GH GambleHub

Przechowywanie i usuwanie danych użytkownika

1) Dlaczego polityka zachowania i usposobienia

Celem jest przechowywanie tylko niezbędnych danych, dokładnie tyle, ile jest to wymagane i bezpieczne usunięcie ich na końcu celów przetwarzania. Ogranicza to ryzyko prawne, powierzchnię ataku, koszty infrastruktury i upraszcza audyt (licencje, partnerzy PSP, organy regulacyjne).

Główne zasady:
  • Cel/podstawa (umowa, prawo, uzasadniony interes, zgoda).
  • Zminimalizowanie i segregacja (pseudonimy PII
  • Przewidywalne terminy i udowodnione procedury usuwania.
  • Monitorowanie ciągłe (dzienniki, raporty, mierniki).

2) Strefy danych i wsparcie architektoniczne

Strefa A - PII/wrażliwe: KYC, żetony płatnicze, biometria (tam gdzie jest to dopuszczalne). Szyfrowanie w miejscu odpoczynku, ścisły dostęp RBAC/ABAC, JIT.
Strefa B - pseudonimizowana: stabilne żetony do analiz/ML; zakaz bezpośredniego anulowania identyfikacji.
Strefa C - agregaty anonimowe: sprawozdawczość/badania; dozwolony jest długi okres ważności.

Mechanizmy wspierające:
  • Katalog danych/RoPA (rejestr operacji), serwis retencyjny (zasady), orkiestra usuwania (usunięcie końcowe do końca), archiwum WORM (audyt/incydenty).

3) Macierz retencji: jak komponować

Kroki:

1. Dopasowanie celów w zakresie przetwarzania

2. Opisz wyzwalacze punktu wyjścia (zdarzenia: tworzenie konta, ostatnie logowanie, zamknięcie konta, zakończenie umowy, transakcja końcowa).

3. Naprawić metodę na końcu: usuwanie, anonimizacja, blokowanie (gdy potrzebujesz „frieze”).

4. Określ właściciela i wyjątki (AML/podatki/spory/oszustwa).

Przykład (dla wiki):
KategoriaCelPodstawaTerminUruchom spustMetoda po zakończeniu
Konto (identyfikatory, kontakt)Prowadzenie dokumentacjiUmowaokres zależności + 6 miesięcyZamknięcie kontaUsunięcie
KYC (dokumenty, szablony selfie)Identyfikacja/AMLYur. cło≥ 5 lat po zakończeniu stosunkuOstatnia transakcja/zamknijBlokada → usuń według daty
Żetony płatniczePłatności/WnioskiUmowa/cło2 lata po ostatniej operacjiOstatnia aktywność płatniczaUsunięcie
Dzienniki zabezpieczeń (wejścia/IP)Bezpieczeństwo/oszustwaUzasadniony interes12-24 miesiąceZapis zdarzeńAnonimizacja
Analityka (pseudo-ID)Analityka produktówUzasadniony interes/zgoda13 miesięcy (często)Zbieranie wydarzeńAnonimizacja/usunięcie
Marketing (e-mail/sms/push)KomunikacjaZgodapodczas gdy jest zgoda + 30 dniWycofanie/wygaśnięcieUsunięcie
Przypadki incydentówZgodność/dochodzenieYur. odsetki/cło3-6 latZamknięcie sprawyArchiwum → Usuń
💡 Wartości - punkty odniesienia; aktualizacja z lokalnymi wymaganiami umownymi dotyczącymi licencji i PSP.

4) Polityka zatrzymywania (szkielet)

1. Zakres, role (właściciel danych, inspektor ochrony, bezpieczeństwo, operacje).
2. Definicje (kategorie PD, strefy, archiwum, kopia zapasowa, anonimizacja/pseudonimizacja).
3. Powiązanie danych z celami/podstawami i terminami (odniesienie do macierzy retencji).
4. Zarządzanie wyjątkami (posiadanie prawa, dochodzenia, wnioski regulacyjne).
5. Kontrola dostępu, szyfrowanie, przesyłanie audytu.
6. Procedura rewizji (kwartalna/jeżeli zmieniają się cele/dostawcy).

5) Usuwanie rurociągów i anonimizacja

Etapy:
  • Mark-for-Deletion: zapisy znakowania i zależności; sprawdzanie „ładowni”.
  • Okres łaski: bufor (np. 7-30 dni), aby anulować błąd.
  • Delete: logiczne ukrywanie się przed usługami produkcyjnymi; Zatrzymaj mailingi/zabiegi.
  • Usunięcie/anonimizacja: czyszczenie fizyczne/nieodwracalna anonimizacja w podstawowym magazynie.
  • Cascade & Fan-out: kaskada na pochodne (bufory, indeksy wyszukiwania, phichestore, DWH, warstwy ML).
  • Kopie zapasowe: odroczone czyszczenie za pomocą zasad tworzenia kopii zapasowych (patrz poniżej).
  • Dowód: akt usunięcia (ID, klasyfikator, czas, systemy), zaloguj się w WORM.
Przepisy techniczne:
  • Usuń przez klucz tematyczny śledzony przez rodowód.
  • Idempotentne zadania, przekładki, deduplikacja poleceń.
  • SLA: większość usunięć ≤ 30 dni od żądania (w stosownych przypadkach).
  • Pola sterowania „niemożliwe do usunięcia”: zastąpić żetonami/maską.

6) Kopie zapasowe i repliki: co zrobić z kopiami

Niezmienne kopie zapasowe (ransomware-resistance) są przechowywane w odrębnej polityce; bezpośrednia edycja nie jest dozwolona.
Temat jest usuwany z kopii zapasowych po wygaśnięciu kopii zapasowej i odzyskiwanie do środowiska walki jest zabronione, jeśli prowadzi to do ponownej identyfikacji.
Dokument: okno do przechowywania kopii zapasowych (na przykład 30/60/90 dni), skryptów odzyskiwania i procesu „sanitarnego” podczas odzyskiwania (po skryptach do ponownego usunięcia zaznaczonych rekordów).

7) Wyjątki i „legitymacja”

Czasami usunięcie nie może być wykonane natychmiast (np. AML, audyty podatkowe, spory sądowe). Procedura:
  • Umieść Legalny Hold ze wskazaniem przyczyny, terminu i właściciela.
  • Blokuj dostęp do danych w dowolnym celu innym niż określony.
  • Okresowo przeglądać trzyma i usunąć, jak tylko podstawa odpadnie.

8) Dokumentacja i artefakty

Macierz retencji (w wersji).
Procedura usuwania (SOP) - kroki, role, SLA, eskalacje.
Dziennik dowodów usunięcia (WORM): kto/co/kiedy/wynik.
Zasady tworzenia kopii zapasowych: linie czasowe, klasa pamięci masowej, testy odzysku.
Mapa lineage danych: od podstawowych tabel po pochodne warstwy.
Wyjątki/Rejestr prawny.

9) Mierniki i kontrola jakości

Zachowanie Przestrzeganie% rekordów usuniętych w harmonogramie.
Deletion SLA: mediana/95 percentyl od żądania/wyzwalacza.
Wskaźnik wykonania kaskady - Odsetek systemów, w których usunięcie jest zakończone.
Zgodność z systemem kopii zapasowych: procent kopii zapasowych usuniętych według daty.
Naruszenie dostępu/eksportu: nieautoryzowane odczytuje/przesyła.
DSR SLA (w stosownych przypadkach): odpowiedzi ≤ terminy.
Wskaźnik incydentu to liczba błędów usunięcia/błędnego uzgodnienia.

10) Listy kontrolne (operacyjne)

Przed uruchomieniem funkcji

  • Określona baza docelowa/obróbka i obszar składowania (A/B/C).
  • Dodano wiersz do macierzy retencji (termin, wyzwalacz, metoda).
  • Orkiestrator usuwania (klucze, kaskady, idempotencja) jest skonfigurowany.
  • Włączony audyt (dzienniki WORM), zaktualizowany RoPA.

Codziennie/co tydzień

  • Harmonogram zadań usuwania przebiegł płynnie.
  • Nowe posiadłości prawne zarejestrowane, wygasły - wycofane.
  • Sprawdzone raporty kopii zapasowych (tworzenie/wygasanie).

Kwartalny

  • Przegląd macierzy retencyjnej i wyjątków.
  • Odzyskiwanie testów z kopii zapasowej + „sanitarne” skryptów.
  • Uzgodnienie wskaźników (SLA, Cascade, Violations), plan poprawy.

11) Częste błędy i jak ich uniknąć

Przechowywanie rezerw → twarde wiązanie z celami; automatyczny TTL według kategorii.
Nie ma kaskady → dane pozostają w buforach/indeksach/fichestore; wdrożyć uniwersalny orkiestrator.
Dev/Stage z PD → używać syntetycznych zestawów/maskowania; automatyczne cięcie śmieci.
Kopie zapasowe poza polityką → zdefiniować okna, zakazać nieautoryzowanych przywracania, testy sanitarne.
Brak dowodów → dziennik WORM, akty usuwania, regularne raporty.
Podstawy mieszane → oddzielny marketing/zabezpieczenie/umowa; nie opóźniaj terminu „na wszelki wypadek”.

12) Przykład niestandardowego usunięcia (scenariusz końcowy)

1. Użytkownik zamyka konto lub przedkłada DSR do usunięcia.
2. Sprawdź wyjątki (AML, spory) → jeśli istnieje - Legal Hold z ograniczonymi celami.
3. Jeśli nie ma ładunku: Mark-for-Deletion → Grace 14 dni → Delete miękkie.
4. Twardy Usuń/Anonimizuj w warstwie transakcji, a następnie kaskadę do buforów, indeksy, sklep z funkcjami DWH, ML.
5. Logowanie do dziennika dowodów, aktualizacja stanu w profilu/poczcie.
6. Czyszczenie z kopii zapasowych po wygaśnięciu okna pamięci masowej.

13) Role i obowiązki (RACI)

Data Owner/Domain Lead - terminy i cele; aktualizacja macierzy retencji.
DPO/Prywatność - zgodność, porady dotyczące wyjątków.
Bezpieczeństwo/CISO - szyfrowanie, dostęp, audyt, kopie zapasowe/odzyskiwania.
Data Engineering - Deletion Orchestrator, lineage, каскана.
Wsparcie/operacje - komunikacja DSR, status i SLA.
Prawa - posiadłości prawne, interakcje z organami regulacyjnymi/sądami.

14) Szablony dla wiki

Matryca retencyjna. xlsx/MD (kategoria → cel → podstawa → termin → metoda).
Usunięcie-SOP. md (regulacja krok po kroku z eskalacją).
Zasady tworzenia kopii zapasowych. md (okna, klasy przechowywania, plan testów odzysku).
Rejestr prawny. md (formularze badania/usunięcia).
Data-Lineage-Diagram (powiązania z tabel do pochodnych).
Miesięczny raport o prywatności. md (wskaźniki, incydenty, ulepszenia).

15) Plan działania w zakresie wdrażania (6 kroków)

1. Inwentaryzacja: mapa danych/przepływów, porównanie celów i przyczyn.
2. Macierz retencyjna: projekt terminów + właściciele; dostosowanie do prawnego/inspektora ochrony danych.
3. Orkiestrator usuwania: klucze, kaskady, kopia zapasowa sanitarna, dzienniki WORM.
4. Zasady/procedury: Polityka retencji, Usuń SOP, Polityka kopii zapasowych, Blokada prawna.
5. Automatyzacja i monitorowanie: harmonogramy, alerty, mierniki deski rozdzielczej.
6. Audyty i szkolenia: kwartalna rewizja, szablony certyfikatów, trening odzyskiwania.

Wynik

Efektywne zatrzymywanie i dyspozycja danych jest cyklem zarządzanym: cel → czas trwania → kontrola → bezpieczna dyspozycja/anonimizacja → provability. Segregacja stref, macierz retencyjna, kaskadowe usuwanie (w tym kopie zapasowe), zrozumiałe wyjątki i wskaźniki zmieniają prywatność i zgodność z ryzykiem w przewagę konkurencyjną - bez strat dla szybkości produktu i jakości UX.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.