Ma’lumotlarni himoya qilish va maxfiylik

1) Nima uchun kerak (iGaming/fintech konteksti)

iGaming va fintexda PII/findanlar, biometriya (selfi-liveness), xulq-atvor va to’lov signallari qayta ishlanadi. Maxfiylikning buzilishi litsenziyalar, PSP-sheriklik, SEO/obro’va moliyaviy natijalarga ta’sir qiladi. Maqsad UXni o’ldirmasdan va konversiyasiz ishlov berishning qonuniyligi, xavfsizligi va shaffofligini ta’minlashdir.

2) Huquqiy prinsiplar va

Asosiy tamoyillar: qonuniylik, adolat va shaffoflik; maqsadni cheklash; minimallashtirish; aniqlik; saqlashni cheklash; yaxlitlik va maxfiylik; hisobdorlik.

• Board/Exec: tavakkalchilik ishtahasi, siyosatni tasdiqlash, resurslar.
• DPO (ma’lumotlarni himoya qilish ofitseri): mustaqil nazorat, DPIA/DSR, maslahatlashuvlar.
• Security (CISO): texnik nazorat, hodisalar, harakatlar jurnali, DLP.
• Engineering/Data: arxitektura «privacy by design/default», maʼlumotlar katalogi.
• Compliance/Legal: huquqiy asoslar, shartnomalar, transchegaraviy o’tkazmalar.
• Operations/Support: subʼektlar soʻrovlari va tartib-taomillarni qayta ishlash.

3) Ma’lumotlar toifalari va qonuniy asoslar

Toifalar: identifikatsiya (F.I.O., DOB), aloqa, to’lov (tokenlar), biometriya (selfi/face-template), xulq-atvor (sessiyalar, stavkalar), texnik (IP/UA/Device), KYC/AML-artefaktlar, loglar, shuningdek maxsus toifalar - faqat qat’iy zarurat bo’lganda.

• Shartnoma (contract): hisobvaraq, to’lovlar, to’lovlar, tranzaksion bildirishnomalar.
• Qonun (legal obligation): AML/KYC, buxgalteriya hisobi, soliq majburiyatlari, yoshga oid tekshiruvlar.
• Qonuniy qiziqish (LIA): antifrod, xavfsizlik, UXni yaxshilash (manfaatlar balansiga test oʻtkazishda).
• Rozilik: marketing tarqatmalari, ixtiyoriy cookies, bir qator yurisdiksiyalarda biometrika.
• Qayta ishlash operatsiyalari reyestrida asos tanlanishini hujjatlashtiring.

4) Privacy by Design / by Default

Loyihalash: fichni ishga tushirishdan oldin DPIA (maxfiylikka ta’sirini baholash), tahdidlarni modellashtirish (STRIDE/LINDDUN) o’tkaziladi.
Andoza: minimal maydon toʻplamlari, oʻchirilgan ixtiyoriy trekerlar, yopiq foydalanish.
Izolyatsiya muhitlari: dev/stage real PDsiz (yoki niqoblangan/sintetik).
Sxemalarni versionizatsiya qilish: migratsiya rejalari bilan migratsiya.

5) Ma’lumotlar arxitekturasi va xavfsizligi

• Zone A (Transactional PII): tokenlashtirilgan to’lovlar, KYC-artefaktlar; kirish - qat’iy ravishda RBAC/ABAC bo’yicha.
• Zone B (Analytics Pseudonymized): taxalluslar/xeshlar, yig’ilgan voqealar; to’g «ridan to’g» ri identifikatsiyalashni taqiqlash.
• Zone C (Anonymized BI): hisobot/ML-oʻqish uchun anonim agregatlar.

• In transit shifrlash (TLS 1. 2 +) va at rest (AES-256), HSM/KMS kalitlari; kalitlarni rotatsiya qilish.
• Taxalluslashtirish (barqaror tokenlar) va anonimlashtirish (diffprivatlik, nashrlar/tadqiqotlar uchun k-anonimlik).
• Maxfiy menejment: vault, zero-trust kirish, bir martalik tokenlar.
• Logi va audit: o’zgarmas WORM-muhim voqealar ombori, izlar; ommaviy tushirishlarni nazorat qilish.
• DLP: tushirish qoidalari, suv belgilari, «exfiltration» monitoringi.
• Endpoint/Access: SSO/MFA, Just-in-Time, vaqtinchalik rollar, geo/IP cheklovlari.
• Ishonchlilik: shifrlangan bekaplar, tiklanish testlari, blast-radiusni minimallashtirish.

6) DPIA/DTIA: qachon va qanday

DPIA yuqori xavf ostida bo’lishi shart (keng ko’lamli qayta ishlash, RG/frod uchun profillash, biometriya, yangi manbalar).

1. MTning maqsadi/ishlov berish va toifalari tavsifi.

2. Asosi va zarurati/mutanosibligi (minimallashtirish, cheklash).

3. Subyektlarning huquqlari/erkinliklari uchun xavflarni baholash, ehtimollik/ta’sir bo’yicha veterinariya.

4. Yumshatish choralari (tex/org), qoldiq tavakkalchilik, harakatlar rejasi.

DTIA (transchegaraviy uzatmalar): oluvchi mamlakat huquqini tahlil qilish, shartnomaviy va shu choralar (shifrlash, SCC/analog), davlatlar tavakkalchiligi.

7) Ma’lumotlar subyektlarining huquqlari (DSR)

So’rovlar: marketingga kirish, tuzatish, olib tashlash, cheklash, chidamlilik, e’tiroz/rad etish.

• Ariza beruvchini tekshirish (sizib chiqmasdan).
• Qarorlarni logirovka qilish bilan bir muddatda (odatda 30 kun) bajarish.
• Istisnolar: tartibga solish/shartnoma majburiyatlari (masalan, AML-artefaktlarni saqlash).
• Avtomatlashtirilgan yechimlar: mantiq (explainability) va inson tomonidan qayta koʻrib chiqish huquqini taqdim etish.

8) Saqlash muddatlari va olib tashlash

Retenshn-matritsasi: PDning har bir toifasi uchun - maqsad, muddat, asos, olib tashlash/anonimlashtirish usuli.
AML/KYC/moliya ko’pincha munosabatlar tugaganidan keyin 5 yil ≥ talab qiladi - lokal muddatlarni belgilang.
Deletion pipeline: belgilangan olib tashlash → kechiktirilgan qaytarib bo’lmaydigan tozalash → olib tashlash to’g "risidagi hisobot; muddati bo’yicha bekaplarda kaskad.

9) Cookie/SDK/trekerlar va marketing

Granulyar kelishuv paneli (majburiy/funksional/tahliliy/marketing) kerak.
Kukining aniq maqsadi/SDK, umr ko’rish muddati, provayder, uchinchi tomonlarga topshirish.
Do-Not-Track/Opt-out reklama uchun; mahalliy talablarni (banner, reyestr) hurmat qilamiz.
Server tahlillari/agregatsiyasi - oqishni minimallashtirish uchun ustuvor hisoblanadi.

10) Transchegaraviy o’tkazmalar

Huquqiy vositalar: shartnomaviy qoidalar (SCC/analog), korporativ qoidalar, lokal mexanizmlar.
Texnik chora-tadbirlar: uzatishgacha shifrlash, kelib chiqish mamlakatidagi kalitlardan foydalanishni cheklash, maydonlarni minimallashtirish.
Davlat organlaridan foydalanish xavfini baholash: DTIA + qo’shimcha chora-tadbirlar (split-key, mijozlarni imkon qadar shifrlash).

11) Vendorlar va uchinchi tomonlarni boshqarish

Yetkazib beruvchining auditi: litsenziya/sertifikatlashtirish, SOC/ISAE, hodisalar, qayta ishlash geografiyasi.
DPA/qayta ishlash dalolatnomalari: maqsad, SD toifalari, muddatlar, subprotsessorlar, breach-bildirishnomalar ≤ 72 soat, audit huquqi.
Texnik nazorat: shifrlash, RBAC, loglash, mijozlarni izolyatsiya qilish, nosozlikka chidamlilik testlari.
Uzluksiz monitoring: yillik sharh, o’zgarishlar bo’yicha voqealarni qayta ko’rib chiqish.

12) Hodisalar va xabarnomalar

1. Topish va tasniflash (PII scope/kritiklik).

2. Izolyatsiya, forenzika, bartaraf etish, tiklash.

3. Subyektlar uchun xavfni baholash, tartibga soluvchi va foydalanuvchilarni xabardor qilish to’g "risidagi qaror.

4. Kommunikatsiyalar (ortiqcha narsani oshkor qilmasdan), PSP/hamkorlar bilan muvofiqlashtirish.

5. Post-dengiz va nazorat/siyosatni yangilash.

SLO: boshlang’ich baho ≤ 24 soat; tartibga soluvchini/mahalliy huquq muddatlarida affektorlarni xabardor qilish; zaiflik retesti.

13) Metrika va sifat nazorati

DSR SLA: soʻrovlarning ulushi muddatida, oʻrtacha javob vaqti bilan yopildi.
Data Minimization Index: fich uchun maydonlarning/hodisalarning o’rtacha soni; o’chirilgan majburiy bo’lmagan trekerlar ulushi.
Access Violations: ruxsatsiz kirish/tushirish soni/trendi.

Encryption Coverage: % jadvallar/baketlar/bekaplar

Incident MTTR/MTTD: aniqlash/bartaraf etish vaqti, takrorlanuvchanlik.
Vendor Compliance: sharhlardan oʻtish, sharhlarni yopish.
Retention Adherence: muddati boʻyicha olib tashlangan yozuvlar ulushi.

14) Siyosat va hujjatlar (wiki uchun skelet)

1. Ma’lumotlarni himoya qilish siyosati (prinsiplar, rollar, ta’riflar).
2. Qayta ishlash operatsiyalari reyestri (maqsadlari, asoslari, toifalari).
3. DPIA/DTIA-protsedura (shablonlar, triggerlar).
4. Subyektlar huquqlari siyosati (DSR) (oqimlar, SLA, shablonlar).
5. Retenshna va olib tashlash siyosati (matrisa, jarayonlar).
6. Cookie/SDK siyosati (rozilik paneli, reestr).
7. Noxush hodisalar va xabarnomalar siyosati (RACI, muddatlar, shakllar).
8. Vendor-menejment va DPA (baholash chek varaqalari, shablonlar).
9. Security baseline (shifrlash, kirish, loglar, DLP).
10. O’qitish va xabardorlik (dasturlar, testlar).

15) Chek-varaqlar (operatsion)

• DPIA o’tkazildi, tavakkalchilik va choralar DPO tomonidan tasdiqlandi.
• Maqsad/asoslar aniqlandi, reyestr yangilandi.
• Maydonlar minimallashtirilgan, alohida zonada PII, dev/stage da niqoblangan.
• Cookie/SDK hisobga olingan, banner sozlangan, Opt-in/Opt-out variantlari tekshirilgan.
• Loglar/metriklar/alertlar sozlangan, retenshn va olib tashlash yozilgan.

• Kirish ovozi (RBAC/ABAC), «unutilgan» huquqlarni chaqirib olish.
• Orqaplarni tiklash testi.
• DPA va subprotsessorlarni tekshirish, SDK inventarizatsiyasi.
• Retenshn va haqiqiy o’chirishlar auditi.
• IR-rejani mashq qilish (table-top).

• Ariza beruvchini tekshirish.
• Tizimlar reyestridan ma’lumotlarni to’plash; AML/huquqiy istisnolar uchun qizil chiziqlar.
• O’z vaqtida javob va logografiya; aloqa namunalari.

16) Axloq, shaffoflik va UX

Maqsadlar/treking to’g "risidagi tushunarli bildirishnomalar," qatlamli "maxfiylik siyosati (qisqacha + tafsilotlar).
Granulyar rozilik almashtirgichlari, marketingdan osongina voz kechish.
Avtomatlashtirilgan yechimlar uchun Explainability (frod/RG tezligi): sabablari, qayta ko’rib chiqish huquqi.
Yashirin «qorong’u namunalardan» qoching; maqsadga erishish uchun sezgir belgilardan foydalanmang.

17) Joriy etish yo’l xaritasi

1. Ma’lumotlar va tizimlarni xatlovdan o’tkazish; PD oqimlari xaritasi.
2. DPOni tayinlash, siyosatni tasdiqlash va RACI.
3. ishlov berish operatsiyalari va asoslari katalogi; DPIA/DTIA konturini ishga tushirish.
4. Maʼlumot maydonlarini ajratish, shifrlash/kalitlar, DLP/jurnallar, retenshn-paypline.
5. Kelishuv paneli, cookie/SDK reyestri, server analitikasi.
6. Vendor-revyu va DPA; subprotsessorlarni nazorat qilish.
7. IR-pleybuk, mashqlar, metrika va muntazam hisobot Board.

Jami

Ma’lumotlarni ishonchli himoya qilish nafaqat shifrlash, balki maqsadlar va asoslardan tortib minimallashtirishgacha, xavfsiz arxitektura, DPIA/DTIA, sub’ektlar huquqlari, hodisalar va metrikalargacha bo’lgan PD hayotiy siklini boshqarish tizimidir. Maxfiylikni va tartib-intizomni o’rnatish orqali siz regulyatorlar va to’lov sheriklarining talablariga rioya qilasiz, konvertatsiyani ushlab turasiz va o’yinchilarning ishonchini mustahkamlaysiz.