Ýurtlaryň arasynda maglumatlary geçirmek

1) Maksady we sebiti

Ygtyýarnamalaryň talaplaryny göz öňünde tutup, şahsy maglumatlaryň (PII) we operasiýa toplumlarynyň (KYC/AML, tölegler, RG/SE, CRM/marketing, oýun telemetriýasy, logi/ARM, analitika/DWH) dolandyrylýan we subut edilip bilinjek howpsuz modelini döretmek i Gaming we dürli ýurisdiksiýalaryň maglumatlary goramak baradaky kanunlar. Resminama "Maglumatlary lokallaşdyrmak", "Aýyrmak we anonimleşdirmek", "GDPR: razylyk", "DSAR" bölümlerini doldurýar.

2) Esasy düşünjeler we ýörelgeler

Serhetaşa geçirmek - subýektiň/maglumatlaryň "öý" ýurisdiksiýasynyň daşyndaky islendik giriş/göçürme/gaýtadan işlemek.
Ýeterliklik/ekwiwalentlik - alyjy ýurdy goramagyň ýeterlikligi hakynda düzgünleşdirijiniň karary.
Şertnamalaýyn mehanizmler - standart şertnamalaýyn düzgünler, ýerli meňzeşler, goşmaça ylalaşyklar.
TIA (Transfer Impact Assessment) - anyk geçişiň hukuk/tehniki töwekgelçiliklerine baha bermek.
Özygtyýarlylyk/rezidentlik - saklanylýan ýer we ýerli gözegçilik hukugy.

1. Local-first: mümkin boldugyça lokal bejerýäris; iň az we düzgünler boýunça.

2. Iň az: "takyk zerur"; has gowusy agregatlar/lakamlar.

3. Kriptografiýa we izolýasiýa: şifrlemek, sebitdäki açarlar, bölmek control/data plane.

4. Subut edilip bilinjekdigi: her bir programmanyň žurnaly, TIA artefaktlary we esaslary.

5. Fail-closed: hiç hili esas ýa-da TIA ýok.

3) Rollar we RACI

DPO/Head of Compliance (Owner) - syýasat, rugsat, TIA, kadadan çykmalar. (A)

Legal - geçirmek mehanizmini, şertnamalary, ýerli talaplary saýlamak. (R)

Howpsuzlyk/Infra - şifrlemek, KMS/HSM, tor perimetri, audit. (R)

Data Platform/Analytics - de-PII/anonimleştirme, federal/kohort hasabatlary. (R)

Ingineering/SRE - marşrut, tokenizasiýa, eksporta gözegçilik. (R)

Vendor Manager - subprosessorlaryň, tassyklamalaryň, offboardingiň sanawy. (R)

Internal Audit - artefaktlaryň nusgalary, CAPA. (C)

4) Akym kartasy (Data Transfer Map)

Çeşme → Maksat (ýurt/bulut/satyjy) → Maglumat kategoriýasy → Maksat → Hukuk binýady → Geçiriş mehanizmi → Gorag (tex/org) → Saklanyş şertleri → Jogapkärçilik.
Grafiki taýdan kesgitlenýär: goldaw/CS, derňew/hasabat, frod/töwekgelçilik-skor, oýun üpjün edijileri we PSP, affiliates.

5) Hukuk mehanizmleri (çarçuwasy)

1. Ýeterliklik hakynda karar (eger ulanylsa): ýönekeýleşdirilen ýol, ýöne şonda-da TIA-artefaktlar we wendor bilen şertnamalar gerek.
2. Standart/standart şertnama düzgünleri we ýerli meňzeşlikler: hökmany goşundylary (kategoriýalary, maksatlary, çäreleri) öz içine alýar.
3. Binding/goşmaça ylalaşyklar: subprosessorlaryň borçlaryny, döwlet edaralarynyň haýyşnamalary hakynda habarnamalary aýdyňlaşdyrýar.
4. Kanun boýunça kadadan çykmalar: maksatly we seýrek (durmuş bähbitleri, şertnamanyň talaby) - yzygiderli eksport üçin däl.
5. Toparyň içindäki düzgünler: Holdingler üçin - gözegçilik edilýän korporatiw gurallar.

6) Transfer Impact Assessment (TIA)

Sebäp: täze satyjy/ýurt, täze maksat, täze kategoriýalar (biometriýa, RG/SE), açarlaryň ýa-da marşrutlaryň re modeimini üýtgetmek.

• Geçirişiň beýany (maglumatlar/göwrüm/ýygylyk/gatnaşyjylar).
• Alyjy ýurduň hukuk gurşawy (döwlet edaralarynyň elýeterlilik töwekgelçiligi, subýektleri goramagyň hukuk serişdeleri).
• Tehniki çäreler: şifrlemek, açarlar (BYOK/HYOK), lakamlaşdyrma, split-processing.
• Guramaçylyk çäreleri: NDA, okuw, "need-to-know", žurnallaşdyrmak, haýyşlara reaksiýalar.
• Galyndy töwekgelçiligi/çözgüt: rugsat bermek/üýtgetmek/gadagan etmek; gaýtadan gözden geçirmegiň möhleti.

TIA gysgaça görnüşiniň şablony: § 15C serediň.

7) Tehniki we guramaçylyk çäreleri

7. 1 Kriptografiýa we açarlar

At rest: AES-256-GCM; in transit: TLS 1. 2+/mTLS; PFS.
KMS: BYOK (açarlar bizde), has gowusy HYOK (açarlar sebitde galýar); bazarlar/tenantlar boýunça segmentasiýa; açarlar bilen amallaryň üýtgemeýän barlagy.
Crypto-shredding: bellikler we arhiwler üçin.

7. 2 Minimallaşdyrmak we de-kesgitlemek

Eksportdan öň lakamlaşdyrma (token gateway), sebitde aýratyn mapping saklamak.
Agregatlar, k-anonimlik/binning seneleri we geolar, seýrek kategoriýalary basyp ýatyrmak.

PII-free logi/ARM we server-side tagging

7. 3 Tekizleriň izolýasiýasy

PII bolmasa global control-plane; PII bilen data-plane lokal.
PII-e proksi gatlak arkaly haýyşyň esaslary we magazineurnaly bilen girmek.

7. 4. Döwlet edaralarynyň haýyşlary

Reaksiýanyň kontury: kanunylygy barlamak, jedelleşmek, göwrümi azaltmak, habar bermek (rugsat berlen bolsa), haýyşlaryň sanawyna ýazmak.

8) Maglumatlaryň kategoriýalary we geçiriş düzgünleri

9) Wendorlar we subprosessorlar

Reýestr: юр. ýüz, DC ýurtlary, subprosessorlar, sertifikatlar, geçiriş mehanizmleri, açar tertibi.
Şertnamalar: DPA + SCC/analoglar, ýerleriň/subprosessorlaryň üýtgemegi barada habarnamalar ≥ 30 gün, audit/anketanyň hukugy, bekaplary lokallaşdyrmak boýunça borçnamalar, hadysalaryň SLA we DSAR.
Onbording/review: TIA, pentest/attestasiýa, "sample transfer" synagy.
Offboarding: eksport/aýyrmak/crypto-shred + tassyklama (evidence).

10) Ekaplar, loglar we seljermeler

Bekaplar: şol sebitde; daşary ýurda eksport etmek - diňe şifrlenen görnüşde + HYOK; möhleti ýetende - crypto-shred.
Logi/ARM: PII-mugt; ýok bolsa - ýerli ammar, gysga retensiýa.
Analitika/DWH: global hasabatlar diňe agregatlar/kokortlar; çig kesgitleýjileriň sebitden daşarda gadagan edilmegi.

11) Prosesler we wakalar

Geçiş prosesi: geçiriş haýyşy → bazar profilini barlamak → mehanizmi saýlamak → TIA → utgaşdyrmak → tehniki çäreler → işe girizmek → gözegçilik → artefaktlar/audit.

• `xborder_transfer_requested/approved/denied`
• 'transfer _ executed' (göwrümi/wagty/satyjysy)
• `key_accessed_for_transfer` (KMS audit)
• `gov_request_received/responded`
• `vendor_location_changed`
• `transfer_review_due`

12) Maglumatlar we artefaktlar (model)

transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI we daşbord

X-Border Transfer Rate (maksatlar/satyjylar/ýurtlar boýunça).
TIA Coverage (aktual TIA bilen geçirimleriň%).
BYOK/HYOK Coverage (sebit açarlary bilen geçirimleriň paýy).
Anonymized Export Share (agregatlarda/lakamlarda eksport%).
"Vendor Location Drift".
Gov Request Count we orta jogap wagty.
Auditability Score (artefaktlaryň doly bukjasy bilen% ýazgylar).

14) Çek-listler

A) Geçiriş başlamazdan öň

• Bellenilmegi we kanuny maksady tassyklandy.
• Mehanizm saýlandy (ýeterliklik/şertnama/meňzeşlik), TIA ýerine ýetirildi.
• Lakamlaşdyrmak/anonimleşdirmek sazlandy; göwrümi azaldyldy.
• KMS/Açarlar: BYOK/HYOK, Journal goşuldy.
• Satyjy bilen şertnama: DPA + SCC/analog, DC/subprosessorlary üýtgetmek barada habarnamalar.
• Ekaplaryň rezidentligi we crypto-shred.

B) Amallarda

• Gözegçilik 'vendor _ location _ changed' we alertler.
• TIA-ny we mehanizmleri wagtal-wagtal gözden geçirmek.
• DSAR/öçürmeler alyjynyň perimetrinde (ýa-da anonimleşdirmek arkaly) dogry ulanylýar.
• Geçiriş ýazgylary we KMS-audit audit üçin elýeterlidir.

C) Audit/gowulaşmalar

• Çärýek nusgalary 'transfer _ record' doly.
• Wakalar/şikaýatlar/kadalaşdyryjy tapyndylar boýunça CAPA.
• Wendorda "revoke access" synagy + aýyrmagyň tassyklamasy.

15) Şablonlar (çalt goşmalar)

A) "Serhetara geçirmek" klausy

B) Döwlet edarasynyň haýyşnamasy barada habar

C) Gysgaça TIA (one-pager)

16) 30 günlük durmuşa geçirmek meýilnamasy

1-nji hepde

1. Serhetara geçiriş syýasatyny, RACI we TIA/DPA şablonlaryny tassyklaň.
2. Häzirki akymlaryň kartasyny we satyjylaryň/ýerleriň/açarlaryň sanawyny düzüň.
3. Bazarlarda KMS-i düzüň (BYOK/HYOK), üýtgewsiz açar barlagyny öz içine alyň.

2-nji hepde

4) Eksport we PII-free logi/ARM-den öň lakamlaşdyrmagy öz içine alyň.
5) 'transfer _ record '/' tia' (WORM-artefaktlar) reýestrini başlat.
6) Möhüm wendorlar bilen şertnamalary täzelemek: ýerleşýän ýerleri, habarnamalary, offboarding-proseduralary.

3-nji hepde

7) 2-3 akymyň piloty (CS, DWH hasabatlary): Anonymized Export Share, BYOK Coverage ölçemek.
8) Döwlet edaralarynyň haýyşnamalarynyň tertibi we eskalasiýa boýunça Önüm/CS/BI/Legal öwretmek.
9) Alertleri birikdirmek 'vendor _ location _ changed'.

4-nji hepde

10) Doly goýberilmegi; KPI/KRI dashbord we çärýekleýin TIA-revyu.
11) tapyndylar boýunça CAPA; v1 meýilnamasy. 1 - federal analitika/diff. hasabatlardaky gizlinlik.
12) Bir satyjynyň offboarding synagy: aýyrmak/crypto-shred, tassyklamalar.

17) Özara baglanyşykly bölümler

Ýurisdiksiýalar boýunça maglumatlaryň lokalizasiýasy

Maglumatlary aýyrmak we anonimleşdirmek/Saklamak we aýyrmak grafikleri

GDPR: razylyk dolandyryşy/Cookies we CMP syýasaty

Privacy by Design / DSAR

Şifrlemek At Rest/In Transit, KMS/BYOK/HYOK

Daşbord komplayens we gözegçilik/Içerki we daşarky audit