, PSP-сәйкестендіргіштер.
  • Ойын белсенділігі: сессиялар, ставкалар, ұтыстар/шығындар, RG/SE/RC-оқиғалар.
  • Маркетинг/CRM: контактілер, артықшылықтар, suppression-жалаушалар.
  • Логи/телеметрия: бағдарлама оқиғалары, қателер, трассировка.
  • Талдау/репорттар: агрегаттар, кубтар, ML-фичтер.
Картография (Data Map):
  • Дереккөз → жүйе → сақтау аймағы → құқықтық мәртебесі → тұтынушылар → сақтау мерзімі → жою механизмі.
  • Кімді/қайда репликалауды және қандай түрде (RAW/PII-free/анонимдеуді) қоса алғанда, ағындардың визуалды картасы міндетті.

6) Оқшаулаудың сәулеттік паттерндері

Regional Tenancy: БД/құпияларды/кілттерді оқшаулайтын жекелеген кластерлер (EU, UK, TR, BR, CA, AU және т.б.).
Өңір/нарық бойынша Data Sharding: кілттердегі 'tenant _ region' префиксі, Geo-Router/API Gateway арқылы сұраулардың роутингі.
Control Plane vs Data Plane: PII жоқ жаһандық басқару тақтасы; PII - тек өңірлік дата-плейндерде.
PII-сіз Edge кэш: тек көпшілік/жеке емес мазмұнды кэштеу.
De-PII Pipeline арқылы талдау: DWH тек агрегаттар/бүркеншік аттарды экспорттау; «таза» PII - аймақтан тыс тыйым салынған.
Аймақ шеңберіндегі DR: сол елдегі/өңірлік блоктағы «ыстық» реплика (немесе осыған ұқсас қорғаумен рұқсат етілген кросс-өңір және т.б.). негіздеме).
BYOK/HYOK: аймақтың/тапсырыс берушінің бақылауындағы шифрлау кілттері; Өтпелі аудиті бар KMS.

7) Трансшекаралық берілімдер: құқықтық тетіктер (қаңқа)

Шарттық:
  • Стандартты келісімшарттық ережелер/жергілікті ұқсастықтар (SCC/IDTA/қосымша. келісімдер).
  • Үшінші елдерге беру туралы қосымша келісімдер (DPA, SSA, Schrems-үйлесімді тәуекелдерді бағалау).
  • Тәуекелдерді бағалау: TIA/TRAs (Transfer/Third-Country Risk Assessments).
  • Техникалық шаралар: шифрлау, рөлдерді бөлу, токенизациялау, барынша азайту.
  • Ұйымдастыру шаралары: «need-to-know» қолжетімділік саясаты, журналдау, оқыту.
💡 Өнімде: қолдау қызметінің, BI немесе әзірлеушінің «өңірден тыс» деректерге кез келген жүгінуі прокси-қабат арқылы жүреді, ол: (а) PII тазалайды, (b) қол жеткізу негіздемесін қолданады, (с) артефактілерді логиндейді.

8) Аймақтық профильдер (үлгі)

Әрбір нарық үшін карточканы қолдаңыз: 

Юрисдикция: ______
Требования к резидентности: (обязательная/рекомендуемая/нет)
Запреты на трансграничность: (полный/условный/нет)
Разрешенные механизмы передачи: (SCC/IDTA/локальное соглашение)
Особые категории: (биометрия/финансы/RG)
Бэкапы/DR: (где, частота, шифрование)
Логи/телеметрия: (можно ли выводить за рубеж, в каком виде)
Сроки хранения: (KYC, платежи, игровые, RG/SE)
Удаление/DSAR: (SLA, подтверждения)
Вендоры/облака: (разрешенные регионы)

9) Бэкаптарды, логтарды, талдауларды оқшаулау

Бэкаптар: шифрланған, сол аймақта орналасқан жерінің дәлелдемелер каталогы (провайдер/бакап-вулт/ретенция).
Логи/трейдер: PII-free әдепкі; егер PII сөзсіз болса - өңдеумен/бүркемелеумен жергілікті логтар қоймалары.
Талдау/DWH: тек псевдонимделген кілттер; k-анонимділігі бар агрегаттар; «дымқыл» оқиғаларды негізсіз өңірден тысқары жерлерге түсіруге тыйым салу.

10) Жеткізушілер мен бұлттар

Өрістері бар вендорлар тіркелімі: тіркеу елі, дата-орталықтар өңірлері, сертификаттар (ISO/PCI/SOC), DPA/SCC/IDTA қолтаңбалары, кілттер режимі, қосалқы процессорлар.
«pre-flight» рәсімі: юрисдикцияларды бағалау, DPIA/TIA, өңір шеңберінде істен шығуға төзімділік тесті, өңірдің «data at rest» тексеруі.
Келісімшарттық клаузалар: суб-процессордың/орналасудың ауысуы туралы хабарлама, аудит құқығы, жою мерзімдері, айыппұлдар.

11) Жою, ретенция және DSAR

Сақтау саясаты: КБК/қаржы/ойын/логтар - жеке мерзімдер (жиі комплаенс үшін 5-7 жыл; маркетингте - қысқаша).
Техникалық мәжбүрлі жою (erasure): есептері бар каскадтық delete jobs; мұрағаттар үшін крипто-жою (кілттерді жою).
DSAR/Subject Rights: тек аймақтық периметрде қатынау/түзету/жою сұрауларын өңдеу; жауаптың артефактілері - жергілікті WORM-де.

12) Бақылау рәсімдері және аудит

Data Lineage: өрістердің шығу тегі, трансшекаралық ағындардың бағыты, экспорттың хэш-қолтаңбасы.
Access Reviews: кіру құқықтарының тоқсан сайынғы жаңаруы, кросс-өңірлік сұраулар бойынша есептер.
Беріліс логтары: кім/не/қашан/қайда/негіз/деректер түрі/PII-маска/нәтиже.
Вендорларды тексеру: жыл сайынғы есептер және пентесттер/аттестациялар.
CAPA: табылған заттар бойынша түзетулер, мерзімі ұзартылған және жауапты.

13) Өнімге және API-ге қойылатын талаптар

Geo-router: 'player _ region' түйіндемесі және «үй» кластеріне сұраулар жібереді.

Policy-aware APIs: тег `data_class={PIIPCIANON}`, `region_scope={localglobal_anon}`, `transfer_basis_id`.
Құралдар:
'data _ residency _ asserted' (өңір расталған),
`xborder_export_requested/approved/denied`,
`backup_completed_local`,
`dsar_fulfilled_local`.
Fail-Closed: белгісіз аймақта - PII-мен операцияларға тыйым салу.

14) «Қайда сақтау керек» матрицасы (мысал)

СанатСақтау орныШетелге репликалауға бола ма?Шарттар
KYC құжаттары/биометриясыЖергілікті аймақЖоқТек қана «pass/fail» сыртқа шығарылған
Төлем токендеріӨңір + PCI аймағыШартты түрдеТокенизация, PCI-сатып алу, PSP-мен шарт
Ойын оқиғалары (шикі)АймақШартты түрдеБүркеншік ат → жаһандық DWH агрегаттары
RG/SE мәртебесіАймақЖоқЖаһандық жүйелерге тек «anonymized» жалаушаларына рұқсат етілген
CRM контактілеріАймақШартты түрдеРұқсатпен және DPA; suppression - жергілікті жалаулар
Логи/трейдерлерАймақТек PII-freeЖинағышта PII жасыру/жою

15) KPI/локализация комплаенс дашборды

Residency Coverage: PII дұрыс аймақта орналасқан субъектілер%.
X-Border Request Rate: трансшекаралық қолжетімділікке сұрау салу үлесі (рөлдер/бөлімшелер бойынша).
Anonymized Export Share: De-PII өткен жаһандық DWH-ге экспорттардың үлесі.
Backup Locality SLA: жергілікті аймақта расталған бэкаптар%.
Vendor Region Drift: орналасу/суб-процессорлардың ауысу оқиғалары.
DSAR SLA: аймақтық периметрдегі орындау медианы.
Audit Findings (repeat): қайталанатын сәйкессіздіктер.

16) Чек парақтары

Жаңа юрисдикцияға шығар алдында

  • Деректер картасы және санаттар бойынша жіктеу.
  • Юрисдикция карточкасы (талаптар, бэкаптар, логтар, сақтау мерзімдері).
  • Өңірдің сәулет жоспары (VPC/кластер/ДБ/KMS).
  • DPIA/TIA, шарттар (DPA/SCC/жергілікті ұқсастықтар).
  • Вендор-ассессмент (DC орналасуы, қосалқы процессорлар).
  • Саясат жиыны: кіру/жою/экспорттау.

Операцияларда

  • Жаңа жазбалар бойынша «residency assertions» күнделікті валидациясы.
  • Кросс-өңірлік сұрау салулар мен ауытқулардың мониторингі.
  • Бэкаптарды/журналдарды тексеру.
  • DSAR-аймақ ішіндегі кезек.

Аудит/жақсарту

  • Вендорлардың/өңірлердің тоқсандық ревизиясы.
  • Әрбір өңірде DR тесті (1/тоқсан).
  • Бұзушылықтар бойынша CAPA (мерзімдер/жауаптылар).

17) Үлгілер (жылдам кірістіру)

А) Вендоры бар клауза (деректерді оқшаулау)

💡 Өнім беруші {PII/RG/KYC} Санаттарының Тапсырысты Деректерін тек {...} аймағында сақтауға және өңдеуге кепілдік береді. Кез келген трансшекаралық беруге қолданыстағы құқықтық тетіктер және жазбаша келісу болған кезде ғана жол беріледі. Орналасқан жерін өзгерту - 30 күн ≥ хабарламамен.

B) Экспорт саясаты (ішкі өтінім)

💡 {...} кезеңі үшін нарық бойынша агрегаттарды экспорттауды сұраймын. Деректер санаты: {ANON}. Негізі: {есеп/аудит}. Тәуекелдер бағаланды, PII жоқ. Жауапты: {...}. Жүктеуді жою мерзімі: {...}.

C) Бизнеспен SLA мәтіні

💡 DSAR реакциясының уақыты - X күнге дейін, алып тастау - каскадты, растау - өңірлік WORM-сақтау орнынан артефактпен.

18) Жиі қателер және алдын алу

Көрші өңірдегі «ыңғайлы» бэкаптар. → Тыйым салу; тек жергілікті бэкаптар.
PII логтары жаһандық APM-ге ұшады. → Агент деңгейінде бүркемелеу, жергілікті синктер.
Шикі идентификаторлары бар жаһандық есептер. → Тек агрегаттар/бүркеншік атаулар.
control/data planes. → Global control plane - PII жоқ.
Резиденттік дәлелдерінің болмауы. → Артефактілерді сақтау: id-ресурстар, конфигурация суреттері, провайдердің есептері.

19) 30 күндік енгізу жоспары

1 апта

1. Деректерді оқшаулау саясаты мен жіктеу моделін бекіту.
2. Қолданыстағы нарықтар бойынша ағындардың бастапқы картасын жасау.
3. Өңірлік boundary-сервистер мен кілттерге қойылатын талаптарды анықтау (BYOK/HYOK).

2 апта

4. № 1 (EU/UK/...) өңірлік басымдық кластерлерін өрістету; Geo-Router қосылсын.
5. De-PII конвейерлерін DWH-ге қосу, жергілікті логтарды/АЖО-ны баптау.
6. DPA/SCC/IDTA негізгі вендорлары бар қол қою/жаңарту.

3 апта

7. Өңірлік ДБ-ға PII көші-қон; жергілікті бэкаптар және DR-жоспар.
8. Трансшекаралық экспортқа өтінімдер процесін енгізу (портал + журнал).
9. Командаларды (Prod/BI/CS/Legal) жаңа ережелер бойынша оқыту.

4 апта

10. DR тестін және резиденттіктің ішінара аудитін жүргізу.
11. KPI (Residency Coverage, Backup Locality SLA) дашбордын қосу.
12. CAPA табылған айырмашылықтар бойынша; v1 жоспары. 1 (келесі нарықтар).

20) Өзара байланысты бөлімдер

KYC-процедуралар және тексеру деңгейлері/Жасын тексеру

AML саясаты және транзакцияларды бақылау

Жауапты ойын және лимиттер/SE/Reality Checks

Реттеуші есептер және деректер форматтары

Дашборд комплаенс және мониторинг

Ішкі/сыртқы аудит және аудиторлық чек-парақтар

BCP/DRP және «At Rest/In Transit шифрлау»

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.