GH GambleHub

Transferul de date între țări

1) Scop și domeniu

Creați un model ușor de gestionat și sigur pentru transferurile transfrontaliere de date cu caracter personal (PII) și seturi operaționale (KYC/AML, plăți, RG/SE, CRM/marketing, telemetrie de jocuri, busteni/AWP, analytics/DWH), ținând cont de cerințele licențelor iGaming legile de protecție ale diferitelor jurisdicții. Documentul completează secțiunile: „Localizarea datelor”, „Ștergerea și anonimizarea”, „GDPR: consimțământ”, „DSAR”.

2) Concepte și principii de bază

Transmiterea transfrontalieră - orice acces/replică/prelucrare în afara jurisdicției „de origine” a subiectului/datelor.
Adecvarea/echivalența - deciziile autorității de reglementare privind suficiența protecției țării beneficiare.
Acorduri contractuale - prevederi contractuale standard, echivalente locale, acorduri suplimentare.

AIT - Evaluarea impactului transferului

Suveranitate/rezidență - locație de depozitare și drept de control local.

Principii:

1. Local-first: dacă este posibil, procesează local; exterior - minim și în conformitate cu regulile.

2. Minimizarea: „la fel de mult ca este necesar”; preferabil agregate/pseudonime.

3. Criptografie și izolare: criptare, chei în regiune, separarea planului de control/date.

4. Provability: jurnal de fiecare transmisie, TIA și artefacte de fundație.

5. Eșec-închis: nici un sol sau TIA - nici o transmisie.

3) Roluri și RACI

DPO/șef de conformitate (proprietar) - politică, toleranțe, AIT, excepții. (A)

Juridic - selectarea mecanismului de transfer, contracte, cerințe locale. (R)

Securitate/Infra - criptare, KMS/HSM, perimetre de rețea, audit. (R)

Platforma de date/Analytics - de-PII/anonimizare, raportare federala/cohorta. (R)

Inginerie/SRE - rutare, tokenizare, control export. (R)

Vendor Manager - registru de sub-procesoare, confirmări, offboarding. (R)

Audit intern - mostre de artefact, CAPA. (C)

4) Harta transferului de date

Sursă numire (țară/cloud/furnizor) categorie de date scop temei juridic mecanism de transfer protecție (acestea) perioade de stocare responsabilitate.
Fixat grafic pentru: suport/CS, analiză/raportare, rate de fraudă/risc, furnizori de jocuri și PSP-uri, afiliați.

5) Mecanisme juridice (cadru)

1. Decizia privind caracterul adecvat (dacă este cazul): cale simplificată, dar totuși au nevoie de artefacte AIT și contracte cu furnizorul.
2. Dispoziții contractuale standard/standard și echivalente locale: includ anexe obligatorii (categorii, obiective, măsuri).
3. Acorduri obligatorii/adiționale: clarificarea atribuțiilor subprocesorilor, notificări privind cererile din partea agențiilor guvernamentale.
4. Excepții prin lege: puncte și rare (interese vitale, obligația contractuală) - nu pentru exportul sistemic.
5. Norme intra-grup: pentru exploatații - instrumente corporative cu control.

💡 Soluția mecanică este întotdeauna însoțită de un AIT și un catalog de măsuri suplimentare.

6) Evaluarea impactului transferului (AIT)

Motiv: furnizor nou/țară, țintă nouă, categorii noi (biometrice, RG/SE), schimbare în modul cheie sau rute.

Cuprins:
  • Descrierea transmisiei (date/volum/frecvență/participanți).
  • Mediul juridic al țării beneficiare (riscuri de acces din partea agențiilor guvernamentale, mijloace legale de protecție a subiecților).
  • Măsuri tehnice: criptare, chei (BYOK/HYOK), pseudonimizare, procesare split.
  • Măsuri organizatorice: NDA, training, need-to-know, logare, răspunsuri la cereri.
  • Risc rezidual/decizie: permite/modifica/refuza; perioada de revizuire.

Șablon de formă scurtă TIA: a se vedea § 15C.

7) Măsuri tehnice și organizatorice

7. 1 Criptografie și chei

În repaus: AES-256-GCM; în tranzit: TLS 1. 2 +/mTLS; SFP.
KMS: BYOK (avem chei), de preferință HYOK (cheile rămân în regiune); segmentarea pe piață/chiriaș; auditul inalterabil al operațiunilor-cheie.
Crypto-mărunțire: pentru backup-uri și arhive cu termene limită.

7. 2 Minimizarea și dezidentificarea

Aliasing înainte de export (token gateway), stocarea mapare separat în regiune.
Agregate, k-anonimatul/data binning și geo, suprimarea categoriilor rare.
PII-free busteni/AWS și server-side etichetarea cu zero de identificatori fără consimțământ.

7. 3 Izolarea avioanelor

Plan de control global fără PII; plan de date cu PII la nivel local.
Accesul la PII printr-un strat proxy cu justificarea cererii și a jurnalului.

7. 4 Cereri din partea agențiilor guvernamentale

Conturul reacției: verificarea legalității, provocarea, minimizarea volumului, notificarea (dacă este permisă), înscrierea în registrul cererilor.

8) Categorii de date și reguli de transfer

CategoriePot să plec în străinătate? Termeni și condiții
CCM/biometrieRestricționat
Jetoane de plată/PSPDa/condiționat
Evenimente brute de gamingRestricționat
Statusuri RG/SENu, nu este
CRM/MarketingCondiționat
Busteni/AWSNumai fără PII

9) Furnizori și subprocesori

Registry: Jurassic persoană, DC țări, sub-procesoare, certificări, mecanisme de transfer, modul cheie.
Contracte: DPA + SCC/analogi, notificări privind schimbarea locațiilor/subprocesorilor în ≥30 zile, drepturi de audit/chestionar, obligații de localizare a backup-urilor, incidente SLA și DSAR.
Onboarding/review: TIA, pentest/atestare, „transfer de probă” test.
Offboarding: export/delete/crypto-shred + dovezi.

10) Backup-uri, busteni si analize

Copii de rezervă: în aceeași regiune; export în străinătate - numai în formă criptată + HYOK; când termenul limită este atins - cripto-fărâmă.
Jurnale/AWS: PII-free în mod implicit; dacă nu, depozitare locală, retenţie scurtă.
Analytics/DWH: rapoarte globale numai agregate/cohorte; interzicerea identificatorilor bruţi în afara regiunii.

11) Procese și evenimente

Prin proces: anchetă de transfer verificarea unui profil al pieței alegerea mecanismului AIT coordonarea măsurilor tehnice începerea monitorizării artefacte/audit.

Evenimente (minim):
  • 'xborder _ transfer _ required/approved/denieds'
  • 'transfer _ executed' (volum/timp/furnizor)
  • 'key _ accessed _ for _ transfer' (audit KMS)
  • 'gov _ request _ received/responded'
  • 'vendor _ location _ changed'
  • 'transfer _ review _ due'

12) Date și artefacte (model)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI și tabloul de bord

Rata de transfer X-Border (după țintă/furnizor/țară).
Acoperire TIA (% din transmisii cu TIA curent).
Acoperire BYOK/HYOK.
Anonymous Export Share (% din exporturile în agregate/pseudonime).
Vendor Location Drift (incidente de schimbare a locației).
Numărul de cereri Gov și timpul mediu de răspuns.
Auditability Score (% din înregistrările cu pachet complet de artefacte).

14) Liste de verificare

A) Înainte de transfer

  • Scop și scop legitim confirmat.
  • Mecanism selectat (adecvare/contract/analog), AIT efectuat.
  • Aliasing/anonimizare configurat; volum minimizat.
  • KMS/Chei: BYOK/HYOK, jurnal activat.
  • Contract furnizor: DPA + SCC/echivalent, DC/sub-procesor schimba notificările.
  • Rezidența de backup-uri și cripto-rupt în plan.

B) În operațiuni

  • Monitoring 'vendor _ location _ changed' and alerts.
  • Revizuirea periodică a AIT-urilor și a mecanismelor.
  • DSAR/ștergerile sunt aplicate corect la perimetrul destinatarului (sau prin anonimizare).
  • Jurnalele de transfer și auditurile KMS sunt disponibile pentru audit.

C) Audit/Îmbunătățiri

  • Trimestrial 'transfer _ record' probe pentru completitudine.
  • CAPA privind incidentele/plângerile/constatările de reglementare.
  • Furnizorul „revocă accesul” test + confirmarea ștergerii.

15) Șabloane (inserții rapide)

A) Clauza „transfer transfrontalier”

💡 Sub-procesorul stochează/procesează datele numai în jurisdicțiile declarate. Orice transfer către o altă jurisdicție este permis în temeiul actualului temei juridic (SCC/echivalent local) și consimțământ scris. Schimbați locația/sub-procesorul - notificare de ≥30 zile. Chei de criptare - BYOK/HYOK; jurnalele de acces sunt furnizate la cerere.

B) Notificarea unei solicitări a agenției guvernamentale

💡 Furnizorul trebuie să notifice prompt (dacă este permis) orice cerință de acces, să minimizeze domeniul de aplicare, să conteste solicitări excesive și să divulge documente. Copii ale notificărilor/răspunsurilor - în registrul nostru WORM.

C) Scurt TIA (one-pager)

💡 Scop: {țintă, date, volum, țări}
Riscuri juridice: {total}
Technmers: {criptare, chei, pseudonimizare, procesare divizată}
Orgmers: {NDA, need-to-know, audit}
Rezoluție: {allow/modify/deny}, review {date}

16) plan de implementare de 30 de zile

Săptămâna 1

1. Aprobarea politicilor transfrontaliere de transmisie, a RACI și a șabloanelor TIA/DPA.
2. Construiți o hartă a fluxurilor curente și un registru de furnizori/locații/chei.
3. Configurați KMS pe piețe (BYOK/HYOK), activați auditul cheie neschimbat.

Săptămâna 2

4) Activați aliasing înainte de export și jurnale PII-free/AWS.
5) Începeți registrul 'transfer _ record '/' tia' (artefacte WORM).
6) Actualizarea contractelor cu furnizorii critici: locații, notificări, proceduri de offboarding.

Săptămâna 3

7) Pilot 2-3 fluxuri (CS, DWH rapoarte): măsura Anonymous Export Share, acoperire BYOK.
8) Train Produs/CS/BI/Legal pe proceduri de cerere guvernamentale și escaladări.
9) Conectați alerte 'furnizor _ location _ changed'.

Săptămâna 4

10) Eliberarea completă; Tabloul de bord KPI/KRI și evaluările trimestriale ale TIA.
11) CAPA prin constatări; planul v1. 1 - analiză federală/diff. confidențialitate în rapoarte.
12) Testul de offboarding al unui singur furnizor: ștergere/cripto-shred, confirmare.

17) Secțiuni interdependente

Localizarea datelor pe jurisdicții

Ștergerea datelor și anonimizarea/retenția și ștergerea programelor

GDPR: Managementul consimțământului/Cookie-uri și Politica CMP

Confidențialitate prin design/DSAR

În rest/în tranzit, criptare KMS/BYOK/HYOK

Tabloul de bord și monitorizarea conformității/Audit intern și extern

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.