GH GambleHub

Mamlakatlar oʻrtasida maʼlumotlar uzatish

1) Maqsad va viloyat

Litsenziyalar talablarini inobatga olgan holda shaxsiy ma’lumotlarni transchegaraviy uzatish (PII) va operatsion to’plamlarning (KYC/AML, to’lovlar, RG/SE, CRM/marketing, o’yin telemetriyasi, logi/ARM, analitika/DWH) boshqariladigan va isbotlanishi mumkin bo’lgan xavfsiz modelini shakllantirish Gaming va turli yurisdiksiyalar ma’lumotlarini himoya qilish to’g "risidagi qonunlar. Hujjat «Ma’lumotlarni mahalliylashtirish», «O’chirish va anonimlashtirish», «GDPR: rozilik», «DSAR» bo’limlarini to’ldiradi.

2) Bazaviy tushunchalar va prinsiplar

Transchegaraviy uzatish - har qanday kirish/replika/subyektning/ma’lumotlarning «uy» yurisdiksiyasidan tashqarida ishlov berish.
Adekvat/ekvivalentlik - qabul qiluvchi mamlakatni himoya qilishning yetarliligi to’g "risidagi regulyator qarori.
Shartnoma mexanizmlari - standart kontrakt qoidalari, mahalliy analoglar, qo’shimcha bitimlar.
TIA (Transfer Impact Assessment) - aniq uzatishning huquqiy/texnik tavakkalchiliklarini baholash.
Suverenitet/rezidentlik - saqlash joyi va mahalliy nazorat huquqi.

Prinsiplar:

1. Local-first: iloji bo’lsa, lokal ishlov beramiz; tashqariga - minimal va qoidalar bo’yicha.

2. Minimallashtirish: «kerakli darajada»; afzalroq agregatlar/taxalluslar.

3. Kriptografiya va izolyatsiya: shifrlash, mintaqadagi kalitlar, control/data plane.

4. Isbotlanuvchanlik: har bir eshittirish jurnali, TIA artefaktlari va asoslari.

5. Fail-closed: hech qanday asos yoki TIA mavjud emas.

3) Rollar va RACI

DPO/Head of Compliance (Owner) - siyosat, cheklovlar, TIA, istisnolar. (A)

Legal - uzatish mexanizmini tanlash, shartnomalar, mahalliy talablar. (R)

Security/Infra - shifrlash, KMS/HSM, tarmoq perimetri, audit. (R)

Data Platform/Analytics - de-PII/anonimlashtirish, federal/koxort hisobotlari. (R)

Engineering/SRE - yo’naltirish, tokenlashtirish, eksportni nazorat qilish. (R)

Vendor Manager - subprotsessorlar, tasdiqlash, offboarding reyestri. (R)

Internal Audit - artefaktlar namunalari, CAPA. (C)

4) Oqim xaritasi (Data Transfer Map)

Manba → maqsad (mamlakat/bulut/vendor) → ma’lumotlar toifasi → maqsad → huquqiy asos → uzatish mexanizmi → himoya (tex/org) → saqlash muddati → javobgarlik.
Qo’llab-quvvatlash/CS, tahlil/hisobot, frod/risk-skorlar, o’yin provayderlari va PSP, affiliatlar uchun grafik tarzda qayd etiladi.

5) Huquqiy mexanizmlar (karkas)

1. Adekvatlik to’g "risidagi qaror (agar qo’llash mumkin bo’lsa): soddalashtirilgan yo’l, lekin baribir TIA-artefaktlar va vendor bilan shartnomalar zarur.
2. Standart/namunaviy kontrakt qoidalari va mahalliy analoglar: majburiy ilovalarni (toifalar, maqsadlar, chora-tadbirlar) o’z ichiga oladi.
3. Binding/qo’shimcha bitimlar: subprotsessorlarning vazifalarini, davlat organlarining so’rovlari to’g "risidagi bildirishnomalarni aniqlashtiradi.
4. Qonun bo’yicha istisnolar: maqsadli va noyob (hayotiy manfaatlar, shartnoma talabi) - tizimli eksport uchun emas.
5. Guruhlararo qoidalar: xoldinglar uchun - nazorat qilinadigan korporativ vositalar.

💡 Mexanizm yechimi har doim TIA va qo’shimcha chora-tadbirlar katalogi bilan birga keladi.

6) Transfer Impact Assessment (TIA)

Sababi: yangi vendor/mamlakat, yangi maqsad, yangi toifalar (biometriya, RG/SE), kalitlar yoki yo’nalishlar rejimini o’zgartirish.

Mazmuni:
  • Uzatish tavsifi (ma’lumotlar/hajm/chastota/ishtirokchilar).
  • Oluvchi mamlakatning huquqiy muhiti (davlat organlaridan foydalanish xavfi, subyektlarni himoya qilishning huquqiy vositalari).
  • Texnik choralar: shifrlash, kalitlar (BYOK/HYOK), taxalluslashtirish, split-processing.
  • Tashkiliy chora-tadbirlar: NDA, o’qitish, «need-to-know», jurnallashtirish, so’rovlarga munosabat bildirish.
  • Qoldiq tavakkalchilik/qaror: ruxsat berish/o’zgartirish/taqiqlash; qayta ko’rib chiqish muddati.

TIA qisqacha shakl namunasi: § 15C ga qarang.

7) Texnik va tashkiliy chora-tadbirlar

7. 1 Kriptografiya va kalitlar

At rest: AES-256-GCM; in transit: TLS 1. 2+/mTLS; PFS.
KMS: BYOK (kalitlar bizda), afzalroq HYOK (kalitlar mintaqada qoladi); bozorlar/tenantlar bo’yicha segmentatsiya; kalitlar bilan operatsiyalarning o’zgarmas auditi.
Crypto-shredding: muddatlarda arxivlar va arxivlar uchun.

7. 2 Minimallashtirish va de-identifikatsiyalash

Eksport oldidan taxalluslashtirish (token gateway), mappingni mintaqada alohida saqlash.
Agregatlar, k-anonimlik/binning sana va geo, kamyob toifalarni bostirish.
PII-free logi/ARM va server-side tagging identifikatorlarni roziligisiz nolga tushirish.

7. 3 Tekisliklarni izolyatsiya qilish

Global control-plane PIIsiz; PII bilan data-plane lokal.
So’rov asoslari va jurnal bilan proksi-qatlam orqali PIIga kirish.

7. 4. Davlat organlarining so’rovlari

Reaktsiya konturi: qonuniylikni tekshirish, nizolashish, hajmni kamaytirish, xabarnoma (agar ruxsat etilgan bo’lsa), so’rovlar reyestriga yozish.

8) Ma’lumotlar toifalari va uzatish qoidalari

KategoriyaChet elga ketish mumkinmi? Shartlar
KS/biometriyaCheklangan
To’lov tokenlari/PSPHa/shartli
Xom oʻyin tadbirlariCheklangan
RG/SE maqomiYoʻq
CRM/marketingShartli ravishda
Logi/ARMFaqat PII-free

9) Vendorlar va subprotsessorlar

Reyestr: jur. shaxs, DC mamlakatlari, subprotsessorlar, sertifikatlash, uzatish mexanizmlari, kalitlar rejimi.
Kontraktlar: DPA + SCC/analoglar, joylashuv/subprotsessorlar o’zgarishi to’g "risidagi bildirishnomalar ≥ 30 kun, audit/so’rovnoma huquqi, bekaplarni mahalliylashtirish bo’yicha majburiyatlar, SLA hodisalar va DSAR.
Onbording/revyu: TIA, pentest/attestatsiya, test «sample transfer».
Offboarding: eksport/oʻchirish/crypto-shred + tasdiqlash (evidence).

10) Bekaplar, loglar va tahlillar

Bekaplar: o’sha mintaqada; chet elga eksport qilish - faqat shifrlangan holda + HYOK; muddatga yetganda - crypto-shred.
Logi/ARM: PII-free andoza; agar yo’q bo’lsa - lokal ombor, qisqa retensiya.
Tahlillar/DWH: global hisobotlar faqat agregatlar/koxortlar; xom identifikatorlarni mintaqadan tashqarida taqiqlash.

11) Jarayonlar va voqealar

O’tkazish jarayoni: so’rov → bozor profilini tekshirish → mexanizmni tanlash → TIA → kelishish → texnik chora-tadbirlar → ishga tushirish → monitoring → artefaktlar/audit.

Hodisalar (minimal):
  • `xborder_transfer_requested/approved/denied`
  • ’transfer _ executed’ (hajmi/vaqti/vendor)
  • `key_accessed_for_transfer` (KMS audit)
  • `gov_request_received/responded`
  • `vendor_location_changed`
  • `transfer_review_due`

12) Ma’lumotlar va artefaktlar (model)


transfer_record {
id, market_from, market_to, vendor, purpose, lawful_basis,
mechanism{adequacy    scc    local_clause    exception}, tia_id,
data_classes[], pii{yes/no}, deidentification{pseudo    anon    none},
encryption{at_rest, in_transit, keys{scope: BYOK    HYOK, kms_region}},
executed_at_utc, volume{rows, mb}, retention_days, backups{region, crypto_shred:true},
approvals{legal, dpo, security}, status, evidence_uri(WORM)
}

tia {
id, date, countries_involved[], legal_risk_summary, gov_access_risk,
technical_measures[], organizational_measures[], residual_risk{low    med    high},
decision{allow    modify    deny}, review_at
}

13) KPI/KRI va dashbord

X-Border Transfer Rate (maqsadlar/sotuvchilar/mamlakatlar bo’yicha).
TIA Coverage (TIA dolzarb uzatmalari%).
BYOK/HYOK Coverage (mintaqaviy kalitli uzatmalar ulushi).
Anonymized Export Share (agregat/taxallusdagi eksport%).
Vendor Location Drift (joylarni oʻzgartirish hodisalari).
Gov Request Count va o’rtacha javob vaqti.
Auditability Score (artefaktlarning to’liq to’plami bilan yozuvlar%).

14) Chek-varaqlar

A) Topshirish boshlanishidan oldin

  • Maqsad va qonuniy maqsad tasdiqlandi.
  • Mexanizm tanlandi (adekvatlik/shartnoma/analog), TIA bajarildi.
  • Taxalluslashtirish/anonimlashtirish sozlangan; hajmi minimallashtirilgan.
  • KMS/kalitlar: BYOK/HYOK, jurnal yoqilgan.
  • Vendor bilan kontrakt: DPA + SCC/analog, DC/subprosessorlar o’zgarganligi to’g "risidagi bildirishnomalar.
  • Rezidentlik va crypto-shred rejada.

B) Operatsiyalarda

  • Monitoring’vendor _ location _ changed’va alertlar.
  • TIA va mexanizmlarni davriy qayta ko’rib chiqish.
  • DSAR/oʻchirishlar qabul qiluvchining perimetrida (yoki anonimlashtirish orqali) toʻgʻri qoʻllaniladi.
  • Uzatmalar daftarlari va KMS-audit audit uchun mavjud.

C) Audit/yaxshilash

  • To’liqligi uchun choraklik’transfer _ record’tanlamalari.
  • Hodisalar/shikoyatlar/tartibga solish topilmalari bo’yicha CAPA.
  • Vendorda «revoke access» testi + olib tashlashni tasdiqlash.

15) Shablonlar (tez qo’shimchalar)

A) «Transchegaraviy uzatish» klauzasi

💡 Subprotsessor ma’lumotlarni faqat arz qilingan yurisdiksiyalarda saqlaydi/qayta ishlaydi. Boshqa yurisdiksiyaga har qanday topshirishga amaldagi huquqiy asoslarda (SCC/mahalliy analog) va yozma rozilikda yo’l qo’yiladi. Joylashuvni/subprotsessorni o’zgartirish - 30 kundan ≥ xabarnoma. Shifrlash kalitlari - BYOK/HYOK; kirish loglari so’rov bo’yicha taqdim etiladi.

B) Davlat organining so’rovi to’g "risidagi bildirishnoma

💡 Etkazib beruvchi foydalanishning har qanday talabi to’g "risida darhol (agar ruxsat berilgan bo’lsa) xabardor qiladi, hajmini minimallashtiradi, haddan tashqari so’rovlarga e’tiroz bildiradi va oshkor etilishini hujjatlashtiradi. Xabarnoma/javob nusxalari - bizning WORM-reyestrimizga.

C) Qisqacha TIA (one-pager)

💡 Mohiyati: {maqsad, maʼlumotlar, hajm, mamlakatlar}
Huquqiy xatarlar: {yakun}
Texnik choralar: {shifrlash, kalitlar, taxalluslar, split-processing}
Orgmerlar: {NDA, need-to-know, audit}
Yechim: {allow/modify/deny}, qayta koʻrib chiqish {sana}

16) 30 kunlik joriy etish rejasi

1 hafta

1. Transchegaraviy uzatmalar siyosati, RACI va TIA/DPA shablonlari tasdiqlansin.
2. Joriy oqim xaritasi va vendor/joylashuv/kalitlar reyestrini yaratish.
3. Bozorlarda KMS (BYOK/HYOK) ni sozlash, kalitlarning oʻzgarmas auditini yoqish.

2 hafta

4) Eksport va PII-free logi/ARM oldidan taxallusni kiritish.
5) «transfer _ record »/« tia» (WORM-artefaktlar) reyestrini ishga tushirish.
6) Tanqidiy vendorlar bilan shartnomalarni yangilash: joylashish, bildirishnomalar, offboarding-tartib-taomillar.

3 hafta

7) 2-3 oqim uchuvchisi (CS, DWH hisobotlari): Anonymized Export Share, BYOK Coverage o’lchash.
8) Davlat organlari so’rovlari tartib-taomillari va eskalatsiyalar bo’yicha Product/CS/BI/Legal o’qitish.
9)’vendor _ location _ changed’alertlarini ulash.

4-hafta

10) To’liq chiqarish; KPI/KRI dashbord va har choraklik TIA-revyu.
11) topilmalar bo’yicha CAPA; v1 reja. 1 - federal tahlil/diff. hisobotlarda maxfiylik.
12) Bitta vendorning offboarding testi :/crypto-shred, tasdiqni olib tashlash.

17) O’zaro bog’liq bo’limlar

Yurisdiksiyalar bo’yicha ma’lumotlarni mahalliylashtirish

Ma’lumotlarni o’chirish va anonimlashtirish/Saqlash va o’chirish jadvallari

GDPR: kelishuvni boshqarish/Cookies va CMP siyosati

Privacy by Design / DSAR

Shifrlash At Rest/In Transit, KMS/BYOK/HYOK

Dashbord komplayens va monitoring/Ichki va tashqi audit

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.