Захист даних та конфіденційність

1) Навіщо це потрібно (контекст iGaming/фінтех)

У iGaming і фінтехе обробляються PII/фінданні, біометрія (селфі-liveness), поведінкові та платіжні сигнали. Порушення приватності б'ють по ліцензіях, PSP-партнерствах, SEO/репутації і фінрезультатах. Мета - забезпечити законність, безпеку і прозорість обробки без вбивства UX і конверсії.

2) Правові принципи і ролі

Базові принципи: законність, справедливість і прозорість; обмеження мети; мінімізація; точність; обмеження зберігання; цілісність і конфіденційність; підзвітність.

• Board/Exec: ризик-апетит, затвердження політики, ресурси.
• DPO (офіцер із захисту даних): незалежний нагляд, DPIA/DSR, консультації.
• Security (CISO): техконтролі, інциденти, журнал дій, DLP.
• Engineering/Data: архітектура «privacy by design/default», каталог даних.
• Compliance/Legal: правові підстави, договори, транскордонні передачі.
• Operations/Support: обробка запитів суб'єктів і процедур.

3) Категорії даних і законні підстави

Категорії: ідентифікаційні (ПІБ, DOB), контактні, платіжні (токени), біометрія (селфі/face-template), поведінкові (сесії, ставки), технічні (IP/UA/Device), KYC/AML-артефакти, логи, а також спецкатегорії - тільки при суворій необхідності.

• Договір (contract): акаунт, платежі, виплати, транзакційні повідомлення.
• Закон (legal obligation): AML/KYC, бухоблік, податкові обов'язки, вікові перевірки.
• Легітимний інтерес (LIA): антифрод, безпека, поліпшення UX (при тесті на баланс інтересів).
• Згода: маркетингові розсилки, необов'язкові cookies, біометрія в ряді юрисдикцій.
• Документуйте вибір підстави в реєстрі операцій обробки.

4) Privacy by Design / by Default

Проектування: до запуску фічі проводиться DPIA (оцінка впливу на приватність), моделювання загроз (STRIDE/LINDDUN).
Типово: мінімальні набори полів, вимкнені необов'язкові трекери, закриті доступи.
Ізоляція середовищ: dev/stage без реальних ПД (або з маскуванням/синтетикою).
Версіонування схем: міграції з міграційними планами по ПД.

5) Архітектура даних і безпека

• Zone A (Transactional PII): токенізовані платежі, KYC-артефакти; доступ - строго по RBAC/ABAC.
• Zone B (Analytics Pseudonymized): псевдоніми/хеші, агреговані події; заборона прямої де-ідентифікації.
• Zone C (Anonymized BI): анонімні агрегати для звітності/ML-навчання.

• Шифрування in transit (TLS 1. 2 +) і at rest (AES-256), ключі в HSM/KMS; Ротація ключів.
• Псевдонімізація (стабільні токени) та анонімізація (дифприватність, k-анонімність для публікацій/досліджень).
• Секрет-менеджмент: vault, zero-trust доступ, одноразові токени.
• Логи і аудит: незмінне WORM-сховище критичних подій, трасування; контроль масових вивантажень.
• DLP: правила вивантаження, водяні знаки, моніторинг «exfiltration».
• Endpoint/Access: SSO/MFA, Just-in-Time доступи, тимчасові ролі, geo/IP-обмеження.
• Надійність: бекапи з шифруванням, тести відновлення, мінімізація blast-radius.

6) DPIA/DTIA: Коли і як

DPIA обов'язковий при високому ризику (масштабна обробка, профілювання для RG/фрода, біометрія, нові джерела).

1. Опис мети/обробки та категорій ПД.

2. Підстава і необхідність/пропорційність (мінімізація, обмеження).

3. Оцінка ризиків для прав/свобод суб'єктів, ветерація за ймовірністю/впливом.

4. Заходи пом'якшення (тех/орг), залишковий ризик, план дій.

DTIA (транскордонні передачі): аналіз права країни-одержувача, договірні і тих заходи (шифрування, SCC/аналог), ризик держав.

7) Права суб'єктів даних (DSR)

Запити: доступ, виправлення, видалення, обмеження, переносимість, заперечення/відмова від маркетингу.

• Верифікувати заявника (без витоку).
• Виконати в термін (зазвичай 30 днів) з логуванням рішень.
• Винятки: регуляторні/договірні обов'язки (наприклад, зберігання AML-артефактів).
• Автоматизовані рішення: надати значиму інформацію про логіку (explainability) і право на перегляд людиною.

8) Терміни зберігання і видалення

Ретеншн-матриця: для кожної категорії ПД - мета, термін, підстава, спосіб видалення/анонімізації.
AML/KYC/фінанси часто вимагають ≥5 років після закінчення відносин - фіксуйте локальні терміни.
Deletion pipeline: позначене видалення → відкладене безповоротне очищення → звіт про видалення; каскад на бекапах за терміном.

9) Cookie/SDK/трекери та маркетинг

Потрібна гранулярна панель згоди (обов'язкові/функціональні/аналітичні/маркетинг).
Чітке призначення Cookie/SDK, термін життя, провайдер, передача третім сторонам.
Do-Not-Track/Opt-out для реклами; поважаємо локальні вимоги (банер, реєстр).
Серверна аналітика/агрегація - пріоритетно для мінімізації витоків.

10) Транскордонні передачі

Правові інструменти: договірні положення (SCC/аналог), корпоративні правила, локальні механізми.
Технічні заходи: шифрування до передачі, обмеження доступу до ключів в країні походження, мінімізація полів.
Оцінка ризиків доступу держорганів: DTIA + додаткові заходи (split-key, клієнтське шифрування де можливо).

11) Управління вендорами і третіми сторонами

Аудит постачальника: ліцензії/сертифікації, SOC/ISAE, інциденти, географія обробки.
DPA/акти обробки: мета, категорії ПД, терміни, субпроцесори, breach-повідомлення ≤72 ч, право аудиту.
Техконтроль: шифрування, RBAC, логування, ізоляція клієнтів, тести відмовостійкості.
Безперервний моніторинг: щорічний огляд, подієвий перегляд при змінах.

12) Інциденти та повідомлення

1. Виявлення та класифікація (PII scope/критичність).

2. Ізоляція, форензика, усунення, відновлення.

3. Оцінка ризику для суб'єктів, рішення про повідомлення регулятора і користувачів.

4. Комунікації (без розкриття зайвого), координація з PSP/партнерами.

5. Пост-морем і оновлення контролів/політик.

SLO: первинна оцінка ≤24 ч; повідомлення регулятора/афектованих у строки локального права; Ретест вразливості.

13) Метрики та контроль якості

DSR SLA: частка запитів закрита в строк, середній час відповіді.
Data Minimization Index: середнє число полів/подій на фічу; частка вимкнених необов'язкових трекерів.
Access Violations: кількість/тренд несанкціонованих доступів/вивантажень.
Encryption Coverage: % таблиць/бакетів/бекапів з шифруванням і ротацією ключів.
Incident MTTR/MTTD: час виявлення/усунення, повторюваність.
Vendor Compliance: проходження оглядів, закриття зауважень.
Retention Adherence: частка записів, видалених за терміном.

14) Політики та документація (скелет для wiki)

1. Політика захисту даних (принципи, ролі, визначення).
2. Реєстр операцій обробки (цілі, підстави, категорії).
3. DPIA/DTIA-процедура (шаблони, тригери).
4. Політика прав суб'єктів (DSR) (потоки, SLA, шаблони).
5. Політика ретеншна і видалення (матриця, процеси).
6. Політика cookie/SDK (панель згоди, реєстр).
7. Політика інцидентів і повідомлень (RACI, терміни, форми).
8. Вендор-менеджмент і DPA (чек-листи оцінки, шаблони).
9. Security baseline (шифрування, доступи, логи, DLP).
10. Навчання та обізнаність (програми, тести).

15) Чек-листи (операційні)

• DPIA проведена, ризик і заходи затверджені DPO.
• Цілі/підстави визначені, реєстр оновлено.
• Мінімізовані поля, PII в окремій зоні, маскування в dev/stage.
• Cookie/SDK враховані, банер налаштований, опції Opt-in/Opt-out перевірені.
• Логи/метрики/алерти налаштовані, ретеншн і видалення прописані.

• Рев'ю доступів (RBAC/ABAC), відгук «забутих» прав.
• Тест відновлення бекапів.
• Перевірка DPA і субпроцесорів, інвентаризація SDK.
• Аудит ретеншну і фактичних видалень.
• Тренування IR-плану (table-top).

• Верифікація заявника.
• Збір даних з реєстру систем; червоні лінії для AML/правових винятків.
• Відповідь і логування в термін; шаблони комунікацій.

16) Етика, прозорість і UX

Зрозумілі повідомлення про цілі/трекінг, «шарова» політика приватності (коротко + деталі).
Гранулярні перемикачі згоди, легка відмова від маркетингу.
Explainability для автоматизованих рішень (швидкі фроди/RG): причини, право на перегляд.
Уникайте прихованих «темних патернів»; не використовуйте чутливі ознаки для таргетингу.

17) Дорожня карта впровадження

1. Інвентаризація даних і систем; карта потоків ПД.
2. Призначення DPO, затвердження політики і RACI.
3. Каталог операцій обробки та підстав; запустити DPIA/DTIA-контур.
4. Розділення зон даних, шифрування/ключі, DLP/журнали, ретеншн-пайплайн.
5. Панель згоди, реєстр cookie/SDK, серверна аналітика.
6. Вендор-рев'ю і DPA; контроль субпроцесорів.
7. IR-плейбук, тренування, метрики і регулярна звітність Board.

Підсумок

Надійний захист даних - це не тільки шифрування: це система управління життєвим циклом ПД - від цілей і підстав до мінімізації, безпечної архітектури, DPIA/DTIA, прав суб'єктів, інцидентів і метрик. Вбудувавши приватність «за замовчуванням» і дисципліну процесів, ви дотримаєтеся вимог регуляторів і платіжних партнерів, утримаєте конверсію і зміцните довіру гравців.