WinUpGo
Демо ойындарТОП Казино
ТОП КазиноЖҰМСАҚ КазиноӘлем КазиноTelegram КазиноБот КазиноСпорт КазиноЫстық тақырыптар
ЖҰМСАҚ КазиноӘлем КазиноTelegram КазиноБот КазиноСпорт КазиноЫстық тақырыптар
Іздеу
WinUpGo Wiki - онлайн казино, слоттар және iGaming индустриясының энциклопедиясы WUG WIKI
Депозитсіз бонустар Бонустар
Ойын автоматтарының провайдерлері Провайдерлер
Ойын автоматтары Топ слоттар
CASWINO
SKYSLOTS
BRAMA
TETHERPAY
777 FREE SPINS + 300%
Жеке кабинет Кабинет
Community Chat Australian Pokies
Онлайн чат Сөйлесу
Онлайн қолдау Қолдау
Cryptocurrency казино Крипто казино Torrent Gear - сіздің әмбебап торрент іздеу! Torrent Gear

GDPR/ISO 27001: логтар мен деректерді сақтауға қойылатын талаптар

1) Бұл не үшін маңызды

Логилер мен базалар - бұл дербес деректер (IP, cookie-ID, device-ID, user-ID, мінез-құлық оқиғалары). Демек, оларға: өңдеудің заңдылығы мен ашықтығы, мақсаттар мен мерзімдерді шектеу, барынша азайту, дәлдік, тұтастық/құпиялылық, сондай-ақ субъектілердің құқықтары (GDPR) қолданылады. ISO 27001 басқару және техникалық бақылауларды қосады: логизация саясаты, мониторинг, активтерді қорғау, қолжетімділікті басқару, резервтеу, криптография және өзгерістерді басқару.

2) Құқықтық негіз және мақсаттар (GDPR)

Логикалау мақсаттары: қауіпсіздік, инциденттерді тексеру, заңдарды орындау, қаржылық аудит, фродпен күрес.

Құқықтық негіздер:
  • Legitimate interests - киберқауіпсіздік, антифрод; мүдделер теңгерімінің тестін жасаңыз.
  • Legal obligation/contract - бухгалтерия, салық есептілігі, AML/KYC-ізі.
  • Consent - тек талдау/маркетинг үшін, «қатаң қажетті» security-логтар үшін емес.
  • Ашықтық: Privacy Notice бағдарламасында хабарлаңыз, логи/мерзімдер/алушылар санаттары туралы жеке бөлімді бөліңіз.

3) DPIA және тәуекел тәсілі

Мінез-құлықтың ауқымды мониторингі үшін DPIA жүргізіңіз (ойын оқиғалары, мінез-құлық биометриясы, антифрод профильдері). Сипаттау: мақсаттар, көлемдер, тәуекелдер, жеңілдететін шаралар (псевдонимизация, рөлдер бойынша қолжетімділік, қысқа сақтау мерзімі, кілттерді бөлек сақтау).

4) Субъектілердің құқықтары және

Қатынау/көшірме: Логтардың санаттары мен кезеңдері туралы мәліметтер беріңіз; қауіпсіздік белгілерін ашпаңыз.

Түзету/шектеу/қарсылық: сұрау салуды бағалау vs қауіпсіздік және құқықтық міндеттер үшін қажеттілік.

Алып тастау: егер талап қоюдан қорғау, заңды орындау немесе инцидентті тексеру үшін сақтау қажет болса, ерекшеліктерге жол беріледі; шешімді және қайта қарау мерзімін белгілеңіз.

5) Сақтау мерзімі (retention) және барынша азайту

Ретеншен матрицасын белгілеңіз: не, қайда, неге, мерзімі, негізі, иесі кім, қайда иеліктен шығарылады.

Принциптері:
  • Жоғары сезімтал логтар үшін қысқа мерзім (IP/UA бар шикі сұраулар, агрегатталмаған телеметрия).
  • Ұзақ мерзімді талдау үшін агрегаттау және псевдонимдеу (мысалы, IP орнына хэш/токен).
  • Таймер бойынша автоматты түрде жою/анонимдеу; «мерзімсіз» логтарға тыйым салу.
Мысал (бағдарлар, юрисдикцияға/реттеушіге бейімделіңіз):
  • Веб-сервер логтары (IP, UA, жол) - 30-90 күн (қауіпсіздік/трейсинг).
  • Әкімшілік іс-әрекеттердің аудит-трейлі - 1-3 жыл (қауіпсіздік/комплаенс).
  • Төлем транзакциялары (метадеректер) - 5-10 жыл (бухгалтерлік есеп/салықтар, жергілікті талаптар).
  • KYC/AML-артефактілер - юрисдикция заңы бойынша (жиі 5-7 жыл).
  • Антифрод-фичи - 6-24 ай.

6) ISO 27001: логтар мен мониторингке не талап етіледі (практика)

Логика және мониторинг саясаты: оқиғаларды, көлемдерді, деңгейлерді, жауапкершілікті, сақтауды, талдауды, өршуді анықтаңыз.

Техникалық бақылау (логирлеу):
  • Маңызды оқиғаларды басып алу (аутентификация/авторизация, құқықтарды/конфигурацияларды өзгерту, деректерге қолжетімділік, күрделі транзакциялар, әкімшілік әрекеттер, қауіпсіздік қателері).
  • Уақытты синхрондау (NTP, қорғалған көз), уақыт аймақтарын және нақты белгілерді (миллисекундтар) сақтаңыз.
  • Тұтастықты қорғау: WORM сақтау орны, өзгермейтін индекстер, хэш тізбектер/қолтаңбалар, «тек қосу» қатынауды бақылау.
  • Орталар мен журналдарды бөлу (prod/stage/dev), журналдардағы құпияларды және PII оқшаулау.
Белсенділік мониторингі:
  • SIEM/UEBA, оқиғалардың корреляциясы, табалдырықтар мен алерталар, плейбуктер бойынша реакция.
  • Сындарлы аймақтар (әкімші, төлемдер, DWH қолжетімділік) бойынша логтарды үнемі «қолмен» шолып отыру.
  • Рөлдері мен міндеттері: актив иесі, журнал иесі, АҚ/комплаенс офицері, инциденттер процесі.
  • Логтардың өмірлік циклі: жинау → көлік (TLS/mTLS) → сақтау (шифрлау, сақтау сыныптары) → талдау → ретеншен/жою (жою фактісін хаттамалау).

7) Деректерді жіктеу және қолжетімділікті бақылау

Деректер кластары: Public/Internal/Confidential/Restricted (PII/қаржы/KYC).

Бүркемелеу/редакциялау саясаты: сезімтал өрістерді (PAN, CVV, парольдер, белгілер) алып тастаңыз.

RBAC/ABAC: ең аз қажетті қолжетімділік, «логтарды оқу» және «басқару» жеке рөлдері.

Журналға қол жеткізу журналдары (метажурналдар): кім, қашан, неге жүгінді.

8) Криптография, кілттер және көлік

Жіберу кезіндегі шифрлау: TLS 1. 2+/1. 3, mTLS агенттер мен коллектор арасында, сертификаттарды тексеру.

Тыныштық шифрлау: дискілер/объектілік сақтау орны, KMS/HSM кілттері, кілттерді ротациялау, деректердің әртүрлі кластары үшін жеке кілттер.

Сегментация: PII үшін және техникалық логтар үшін жеке бакеттер/индекстер.

9) Резервтік көшірмелер, оффсайт-мұрағат және қалпына келтіру

Бэкаптар: кесте, шифрлау, қалпына келтіруді бақылау (тұрақты DR-жаттығулар), қайта жазудан/шифрлаудан қорғау.

Оффсайт/мульти-аймақ: жергілікті/трансшекаралық тарату талаптарын ескере отырып (DPA, SCC, барабарлық).

Бiрыңғай мерзiмдер: бэкаптардағы ретеншен өнiмдердi алып тастау мерзiмдерiн «нөлдеуге» тиiс емес; мұрағаттардың экспирациясын автоматтандырыңыз.

10) Үшінші тұлғаларға беру (процессорлар)

DPA лог- талдау/бұлттар/коллекторлар провайдерлерімен: рөлдер, субпроцессорлар, сақтау орындары, қорғау шаралары, жою мерзімдері.

Трансшекаралық беру: құқықтық тетіктер (SCC және т.б.), техникалық шаралар (жалғаспалы шифрлау, бүркеншік атау).

Аудит және есептілік: аудит құқығы, SOC-есептер/сертификаттау, кіру журналдары.

11) Инциденттер және хабарламалар туралы (GDPR)

Анықтау және бекіту: SIEM-алерты, инцидент тикеті, релевантты логтарды қатыру (legal hold).

дербес деректердің елеулі жылыстауы кезінде реттеушіні хабардар етуге 72 сағат; ықпал етуді бағалау, хабарламаның құрамы, шаралардың дәлелдемелері.

Пост-мортем: саясатқа/бақылауға қорытындылар, ретеншенді/бүркемелеуді жаңарту.

12) Типтік қателер және оларды болдырмау

Сезімтал өрістерді (парольдер, белгілер, PAN/CVV) → SDK/орамдар деңгейінде бүркемелеу.

Мерзімсіз technical-логтар «кез келген жағдайда» → TTL және анонимдеуді қойыңыз.

SIEM → бірыңғай «супер-қатынас» рөлдерін бөлісіп, MFA қосыңыз.

Бөлінбеген prod/dev журналдары → тарату және қатынауды шектеу.

Ретеншен матрицасының және автоматты бөліктердің болмауы → GDPR-айыппұлдар мен артық ағулар тәуекелі.

Шифрлаусыз/экспирациясыз бэкаптар → PII «мәңгілік» көшірмелері.

13) Ретеншен матрицасы (үлгі)

СанатӨріс үлгісіМақсатыНегізіМерзіміСақтау орны/класыИесіЕскерту
Web-accessIP, UA, PathҚауіпсіздікLegitimate interest60 күнWORM-bucket (Encrypted)SecOps30 күнге ≥ агрегаттаймыз
Auth-audituserId, actionТексеруLegitimate interest1 жылSIEM/Index (Encrypted)SecOpsMFA міндетті
Admin-auditadminId, changesКіруді бақылауLegal/Contract3 жылWORM-vaultCISOӨшіруді қолданбау
Payments metatxnId, amountsБухгалтерлік есеп/салықтарLegal5-10 жылEncrypted DB/ArchiveFinanceЮрисдикция бойынша
KYC/AMLdocHash, checksЗаңLegal5-7 жылEncrypted VaultComplianceDPIA/Legal hold
Anti-fraud featuresdevice, clusterҚауіпсіздікLegitimate interest12-24 айPseudonymized StoreRiskТұрақты шолу

14) Логизация және сақтау саясаты (скелет)

1. Аумақ және терминдер.

2. Логтардың санаттары мен мақсаттары.

3. Құқықтық негіздер және хабарлама.

4. Жіктеу және азайту.

5. Жинау, тасымалдау, сақтау (шифрлау, тұтастық, WORM).

6. Кіру және рөлдер, кіру аудиті.

7. Ретеншен және автоматты түрде жою/анонимдеу.

8. Үшінші тұлғаларға беру (DPA, SCC).

9. Мониторинг, SIEM, алертинг, есептілік.

10. Инциденттер мен хабарламалар (72 сағатты қоса алғанда).

11. DR/BCP, бэкаптар және қалпына келтіру.

12. Мерзімді қайта қарау (жыл сайын/процестердің өзгеруі кезінде).

15) Енгізу чек-парағы (жылдам бастау)

  • Барлық логтар мен PII өріс көздерін түгендеңіз; SDK деңгейінде жасыруды қосыңыз.
  • Ретеншен матрицасын бекітіңіз және TTL/анонимдеуді автоматтандырыңыз.
  • Сыни журналдар мен хеш тұтастығын бақылау үшін WORM/immutability баптаңыз.
  • агенттер/коллекторлар үшін mTLS/TLS; at-rest шифрлау; KMS кілттері, ротация.
  • SIEM/UEBA, алерттар және плейбуктер; журналдарға қол жеткізу метажурналары.
  • Мінез-құлық мониторингі/антифрод үшін DPIA; LIA для legitimate interests.
  • барлық процессорлары/бұлттары бар DPA; трансшекаралық беру кезінде деректердің және SCC орналасуын тексеру.
  • Логтарды қалпына келтіру және бэкаптарда жою бойынша DR-жаттығулар; есеп беру.
  • Privacy Notice (логи/мерзім туралы бөлім) және субъектілердің сұрауларын өңдеудің ішкі рәсімдерін жаңартыңыз.

Түйіндеме

GDPR заңдылықты, ашықтықты, барынша азайтуды және шектелген мерзімді, ал ISO 27001 - жүйелілікті және дәлелденушілікті: саясатты, рөлді, техникалық бақылауды, өзгермейтіндікті және мониторингті талап етеді. Ретеншен матрицасын қалыптастырыңыз, бүркемелеуді және псевдонимдеуді енгізіңіз, көлікті/қоймаларды шифрлаңыз, WORM және SIEM қолданыңыз, DPA жасаңыз және DPIA дайындаңыз - осылайша журнал ізі қауіпсіздік пен аудит үшін пайдалы болып қалады, реттеуші және беделді тәуекелдер көзіне айналмайды.

× Ойын бойынша іздеу
Іздеуді бастау үшін кемінде 3 таңба енгізіңіз.