Деректерді сақтау және жою кестелері

1) Мақсаты және саласы

• заңдарды/лицензияларды (GDPR/ePrivacy/AML/жергілікті актілерді) сақтау;
• PII көлемін барынша азайту;
• орындаудың дәлелденуін қамтамасыз етуге (артефактілер/журналдар);
• тосын оқиғалар тәуекелін және сақтау құнын қысқарту.

Қамту: аккаунт/профиль, KYC/AML, төлемдер/PSP, ойын телеметриясы, RG/SE, CRM/маркетинг, аффилиаттар, логтер/АЖО, аналитика/DWH, бекаптар/мұрағаттар, провайдерлер/вендорлар, барлық мақсаттар нарықтар.

2) Қағидаттар

1. Lawful & Purpose-bound. Мерзімдер өңдеудің заңды негіздері мен мақсаттарына байланысты.
2. Data Minimization. Өрістер/мерзімдер минимумы; «мерзімсіз сақтаудың орнына анонимдеу».
3. Local-first. Ретенция аймақ шегінде сақталады (data residency).
4. Policy-as-Data. Графиктер машинамен оқылатын жазбалар (схемалар) ретінде сақталады, нұсқаланады және автоматикамен қолданылады.
5. Fail-Closed. Мерзімі өтіп кетті/негізі белгісіз → пайдалануға тыйым салу/жою триггері.
6. Auditability. Әрбір жою/анонимдеу → WORM қоймасындағы артефакт.
7. Backups-aware. Бэкаптар/мұрағаттар сол мерзімдерге (crypto-shredding сегменттері) бағынады.

3) Рөлдер және RACI

DPO/Head of Compliance (Owner) - саясат, тізілім, нормаларды түсіндіру, ерекшеліктер. (A)

Legal - нарықтар бойынша заңды негіздер/мерзімдер, легал-холдингтер. (R)

Security/Infra - KMS/шифрлау, crypto-shred, журналға қатынау. (R)

Data Platform/Analytics - де-PII/анонимдеу, DWH/DL ережелері. (R)

Engineering/SRE - ретенция, каскад, жүйелермен/вендорлармен интеграция оркестрі. (R)

Product/CRM - фичтер мен suppression ағындарының мерзімдерге сәйкестігі. (C)

Vendor Manager - DPA/SLA жою, провайдерлерден растау. (R)

Internal Audit - іріктемелер, CAPA, тәуелсіз тексеру. (C)

4) Деректер таксономиясы және негіздер

• ЖСК/Жасы/Биометрия - құжаттар, селфи/тіршілік, үкімдер. (Негіздер: заң/лицензия, қоғамдық мүдде; жиі 5-7 жыл)
• Төлемдер/PCI - токендер, операциялар/тізілімдер, chargeback. (Негіздер: шарт/бухгалтерлік есеп заңы/PCI)
• Ойын белсенділігі - ставкалар/ұтыстар, бонустар, дисконттар. (Негіздер: шарт/лицензия, оператордың мүддесі)
• RG/SE - өзін-өзі жою, қолжетімділікті/реалити-чекті тексеру мәртебелері. (Негіздер: заң/лицензия, қоғамдық мүдде)
• CRM/Маркетинг - байланыс, келісім, науқан тарихы. (Негіздер: келісім/заңды мүдде)
• Аффилиаттар - click-id, placement, terms-hash (PII ойыншысыз). (Негіздер: шарт, заңды мүдде)
• Логи/АЖО - техникалық жағдайлар (PII-free әдепкі бойынша). (Негіздер: заңды мүдде/қауіпсіздік)
• Аналитика/DWH - агрегаттар/бүркеншік атаулар, фичтер ML. (Негіздер: заңды мүдде/зерттеулер)

5) Мерзімдер матрицасы (қаңқа)

6) Ерекшеліктер мен блоктар

AML/лицензиялық талаптар - алып тастауға арналған өтінімнен (DSAR-erase) басымдық, шектеу мен барынша азайтуды қолданамыз.
Legal Hold/даулар/тергеулер - алып тастауға арналған тоқтату туы; негіздемесі мен мерзімін бекітеміз.
Үшінші тұлғалардың құқықтары/құпиялар - беру/экспорттау кезінде редакциялау/иесіздендіру.
Операциялық тізілімдер (мысалы, бухгалтерия) - бастапқы кілттерді алып тастаудың орнына бүркемелеу.

7) Аймақтық профильдер (үлгі)

Юрисдикция: ______
KYC/биометрия: срок ___; особые запреты/форматы: ___
Платежи/бухучет: срок ___; маскирование: ___
Игровая активность: срок ___; анонимизация: k≥__
RG/SE: срок ___; политика хранения флага: ___
CRM/согласия: неактивность ≤ __ мес; double opt-in: да/нет
Логи/APM: __ дней; PII-free: да/нет
Бэкапы/архивы: локализация ___; crypto-shred SLA ___
Исключения/легал-холд: условия ___

8) Policy-as-Data: графика моделі

retention_rule {
rule_id, version, market, data_class{KYC    PCI    GAME    RG    CRM    LOG    ANON},
lawful_basis{consent    contract    legal_obligation    legit_interest    public_interest},
retention_days, grace_days, action_after{erase    anonymize    mask    revoke_token},
pii{yes/no}, residency_region, backups_policy{crypto_shred:true, kms_key_scope:region},
dsar_applicable{yes/no}, exceptions{aml:true, legal_hold:true},
owner{dpo    legal    security    data}, approved_at_utc, next_review_at_utc
}

Нұсқалау міндетті: кез келген түзету → жаңа нұсқа + көші-қон жоспары.

9) Жұмыс процестері (sketch)

1. Detection: 'retention _ due _ detected' (cron/stream жасау оқиғалары бойынша).
2. Eligibility: ерекшеліктерді тексеру (AML/hold/residency).
3. Orchestration: жүйелер/вендорлар пакеті, стратегия (erase/anonymize) қалыптастырылады.
4. Execution: каскадты delete jobs, revoke токендері, крипто-shred сегмент кілттері.
5. Validation: жазбаларды салыстыру, orphan-скан, DWH/логтарды іріктеп тексеру.
6. Evidence: WORM-дегі есеп (чек-сома, кілттердің id, уақыт, көлемдер); дашбордқа сілтеме.
7. Есеп беру: KPI, алерттар, CAPA ақаулықтар кезінде.

10) Бэкаптар, мұрағаттар және DR

Оқшаулау: сол аймақта/блокта бэкаптар.
Шифрлау: per-region KMS/HSM; кілттер нарықтар/теңгелер бойынша сегменттелген.
Crypto-shredding: мерзімі жеткенде - сегмент кілті жойылады, есеп 'kms _ key _ id'.
Иммутабельді сақтау орны: «crypto-shred күтеді» белгісі.

11) Талдау/DWH және анонимдеу

De-PII Pipeline: DWH-ге экспорттау алдында - токенизация/кесу/k-анон, бининг датасы/гео, сирек мәндерді басу, дифф. есептердегі құпиялылық.
Жаһандық есептер: тек агрегаттар; «шикі» PII аймақтан тыс жерлерге тыйым салу.
Тарихшылардың тағдыры: мерзімнен кейін - алғашқы сәйкестендіргіштермен байланысты үзу.

12) DSAR/CMP/Локализациямен интеграциялау

DSAR-erase: сол оркестрлеу/артефактілер механизмдерін қолданады; AML қайшылықтары кезінде → жою орнына шектеу.
CMP/Consent: келісімді қайтарып алу → дереу stop-processing және маркетингтік деректер ретенциясының таймерін қосу.
Резиденттілік: кестелер өңірлік периметрде қолданылады, PII экспорты трансшекаралық тетіктерге бағынады.

13) Алып тастау артефактілерінің моделі

erasure_artifact {
job_id, rule_version, market, region, scope{subject    partition    cohort},
systems[], vendors[], method{cascade    crypto_shred    anonymize    mask    revoke_token},
started_at_utc, completed_at_utc, status{ok    partial    failed},
counts{records, tables, bytes}, checksum{before, after},
kms_keys_destroyed[{id, destroyed_at_utc}], orphan_scan{passed    failed},
dsar_case_id?, approvers{dpo, security}, evidence_uri(WORM)
}

14) KPI/KRI және дашборд

Retention Compliance Rate - мерзімге жеткен және SLA-да өңделген жазбалардың үлесі.
Time-to-Erase - медиана/триггерден соңына дейін 95-перцентиль.
Backup Crypto-Shred SLA - кілттері жойылған сегменттердің үлесі.
Orphaned Data Rate - «жетім қалған» жазбалар/синхронды емес репликалар.
Vendor Erasure Ack - вендорлардан мерзімінде растау.
DSAR Linkage - DSAR кейстерімен байланысты жою үлесі.
Auditability Score - толық артефактілер пакеті бар тапсырмалар%.
Exceptions Mix - AML/hold ұстаған жазбалардың үлесі.

15) Чек парақтары

А) Дизайн және саясат

• Санаттар мен нарықтар бойынша ретенция тізілімі DPO/Legal бекітті.
• Әрбір жазба үшін lawful basis және action_after анықталған.
• Кестелерді нұсқалау және келесі қайта қарау күні.
• Жүйелердің/вендорлардың/кілттердің картасы және оқшаулау периметрлері.

B) Техника және операциялар

• Ретенция оркестрі барлық жүйелерге қосылған.
• Каскадты жою/жасыру/анонимдеу сыналды.
• Crypto-shred: кілттер сегменттелген, есептер қалыптастырылады.
• Кесте бойынша orphan-сканерлер мен валидациялық іріктемелер.
• Артефактілердің WORM-қоймасы аудитке қолжетімді.

С) Вендорлар

• DPA/SLA: жою мерзімі, растау форматы, айыппұлдар.
• Тоқсан сайынғы растаулар, тестілік жою.
• Бұзушылықтары бар провайдерлердің қара тізімі.

16) Үлгілер (жылдам кірістіру)

А) Графикті жазу (YAML-мысал)

yaml
- rule_id: CRM-MKT-EMAIL version: 1.3 market: EU data_class: CRM lawful_basis: consent retention_days: 730  # ≤24 мес неактивности grace_days: 30 action_after: erase pii: true residency_region: EU backups_policy: { crypto_shred: true, kms_key_scope: region }
dsar_applicable: true exceptions: { aml: false, legal_hold: true }
owner: dpo

B) Вендор бойынша клауза (алып тастау/растау)

С) Анонимдеу туралы шешім (DWH)

17) Жиі қателер және профилактика

Прод-ДБ-дан алып тасталды, бірақ бэкаптан емес. → Crypto-shred, нарық кілттерін есепке алу.
PII ARM/логиге түседі. → PII-free әдепкі, агентте бүркемелеу, қысқа ретенция.
PII «қалдықтарымен» DWH. → Экспорт алдындағы міндетті de-PII pipeline.
Артефакттар жоқ. → Міндетті генерация 'erasure _ artifact' және WORM-сақтау.
Вендор жойылғанын растамады. → Hold төлемдер/санкциялар, эскалация және offboarding.

18) 30 күндік енгізу жоспары

1 апта

1. Ретенцияның таксономиясы/негіздемесі және бастапқы тізілімі санаттар бойынша бекітілсін.
2. Өңірлік бейіндерді (EU/UK/...) дайындау: мерзімдер, ерекшеліктер, бэкаптар.
3. 'retention _ rule' және 'erasure _ artifact' үлгісін анықтау.

2 апта

4) Ретенция оркестрін (cron/stream) өрістету, негізгі жүйелерді қосу.
5) crypto-shred баптау (нарықтар бойынша KMS), негізгі операциялар журналы.
6) DWH/есептер үшін de-PII pipeline қосу.

3 апта

7) Ұшқыш: 2 санат (CRM/логи) + ойын оқиғасының 1 топтамасы → анонимдеу.
8) Вендор-тестілер: жою және растау сұраулары.
9) Дашборд KPI/KRI және алерта (Time-to-Erase, Orphan Rate).

4 апта

10) Толық релиз; кестелер мен өңірлік бейіндерді тоқсандық тексеру.
11) CAPA табылған қалдықтар/бұзушылықтар бойынша.
12) v1 жоспары. 1: автоматты orphan-сканерлер және вендорлар бойынша есептер.

19) Өзара байланысты бөлімдер

Деректерді жою және жасырын ету

DSAR: деректер үшін пайдаланушы сұраулары

Юрисдикциялар бойынша деректерді оқшаулау

GDPR: келісімді басқару/Cookies және CMP саясаты

Privacy by Design

At Rest/In Transit, KMS/BYOK/HYOK шифрлау

Дашборд комплаенс және мониторинг/Ішкі және сыртқы аудит