GH GambleHub

ISO 27701: Managementul confidențialității

1) Ce este ISO 27701 și de ce este un operator de iGaming

ISO 27701 este un add-on la ISO 27001 și 27002 care se extinde ISMS la PIMS (Privacy Information Management System).
Pentru iGaming: conformitate dovedită cu cerințele de confidențialitate (GDPR/UK GDPR/ePrivacy etc.), lucru accelerat cu autoritățile de reglementare/bănci/parteneri KYC/PSP, risc redus de amenzi și management simplificat al furnizorilor.

2) Domeniul și contextul PIMS

Definire:
  • Roluri și limite: în ce procese sunteți Controller, unde este Procesor; ce mărci/regiuni/procese sunt incluse în domeniul de aplicare.
  • Categorii de date: înregistrare, plăți, KYC/AML/sancțiuni, evenimente comportamentale, semnale RG, suport, marketing/SDK.
  • Obligații legale: legi locale privind confidențialitatea, condiții de licențiere, acorduri cu partenerii.

Ieșire: Domeniul de aplicare și context PIMS + harta părților interesate.

3) Roluri și responsabilități cheie

RolResponsabilitatea în PIMS
Consiliul/CEOAprobă politicile de confidențialitate, resursele și obiectivele
DPO (responsabil cu protecția datelor)Supraveghere independentă a confidențialității, consultare și DPIA, punct de contact
Proprietar de plumb de confidențialitate/PIMSPIMS Operational Management, Metrics, Raportare
Legalitate/ConformitateTemei juridic, tratate (DPA/SCC), transfrontaliere
Securitate/ISMSMăsuri tehnice și organizatorice (TOM), exploatare forestieră
Proprietarii de domeniiProprietatea asupra seturilor de date și a obiectivelor de prelucrare
Date/BIMascare, RLS/CLS, praguri de confidențialitate
Marketing/CRMCIW/consimțământ, profilare, păstrare
TPRM/Achiziții publiceFurnizori și subprocesori: due diligence, DPA, SLA

4) Pachet ISO 27701 ↔ ISO 27001

ISMS (27001/27002): baza de securitate (active, riscuri, controale).
PIMS (27701): adaugă politici de confidențialitate, legalitatea prelucrării, drepturile subiecților, ciclul de viață al datelor, mecanismele contractuale și transfrontaliere.
SoA/Declarația de aplicabilitate: Extins de controale private PIMS.

5) Registrul de prelucrare (RoPA) și Harta datelor

Pentru fiecare proces: scop, temei juridic, categorii de subiecți/date, termen de valabilitate, destinatari/subprocesori, geografie, TOM, pavilion DPIA.

Model RoPA (fragment): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Baza legitimă și consimțământul

Contract/Obligație legală: Plăți, KYC/AML, Prevenirea fraudei.
Interes legitim: analiză de bază/securitate (cu scoring de plumb și opt-out acolo unde este necesar).
Consimțământ: marketing, cookie-uri/SDK în scopuri care nu sunt strict necesare, anumite tipuri de profilare.
Categorii speciale: numai cu motive clare și măsuri consolidate.

Managementul CIW/consimțământului: înregistrarea versiunii de politică/bannere, granularitatea după scop, probabilitatea rechemării.

7) DPIA/PIA - Evaluarea impactului asupra confidențialității

Când: tehnologie nouă, prelucrare pe scară largă, date sensibile, profilare sistematică, transfrontalieră.
Conținut: descrierea prelucrării, necesitatea și proporționalitatea, riscurile pentru drepturile subiecților, măsurile de atenuare.
Exit: decizie (go/rework/respinge) + planul CAPA și controlul datei.

8) Drepturile persoanelor vizate (DSAR)

Drepturi: acces, corecție, ștergere, restricționare, portabilitate, obiecție, refuz de profilare/marketing.
SLA: confirmarea cererii rapid și executarea în perioada programată.
Fluxul de execuție: primirea → verificarea identității → colectarea datelor → răspuns/execuție → jurnal.

Interzicerea „descărcării oarbe”: numai prin ferestre cu camuflaj și bușteni; praguri de confidențialitate.

9) Minimizare, mascare și reținere

Minimizarea datelor: stocați numai ceea ce aveți nevoie pentru scopurile dvs.; ștergeți/anonimizați în mod regulat câmpurile „moarte”.
Mascare/aliasare: implicit pentru PII; demascare - JIT + 'scop' + audit.
Matricea de retenție: perioada de păstrare pe proces/categorie, factorii de oprire (legali), auto-ștergere/arhivă.

10) Transmisii transfrontaliere și subprocesoare

Acorduri contractuale: DPA, SCC/IDTA, DTIA (evaluarea transmisiei).
Localizarea datelor/cheilor: unde sunt date/chei fizice (KMS/HSM), politica VUOK/chei regionale.
Registrul subprocesorilor: notificarea modificărilor, dreptul de obiecție, nivelul TOM-urilor nu este mai mic decât al nostru.

11) Confidențialitate prin design/implicit

În etapa de proiectare: Cerințe privind protecția datelor în PRD, șablon de modelare a amenințărilor cu amenințări private.
Implementat: RLS/CLS, tokenizare, criptare, scopuri API minime, telemetrie fără PII.
În mod implicit: trackere opționale sunt dezactivate, chei individuale/namespaces pe regiune/chiriaș.

12) PIMS Logging, Provability și Audit

Логи (WORM+подпись): 'READ _ PII', 'EXPORT _ DATA', 'PII _ UNMASK', 'CONSENT _ UPDATE', 'DSAR _', 'BREACH _'.
Raportare: statut RoPA, campanii DPIA, DSAR SLA/restanțe, ștergeri de retenție, modificări ale vânzătorilor, încălcări/incidente.
Audit: anual (sau cu modificări), verificarea eficienței de proiectare/operare a controalelor private.

13) Metrica PIMS (KPI/KRI)

KPI:
  • DSAR la timp ≥ 95%
  • Relevanţa RoPA ≥ 98%
  • Acoperirea DPIA pe entități cu risc = 100%
  • Proporția de absorbții automate prin reținere ≥ 95%
  • Nivelul de includere CMP (înregistrări consimțământ înregistrate) = 100%
IRC:
  • Acces PII fără 'scop' = 0
  • Export/transfer neautorizat = 0
  • Incidente/Scurgeri Târziu = 0
  • DPA/SCC lipsă pentru transmisie activă = 0

14) Integrarea cu controalele existente

IGA/RBAC/ABAC/JIT/PAM: minimizarea drepturilor și condițiile de acces contextual.
Politica de jurnal și trasee de audit: dovada acțiunilor cu PII.
TPRM și contracte: DPA/SCC/DTIA, drepturi de audit, notificări SLA ≤ 72 h.
27001/ISMS ISO: model de risc general, SoA și audituri interne.
Incidente și scurgeri de informații: încălcarea cărților de redare, camera comună de război cu vânzătorii.

15) Modele artefact (fragmente)

15. 1 Politica de confidențialitate (extras intern)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Politica de demascare

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 Procesul DSAR

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Matrice de retenţie (fragment)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) POS (proceduri)

16. 1 Actualizare RoPA

1. Product/Owner → Process Card → Legal/Privacy Review → Security TOMs → Publicarea și versiunea.

16. 2 DPIA

1. Screening-ul de risc șablonul DPIA consultarea DPO decizia și calendarul CAPA

16. 3 DSAR

1. Acceptați → verificați → colectați și filtrați prin vitrine → răspuns/execuție → logare și închidere.

16. 4 Furnizori/Transferuri

1. Due diligence → registrul DPA/SCC/DTIA → sub-procesor → monitorizarea modificărilor → offboarding și confirmarea ștergerii.

17) RACI (extins)

ActivitateConsiliul/CEODPOPlumb de confidențialitateLegalitate/ConformitateSecuritateProprietarii de domeniiDate/BITPRM
Politica PIMS/ObiectiveACRCCCII
RoPA/RetenţieIA/RRA/RCRRI
DPIA/PIAIA/RRA/RCRCI
DSARIA/RRCCCRI
Furnizori/TransferuriIARA/RCCIR
Audit/MetricaIARCCIRC

18) Foaie de parcurs de implementare (8-10 săptămâni)

Săptămânile 1-2: Domeniul de aplicare/Context, Roluri și RACI, Process/Data Inventory, Draft RoPA și Retention Matrices.
Săptămânile 3-4: politica de confidențialitate, fluxul CMP/consimțământ, procesul DSAR, șabloanele DPIA, actualizarea DPA/SCC/DTIA cu furnizorii.
Săptămânile 5-6: implementarea TOM (mascare, RLS/CLS, JIT/PAM), vitrine pentru DSAR, jurnale WORM, raportare KPI/KRI.
Săptămâni 7-8: DPIA pe risc ridicat, închide CAPA, PIMS audit intern, Management Review (PIMS).
Săptămânile 9-10: ajustări, lansarea rapoartelor regulate, pregătirea pentru evaluarea externă (dacă este necesar).

19) Greșeli frecvente și cum să le evitați

RoPA „for show”: conectați fiecare intrare la obiective, baze și retenții; păstrați o versiune live.
DSAR prin baze de date „prime”: numai prin vitrine/exporturi cu mascare și jurnale.
Nu există DTIA atunci când sunt transfrontaliere: emiteți în avans, fixați locația datelor/cheilor.
Non-CMP SDK de marketing: Ban până când CMP și TOM contractuale sunt incluse.
Nu Pbd/PbD: Includeți cerințele de confidențialitate în PRD și Definiția Done.

20) Rulați PIMS

Lunar: rapoarte KPI/KRI, audituri de schimbare RoPA, monitorizare sub-procesor, SLA DSAR.
Trimestrial: revizuirea retențiilor/ștergerilor, verificări tematice (marketing, SDK, KYC).
Anual: Auditul Intern PIMS, Contextul/Actualizarea Riscului, Instruirea Personalului, Revizuirea Managementului.

TL; DR

ISO 27701 = PIMS peste ISMS: RoPA + temeiuri legale/consimțăminte + DPIA/DSAR + minimizare/retenție + transfrontaliere și subprocesoare + TOM-uri dovedibile. Construim jurnale și TPRM în RBAC/ABAC/JIT existent și obținem confidențialitate gestionată, măsurabilă, pregătită pentru verificări interne și externe.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Telegram
@Gamble_GC
Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.