ISO 27701: Идоракунии махфият

1) ISO 27701 чист ва чаро он оператори IGaming аст

ISO 27701 илова ба ISO 27001 ва 27002 мебошад, ки ISMS-ро ба PIMS (Системаи идоракунии иттилооти махфият) паҳн мекунад.
Барои IGaming: мутобиқати собитшуда ба талаботи махфият (GDPR/UK GDPR/EPrivacy ва ғайра), кори босуръат бо танзимгарон/бонкҳо/шарикони KYC/PSP, хатари ҷарима ва идоракунии соддакардашудаи фурӯшандаро коҳиш дод.

2) Доираи PIMS ва контекст

• Нақшҳо ва ҳудудҳо: дар кадом равандҳо шумо назоратчӣ ҳастед, протсессор куҷост; кадом брендҳо/минтақаҳо/равандҳо ба миқёс дохил карда шудаанд.
• Категорияҳои маълумот: бақайдгирӣ, пардохтҳо, KYC/AML/санксияҳо, рӯйдодҳои рафторӣ, сигналҳои RG, дастгирӣ, маркетинг/SDK.
• Ӯҳдадориҳои ҳуқуқӣ: қонунҳои маҳаллии дахолатнопазирӣ, шартҳои иҷозатномадиҳӣ, шартномаҳо бо шарикон.

Натиҷа: Ҳуҷҷати PIMS Scope & Context + харитаи ҷонибҳои манфиатдор.

3) Нақшҳо ва масъулиятҳои асосӣ

4) Бастаи ISO 27701 ↔ ISO 27001

ISMS (27001/27002): пойгоҳи амниятӣ (дороиҳо, хатарҳо, назорат).
PIMS (27701): сиёсати махфият, қонунияти коркард, ҳуқуқҳои субъектҳо, мӯҳлати истифодаи маълумот, механизмҳои шартномавӣ ва фаромарзиро илова мекунад.
So-A/Изҳороти татбиқ: Аз ҷониби PIMS назорати хусусӣ васеъ карда мешавад.

5) Феҳристи коркард (ROPA) ва харитаи маълумот

Барои ҳар як раванд: мақсад, асоси ҳуқуқӣ, категорияҳои субъектҳо/додаҳо, мӯҳлати нигоҳдорӣ, гирандагон/зергурӯҳҳо, ҷуғрофия, TOM, парчами DPIA.

yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Асоси қонунӣ ва ризоият

Шартнома/ӯҳдадории ҳуқуқӣ: Пардохтҳо, KYC/AML, пешгирии қаллобӣ.
Манфиати қонунӣ: таҳлил/амнияти асосӣ (бо баҳодиҳии пешбар ва дасткашӣ дар ҷойҳои зарурӣ).
Ризоият: маркетинг, кукиҳо/SDK барои мақсадҳои ҳатмӣ, намудҳои муайяни профил.
Категорияҳои махсус: танҳо бо асосҳои возеҳ ва чораҳои мукаммал.

Идоракунии CIW/розигӣ: сабти версияҳои/баннерҳои сиёсат, гранулярӣ аз рӯи мақсад, исботи бозхонд.

7) DPIA/PIA - Арзёбии таъсир ба дахолатнопазирӣ

Кай: технологияи нав, коркарди миқёси калон, маълумоти ҳассос, профилҳои систематикӣ, фаромарзӣ.
Мазмун: тавсифи коркард, зарурат ва таносуб, хавф ба ҳуқуқҳои субъектҳо, чораҳои сабуккунанда.
Баромадан: қарор (рафтан/кор кардан/рад кардан) + Нақшаи CAPA ва назорати сана.

8) Ҳуқуқҳои мавзӯи маълумот (DSAR)

Ҳуқуқҳо: дастрасӣ, ислоҳ, несткунӣ, маҳдудият, қобилият, эътироз, рад кардани профил/маркетинг.
SLA: тасдиқи дархост зуд ва иҷро дар мӯҳлати пешбинишуда.
Ҷараёни иҷро: квитансия → санҷиши шахсият → ҷамъоварии маълумот → вокуниш/иҷро → журнал.

Манъи "борфарории нобино": танҳо тавассути тирезаҳо бо камуфляж ва гузоришҳо; ҳадди махфият.

9) Миниматсия, ниқоб ва нигоҳдорӣ

Кам кардани маълумот: танҳо он чизеро, ки барои мақсадҳои шумо лозим аст, нигоҳ доред; мунтазам майдонҳои "мурда" -ро нест кунед/беном кунед.
Маска/бегона: пешфарз барои PII; unmasking - JIT + 'мақсад' + аудит.
Матритсаи нигоҳдорӣ: мӯҳлати нигоҳдорӣ дар як раванд/категория, омилҳои таваққуф (ҳуқуқӣ), нест кардани худкор/бойгонӣ.

10) Интиқоли фаромарзӣ ва зерсохторҳо

Шартномаҳои шартномавӣ: DPA, SCC/IDTA, DTIA (арзёбии интиқол).
Ҷойгиршавии маълумот/калидҳо: дар куҷо маълумот/калидҳои ҷисмонӣ (KMS/HSM), сиёсати VUOK/калидҳои минтақавӣ.
Феҳристи зерсохторҳо: огоҳӣ дар бораи тағирот, ҳуқуқи эътироз, сатҳи TOM аз сатҳи мо камтар нест.

11) Махфият аз рӯи тарроҳӣ/бо нобаёнӣ

Дар марҳилаи тарроҳӣ: Талаботи ҳифзи маълумот дар PRD, қолаби моделсозии таҳдид бо таҳдидҳои хусусӣ.
Татбиқ шудааст: RLS/CLS, токенизатсия, рамзгузорӣ, миқёси ҳадди аққали API, телеметрия бе PII.
Бо нобаёнӣ: трекерҳои ихтиёрӣ хомӯш карда мешаванд, калидҳои инфиродӣ/фазои ном дар як минтақа/иҷорагир.

12) Сабти PIMS, таъминот ва аудит

Логи (WORM + подпись): 'READ _ PII', 'EXPORT _ DATA', 'PII _ UNMASK', 'CONSENT _ UPDATE', 'DSAR _', 'BREACH _'.
Ҳисобот: Вазъи ROPA, маъракаҳои DPIA, DSAR SLA/backlog, нест кардани нигоҳдорӣ, тағироти фурӯшанда, қонуншиканиҳо/ҳодисаҳо.
Аудит: ҳамасола (ё бо тағирот), Санҷиши самаранокии тарроҳӣ/амалиётӣ аз назорати хусусӣ.

13) PIMS Metrics (KPI/KRI)

• DSAR дар вақти ≥ 95%
• Алоқамандии ROPA ≥ 98%
• Фарогирии DPIA аз ҷониби шахси хавф = 100%
• Таносуби хориҷкунии худкор аз рӯи нигоҳдорӣ ≥ 95%
• Сатҳи фарогирии CMP (сабтҳои сабти розигӣ) = 100%

• Дастрасии PII бе 'мақсад' = 0
• Содирот/интиқоли беиҷозат = 0
• Ҳодисаҳо/ихроҷи дер = 0
• Набудани DPA/SCC барои интиқоли фаъол = 0

14) Ҳамгироӣ бо назорати мавҷуда

IGA/RBAC/ABAC/JIT/PAM: кам кардани ҳуқуқҳо ва шароити дастрасии контекстӣ.
Сиёсати сабти ном ва роҳҳои аудит: исботи амалҳо бо PII.
TPRM ва шартномаҳо: DPA/SCC/DTIA, ҳуқуқи аудит, огоҳиномаҳои SLA ≤ 72 соат.
ISO 27001/ISMS: модели умумии хавф, SOA ва аудити дохилӣ.
Ҳодисаҳо ва ихроҷ: вайрон кардани дафтарчаи бозӣ, ҳуҷраи муштараки ҷанг бо фурӯшандагон.

15) Намунаҳои артефактӣ (пораҳо)

15. 1 Сиёсати махфият (порчаи дохилӣ)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Сиёсати беасос

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 Раванди DSAR

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Матритсаи нигоҳдорӣ (порча)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (расмиёт)

16. 1 Навсозии ROPA

1. Маҳсулот/Молик → Корти протсессӣ → Шарҳи ҳуқуқӣ/дахолатнопазирӣ → TOM-ҳои амниятӣ → Нашр ва версия.

16. 2 DPIA

1. Санҷиши хавфҳо → Қолаби DPIA → Машварати DPO → CAPA → Қарор ва вақт

16. 3 DSAR

1. Қабул кардан → санҷиш → ҷамъоварӣ ва филтр кардан тавассути намоишҳо → вокуниш/иҷро § воридшавӣ ва пӯшидан.

16. 4 Фурӯшандагон/Интиқолҳо

1. Санҷиши лозимӣ → DPA/SCC/DTIA → феҳристи зер-протсессори → мониторинги тағирот → offboard ва тасдиқи несткунӣ.

17) RACI (васеъшуда)

18) Харитаи роҳсозӣ (8-10 ҳафта)

Ҳафтаҳои 1-2: Ҳаҷм/контекст, нақшҳо ва RACI, инвентаризатсияи раванд/маълумот, лоиҳаи ROPA ва матритсаи нигоҳдорӣ.
Ҳафтаҳои 3-4: сиёсати махфият, ҷараёни CMP/розигӣ, раванди DSAR, қолабҳои DPIA, навсозии DPA/SCC/DTIA бо фурӯшандагон.
Ҳафтаҳои 5-6: Татбиқи TOM (ниқоб, RLS/CLS, JIT/PAM), намоишҳо барои DSAR, гузоришҳои WORM, KPI/KRI.
Ҳафтаҳои 7-8: DPIA оид ба хавфи баланд, CAPA, аудити дохилии PIMS, Шарҳи менеҷмент (PIMS).
Ҳафтаҳои 9-10: тасҳеҳот, оғози ҳисоботи мунтазам, омодагӣ ба арзёбии беруна (агар лозим бошад).

19) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

РОПА "барои намоиш": ҳар як вурудро ба ҳадафҳо, пойгоҳҳо ва нигоҳдорӣ пайваст кунед; версияи мустақимро нигоҳ доред.
DSAR тавассути пойгоҳи додаҳои "хом": танҳо тавассути намоишҳо/содирот бо ниқоб ва гузоришҳо.
Ҳангоми фаромарзӣ DTIA нест: пешакӣ бароварда шавад, ҷойгиршавии маълумот/калидҳоро ислоҳ кунед.
Маркетинги ғайри CMP SDK: Манъи то CMP ва TOM-ҳои шартномавӣ.
Не Pbd/PBD: Талаботи махфиятро дар PRD ва Таърифи Иҷро дохил кунед.

20) PIMS иҷро кунед

Ҳармоҳа: Ҳисоботҳои KPI/KRI, аудити тағир додани РОПА, мониторинги суб-протсессор, DSAR SLA.
Ҳар семоҳа: баррасии нигоҳдорӣ/несткунӣ, чекҳои мавзӯӣ (маркетинг, SDK, KYC).
Солона: Аудити дохилии PIMS, контекст/навсозии хатар, омӯзиши кормандон, баррасии менеҷмент.

TL; ДР

ISO 27701 = PIMS бар ISMS: Ro Мо гузоришҳо ва TPRM-ро ба RBAC/ABAC/JIT/-и мавҷуда месозем ва махфияти идорашаванда, ченшаванда, барои санҷишҳои дохилӣ ва беруна омодаем.