數據存儲和刪除時間表

1）目的和領域

• 遵守法律/許可證（GDPR/ePrivacy/AML/本地行為）；
• 最大程度地減少PII的體積；
• 確保可證明的執行（文物/日誌）；
• 降低事故風險和存儲成本。

覆蓋範圍：帳戶/配置文件，KYC/AML，付款/PSP，遊戲遙測，RG/SE，CRM/營銷，會員，logi/ARM，分析/DWH，備份/檔案，提供商/供應商，所有目標市場。

2）原則

1.Lawful & Purpose-bound.時間表與處理的法律依據和目標有關。
2.Data Minimization.最小字段/時限；「匿名而不是無限期存儲」。
3.Local-first.在該地區（數據駐留）內觀察到Retence。
4.Policy-as-Data.圖形以機器可讀記錄（圖形）的形式存儲，轉換並自動應用。
5.Fail-Closed.截止日期/未知原因→使用禁令/刪除觸發器。
6.Auditability.每次刪除/匿名→ WORM存儲中的工件。
7.Backups-aware.Backaps/Archives遵守相同的截止日期（crypto shredding片段）。

3）角色和RACI

DPO/Compliance of Compliance（所有者）-政策，註冊表，規範解釋，例外情況。(A)

法律是市場的法律依據/時限，法律基礎。(R)

Security/Infra-KMS/加密、加密和日誌訪問。(R)

數據平臺/分析-de-PII/匿名，DWH/DL規則。(R)

Engineering/SRE-與系統/供應商集成的緩解，級聯編排器。(R)

Product/CRM-Fichs和Suppression Stream的時間匹配。(C)

Vendor Manager-刪除的DPA/SLA，來自提供商的確認。(R)

內部審計-樣本，CAPA，獨立驗證。(C)

4）數據分類學和基礎

• KUS/年齡/生物識別法-文件，自拍/生存，判決。（理由：法律/許可證，公共利益；通常是5-7歲）
• 付款/PCI-令牌，操作/註冊表，充電包。（理由：bukuchet/PCI合同/法律）
• 遊戲活動-投註/獲勝，獎金，折扣。（理由：合同/許可證、經營者權益）
• RG/SE-自我體驗，可用性檢查/現實檢查狀態。（理由：法律/許可證，公共利益）
• CRM/營銷-聯系，同意，活動歷史。（理由：同意/合法利益）
• 附屬關系是點擊式，放置，terms-hash（沒有玩家的PII）。（理由：合同、合法利益）
• Logi/ARM-技術操作（默認情況下為無PII）。（理由：合法利益/安全）
• Analytics/DWH-聚合/別名，fici ML。（理由：合法利益/研究）

5）時間表矩陣（框架）

6）例外和塊

AML/許可要求-優先於刪除申請（DSAR-erase）,應用限制和最小化。
法律保留/爭議/調查-刪除停止標誌；記錄基礎和期限。
第三方權利/保密-在簽發/導出時編輯/刪除身份。
操作註冊表（例如會計）-掩蓋而不是刪除主密鑰。

7）區域簡介（模板）

Юрисдикция: ______
KYC/биометрия: срок ___; особые запреты/форматы: ___
Платежи/бухучет: срок ___; маскирование: ___
Игровая активность: срок ___; анонимизация: k≥__
RG/SE: срок ___; политика хранения флага: ___
CRM/согласия: неактивность ≤ __ мес; double opt-in: да/нет
Логи/APM: __ дней; PII-free: да/нет
Бэкапы/архивы: локализация ___; crypto-shred SLA ___
Исключения/легал-холд: условия ___

8） Policy-as-Data： 圖形模型

retention_rule {
rule_id, version, market, data_class{KYC    PCI    GAME    RG    CRM    LOG    ANON},
lawful_basis{consent    contract    legal_obligation    legit_interest    public_interest},
retention_days, grace_days, action_after{erase    anonymize    mask    revoke_token},
pii{yes/no}, residency_region, backups_policy{crypto_shred:true, kms_key_scope:region},
dsar_applicable{yes/no}, exceptions{aml:true, legal_hold:true},
owner{dpo    legal    security    data}, approved_at_utc, next_review_at_utc
}

考試是強制性的：任何編輯→新版本+遷移計劃。

9）工作流程（sketch）

1.檢測：「retention_due_detected」 （cron/stream by create events）。
2.Eligibility：異常驗證（AML/hold/residency）。
3.編排：正在形成一個系統/供應商包,策略（erase/anonymize）。

4.Execution： 級聯刪除jobs, revoke令牌,crypto-shred段鍵在後備箱.

5.驗證：記錄核對，orphan-scan，DWH/logs抽樣檢查。
6.Evidence：WORM中的報告（支票金額，密鑰id，時間，數量）；鏈接到dashboard。
7.報告：KPI, Alerts, CAPA崩潰。

10）Bacaps，檔案館和DR

本地化：在同一區域/區塊中備份。
加密：按區域KMS/HSM；按市場/tenant細分密鑰。
Crypto-shredding：到期時-銷毀段密鑰,報告中帶有「kms_key_id」。
固定存儲：在調度程序中標記「等待加密」。

11） 分析/DWH和匿名

De-PII管道：在出口到DWH之前-令牌/截斷/k-anon，日期/地理賓寧，稀有值抑制，diff。報告中的隱私。
全球報告：只有綜合報告；禁止「生」PII進入該地區。
歷史學家的命運：在最後期限之後-與主要標識符斷絕關系。

12）與DSAR/CMP/本地化集成

DSAR-erase：使用相同的編排/工件機制；與AML發生沖突時，→限制而不是刪除。
CMP/Consent：撤消同意→立即停止處理並啟用營銷數據回復計時器。
居留權：時間表適用於區域範圍，PII出口受跨境安排約束。

13）刪除工件模型

erasure_artifact {
job_id, rule_version, market, region, scope{subject    partition    cohort},
systems[], vendors[], method{cascade    crypto_shred    anonymize    mask    revoke_token},
started_at_utc, completed_at_utc, status{ok    partial    failed},
counts{records, tables, bytes}, checksum{before, after},
kms_keys_destroyed[{id, destroyed_at_utc}], orphan_scan{passed    failed},
dsar_case_id?, approvers{dpo, security}, evidence_uri(WORM)
}

14） KPI/KRI和dashboard

Retention Compliance Rate-在SLA中到期和處理的條目的比例。
Time-to-Erase 是從觸發器到完成的中位數/第95個感應器。
Backup Crypto-Shred SLA-按時銷毀密鑰的細分市場份額。
Orphaned Data Rate是「孤兒」記錄/非同步副本。
Vendor Erasure Ack-供應商及時確認。
DSAR Linkage是與DSAR案例相關的刪除的比例。
Auditability Score是具有完整工件包的任務的百分比。
Exceptions Mix-AML/hold保留的條目比例。

15）支票單

A）設計和政策

• DPO/Legal批準了按類別和市場劃分的豁免登記冊。
• 為每個條目定義了lawful basis和action_after。
• 時間表的審查和下一次審查的日期。
• 系統/供應商/密鑰地圖和本地化周邊。

B）技術和運營

• 復仇編排器連接到所有系統。
• 級聯刪除/掩蔽/匿名測試。
• Crypto shred for backaps：按鍵分段,報告生成。
• Orphan掃描和定時驗證樣本。
• 文物的WORM存儲庫可供審核。

C）供應商

• DPA/SLA：刪除期限，確認格式，罰款。
• 季度確認，測試刪除。
• 違規提供商黑名單。

16）模板（快速插入）

A）圖形記錄（YAML示例）

yaml
- rule_id: CRM-MKT-EMAIL version: 1.3 market: EU data_class: CRM lawful_basis: consent retention_days: 730  # ≤24 мес неактивности grace_days: 30 action_after: erase pii: true residency_region: EU backups_policy: { crypto_shred: true, kms_key_scope: region }
dsar_applicable: true exceptions: { aml: false, legal_hold: true }
owner: dpo

B）供應商的克勞（刪除/確認）

C）匿名決定（DWH）

17）頻繁的錯誤和預防

已從prod-DB中刪除，但未從備用中刪除。→ Crypto shred，按市場計算密鑰。
PII屬於ARM/logi。默認情況下→沒有PII，代理掩碼和簡短的回避。
帶有「尾巴」PII的DWH。在出口之前→強制性的de-PII管道。
→強制生成'erasure_artifact'和WORM存儲。
Vendor尚未確認撤職，→保持付款/制裁，升級和離岸。

18）30天實施計劃

第一周

1.批準分類法/理由和按類別劃分的主要轉介登記冊。
2.準備區域簡介（EU/UK/……）：時間表、例外、備用。
3.專門介紹「retention_rule」和「erasure_artifact」模型。

第二周

4）部署靜止編排器（cron/stream）,連接關鍵系統。
5）設置關鍵交易日誌crypto shred（按市場劃分的KMS）。
6）為DWH/報告啟用 de-PII管道。

第3周

7）飛行員：2個類別（CRM/logi）+1個遊戲事件派對→匿名。
8）供應商測試：刪除和確認請求。
9）Dashbord KPI/KRI和Alerta（時間到Erase，Orphan Rate）。

第四周

10）完整發行；季度對時間表和區域概況的評論。
11） CAPA關於發現的殘余/違規行為。
12）計劃v1。1：自動orphan掃描和供應商報告。

19）相互關聯的部分

刪除和匿名數據

DSAR： 用戶的數據請求

跨轄區數據本地化

GDPR： 同意管理/Cookie和CMP政策

Privacy by Design

加密At Rest/In Transit, KMS/BYOK/HYOK

編譯和監視/內部和外部審計