Защита данных и конфиденциальность

1) Зачем это нужно (контекст iGaming/финтех)

В iGaming и финтехе обрабатываются PII/финданные, биометрия (селфи-liveness), поведенческие и платежные сигналы. Нарушения приватности бьют по лицензиям, PSP-партнерствам, SEO/репутации и финрезультатам. Цель — обеспечить законность, безопасность и прозрачность обработки без убийства UX и конверсии.

2) Правовые принципы и роли

Базовые принципы: законность, справедливость и прозрачность; ограничение цели; минимизация; точность; ограничение хранения; целостность и конфиденциальность; подотчетность.

• Board/Exec: риск-аппетит, утверждение политики, ресурсы.
• DPO (офицер по защите данных): независимый надзор, DPIA/DSR, консультации.
• Security (CISO): техконтроли, инциденты, журнал действий, DLP.
• Engineering/Data: архитектура «privacy by design/default», каталог данных.
• Compliance/Legal: правовые основания, договоры, трансграничные передачи.
• Operations/Support: обработка запросов субъектов и процедур.

3) Категории данных и законные основания

Категории: идентификационные (ФИО, DOB), контактные, платежные (токены), биометрия (селфи/face-template), поведенческие (сессии, ставки), технические (IP/UA/Device), KYC/AML-артефакты, логи, а также спецкатегории — только при строгой необходимости.

• Договор (contract): аккаунт, платежи, выплаты, транзакционные уведомления.
• Закон (legal obligation): AML/KYC, бухучет, налоговые обязанности, возрастные проверки.
• Легитимный интерес (LIA): антифрод, безопасность, улучшение UX (при тесте на баланс интересов).
• Согласие: маркетинговые рассылки, необязательные cookies, биометрия в ряде юрисдикций.
• Документируйте выбор основания в реестре операций обработки.

4) Privacy by Design / by Default

Проектирование: до запуска фичи проводится DPIA (оценка влияния на приватность), моделирование угроз (STRIDE/LINDDUN).
По умолчанию: минимальные наборы полей, отключенные необязательные трекеры, закрытые доступы.
Изоляция сред: dev/stage без реальных ПД (или с маскированием/синтетикой).
Версионирование схем: миграции с миграционными планами по ПД.

5) Архитектура данных и безопасность

• Zone A (Transactional PII): токенизированные платежи, KYC-артефакты; доступ — строго по RBAC/ABAC.
• Zone B (Analytics Pseudonymized): псевдонимы/хэши, агрегированные события; запрет прямой де-идентификации.
• Zone C (Anonymized BI): анонимные агрегаты для отчетности/ML-обучения.

• Шифрование in transit (TLS 1.2+) и at rest (AES-256), ключи в HSM/KMS; ротация ключей.
• Псевдонимизация (стабильные токены) и анонимизация (диффприватность, k-анонимность для публикаций/исследований).
• Секрет-менеджмент: vault, zero-trust доступ, однократные токены.
• Логи и аудит: неизменяемое WORM-хранилище критических событий, трассировки; контроль массовых выгрузок.
• DLP: правила выгрузки, водяные знаки, мониторинг «exfiltration».
• Endpoint/Access: SSO/MFA, Just-in-Time доступы, временные роли, geo/IP-ограничения.
• Надежность: бэкапы с шифрованием, тесты восстановления, минимизация blast-radius.

6) DPIA/DTIA: когда и как

DPIA обязателен при высоком риске (масштабная обработка, профилирование для RG/фрода, биометрия, новые источники).

1. Описание цели/обработки и категорий ПД.

2. Основание и необходимость/соразмерность (минимизация, ограничения).

3. Оценка рисков для прав/свобод субъектов, ветерация по вероятности/влиянию.

4. Меры смягчения (тех/орг), остаточный риск, план действий.

DTIA (трансграничные передачи): анализ права страны-получателя, договорные и тех меры (шифрование, SCC/аналог), риск государств.

7) Права субъектов данных (DSR)

Запросы: доступ, исправление, удаление, ограничение, переносимость, возражение/отказ от маркетинга.

• Верифицировать заявителя (без утечки).
• Выполнить в срок (обычно 30 дней) с логированием решений.
• Исключения: регуляторные/договорные обязанности (например, хранение AML-артефактов).
• Автоматизированные решения: предоставить значимую информацию о логике (explainability) и право на пересмотр человеком.

8) Сроки хранения и удаление

Ретеншн-матрица: для каждой категории ПД — цель, срок, основание, способ удаления/анонимизации.
AML/KYC/финансы часто требуют ≥5 лет после окончания отношений — фиксируйте локальные сроки.
Deletion pipeline: помеченное удаление → отложенная безвозвратная очистка → отчет об удалении; каскад на бэкапах по сроку.

9) Cookie/SDK/трекеры и маркетинг

Нужна гранулярная панель согласий (обязательные/функциональные/аналитические/маркетинг).
Четкое назначение Cookie/SDK, срок жизни, провайдер, передача третьим сторонам.
Do-Not-Track/Opt-out для рекламы; уважаем локальные требования (баннер, реестр).
Серверная аналитика/агрегация — приоритетно для минимизации утечек.

10) Трансграничные передачи

Правовые инструменты: договорные положения (SCC/аналог), корпоративные правила, локальные механизмы.
Технические меры: шифрование до передачи, ограничение доступа к ключам в стране происхождения, минимизация полей.
Оценка рисков доступа госорганов: DTIA + дополнительные меры (split-key, клиентское шифрование где возможно).

11) Управление вендорами и третьими сторонами

Аудит поставщика: лицензии/сертификации, SOC/ISAE, инциденты, география обработки.
DPA/акты обработки: цель, категории ПД, сроки, субпроцессоры, breach-уведомления ≤72 ч, право аудита.
Техконтроль: шифрование, RBAC, логирование, изоляция клиентов, тесты отказоустойчивости.
Непрерывный мониторинг: ежегодный обзор, событийный пересмотр при изменениях.

12) Инциденты и уведомления

1. Обнаружение и классификация (PII scope/критичность).

2. Изоляция, форензика, устранение, восстановление.

3. Оценка риска для субъектов, решение об уведомлении регулятора и пользователей.

4. Коммуникации (без раскрытия лишнего), координация с PSP/партнерами.

5. Пост-морем и обновление контролей/политик.

SLO: первичная оценка ≤24 ч; уведомление регулятора/аффектированных в сроки локального права; ретест уязвимости.

13) Метрики и контроль качества

DSR SLA: доля запросов закрыта в срок, среднее время ответа.
Data Minimization Index: среднее число полей/событий на фичу; доля выключенных необязательных трекеров.
Access Violations: количество/тренд несанкционированных доступов/выгрузок.
Encryption Coverage: % таблиц/бакетов/бэкапов с шифрованием и ротацией ключей.
Incident MTTR/MTTD: время обнаружения/устранения, повторяемость.
Vendor Compliance: прохождение обзоров, закрытие замечаний.
Retention Adherence: доля записей, удаленных по сроку.

14) Политики и документация (скелет для wiki)

1. Политика защиты данных (принципы, роли, определения).
2. Реестр операций обработки (цели, основания, категории).
3. DPIA/DTIA-процедура (шаблоны, триггеры).
4. Политика прав субъектов (DSR) (потоки, SLA, шаблоны).
5. Политика ретеншна и удаления (матрица, процессы).
6. Политика cookie/SDK (панель согласий, реестр).
7. Политика инцидентов и уведомлений (RACI, сроки, формы).
8. Вендор-менеджмент и DPA (чек-листы оценки, шаблоны).
9. Security baseline (шифрование, доступы, логи, DLP).
10. Обучение и осведомленность (программы, тесты).

15) Чек-листы (операционные)

• DPIA проведена, риск и меры утверждены DPO.
• Цели/основания определены, реестр обновлен.
• Минимизированы поля, PII в отдельной зоне, маскирование в dev/stage.
• Cookie/SDK учтены, баннер настроен, опции Opt-in/Opt-out проверены.
• Логи/метрики/алерты настроены, ретеншн и удаление прописаны.

• Ревью доступов (RBAC/ABAC), отзыв «забытых» прав.
• Тест восстановления бэкапов.
• Проверка DPA и субпроцессоров, инвентаризация SDK.
• Аудит ретеншна и фактических удалений.
• Тренировка IR-плана (table-top).

• Верификация заявителя.
• Сбор данных из реестра систем; красные линии для AML/правовых исключений.
• Ответ и логирование в срок; шаблоны коммуникаций.

16) Этика, прозрачность и UX

Понятные уведомления о целях/трекинге, «слойная» политика приватности (коротко + детали).
Гранулярные переключатели согласий, легкий отказ от маркетинга.
Explainability для автоматизированных решений (скоры фрода/RG): причины, право на пересмотр.
Избегайте скрытых «темных паттернов»; не используйте чувствительные признаки для таргетинга.

17) Дорожная карта внедрения

1. Инвентаризация данных и систем; карта потоков ПД.
2. Назначение DPO, утверждение политики и RACI.
3. Каталог операций обработки и оснований; запустить DPIA/DTIA-контур.
4. Разделение зон данных, шифрование/ключи, DLP/журналы, ретеншн-пайплайн.
5. Панель согласий, реестр cookie/SDK, серверная аналитика.
6. Вендор-ревью и DPA; контроль субпроцессоров.
7. IR-плейбук, тренировки, метрики и регулярная отчетность Board.

Итог

Надежная защита данных — это не только шифрование: это система управления жизненным циклом ПД — от целей и оснований до минимизации, безопасной архитектуры, DPIA/DTIA, прав субъектов, инцидентов и метрик. Встроив приватность «по умолчанию» и дисциплину процессов, вы соблюдете требования регуляторов и платежных партнеров, удержите конверсию и укрепите доверие игроков.