GH GambleHub

ISO 27701: maxfiylikni boshqarish

1) ISO 27701 nima va nima uchun iGaming operatori

ISO 27701 - ISO 27001 va 27002 ga ilova bo’lib, ISMSni PIMS (maxfiylik ma’lumotlarini boshqarish tizimlari) ga kengaytiradi.
iGaming uchun: maxfiylik talablariga (GDPR/UK GDPR/ePrivacy va boshqalar) mos kelishi, KYC/PSP regulyatorlari/banklari/hamkorlari bilan jadal ishlash, jarimalar xavfini kamaytirish va vendor-menejmentni soddalashtirish.

2) PIMS sohasi va konteksti

Aniqlang:
  • Rollar va chegaralar: qaysi jarayonda siz - Controller, qayerda - Processor; qaysi brendlar/hududlar/jarayonlar Scope tarkibiga kiradi.
  • Ma’lumotlar toifalari: ro’yxatga olish, to’lovlar, KYC/AML/sanksiyalar, xulq-atvor hodisalari, RG-signallar, sapport, marketing/SDK.
  • Huquqiy majburiyatlar: maxfiylik to’g "risidagi mahalliy qonunlar, litsenziya shartlari, sheriklar bilan tuzilgan shartnomalar.

Natija: PIMS hujjati Scope & Context + manfaatdor tomonlar xaritasi.

3) Asosiy rollar va javobgarlik

RolPIMSdagi javobgarlik
Board/CEOMaxfiylik siyosatini, resurslar va maqsadlarni tasdiqlaydi
DPO (Data Protection Officer)Maxfiylikni mustaqil nazorat qilish, maslahat va DPIA, aloqa nuqtasi
Privacy Lead / PIMS OwnerPIMS operatsion boshqaruvi, metrika, hisobot
Legal/ComplianceHuquqiy asoslar, shartnomalar (DPA/SCCs), transchegaralik
Security/ISMSTexnik va tashkiliy chora-tadbirlar (TOMs), jurnallashtirish
Domain OwnersMa’lumotlar to’plamlari va ishlov berish maqsadlariga egalik qilish
Data/BIMaskalash, RLS/CLS, privacy thresholds
Marketing/CRMSMR/rozilik, profillash, retenshn
TPRM/ProcurementVendorlar va subprosessorlar: due diligence, DPA, SLA

4) ISO 27701 ISO 27001 bog’lamasi

ISMS (27001/27002): xavfsizlik bazasi (aktivlar, xavflar, nazoratlar).
PIMS (27701): maxfiylik siyosati, ishlov berishning qonuniyligi, subʼektlarning huquqlari, maʼlumotlarning hayot sikli, shartnomaviy va transchegaraviy mexanizmlarni qoʻshadi.
SoA/Statement of Applicability: PIMS shaxsiy nazorati bilan kengaymoqda.

5) Qayta ishlash reyestri (RoPA) va ma’lumotlar xaritasi

Har bir jarayon uchun: maqsad, huquqiy asos, subyektlar/ma’lumotlar toifalari, saqlash muddati, qabul qiluvchilar/subprotsessorlar, geografiya, TOMs, DPIA-bayroq.

RoPA namunasi (parcha): 
yaml process: account_registration controller_role: controller purpose: account creation and contract execution lawful_basis: contract data_categories: [PII_basic, contact, device_fingerprint]
recipients: [psp, kyc_provider]
retention: P + 5y # storage policy locations: [EU, UK]
toms: [mTLS, encryption_at_rest, RBAC+ABAC, MFA, masking]
dpia_required: false

6) Qonuniy asoslar va rozilik (Lawful Basis & Consent)

Contract/Legal Obligation: to’lovlar, KYC/AML, firibgarlikning oldini olish.
Legitimate Interest: bazaviy tahlil/xavfsizlik (manfaatlarni baholash va talab qilinadigan opt-out).
Consent: marketing, cookies/SDK, notoʻgʻri maqsadlar uchun, profillashning maʼlum turlari.
Maxsus toifalar: faqat aniq asoslar va chora-tadbirlar kuchaytirilganda.

SMR/kelishuvlarni boshqarish: siyosat/bannerlarning versiyasini yozish, maqsadlar bo’yicha granulyarligi, chaqirib olishning isbotlanishi.

7) DPIA/PIA - maxfiylikka ta’sirni baholash

Qachon: yangi texnologiya, keng ko’lamli qayta ishlash, sezgir ma’lumotlar, muntazam profillash, transchegaralik.
Tarkibi: ishlov berish tavsifi, zarurligi va mutanosibligi, subyektlar huquqlari uchun xavflar, kamaytirish choralari.
Chiqish: qaror (borish/qayta ishlash/rad etish) + CAPA rejasi va sana nazorati.

8) Ma’lumotlar subyektlarining huquqlari (DSAR)

Huquqlar: kirish, tuzatish, olib tashlash, cheklash, chidamlilik, e’tiroz, profillash/marketingdan voz kechish.
SLA: so’rovni tezda tasdiqlash va belgilangan muddatda bajarish.
Ijro oqimi: olish → shaxsni tekshirish → ma’lumotlarni yig’ish → javob/ijro → jurnal.

«Ko’r-ko’rona tushirishni» taqiqlash: faqat niqoblangan va logli vitrinalar orqali; kichik tanlashni cheklash (privacy thresholds).

9) Minimallashtirish, niqoblash va retenshn

Data Minimization: faqat maqsadlar uchun zarur narsalarni saqlash; «o’lik» maydonlarni muntazam ravishda olib tashlash/anonimlashtirish.
Kamuflyaj/taxallusni oʻzgartirish: PII uchun andoza; demakirovka - JIT +’purpose’+ audit.
Retenshn-matritsasi: saqlash muddatlari per jarayon/toifa, to’xtash omillari (yuridik), avto-olib tashlash/arxiv.

10) Transchegaraviy uzatmalar va subprotsessorlar

Shartnomaviy mexanizmlar: DPA, SCCs/IDTA, DTIA (uzatishni baholash).
Ma’lumotlar/kalitlar joylashuvi: jismoniy ma’lumotlar/kalitlar (KMS/HSM), VUOK siyosati/mintaqaviy kalitlar.
Subprotsessorlar reyestri: o’zgarishlar to’g’risida xabarnoma, e’tiroz bildirish huquqi, TOMs darajasi biznikidan past emas.

11) Privacy by Design / by Default

Loyihalash bosqichida: PRDdagi Data Protection Requirements, shaxsiy tahdidli threat modeling shabloni.
Amalga oshirishda: RLS/CLS, tokenlash, shifrlash, minimal API skoplari, PIIsiz telemetry.
Andoza: ixtiyoriy trekerlar, alohida kalit/nomspeyslar per region/tenant oʻchirilgan.

12) PIMSni loglash, isbotlash va audit

Логи (WORM+подпись): `READ_PII`, `EXPORT_DATA`, `PII_UNMASK`, `CONSENT_UPDATE`, `DSAR_`, `BREACH_`.
Hisobot: RoPA maqomi, DPIA, DSAR SLA/beklog, retenshn-olib tashlash, vendor o’zgarishlari, qoidabuzarliklar/hodisalar.
Audit: har yili (yoki o’zgarishlarda), Xususiy nazoratlarning Design/Operating Effectiveness tekshiruvi.

13) Metrika (KPI/KRI) PIMS

KPI:
  • DSAR on-time ≥ 95%
  • RoPAning dolzarbligi ≥ 98%
  • DPIAni tavakkalchilik obyektlari bo’yicha qoplash = 100%
  • Retenshnlar bo’yicha avtomatik o’chirishlar ulushi ≥ 95%
  • CMP (yozib olingan rozilik yozuvlari) = 100%
KRI:
  • PII’purpose’= 0
  • Ruxsatsiz eksport/uzatish = 0
  • Muddatdan keyin xabardor qilingan hodisalar/oqishlar = 0
  • Aktiv uzatish uchun mavjud boʻlmagan DPA/SCCs = 0

14) Mavjud nazoratlar bilan integratsiya qilish

IGA/RBAC/ABAC/JIT/PAM: huquqlarni minimallashtirish va kontekstli foydalanish shartlari.
Log siyosati va auditorlik jurnallari: PII bilan harakatlarning isbotlanishi.
TPRM va kontraktlar: DPA/SCCs/DTIA, audit huquqlari, bildirishnomalar SLA ≤ 72 soat.
ISO 27001/ISMS: umumiy tavakkalchilik modeli, SoA va ichki auditlar.
Hodisalar va oqishlar: playbook breach, war-room va vendorlar.

15) Artefaktlar shablonlari (parchalar)

15. 1. Maxfiylik siyosati (ichki saqlanish)

yaml privacy_policy:
principles: [lawfulness, fairness, transparency, minimization, accuracy, storage_limitation, integrity_confidentiality, accountability]
roles: {controller: true, processor: true}
data_subject_rights: enabled consent_management: CMP_v2 retention_policy: matrix_ref:v1. 4

15. 2. Bezaklash siyosati

yaml pii_unmask:
allowed_roles: [aml_officer, dpo, fraud_analyst_jit]
approvals: [data_owner, privacy]
ttl_minutes: 30 logging: [PII_UNMASK, READ_PII]

15. 3 DSAR-jarayon

yaml dsar:
intake_channels: [portal, email]
verification: kyc_level>=2 sla_days: 30 export_mechanism: curated_vitrines_only audit_events: [DSAR_OPEN, DSAR_VERIFY, DSAR_FULFILL, DSAR_CLOSE]

15. 4 Retenshn matritsasi (parcha)

yaml retention:
registration_logs: {basis: legal, period: "P5Y"}
marketing_events: {basis: consent, period: "P12M", on_withdraw: "delete"}
kyc_documents:   {basis: legal, period: "P5Y", storage: "vault_encrypted"}

16) SOP (tartib-taomillar)

16. 1 RoPA yangilanishi

1. Oʻzgartirish tashabbuskori (Product/Owner) → jarayon kartochkasi → Legal/Privacy revyu → Security TOMs → nashr va versiya.

16. 2. DPIAni o’tkazish

1. Tavakkalchilik skriningi → DPIA shablon → maslahat DPO → CAPA → yechim va muddatlarni nazorat qilish.

16. 3 DSAR

1. Qabul qilish → verifikatsiya qilish → yig’ish va vitrinalar orqali filtrlash → javob/ijro → loging va yopish.

16. 4 Vendorlar/uzatmalar

1. Due diligence → DPA/SCCs/DTIA → subprosessorlar reyestri → o’zgarishlarni monitoring qilish → offboarding va olib tashlashni tasdiqlash.

17) RACI (yiriklashtirilgan holda)

AktivlikBoard/CEODPOPrivacy LeadLegal/ComplianceSecurityDomain OwnersData/BITPRM
PIMS siyosati/maqsadlariACRCCCII
RoPA/retenshnIA/RRA/RCRRI
DPIA/PIAIA/RRA/RCRCI
DSARIA/RRCCCRI
Vendorlar/uzatmalarIARA/RCCIR
Audit/metrikaIARCCIRC

18) Joriy etish yo’l xaritasi (8-10 hafta)

1-2 haftalar: Scope/kontekst, rollar va RACI, jarayonlar/ma’lumotlarni inventarizatsiya qilish, RoPA va retenshn-matritsaning loyihalari.
3-4 hafta: maxfiylik siyosati, CMP/consent-flou, DSAR-jarayon, DPIA shablonlari, DPA/SCCs/DTIAni vendorlar bilan yangilash.
5-6 hafta: TOMs (niqoblash, RLS/CLS, JIT/PAM), DSAR, WORM-loglar uchun vitrinalar, KPI/KRI hisobotlarini joriy etish.
7-8 haftalar: DPIAni high-risk bo’yicha o’tkazish, CAPAni yopish, PIMS, Management Review (PIMS) ichki auditini o’tkazish.
9-10 haftalar: tuzatishlar kiritish, muntazam hisobotlarni ishga tushirish, tashqi baholashga tayyorlash (zarurat bo’lganda).

19) Tez - tez xatolar va ulardan qanday qochish mumkin

RoPA «belgi uchun»: har bir yozuvni maqsadlar, asoslar va retenshnlarga bog’lang; jonli versiyani saqlang.
DSAR «xom» DB orqali: faqat niqob va loglar bilan vitrinalar/eksport orqali.
Transchegaraviy DTIA yo’q: oldindan rasmiylashtiring, ma’lumotlar/kalitlarning joylashuvini belgilang.
CMPsiz marketing SDK: CMP va shartnomaviy TOMs kiritilgunga qadar taqiqlash.
Pbd/PbD mavjud emas: privacy talablarini PRD va Definition of Done ga kiriting.

20) Muvofiqlikni saqlash (Run PIMS)

Har oyda: KPI/KRI hisobotlari, RoPA o’zgarishlari auditi, subprotsessorlar monitoringi, DSAR SLA.
Har chorakda: revyu retenshn/o’chirish, tematik tekshiruvlar (marketing, SDK, KYC).
Har yili: PIMS ichki auditi, kontekstni/xavflarni yangilash, xodimlarni o’qitish, Management Review.

TL; DR

ISO 27701 = PIMS ISMS ustiga: RoPA + qonuniy asoslar/roziliklar + DPIA/DSAR + minimallashtirish/retenshn + transchegaralik va subprosessorlar + isbotlanadigan TOMs. Mavjud RBAC/ABAC/JIT/loglar va TPRMlarga kiritamiz va ichki va tashqi tekshiruvlarga tayyor bo’lgan boshqariladigan, o’lchanadigan maxfiylikni olamiz.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Telegram
@Gamble_GC
Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.