GH GambleHub

Privaciy by Design: princípios de design

1) Por que isso é necessário (alvo e área)

PbD garante que a privacidade está inserida no produto padrão, em vez de ser «colada» em cima. Para iGaming, isso reduz os riscos regulatórios (GDPR/ePrivate/leis locais), protege usuários vulneráveis, aumenta a confiança e reduz o custo dos incidentes. Abrangência: web/mobile, KYC/AML/RG, pagamentos, marketing/CRM, analista/DWH, logs/ARM, parceiros/vendedores.

2) Sete princípios (e como pousá-los nas operações)

1. Proatividade, não reatividade

O Threat modeling (LINDDUN/STRIDE) está na fase discovery.
Critérios de privacidade-aceitance em modelos Jira/PR.

2. Privacidade padrão (Privaciy by Default)

Todos os tumblers de marketing/personalização - off, até o consentimento.
Recolhe apenas os ID padrão «estritamente necessários».

3. Privacidade incorporada ao design

O PII é armazenado em um circuito regional (data residency), o controle plane é armazenado sem PII.
Toquenizar/apelidar as chaves nos eventos de serviço.

4. Funcionalidade completa (win-win)

Modos de «anônimos» e «personalização com consentimento».
Igual UX sem discriminação dos que rejeitam o tracking.

5. Segurança através do ciclo de vida

Criptografia at rest/in transit; BYOK/HYOK; segmentação de redes; segredo de gestão.
Registros WORM para provas e auditoria.

6. Transparência

Políticas curtas e «summary box» condições-chave; painel de privacidade no perfil.
Relatórios: quem/o/quando/porquê estava disponível para os dados.

7. Orientação do usuário

Textos simples, falta de patterns escuros, disponibilidade de WCAG AA +.
Fácil revisão do consentimento e canais DSAR confortáveis.

3) Papéis e RACI

DPO/Head of Compliance - Política de PbD, DPIA/TRA, Controle de Risco. (A)

Segurança/Infra Lead - criptografia, acessibilidade, revistas, vendedores. (R)

Produt/UX - requisitos de privacidade em fichas, falta de dark patterns. (R)

Engineering/Arquitetura - Tocenização, isolamento tenant/region, contratos API. (R)

Data/Analytics - de-PII linhas de montagem, PETs, agregação. (R)

Legal - fundamentos legais, textos e locais. (C)

Marketing/CRM - consentimento/supressão, comunicações honestas. (R)

Auditório Internacional - amostra de artefatos, CAPA. (C)

4) Classificação e taxonomia de dados

PII básico: FIO, e-mail, telefone, endereço, data de nascimento, dispositivo IP/ID.
PII sensível: biometria (selfie/vitalidade), documentos KYC, adereços de pagamento, estatais RG/SE.
Operacionais: eventos de jogo, logs/trailers (PII-free padrão).
Marketing/analista: cookies/SDK (consentimento).

Regras: minimização, armazenamento separado, propósito claro e prazo de armazenamento.

5) Ciclo de vida de dados (Data Lifecyple)

1. Recolher - apenas os campos necessários; O CMR/consentimento; verificação de idade.
2. Transferência: TLS 1. Uma assinatura de webhooks, um roteiro regional.
3. Armazenamento - criptografia, tocenização, rotação de chaves, isolamento de mercado.
4. Uso: RBAC/ABAC, «need-to-know», PETs para analistas.
5. Compartilhamento - DPA/SCC, conjuntos mínimos, canais auditados.
6. Retenção/remoção - prazo de categoria; delete jobs em cascata; cripto-remoção de arquivos.
7. Relatório/auditoria - logs de acesso e exportação, artefatos DPIA/DSAR.

6) DPIA/TRA (como fazer curta)

Desencadeadores: novas categorias de PII, categorias especiais, novos vendedores, transmissões, riscos elevados de RG/biometria.
Modelo DPIA: Objetivo da categoria de dados base legal fluxo/mapa riscos medidas (tac/org) risco residual solução.
Artefatos: diagrama de fluxo, lista de campos, tabela de risco, protocolo de negociação.

7) Pattern arquitetônicos PbD

Tenant/Region Isolation: segregação física/lógica de BD, chaves e segredos.
Controle Global de Controle vs Data Plane - sem PII; PII apenas localmente.
De-PII Pipeline: Antes de exportar para DWH - hash/sal, corte, k-anonimato/cocortagem.
Tokenization Gateway: Os tokens são substituídos por identificadores primários no pneu de serviço.
Edge sem PII: CDN/edge-dinheiro - apenas conteúdo público.
Fail-Closed: desconhecido 'player _ region' → impede transações PII.

8) Medidas técnicas e padrões

Criptografia: AES-256/GCM at rest; TLS 1. 2+/1. 3; PFS.
Chaves: KMS, BYOK/HYOK, rotação, acesso por HSM, registro de operações essenciais.
Acesso: RBAC/ABAC, JIT acessíveis, arquivos separados e funções de auditoria.
Revistas (WORM), cadeias de hash, armazenamento na região.
DevSecOps: segredos em Vault, SAST/DAST, campos PII linter, testes de privacidade em CI.
Dados de teste: sintético padrão; se os ré-dados forem de identificação e retoma curta.

9) PETs (Privacy-Enhancing Technologies)

Pseudônimo: substituição de ID por tokens; a chave-map é mantida separadamente.
Anónima: máquinas, k- anonimnost/ℓ -diversity, bining/cocortes.
Privacidade diferencial: ruído nos relatórios, «privacidade budet».
Analista federal: modelos locais, exportação apenas de pesos/unidades.
Camuflagem/redação: Remover EXIF, bloquear campos em documentos KYC.

10) Ux sem patterns escuros

«Rejeitar tudo «/« Aceitar tudo «/« Configurar »é igual.
Textos compreensíveis de metas e exemplos de uso de dados.
Deixar de personalizar não piora a experiência básica.
Painel de privacidade em 1-2 clique em todos os lugares; disponibilidade AA +.

11) Vendedores e transferência de dados

Registro de vendedores: jurisdição DC, subprocessadores, certificação, regiões de armazenamento, DPA/SCC/IDTA.
Política de «conjunto mínimo»: apenas os campos desejados, impedindo a exportação livre.
Notificação e revisão ao mudar de localização/subprocessadores.

12) Dados e eventos (modelo mínimo)


data_asset{id, category{KYC    PCI    RG    CRM    LOG    ANON}, region, owner, retention_days, lawful_basis, pii{yes/no}}
processing_event{id, actor, purpose, lawful_basis, started_at, ended_at, records_count, export{yes/no, basis_id}}
access_log{id, subject_id_hash, actor, action{read/write/export/delete}, ts_utc, reason, ticket_id}
erasure_job{id, subject_id_hash, scope, started_at, completed_at, evidence_id}

13) KPI/KRI e dashboard PbD

O PII Minimization Index (média de campos PII por fijo).
Residency Coverage (% dos registros na região correta).
Export Justificação Rate (quantas exportações com referência à base).
DSAR SLA (mediana de execução/precisão).
Tag Firing Violations (tags sem consentimento).
Auditability Score (% das malas com um pacote completo de artefatos).
Invidents/Findings (observações repetidas de auditoria/regulador).

14) Folhas de cheque

A. Antes do desenvolvimento de fitas (Design)

  • São definidos os objetivos e os fundamentos legais da tramitação.
  • Mapa de dados e lista de campos PII/sensíveis.
  • Os DPIA/TRE foram executados; riscos residuais tomados.
  • Foi pensado um modo anônimo ou um modo com um mínimo de dados.

B. Antes do lançamento (Build/Release)

  • Segredos no gestor, chaves/criptografia configurados.
  • Logs sem PII; eventos e auditorias estão incluídos.
  • O roteiro regional e a política de retenção estão ativos.
  • Testes: consent-gates, deny-by-default para marcas de formatação, erasure-caminho.

C. Em operações

  • Reviravolta trimestral de acesso e exportação.
  • Monitoramento de violações firing e solicitações de fronteiras.
  • Os DSAR/remoções são executados dentro do prazo; os artefactos são preservados.

15) Modelos (inserções rápidas)

A) Modelo DPIA (curto)

💡 Alvo: ____
Categorias de dados: ____ (PII: sim/não)
Base: ____
Fluxo/localização: ____
Riscos/exposição: ____
Medidas: (cifra/tokens/isolamento), org (RBAC/treinamento)
Risco residual: ____ Solução: aprovar/reciclar

B) Política de minimização de campos

💡 Os campos válidos são [...]. Qualquer novo campo requer update DPIA e Review Legal.

C) Clauz com um compromisso PbD

💡 O provedor implementa o Privaciy by Design/Default, armazena os dados para a região, aplica a criptografia at rest/in transit, fornece logs de acessibilidade, avisa a mudança de sub-processadores e as localizações de ≥30 dias.

D) Resposta DSAR (Extração)

💡 Fornecemos informações sobre seus dados, metas de processamento e fontes. A remoção foi feita em cascata; confirmação anexada (evidence #...).

16) Erros frequentes e como evitá-los

Política de minimização + código-raio dos esquemas.
Logs crus PII em APM. → Camuflagem/redação em agente, armazenamento local.
DWH global com PII. → Apenas unidades de-PII/pseudônimos.
Nenhum artefacto DPIA/consent. → repositório WORM, imagens automáticas UI/texto.
Vendedores não contabilizados/SDK. → Registro trimestral, proibição de conexões cinzentas.

17) Plano de implementação de 30 dias

Semana 1

1. Aprovar políticas PbD e modelos DPIA/TRE.
2. Mapear dados/fluxos em áreas-chave (KYC/PCI/RG/CRM/Logi).
3. Selecionar perímetros regionais (EU/UK/...); definir o modelo de chaves (BYOK/HYOK).

Semana 2

4) Incluir toquenização/de-PII e deny-by-default para marcas de formatação.
5) Personalizar os registros WORM (disponíveis/exportação/consent/remoção).
6) Atualizar contratos de venda (DPA/SCC, localização, subprocessadores).

Semana 3

7) Implementar testes de privacidade em CI (linter PII, crin-fixação CMP, erasure-E2E).
8) Lançamento do painel de privacidade no perfil; melhorar os textos e os locais.
9) Treinar comandos (Product/Eng/Data/CS/Legal).

Semana 4

10) Fazer um top-fich DPIA, fechar CAPA.
11) Iniciar o dashboard KPI/KRI (Residency, Exports, DSAR SLA).
12) Plano v1. 1, diff. privacidade para relatórios, pipas federais.

18) Seções interligadas

GDPR: Gerenciamento de concordância/Política de cookies e CMP

Localização de dados de jurisdição

Verificação de idade e filtros de idade

AML/KYC e armazenamento de artefatos

Dashboard de complacência e monitoramento/Relatórios regulatórios

Auditoria interna/externa e folha de cheques de auditoria

BCP/DRP/Criptografia At Rest & In Transit

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.