GH GambleHub

Ülkeler arasında veri transferi

1) Amaç ve alan

Kişisel verilerin (PII) ve operasyonel setlerin (KYC/AML, ödemeler, RG/SE, CRM/pazarlama, oyun telemetrisi, günlükler/AWP, analitik/DWH) sınır ötesi transferleri için yönetilebilir ve kanıtlanabilir bir şekilde güvenli bir model oluşturun, farklı yargı bölgelerinin iGaming lisanslarının ve veri koruma yasalarının gereksinimlerini dikkate alarak. Belge, "Veri yerelleştirme", "Silme ve anonimleştirme", "GDPR: rıza", "DSAR" bölümlerini tamamlar.

2) Temel kavram ve ilkeler

Sınır ötesi iletim - konunun/verilerin'ev "yetki alanı dışındaki herhangi bir erişim/çoğaltma/işleme.
Yeterlilik/eşdeğerlik - düzenleyici kurumun alıcı ülkenin korumasının yeterliliği konusundaki kararları.
Sözleşme düzenlemeleri - standart sözleşme hükümleri, yerel eşdeğerler, ek sözleşmeler.

TIA - Transfer Etki Değerlendirmesi

Egemenlik/ikamet - depolama yeri ve yerel kontrol hakkı.

İlkeler:

1. Yerel-ilk: mümkünse, yerel olarak işlemek; dışa - minimal ve kurallara göre.

2. Küçültme: "gerektiği kadar"; tercihen agregalar/takma adlar.

3. Kriptografi ve izolasyon: şifreleme, bölgedeki anahtarlar, kontrol/veri düzlemi ayrımı.

4. Kanıtlanabilirlik: Her iletimin günlüğü, TIA ve temel eserler.

5. Arızalı-kapalı: zemin veya TIA yok - iletim yok.

3) Roller ve RACI

DPO/Uyum Müdürü (Sahibi) - politika, toleranslar, TIA, istisnalar. (A)

Yasal - transfer mekanizmasının seçimi, sözleşmeler, yerel gereksinimler. (R)

Güvenlik/Infra - şifreleme, KMS/HSM, ağ çevreleri, denetim. (R)

Veri Platformu/Analitik - de-PII/anonimleştirme, federe/kohort raporlama. (R)

Mühendislik/SRE - yönlendirme, tokenizasyon, ihracat kontrolü. (R)

Satıcı Yöneticisi - alt işlemcilerin kaydı, onaylar, offboarding. (R)

İç Denetim - eser örnekleri, CAPA. (C)

4) Veri aktarım haritası

Kaynak: Randevu (ülke/bulut/satıcı), veri kategorisi, amaç, yasal dayanak, transfer mekanizması, koruma, saklama süreleri, sorumluluk.
Grafik olarak aşağıdakiler için sabitlenmiştir: Destek/CS, analiz/raporlama, dolandırıcılık/risk oranları, oyun sağlayıcıları ve PSP'ler, bağlı kuruluşlar.

5) Yasal mekanizmalar (çerçeve)

1. Yeterlilik kararı (varsa): basitleştirilmiş yol, ancak yine de TIA eserlerine ve satıcıyla sözleşmelere ihtiyaç duyar.
2. Standart/standart sözleşme hükümleri ve yerel eşdeğerleri: zorunlu ekleri (kategoriler, hedefler, önlemler) içerir.
3. Bağlayıcı/ek anlaşmalar: Alt işlemcilerin görevlerini, devlet kurumlarından gelen taleplerle ilgili bildirimleri netleştirin.
4. Yasaya göre istisnalar: nokta ve nadir (hayati çıkarlar, sözleşme şartı) - sistemik ihracat için değil.
5. Grup içi kurallar: holdingler için - kontrollü kurumsal araçlar.

💡 Mekanizma çözümüne her zaman bir TIA ve bir ek önlemler kataloğu eşlik eder.

6) Transfer Etki Değerlendirmesi (TIA)

Sebep: yeni satıcı/ülke, yeni hedef, yeni kategoriler (biyometri, RG/SE), anahtar modda veya rotalarda değişiklik.

İçerik:
  • İletim açıklaması (veri/hacim/frekans/katılımcılar).
  • Alıcı ülkenin yasal ortamı (devlet kurumları tarafından erişim riskleri, konuların korunmasının yasal yolları).
  • Teknik önlemler: şifreleme, anahtarlar (BYOK/HYOK), takma ad, bölünmüş işleme.
  • Organizasyonel önlemler: NDA, eğitim, bilmesi gerekenler, kayıt, taleplere cevaplar.
  • Artık risk/karar: izin ver/değiştir/reddet; revizyon dönemi.

TIA kısa form şablonu: § 15C'ye bakınız.

7) Teknik ve organizasyonel önlemler

7. 1 Kriptografi ve anahtarlar

Dinlenme sırasında: AES-256-GCM; Transit: TLS 1. 2 +/mTLS; PFS.
KMS: BYOK (anahtarlarımız var), tercihen HYOK (anahtarlar bölgede kalıyor); Pazara/kiracıya göre segmentasyon; Anahtar işlemlerin değiştirilemez denetimi.
Kripto parçalama: Son teslim tarihleri olan yedeklemeler ve arşivler için.

7. 2 Minimizasyon ve kimliksizleştirme

Dışa aktarmadan önce kenar yumuşatma (belirteç ağ geçidi), eşlemeyi bölgede ayrı olarak saklama.
Agregalar, k-anonimlik/tarih binning ve geo, nadir kategorilerin bastırılması.
PII içermeyen günlükler/AWS ve sunucu tarafı etiketleme, tanımlayıcıların rızası olmadan sıfırlanması.

7. 3 Uçakların yalıtımı

PII olmadan küresel kontrol düzlemi; Yerel olarak PII ile veri düzlemi.
İstek ve günlüğün gerekçelendirilmesiyle bir proxy katmanı aracılığıyla PII'ye erişim.

7. 4 Devlet kurumlarından gelen talepler

Reaksiyon konturu: yasallığın doğrulanması, meydan okuma, hacmin en aza indirilmesi, bildirim (izin verilirse), isteklerin kaydına giriş.

8) Veri kategorileri ve aktarım kuralları

KategoriYurt dışına gidebilir miyim? Şartlar ve koşullar
CCM/biyometriKısıtlayıcı olarak
Ödeme belirteçleri/PSPEvet/koşullu
Oyun ham olaylarKısıtlayıcı olarak
RG/SE durumlarıHayır
CRM/PazarlamaŞartlı olarak
Günlükler/AWSYalnızca PII'siz

9) Satıcılar ve alt işlemciler

Kayıt: Jurassic kişi, DC ülkeleri, alt işlemciler, sertifikalar, transfer mekanizmaları, anahtar modu.
Sözleşmeler: DPA + SCC/analogları, ≥30 gün değişen konumlar/alt işlemciler hakkında bildirimler, denetim/anket hakları, yedekleri yerelleştirme yükümlülükleri, SLA olayları ve DSAR.
Onboarding/inceleme: TIA, pentest/tasdik, "örnek transfer" testi.
Offboarding: export/delete/crypto-shred + evidence.

10) Yedeklemeler, günlükler ve analizler

Yedeklemeler: aynı bölgede; Yurtdışına ihracat - sadece şifreli formda + HYOK; Son teslim tarihine ulaşıldığında - crypto-shred.
Günlükler/AWS: Varsayılan olarak PII içermez; Değilse, yerel depolama, kısa saklama.
Analytics/DWH: Global raporlar yalnızca toplamlar/kohortlar; Bölge dışındaki ham tanımlayıcıları yasaklamak.

11) Süreçler ve olaylar

Süreç boyunca: transfer sorgusu, piyasa profilinin kontrolü, mekanizmanın seçimi, TIA, koordinasyon, teknik önlemler, izleme, artifaktlar, denetim.

Olaylar (minimum):
  • 'xborder _ transfer _ requested/approved/denied'
  • 'transansfer _ executed' (birim/zaman/satıcı)
  • 'key _ accessed _ for _ transfer' (KMS denetimi)
  • 'gov _ request _ received/responed'
  • 'vendor _ location _ changed'
  • 'transfer _ review _ due'

12) Veri ve eserler (model)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI ve gösterge tablosu

X-Border Transfer Oranı (hedef/satıcı/ülkeye göre).
TIA Kapsamı (mevcut TIA ile iletimlerin yüzdesi).
BYOK/HYOK Kapsamı.
Anonim İhracat Payı (toplamlar/takma adlar içindeki ihracatların yüzdesi).
Satıcı Konum Kayması (yer değiştirme olayları).
Gov İstek Sayısı ve ortalama yanıt süresi.
Denetlenebilirlik Puanı (tüm eser paketine sahip kayıtların yüzdesi).

14) Kontrol listeleri

A) Transferden önce

  • Amaç ve meşru amaç onaylandı.
  • Mekanizma seçildi (yeterlilik/sözleşme/analog), TIA gerçekleştirildi.
  • Aliasing/anonimleştirme yapılandırılmış; hacim en aza indirildi.
  • KMS/Keys: BYOK/HYOK, log enabled.
  • Satıcı sözleşmesi: DPA + SCC/eşdeğeri, DC/alt işlemci değişikliği bildirimleri.
  • Planda yedeklemelerin ve kripto paraların ikametgahı.

B) Operasyonlarda

  • İzleme 'vendor _ location _ changed've uyarılar.
  • TIA'ların ve mekanizmaların periyodik revizyonu.
  • DSAR/silme işlemleri, alıcının çevresinde (veya anonimleştirme yoluyla) doğru bir şekilde uygulanır.
  • Transfer günlükleri ve KMS denetimleri denetime açıktır.

C) Denetim/İyileştirmeler

  • Bütünlük için üç aylık 'transfer _ record' örnekleri.
  • Olaylar/Şikayetler/Düzenleyici Bulgular Üzerine CAPA.
  • Satıcı "erişimi iptal et" testi + silme onayı.

15) Şablonlar (hızlı ekler)

A) Madde "sınır ötesi transfer"

💡 Alt işlemci yalnızca beyan edilen yetki alanlarında veri depolar/işler. Mevcut yasal dayanak (SCC/yerel eşdeğeri) ve yazılı onay kapsamında başka bir yargı bölgesine herhangi bir transfere izin verilebilir. Yer değiştirme/alt işlemci - ≥30 gün önceden haber verin. Şifreleme anahtarları - BYOK/HYOK; Erişim günlükleri talep üzerine sağlanmaktadır.

B) Bir devlet kurumu talebinin bildirilmesi

Tedarikçi, herhangi bir erişim gereksinimini derhal (izin verilirse) bildirmeli, kapsamı en aza indirmeli, aşırı taleplere itiraz etmeli ve belge ifşa etmelidir. Bildirimlerin/yanıtların kopyaları - WORM kayıt defterimize.

C) Kısa TIA (tek çağrı cihazı)

💡 Amaç: {hedef, veri, hacim, ülkeler}
Yasal riskler: {total}
Technmers: {şifreleme, anahtarlar, takma ad, bölünmüş işleme}
Orgmers: {NDA, bilmesi gereken, denetim}
Çözüm: {allow/modify/deny}, review {date}

16) 30 günlük uygulama planı

Hafta 1

1. Sınır ötesi iletim politikalarını, RACI'leri ve TIA/DPA şablonlarını onaylayın.
2. Mevcut akışların bir haritasını ve satıcıların/konumların/anahtarların bir kaydını oluşturun.
3. KMS'yi piyasalara göre yapılandırın (BYOK/HYOK), değişmeyen anahtar denetimini etkinleştirin.

2. hafta

4) Dışa aktarma ve PII içermeyen günlüklerden/AWS'den önce aliasing'i etkinleştirin.
5) 'transfer _ record'/' tia' kayıt defterini (WORM artifacts) başlatın.
6) Kritik satıcılarla sözleşmeleri güncelleyin: yerler, bildirimler, offboarding prosedürleri.

3. hafta

7) Pilot 2-3 akışları (CS, DWH raporları): Anonim İhracat Payı, BYOK Kapsamı ölçün.
8) Tren Ürün/CS/BI/Hükümet talep prosedürleri ve yükselmeler yasal.
9) 'vendor _ location _ changed' uyarılarını bağlayın.

4. hafta

10) Tam sürüm; KPI/KRI kontrol paneli ve üç aylık TIA incelemeleri.
11) Bulgulara göre CAPA; Plan v1. 1 - federe analitik/diff. Raporlarda gizlilik.
12) Bir satıcının offboarding testi: silme/crypto-shred, onay.

17) Birbiriyle ilişkili bölümler

Verilerin yargı alanlarına göre yerelleştirilmesi

Veri Silme ve Anonimleştirme/Saklama ve Silme Çizelgeleri

GDPR: Onay Yönetimi/Çerezler ve CMP Politikası

Tasarıma Göre Gizlilik/DSAR

Dinlenme/Transit sırasında, KMS/BYOK/HYOK şifrelemesi

Uyum Kontrol Paneli ve İzleme/İç ve Dış Denetim

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.