GH GambleHub

ISO 27701: құпиялылықты басқару

1) ISO 27701 дегеніміз не және ол iGaming операторына не үшін қажет

ISO 27701 - ISMS-ті PIMS-ке (құпиялылық туралы ақпаратты басқару жүйесі) дейін кеңейтетін ISO 27001 және 27002-ге қондырма.
iGaming үшін: құпиялылық талаптарына дәлелденетін сәйкестік (GDPR/UK GDPR/ePrivacy және т.б.), KYC/PSP реттеушілерімен/банктерімен/серіктестерімен жеделдетілген жұмыс, айыппұл тәуекелін төмендету және вендор-менеджментті оңайлату.

2) PIMS аумағы мен контексті

Анықтаңыз:
  • Рөлдер мен шектер: қандай процестерде сіз - Controller, қайда - Processor; қандай брендтер/аймақтар/процестер Scope құрамына кіреді.
  • Деректер санаттары: тіркеу, төлемдер, KYC/AML/санкциялар, мінез-құлық оқиғалары, RG-сигналдар, саппорт, маркетинг/SDK.
  • Құқықтық міндеттемелер: жекешелендіру туралы жергілікті заңдар, лицензиялық шарттар, әріптестермен шарттар.

Нәтиже: PIMS Scope & Context құжаты + мүдделі тараптардың картасы.

3) Негізгі рөлдер мен жауапкершілік

РөліPIMS жауаптылығы
Board/CEOЖекешелендіру саясатын, ресурстар мен мақсаттарды бекітеді
DPO (Data Protection Officer)Құпиялылықты тәуелсіз қадағалау, консультациялар және DPIA, байланыс нүктесі
Privacy Lead / PIMS OwnerPIMS операциялық басқару, метрика, есептілік
Legal/ComplianceҚұқықтық негіздер, шарттар (DPA/SCCs), трансшекаралық
Security/ISMSТехникалық және ұйымдастыру шаралары (TOMs), журналдау
Domain OwnersДеректер жиындарын және өңдеу мақсаттарын меңгеру
Data/BIБүркемелеу, RLS/CLS, privacy thresholds
Marketing/CRMСМР/келісім, бейіндеу, ретеншн
TPRM/ProcurementВендорлар мен субпроцессорлар: due diligence, DPA, SLA

4) ISO 27701 ISO 27001 байланысы

ISMS (27001/27002): қауіпсіздік базасы (активтер, тәуекелдер, бақылаулар).
PIMS (27701): құпиялылық саясатын, өңдеудің заңдылығын, субъектілердің құқықтарын, деректердің өмірлік циклін, шарттық және трансшекаралық тетіктерді қосады.
SoA/Statement of Applicability: PIMS жеке бақылауларымен кеңейтіледі.

5) Өңдеу тізілімі (RoPA) және деректер картасы

Әрбір процесс үшін: мақсаты, құқықтық негізі, субъектілер/деректер санаты, сақтау мерзімі, алушылар/субпроцессорлар, география, TOMs, DPIA-жалауы.

RoPA үлгісі (үзік): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Заңды негіздер мен келісімдер (Lawful Basis & Consent)

Contract/Legal Obligation: төлемдер, KYC/AML, алаяқтықты болдырмау.
Legitimate Interest: базалық талдау/қауіпсіздік (мүдделерді бағалаумен және талап етілетін жерде opt-out).
Consent: маркетинг, cookies/SDK, бейіндеудің белгілі бір түрлері.
Арнайы санаттар: тек нақты негіздер мен күшейтілген шаралар кезінде.

СМР/келісімдерді басқару: саясат/баннерлер нұсқасын жазу, мақсаттар бойынша гранулярлық, қайтарып алудың дәлелденуі.

7) DPIA/PIA - құпиялылыққа әсер етуді бағалау

Қашан: жаңа технология, ауқымды өңдеу, сезімтал деректер, жүйелі профильдеу, трансшекаралық.
Мазмұны: өңдеудің сипаттамасы, қажеттілігі және үйлесімділігі, субъектілердің құқықтары үшін тәуекелдер, төмендету шаралары.
Шығу: шешім (бару/пысықтау/қабылдамау) + CAPA жоспары және күндерді бақылау.

8) Деректер субъектілерінің құқықтары (DSAR)

Құқықтары: қол жеткізу, түзету, алып тастау, шектеу, төзімділік, қарсылық, бейіндеуден/маркетингтен бас тарту.
SLA: сұрауды тез растау және регламенттік мерзімде орындау.
Орындау ағыны: алу → тұлғаны тексеру → деректер жинау → жауап/орындау → журнал.

«Соқыр түсіруге» тыйым салу: бүркемеленген және саңылаулары бар витриналар арқылы ғана; кіші таңдауларды шектеу (privacy thresholds).

9) Минимизация, бүркемелеу және ретеншн

Data Minimization: тек мақсаттар үшін қажеттіні сақтау; «өлі» өрістерді үнемі жою/жасырын ету.
Бүркемелеу/бүркемелеу: әдепкі PII; бүркемелеу - JIT + 'purpose' + аудит.
Ретеншн-матрица: сақтау мерзімі per процесс/санат, тоқтату-факторлар (заңды), авто-жою/мұрағат.

10) Трансшекаралық берілістер мен субпроцессорлар

Шарттық тетіктер: DPA, SCCs/IDTA, DTIA (беруді бағалау).
Деректердің/кілттердің орналасуы: физикалық деректер/кілттер (KMS/HSM), ВУОК саясаты/өңірлік кілттер.
Субпроцессорлар тізілімі: өзгерістер туралы хабарлама, қарсылық құқығы, TOMs деңгейі біздікінен төмен емес.

11) Privacy by Design / by Default

Жобалау кезеңінде: PRD-дегі Data Protection Requirements, жеке қауіп-қатері бар threat modeling үлгісі.
Іске асыруда: RLS/CLS, токенизация, шифрлау, API ең аз жиынтықтары, PII-сіз telemetry.
Әдепкі: міндетті емес трекерлер, жеке кілттер/неймспейстер per аймағы/тенант өшірілді.

12) Логизация, дәлелдеу және PIMS аудиті

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
Есептілік: RoPA мәртебесі, DPIA, DSAR SLA/бэклог, ретеншн-жою, вендорлық өзгерістер, бұзушылықтар/инциденттер.
Аудит: жыл сайын (немесе өзгерістер кезінде), жеке бақылаулардың Design/Operating Effectiveness тексеруі.

13) Метрика (KPI/KRI) PIMS

KPI:
  • DSAR on-time ≥ 95%
  • RoPA өзектілігі ≥ 98%
  • Тәуекел объектілері бойынша DPIA жабу = 100%
  • Ретеншн бойынша автоматты жою үлесі ≥ 95%
  • CMP қосылу деңгейі (жазылған келісім жазбалары) = 100%
KRI:
  • 'purpose' = 0 жоқ PII қатынасы
  • Рұқсат етілмеген экспорт/беру = 0
  • Мерзімнен кейін хабарланған инциденттер/ағулар = 0
  • Белсенді беру үшін жоқ DPA/SCCs = 0

14) Қолда бар бақылаулармен интеграциялау

IGA/RBAC/ABAC/JIT/PAM: құқықтарды барынша азайту және қол жеткізудің контекстік шарттары.
Логтар саясаты және аудиторлық журналдар: PII-мен іс-қимылдардың дәлелденуі.
TPRM және келісімшарттар: DPA/SCCs/DTIA, аудит құқықтары, SLA хабарламалар ≤ 72 сағ.
ISO 27001/ISMS: жалпы тәуекел моделі, SoA және ішкі аудиттер.
Оқиғалар мен ағулар: playbook breach, бірлескен war-room вендорлармен.

15) Артефактілердің үлгілері (фрагменттер)

15. 1 Құпиялылық саясаты (ішкі ұстамдылық)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Бүркемелеу саясаты

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR процесі

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Ретеншн-матрица (фрагмент)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (рәсімдер)

16. 1 RoPA жаңарту

1. Өзгерту бастамашысы (Product/Owner) → процесс карточкасы → Legal/Privacy review → Security TOMs → жариялау және нұсқасы.

16. 2 DPIA өткізу

1. Тәуекел скринингі → DPIA үлгісі → консультация DPO → CAPA → шешім және мерзімді бақылау.

16. 3 DSAR

1. Қабылдау → верификациялау → жинау және сөрелер арқылы сүзу → жауап/орындау → логизация және жабу.

16. 4 Вендорлар/берілістер

1. Due diligence → DPA/SCCs/DTIA → субпроцессорлар тізілімі → өзгерістер мониторингі → offboarding және жою растау.

17) RACI (ірілендірілген)

БелсенділікBoard/CEODPOPrivacy LeadLegal/ComplianceSecurityDomain OwnersData/BITPRM
PIMS саясаты/мақсаттарыACRCCCII
RoPA/ретеншнIA/RRA/RCRRI
DPIA/PIAIA/RRA/RCRCI
DSARIA/RRCCCRI
Вендорлар/берілістерIARA/RCCIR
Аудит/метрикаIARCCIRC

18) Енгізудің жол картасы (8-10 апта)

1-2 апталар: Scope/контекст, рөлдер және RACI, процестерді/деректерді түгендеу, RoPA және ретеншн-матрица.
3-4 апта: құпиялылық саясаты, CMP/consent-флоу, DSAR-процесс, DPIA үлгілері, вендорлармен DPA/SCCs/DTIA жаңарту.
5-6 апта: TOMs (бүркемелеу, RLS/CLS, JIT/PAM) енгізу, DSAR, WORM-логиге арналған витриналар, KPI/KRI есептілігі.
7-8 апта: DPIA high-risk бойынша өткізу, CAPA-ны жабу, PIMS ішкі аудиті, Management Review (PIMS).
9-10 апталар: түзетулер, тұрақты есептілікті іске қосу, сыртқы бағалауға дайындық (қажет болған жағдайда).

19) Жиі қателер және оларды болдырмау

RoPA «белгі үшін»: әрбір жазбаны мақсаттарға, негіздерге және ретеншнге байлаңыз; тірі нұсқасын сақтаңыз.
DSAR «шикі» ДБ арқылы: тек бүркемеленген және лоты бар витриналар/экспорт арқылы.
Трансшекаралық кезде DTIA жоқ: алдын ала ресімдеңіз, деректер/кілттер орнын белгілеңіз.
CMP-сіз маркетингтік SDK: CMP-ді және келісім-шарттық TOMs-ті қосқанға дейін тыйым салу.
Pbd/PbD болмауы: privacy-талаптарды PRD және Definition of Done бағдарламаларына қосыңыз.

20) Сәйкестікті қолдау (Run PIMS)

Ай сайын: KPI/KRI есептері, RoPA өзгерістерінің аудиті, қосалқы процессорлардың мониторингі, DSAR SLA.
Тоқсан сайын: ретеншн/жою ревю, тақырыптық тексерулер (маркетинг, SDK, KYC).
Жыл сайын: PIMS ішкі аудиті, контексті/тәуекелдерді жаңарту, персоналды оқыту, Management Review.

TL; DR

ISO 27701 = PIMS ISMS үстінен: RoPA + заңды негіздер/келісімдер + DPIA/DSAR + минимизация/ретеншн + трансшекаралық және субпроцессорлар + дәлелденетін TOMs. Қолданыстағы RBAC/ABAC/JIT/logs және TPRM-ге кіріктіреміз - және ішкі және сыртқы тексерулерге дайын басқарылатын, өлшенетін құпиялылықты аламыз.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Telegram
@Gamble_GC
Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.