GH GambleHub

ISO 27701: Gizlilik Yönetimi

1) ISO 27701 nedir ve neden bir iGaming operatörüdür?

ISO 27701, BGYS'yi PIMS'e (Gizlilik Bilgi Yönetim Sistemi) genişleten ISO 27001 ve 27002'ye bir eklentidir.
IGaming için: gizlilik gereksinimlerine (GDPR/UK GDPR/ePrivacy, vb.) kanıtlanmış uyumluluk, düzenleyiciler/bankalar/KYC/PSP ortakları ile hızlandırılmış çalışma, azaltılmış para cezası riski ve basitleştirilmiş satıcı yönetimi.

2) PIMS Kapsamı ve Bağlamı

Tanımla:
  • Roller ve sınırlar: Hangi süreçlerde Denetleyici, İşlemci nerede; Kapsama hangi markaların/bölgelerin/süreçlerin dahil edildiği.
  • Veri kategorileri: kayıt, ödemeler, KYC/AML/yaptırımlar, davranışsal olaylar, RG sinyalleri, destek, pazarlama/SDK.
  • Yasal yükümlülükler: yerel gizlilik yasaları, lisans koşulları, ortaklarla yapılan anlaşmalar.

Çıktı: PIMS Kapsam ve Bağlam belgesi + paydaş haritası.

3) Önemli roller ve sorumluluklar

RolPIMS'te Sorumluluk
Yönetim Kurulu/CEOGizlilik politikalarını, kaynaklarını ve hedeflerini onaylar
DPO (Veri Koruma Görevlisi)Bağımsız gizlilik gözetimi, danışma ve DPIA, temas noktası
Gizlilik Lideri/PIMS SahibiPIMS Operasyonel Yönetim, Metrikler, Raporlama
Yasal/UyumlulukYasal dayanak, anlaşmalar (DPA/SCC'ler), sınır ötesi
Güvenlik/ISMSTeknik ve organizasyonel önlemler (TOMs), günlük kaydı
Domain sahipleriVeri kümelerinin mülkiyeti ve işleme hedefleri
Veri/BIMaskeleme, RLS/CLS, gizlilik eşikleri
Pazarlama/CRMCIW/rıza, profil oluşturma, tutma
TPRM/TedarikSatıcılar ve alt işlemciler: durum tespiti, DPA, SLA

4) ISO 27701 ↔ ISO 27001 paketi

ISMS (27001/27002): güvenlik tabanı (varlıklar, riskler, kontroller).
PIMS (27701): gizlilik politikaları, işlemenin yasallığı, öznelerin hakları, veri yaşam döngüsü, sözleşme ve sınır ötesi mekanizmalar ekler.
SoA/Uygulanabilirlik Bildirimi: PIMS özel kontrolleri tarafından genişletildi.

5) İşleme Kaydı (RoPA) ve Veri Haritası

Her süreç için: amaç, yasal dayanak, konu/veri kategorileri, raf ömrü, alıcılar/alt işlemciler, coğrafya, TOM'lar, DPIA bayrağı.

RoPA deseni (parça): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Meşru Dayanak ve Rıza

Sözleşme/Yasal Yükümlülük: Ödemeler, KYC/AML, Dolandırıcılık Önleme.
Meşru İlgi: temel analitik/güvenlik (lider puanlama ve gerektiğinde devre dışı bırakma ile).
Onay: pazarlama, kesinlikle gerekli olmayan amaçlar için çerezler/SDK, belirli profil oluşturma türleri.
Özel kategoriler: sadece açık gerekçeler ve geliştirilmiş önlemlerle.

CIW/consent management: Politika versiyonunun/afişlerinin kaydedilmesi, amaca göre ayrıntılılık, geri çağırmanın kanıtlanabilirliği.

7) DPIA/PIA - Gizlilik Etki Değerlendirmesi

Ne zaman: yeni teknoloji, büyük ölçekli işleme, hassas veriler, sistematik profil oluşturma, sınır ötesi.
İçerik: işleme tanımı, gereklilik ve orantılılık, konuların haklarına yönelik riskler, azaltma önlemleri.
Çıkış: karar (git/yeniden çalış/reddet) + CAPA planı ve tarih kontrolü.

8) Veri Özne Hakları (DSAR)

Haklar: erişim, düzeltme, silme, kısıtlama, taşınabilirlik, itiraz, profilleme/pazarlamanın reddi.
SLA: Talebin hızlı bir şekilde onaylanması ve planlanan süre içinde yürütülmesi.
Yürütmenin akışı: makbuz - kimliğin doğrulanması - verilerin toplanması - yanıt/yürütme - günlük.

"Kör boşaltma" yasağı: sadece kamuflaj ve günlükleri olan pencerelerden; gizlilik eşikleri.

9) Minimizasyon, maskeleme ve tutma

Veri Minimizasyonu: Yalnızca amaçlarınız için ihtiyacınız olanı saklayın; "Ölü" alanları düzenli olarak silin/anonimleştirin.
Maskeleme/aliasing: PII için varsayılan; Maskenin kaldırılması - JIT + 'amaç' + denetim.
Tutma matrisi: işlem/kategori başına tutma süresi, durdurma faktörleri (yasal), otomatik silme/arşiv.

10) Sınır ötesi şanzımanlar ve alt işlemciler

Sözleşme düzenlemeleri: DPA, SCC'ler/IDTA, DTIA (iletim değerlendirmesi).
Verilerin/anahtarların konumu: fiziksel verilerin/anahtarların (KMS/HSM), VUOK politikasının/bölgesel anahtarların bulunduğu yer.
Alt işlemcilerin kaydı: değişikliklerin bildirimi, itiraz hakkı, TOM'lar seviyesi bizimkinden düşük değil.

11) Tasarıma Göre Gizlilik/Varsayılan Olarak

Tasarım aşamasında: PRD'de Veri Koruma Gereksinimleri, özel tehditlerle tehdit modelleme şablonu.
Uygulanan: RLS/CLS, tokenization, şifreleme, minimal API kapsamları, PII olmadan telemetri.
Varsayılan olarak: isteğe bağlı izleyiciler devre dışı bırakılır, bölge/kiracı başına ayrı ayrı anahtarlar/ad alanları.

12) PIMS Günlüğü, Provabilite ve Denetim

Логи (WORM+подпись): 'READ _ PII', 'EXPORT _ DATA', 'PII _ UNMASK', 'CONSENT _ UPDATE', 'DSAR _', 'BREACH _'.
Raporlama: RoPA durumu, DPIA kampanyaları, DSAR SLA/backlog, saklama silme işlemleri, satıcı değişiklikleri, ihlaller/olaylar.
Denetim: Yıllık olarak (veya değişikliklerle), özel kontrollerin Tasarım/İşletme Etkinliği kontrolü.

13) PIMS Metrikleri (KPI/KRI)

KPI:
  • DSAR zamanında ≥ %95
  • RoPA'nın uygunluğu ≥ %98
  • Risk kuruluşu tarafından DPIA kapsamı = %100
  • Tutma yoluyla otomatik çıkarmaların oranı ≥ %95
  • CMP içerme seviyesi (kayıtlı onay kayıtları) = %100
KRI:
  • 'Amaç' olmadan PII erişimi = 0
  • Yetkisiz ihracat/transfer = 0
  • Olaylar/Sızıntılar Geç = 0
  • Aktif iletim için eksik DPA/SCC'ler = 0

14) Mevcut kontrollerle entegrasyon

IGA/RBAC/ABAC/JIT/PAM: hak minimizasyonu ve bağlamsal erişim koşulları.
Log politikası ve denetim izleri: PII ile eylemlerin kanıtı.
TPRM ve sözleşmeler: DPA/SCCs/DTIA, denetim hakları, SLA bildirimleri ≤ 72 saat.
ISO 27001/ISMS: genel risk modeli, SoA ve iç denetimler.
Olaylar ve sızıntılar: oyun kitabı ihlali, satıcılarla ortak savaş odası.

15) Eser desenleri (parçalar)

15. 1 Gizlilik politikası (dahili alıntı)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2 Maskeyi kaldırma politikası

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR işlemi

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Tutma matrisi (parça)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (prosedürler)

16. 1 RoPA güncellemesi

1. Product/Owner - Process Card - Legal/Privacy Review - Security TOMs - Yayım ve Sürüm.

16. 2 DPIA

1. Risk Taraması - DPIA Şablonu - DPO Danışmanlığı - CAPA - Karar ve Zamanlama

16. 3 DSAR

1. Accept> verify> collect and filter through showcases -- response/execution -- logging and closing.

16. 4 Satıcılar/Transferler

1. Durum tespiti - DPA/SCCs/DTIA - alt işlemci kayıt defteri - değişiklik izleme - offboarding ve silme onayı.

17) RACI (büyütülmüş)

AktiviteYönetim Kurulu/CEODPOGizlilik kurşunYasal/UyumlulukGüvenlikDomain sahipleriVeri/BITPRM
PIMS Politikası/HedefleriACRCCCBENBEN
RoPA/TutmaBENA/RRA/RCRRBEN
DPIA/PIABENA/RRA/RCRCBEN
DSARBENA/RRCCCRBEN
Satıcılar/TransferlerBENARA/RCCBENR
Denetim/MetriklerBENARCCBENRC

18) Uygulama Yol Haritası (8-10 hafta)

Hafta 1-2: Kapsam/Bağlam, Roller ve RACI, Süreç/Veri Envanteri, Taslak RoPA ve Tutma Matrisleri.
3-4. Haftalar: gizlilik politikası, CMP/rıza akışı, DSAR süreci, DPIA şablonları, satıcılarla DPA/SCC'ler/DTIA güncellemesi.
Hafta 5-6: TOMs uygulama (maskeleme, RLS/CLS, JIT/PAM), DSAR için vitrinler, WORM günlükleri, KPI/KRI raporlama.
7-8. Haftalar: Yüksek riskli DPIA, yakın CAPA, PIMS iç denetim, Yönetim İncelemesi (PIMS).
9-10. Haftalar: ayarlamalar, düzenli raporlamanın başlatılması, dış değerlendirme için hazırlık (gerekirse).

19) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

RoPA "gösteri için": Her girişi hedeflere, temellere ve retansiyonlara bağlayın; Canlı versiyonunu saklayın.
"Ham" veritabanları aracılığıyla DSAR: sadece maskeleme ve günlüklerle vitrinler/ihracat yoluyla.
Sınır ötesi olduğunda DTIA yok: önceden sorun, verilerin/anahtarların konumunu düzeltin.
CMP olmayan pazarlama SDK'ları: CMP ve sözleşmeli TOM'lar dahil edilene kadar yasaklayın.
Pbd/PbD yok: PRD ve Bitti Tanımına gizlilik gereksinimlerini ekleyin.

20) PIMS çalıştırın

Aylık: KPI/KRI raporları, RoPA değişim denetimleri, alt işlemci izleme, DSAR SLA'lar.
Üç ayda bir: tutma/silme işlemlerinin gözden geçirilmesi, tematik kontroller (pazarlama, SDK, KYC).
Yıllık: PIMS İç Denetim, Bağlam/Risk Güncelleme, Personel Eğitimi, Yönetim İnceleme.

TL; DR

ISO 27701 = ISMS üzerinden PIMS: RoPA + yasal dayanaklar/onaylar + DPIA/DSAR + minimizasyon/tutma + sınır ötesi ve alt işlemciler + kanıtlanabilir TOM'lar. Mevcut RBAC/ABAC/JIT/içine günlükler ve TPRM oluşturuyoruz ve iç ve dış kontrollere hazır, yönetilebilir, ölçülebilir gizlilik elde ediyoruz.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.