跨轄區數據本地化
1)目的和領域
確保滿足所有目標司法管轄區的數據本地化/駐留要求,同時保持產品的可用性、安全性和性能。覆蓋範圍:產品(web/mobile),KYC/AML/RG,支付(PCI),營銷/CRM,分析/寫作,備份/DR,遊戲提供商/聚合商,附屬公司,雲供應商。
2)基本概念
數據駐留(Data Residency)-數據實際存儲的地方。
數據主權(Data Sovereignty):國家對其領土內或與其實體有關的數據進行監管的權利。
跨境轉移:在「本國」管轄範圍之外進行訪問、復制或處理。
個人數據(PII)/敏感PII:KYC文件,付款詳細信息,RG/SE狀態,生物識別。
聚合/別名/匿名:分析和共享中的風險最小化技術。
3)原則
1.本地第一:個人數據在規則要求的情況下存儲和處理在玩家的「主場」區域。
2.最小化和隔離:只保留必要的、明確的Tenant/地區隔離。
3.合法移交:只有有效的法律機制和風險評估。
4.加密支持:在rest/in transit加密,區域一側密鑰管理(如果可能,「bring/hold your own key」)。
5.可證明性:數據圖,DPIA/TRA,訪問日誌和存儲位置確認。
6.失誤安全:備用和DR符合與戰鬥數據相同的居住規則。
4)角色和RACI
合規之頭/DPO-政策,DPIA,法律機制,審計。(A)
Security/Infra Lead-區域體系結構,密鑰/加密,訪問控制。(R)
Data Platform/Analytics-匿名/別名模型,流水線。(R)
工程/SRE-區域部署、復制、DR/BCP。(R)
法律-跨境協議,供應商合同,DPA/SA。(C)
Procurement/Vendor Mgmt-供應商評估,數據中心位置。(R)
內部審計-樣本,工件控制,CAPA。(C)
Product/CRM/BI-遵守釣魚/活動/報告中的限制。(R)
5)數據分類和制圖
類別:- CUS/年齡:文件,自拍照,生物識別,檢查結果。
- 付款/PCI:PAN/令牌,3DS/AR,PSP ID。
- 遊戲活動:會話,投註,獲勝/損失,RG/SE/RC事件。
- 營銷/CRM:聯系人,偏好,支持標誌。
- Logi/Tel-Metry:應用程序事件、錯誤、跟蹤。
- 分析/報告:總數,立方體,ML-fici。
- 來源→系統→儲存區域→法律地位→消費者→儲存期→處置機制。
- 強制性的直觀線程映射,包括復制/復制對象和類型(RAW/PII免費/匿名)。
6)本地化架構模式
區域Tenancy:具有數據庫隔離/秘密/密鑰的單獨集群(歐盟,英國,TR,BR,CA,AU等)。
按區域/市場劃分的數據共享:密鑰中的「tenant_region」前綴,通過Geo-Router/API Gateway漫遊查詢。
控制平面vs數據平面:沒有PII的全球控制面板;PII僅在區域數據播放中。
沒有PII的邊緣緩存:僅緩存公共/非個人內容。
通過De-PII管道進行分析:僅將單元/別名導出到DWH;「清潔」PII-在該地區以外被禁止。
區域內的DR:同一國家/地區(或具有類似保護和侏羅紀的允許跨區域)的「熱門」復制品。基礎)。
BYOK/HYOK:在區域/客戶控制下的加密密鑰;具有端到端審核的KMS。
7)跨境轉移: 法律機制(框架)
合同:- 標準合同條款/本地對應項(SCC/IDTA/dop.協議)。
- 轉讓給第三國的附加協議(DPA,SSA,Schrems兼容的風險評估)。
- 風險評估:TIA/TRAs(轉移/第三個國家風險評估)。
- 技術措施:加密、角色劃分、令牌化、最小化。
- 組織器官:「需要知道」訪問政策,日誌,培訓。
8)區域簡介(模板)
對於每個市場,支持卡片:
Юрисдикция: ______
Требования к резидентности: (обязательная/рекомендуемая/нет)
Запреты на трансграничность: (полный/условный/нет)
Разрешенные механизмы передачи: (SCC/IDTA/локальное соглашение)
Особые категории: (биометрия/финансы/RG)
Бэкапы/DR: (где, частота, шифрование)
Логи/телеметрия: (можно ли выводить за рубеж, в каком виде)
Сроки хранения: (KYC, платежи, игровые, RG/SE)
Удаление/DSAR: (SLA, подтверждения)
Вендоры/облака: (разрешенные регионы)9) Backaps、Logs、Analytics的本地化
Bacaps:加密,在同一地區,位置證明目錄(提供者/bacap-wolt/retentia)。
Logi/Traces:默認情況下為PII免費;如果PII是不可避免的-具有編輯/掩碼的本地日誌存儲庫。
分析/DWH:僅別名密鑰;具有k匿名性的單元;禁止無故將「原始」事件卸載到該地區以外。
10)供應商和雲
帶有字段的供應商寄存器:註冊國家/地區,數據中心區域,證書(ISO/PCI/SOC),DPA/SCC/IDTA簽名,密鑰模式,子處理器。
「飛行前」程序:司法管轄區評估,DPIA/TIA,區域內的容錯測試,區域內的「數據恢復」檢查。
合同條款:子處理器/位置變更通知,審計權,清算時間,罰款。
11)刪除、回避和DSAR
存儲策略:KUS/財務/遊戲/博客-單獨的時間表(通常為5-7年的合規性;在營銷中-更短)。
技術上強制刪除(erasure):帶有報告的級聯刪除jobs;歸檔的加密刪除(密鑰刪除)。
DSAR/主題權利:僅在區域範圍內處理訪問/修復/刪除請求;響應工件-在本地WORM中。
12)控制程序和審計
Data Lineage:字段來源、跨境流路線、出口散列簽名。
Access Reviews:季度訪問權評論,跨區域查詢報告。
傳輸日誌:何人/何時/何地/數據基礎/視圖/PII掩碼/結果。
供應商審查:年度報告和五年期/認證。
CAPA:對發現、截止日期和責任的更正。
13)產品和API要求
Geo-router:反擊「player_region」並將請求發送到「家庭」群集。
14)矩陣「在哪裏存儲」(示例)
15) KPI/dashboard編譯本地化
Residency Coverage:PII位於正確區域的受試者百分比。
X-Border請求率:跨境訪問請求的比例(按角色/部門)。
匿名出口共享:通過DE-PII的全球DWH出口份額。
Backup Locality SLA:本地區域確認的備份的百分比。
Vendor Region Drift:位置變更/子處理器事件。
DSAR SLA:區域周邊的執行中位數。
審計問題(repeat):重復不一致。
16)支票單
在進入新司法管轄區之前
- 數據圖和分類。
- 管轄權卡(要求、備份、日誌、保留期限)。
- 區域建築計劃(VPC/cluster/DB/KMS)。
- DPIA/TIA,條約(DPA/SCC/本地對應物)。
- Vendor assessment (DC位置、子處理器)。
- 策略集:訪問/刪除/導出。
在操作中
- 每天對新條目進行「居住安排」驗證。
- 監測跨區域的請求和偏差。
- 驗證備份/日誌的位置。
- 區域內的DSAR隊列。
審計/改進
- 對供應商/地區的季度審計。
- 每個區域的DR測試(1/季度)。
- CAPA違規行為(時限/責任)。
17)模板(快速插入)
A) Clause with vendor(數據本地化)
(B)出口政策(國內申請)
C)與業務一起在SLA中進行文本
18)常見錯誤和預防
Bakaps在「方便」的鄰近地區。→禁令;僅限本地備份。
帶有PII的徽標飛往全球APM。→代理級別的蒙面,本地合成器。
帶有原始ID的全局報告。→僅限聚合/別名。
控制/數據平面混合。→全局控制平臺-沒有PII。
缺乏居住證據.→保存工件:ID資源、configs快照、供應商報告。
19)30天實施計劃
第一周
1.批準本地化策略和數據分類模型。
2.繪制當前市場的主要流量圖。
3.定義區域邊界服務和密鑰要求(BYOK/HYOK)。
第二周
4.部署區域優先群組1(EU/UK/……);啟用Geo-Router。
5.在DWH中啟用De-PII流水線,設置本地logi/ARM。
6.與關鍵供應商簽署/更新DPA/SCC/IDTA。
第3周
7.PII遷移到區域DB;本地備份和DR計劃。
8.引入跨境出口申請流程(門戶網站+雜誌)。
9.根據新規則培訓團隊(Prod/BI/CS/Legal)。
第四周
10.進行DR測試和選擇性居住審核。
11.啟用KPI(駐留覆蓋,Backup Locality SLA)減速板。
12.發現差異的CAPA;計劃v1。1(以下市場)。
20)相互關聯的部分
KYC程序和驗證級別/年齡驗證
AML策略和事務控制
負責任的遊戲和極限/SE/現實檢查
監管報告和數據格式
Dashboard complians和監控
內部/外部審計和審計清單
BCP/DRP和「加密At Rest/In Transit」