ISO 27701: Gizlinligi dolandyrmak

1) ISO 27701 näme we näme üçin iGaming operatory

ISO 27701 - ISMS-i PIMS-e (gizlinlik maglumatlary dolandyryş ulgamlary) çenli giňeldýän ISO 27001 we 27002-e goşundy.
iGaming üçin: gizlinlik talaplaryna (GDPR/UK GDPR/ePrivacy we ş.m.) subut edilip bilinjek laýyklyk, KYC/PSP düzgünleşdirijileri/banklary/hyzmatdaşlary bilen çaltlaşdyrylan iş, jerime töwekgelçiligini azaltmak we satyjy-dolandyryşy ýönekeýleşdirmek.

2) PIMS-iň ugry we mazmuny

• Rollar we çäkler: haýsy proseslerde - Controller, nirede - Prosessor; haýsy markalar/sebitler/prosesler Scope-a girýär.
• Maglumat kategoriýalary: hasaba alyş, tölegler, KYC/AML/sanksiýalar, özüni alyp barşyň wakalary, RG-signallar, sapport, marketing/SDK.
• Hukuk borçnamalary: gizlinlik hakynda ýerli kanunlar, ygtyýarnama şertleri, hyzmatdaşlar bilen şertnamalar.

Netije: PIMS Skope & Context resminamasy + gyzyklanýan taraplaryň kartasy.

3) Esasy rollar we jogapkärçilik

4) ISO 27701 ISO 27001 baglanyşygy

ISMS (27001/27002): howpsuzlyk bazasy (aktiwler, töwekgelçilikler, gözegçilikler).
PIMS (27701): gizlinlik syýasatyny, gaýtadan işlemegiň kanunylygyny, subýektleriň hukuklaryny, maglumatlaryň durmuş siklini, şertnamalaýyn we serhetaşa mehanizmleri goşýar.
SoA/Statement of Applicability: PIMS hususy gözegçilikleri bilen giňeldilýär.

5) Gaýtadan işlemek sanawy (RoPA) we maglumatlar kartasy

Her proses üçin: maksat, hukuk esaslary, subýektleriň/maglumatlaryň kategoriýalary, saklanyş möhleti, alyjylar/subprosessorlar, geografiýa, TOMs, DPIA-baýdak.

yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Kanuny esaslar we ylalaşyklar (Lawful Basis & Consent)

Contract/Legal Obligation: tölegler, KYC/AML, galplygyň öňüni almak.
Legitimate Interest: esasy analitika/howpsuzlyk (bähbitlere baha bermek we zerur bolan opt-out bilen).
Consent: marketing, cookies/SDK, zerur däl maksatlar üçin, profillemegiň käbir görnüşleri.
Ýörite kategoriýalar: diňe anyk esaslar we güýçlendirilen çäreler bolanda.

SMR/ylalaşyklary dolandyrmak: syýasatyň/bannerleriň wersiýasyny ýazmak, maksatlar boýunça granulýasiýa, yzyna çagyrmagyň subut edilip bilinjekdigi.

7) DPIA/PIA - gizlinlige edýän täsirine baha bermek

Haçan: täze tehnologiýa, uly göwrümli gaýtadan işlemek, duýgur maglumatlar, yzygiderli profillemek, serhetýaka.
Mazmuny: gaýtadan işlemegiň beýany, zerurlygy we proporsionallygy, subýektleriň hukuklary üçin töwekgelçilikler, azaltmak çäreleri.
Çykyş: çözgüt (gitmek/gutarmak/ret etmek) + CAPA meýilnamasy we senä gözegçilik.

8) Maglumat subýektleriniň hukuklary (DSAR)

Hukuklar: giriş, düzediş, aýyrmak, çäklendirmek, çydamlylyk, garşylyk, profillemekden/marketingden ýüz döndermek.
SLA: Haýyşy çalt tassyklamak we bellenilen möhletde ýerine ýetirmek.
Ýerine ýetiriş akymy: almak → şahsyýeti barlamak → maglumatlary ýygnamak → jogap/ýerine ýetirmek → magazineurnal.

"Kör düşürmegi" gadagan etmek: diňe gizlenýän we çukurly penjireler arkaly; kiçijik bölekleri çäklendirmek (privacy thresholds).

9) Minimallaşdyrmak, maskalamak we retenşn

Data Minimization: diňe maksatlar üçin zerur zatlary saklamak; "öli" meýdanlary yzygiderli aýyrmak/anonim etmek.
Gizlemek/lakamlaşdyrmak: PII üçin standart; maskalanma - JIT + 'purpose' + audit.
Retenshn-matrisa: saklanyş möhletleri per proses/kategoriýa, durma faktorlary (kanuny), awto-aýyrmak/arhiw.

10) Serhetaşa geçirimler we subprosessorlar

Şertnamalaýyn mehanizmler: DPA, SCCs/IDTA, DTIA (geçirişe baha bermek).
Maglumatlaryň/açarlaryň ýerleşýän ýeri: Fiziki maglumatlar/açarlar (KMS/HSM), VUOK syýasaty/sebit açarlary.
Subprosessorlaryň sanawy: üýtgeşmeler barada habar bermek, garşy çykmak hukugy, TOMs derejesi biziňkiden pes däldir.

11) Privacy by Design / by Default

Dizaýn tapgyrynda: PRD-de Data Protection Requirements, şahsy howplar bilen threat modeling şablony.
Durmuşa geçirmekde: RLS/CLS, tokenizasiýa, şifrlemek, API-iň iň az toplary, PII-siz telemetriýa.
Adaty: Goşmaça yzarlaýjylar, aýry-aýry açarlar/per region/tenant nyşanlary öçürildi.

12) Logirlemek, subut etmek we PIMS auditi

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
Hasabat: RoPA ýagdaýy, DPIA kampaniýalary, DSAR SLA/beklog, retenşn-aýyrmalar, wendor üýtgemeleri, düzgün bozmalar/hadysalar.
Audit: her ýyl (ýa-da üýtgeşmeler bolan ýagdaýynda), Hususy gözegçilikleriň Design/Operating Effectiveness barlagy.

13) Metrikler (KPI/KRI) PIMS

• DSAR on-time ≥ 95%
• RoPA-nyň aktuallygy ≥ 98%
• Töwekgelçilik obýektleri boýunça DPIA-ny ýapmak = 100%
• Retenşn boýunça awtomatiki aýyrmalaryň paýy ≥ 95%
• CMP goşulma derejesi (ýazylan razylyk ýazgylary) = 100%

• PII 'purpose' = 0
• Rugsat berilmedik eksport/geçirmek = 0
• Möhletden soň habar berlen hadysalar/syzmalar = 0
• Işjeň geçirmek üçin ýok DPA/SCCs = 0

14) Bar bolan gözegçilikler bilen integrasiýa

IGA/RBAC/ABAC/JIT/PAM: hukuklaryň minimallaşdyrylmagy we elýeterliligiň kontekstli şertleri.
Log syýasaty we audit žurnallary: PII bilen hereketleriň subut edilip bilinjekdigi.
TPRM we şertnamalar: DPA/SCCs/DTIA, audit hukuklary, habarnamalaryň SLA ≤ 72 sagat.
ISO 27001/ISMS: umumy töwekgelçilik modeli, SoA we içerki auditler.
Wakalar we syzmalar: playbook breach, war-room wendorlar bilen bilelikde.

15) Artefaktlaryň şablonlary (bölekler)

15. 1 Gizlinlik syýasaty (içerki çydamlylyk)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Gizlemek syýasaty

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR prosesi

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Retenşn matrisa (bölek)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (amallar)

16. 1 RoPA täzelenmesi

1. Üýtgeşmäniň başlangyjy (Product/Owner) → proses kartoçkasy → Legal/Privacy revyu → Howpsuzlyk TOMs → neşir we wersiýa.

16. 2 DPIA-ny geçirmek

1. Töwekgelçilik barlagy → DPIA şablony → DPO maslahatlary → CAPA → çözgüt we möhletlere gözegçilik.

16. 3 DSAR

1. Kabul et → barlamak → ýygnamak we penjireler arkaly süzmek → jogap/ýerine ýetirmek → giriş we ýapmak.

16. 4 Wendorlar/geçirişler

1. Due diligence → DPA/SCCs/DTIA → subprosessorlaryň sanawy → üýtgeşmelere gözegçilik → offboarding we aýyrmagy tassyklamak.

17) RACI (ulaldylan)

18) Durmuşa geçirmegiň ýol kartasy (8-10 hepde)

Hepdeler 1-2: Skope/kontekst, rollar we RACI, prosesleriň/maglumatlaryň inventarizasiýasy, RoPA we retenşn-matrisa.
3-4 hepdeler: gizlinlik syýasaty, CMP/consent-flow, DSAR-prosesi, DPIA şablonlary, wendorlar bilen DPA/SCCs/DTIA täzelenmesi.
Hepdeler 5-6: TOMs (maskalanma, RLS/CLS, JIT/PAM), DSAR, WORM-logi üçin penjireler, KPI/KRI hasabatlylygy.
Hepdeler 7-8: DPIA-ny ýokary töwekgelçilikde geçirmek, CAPA-ny ýapmak, PIMS, Management Review (PIMS) içerki audit.
9-10 hepdeler: düzedişler, yzygiderli hasabatlylygyň başlamagy, daşarky baha bermäge taýýarlyk (zerur bolsa).

19) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

RoPA "görmek üçin": her ýazgyny maksatlara, esaslara we retenşnlere baglaň; janly wersiýasyny saklaň.
DSAR "çig" DB arkaly: diňe gizlenmek we loglar bilen vitrinler/eksportlar arkaly.
Serhetýaka ýagdaýynda DTIA ýok: öňünden resmileşdiriň, maglumatlaryň/açarlaryň ýerleşýän ýerini belläň.
CMP-siz marketing SDK: CMP-ler we şertnama TOM-lary goşmazdan ozal gadaganlyk.
Pbd/PbD ýoklugy: privacy-talaplary PRD we Done Definition-a goşuň.

20) Laýyklygy saklamak (Run PIMS)

Her aýda: KPI/KRI hasabatlary, RoPA üýtgeşmeleriniň barlagy, subprosessorlara gözegçilik, DSAR SLA.
Çärýekde: rewyu retenşn/pozmalar, tematiki barlaglar (marketing, SDK, KYC).
Her ýyl: PIMS içerki audit, konteksti/töwekgelçiligi täzelemek, işgärleri taýýarlamak, Dolandyryş syn.

TL; DR

ISO 27701 = PIMS ISMS-iň üstünde: RoPA + kanuny esaslar/ylalaşyklar + DPIA/DSAR + minimalizasiýa/retenşn + serhetçilik we subprosessorlar + subut ediljek TOM. Bar bolan RBAC/ABAC/JIT/loglara we TPRM-e goşýarys - we içerki we daşarky barlaglara taýyn dolandyrylýan, ölçelýän gizlinlik alýarys.