Խաղային կայքեր, որոնք հարգում են գաղտնիությունը

Ինտեգրման համատեքստը

Նյութը ներառում է «Ազարտային խաղերի կայքեր ավստրալացիների համար. Միայն հուսալի տարբերակները» և տալիս է ստուգված չափանիշներ ընտրելու համար, որտեղ օգտագործողի գաղտնիությունը պաշտպանվում է ոչ թե կարգախոսներով, այլ գործընթացներով և տեխնոլոգիաներով։

1) Ի՞ նչ է նշանակում «հարգել գաղտնիությունը», հակիրճ

Տվյալների նվազեցումը 'հավաքում են միայն անհրաժեշտ հաշիվ, վճարումներ և պատասխանատու խաղեր։ ավելցուկ ավելցուկ։

Թափանցիկությունը 'գաղտնիության հասկանալի քաղաքականությունը, որը նշանակված է կոնտակտային դեմքի (DPO/Privacy Coricer), վերջին նորարարության ամսաթիվը։

Օգտագործողի վերահսկումը 'իր տվյալների բեռնումը/բեռնումը, հաշիվը հեռացնելը, հաղորդակցությունների ճկուն պարամետրերը և թրքինգը։

Ապահով գործընթացներ 'ծածկագրում տարանցման/վրա, հասանելիության սահմանափակում, աուդիտ, պատահականության համար։

Լռելյայն = ոչ, գոյություն չունեցող կոոկին և երրորդ կողմի վերլուծությունը միայն ակնհայտ opt-in-ից հետո։

2) Ի՞ նչ անձնական տեղեկատվություն է թույլատրելի, իսկ ո՞ րն է անհանգստացնող ազդանշանը։

Ենթադրաբար (անհրաժեշտության դեպքում), ծննդյան անունը/ամսաթիվը, կապը (email/հեռախոսը), հասցեն (KYC-ի համար), հիբրիդային հոսանքը (ոչ PAN), անվտանգության լոգները (հաջողակ/անհաջող մուտքերը), լիմիտները։

Անհանգստացնող ազդանշան 'գեոդիզացված բարձր ճշգրտության հավաքումը, փաստաթղթերի պատճենները email/messengers-ի միջոցով, քարտեզի ամբողջական տվյալների պահպանումը, ավելցուկ փաստաթղթերի պահանջը («12 մեզ խմելը» առանց պատճառի), երրորդ կողմերի զանգվածային գովազդային թրեքինգը։

3) Մեծահասակների մասնագիտության տեխնիկական նշանները

Կոդավորումը ՝ TFC 1։ 3, HSTS, ճիշտ ռեդիրետներ, mixed entente բացակայությունը։ KUS/վճարումները կոդավորում են։

Բովանդակության քաղաքականությունը 'խիստ CSP, երրորդ կողմի կոդի մեկուսացումը, առնվազն արտաքին ջութակները, CNAME-ի արգելքը։

Վավերացում ՝ Passkeys (FIDO2/Intel Authn) + TOTP 2FA; SMS - որպես պահուստ։ Բիոմետրիան տեղական է (սարքի վրա)։

Նստաշրջանները և սարքերը 'մուտքերի ամսագիր (/սարք/IP նախածանց), «դուրս գալ բոլորին», վստահված սարքերի ցուցակը։

Cookie/վերլուծություն 'միայն ֆունկցիոնալ առանց համաձայնության։ վերլուծություն 'cookieless/samocost (ագրեգացիա, IP դիմակավորում)։

Global Privacy Corl-ը 'կայքը հարգում է GPC/Do Cort Track-ը և չի ներառում մարքեթինգային թեստեր ակտիվ ազդանշանում։

KYC-ի բեռնումը 'միայն կաբինետում պաշտպանված ապպլոադի միջոցով, բանաձևերի սահմանափակումներով և մետատվյալների աուտո խմբագրությամբ։

Աշխատողների հասանելիությունը ՝ RBAC/ABAC, ամենափոքր արտոնությունների սկզբունքը, բոլոր հասանելի են աուդիտի տակ և դիմումներով (break-glass միայն պատճառների ձայնագրությամբ)։

4) Քաղաքականություններ և գործընթացներ, որոնք պետք է լինեն կայքում

Գաղտնիության քաղաքականությունը 'ճշգրիտ նպատակներ և տվյալների կատեգորիաների պահպանման ժամկետներ։ իրավաբանական հիմքերը; հարցումների համար շփումներ։

Պահեստավորման ժամկետները 'ակնհայտ թվեր (օրինակ, KYC-ն' N տարի, հիբրիդային լոգները 'M ամիս), «ժամկետանց» տվյալների ինքնանունը։

Օգտագործողի իրավունքները 'տվյալների պատճենները, ուղղումը, վերամշակման սահմանափակումը, հաշիվի հեռացումը (հասկանալի բացառություններով)։

Մարքեթինգը 'առանձին վանդակներ email/SMS/2019; լռելյայն անջատված է։ Opt-out-ը 1 կլիկում է։

Միջադեպերը 'արտահոսքի ժամանակ օգտագործողների տեղափոխման և ծանուցման պլանը։ խոցելիության մասին հաղորդելու ջրանցքը (օրինակ։ txt/bug bounty).

Տվյալների միգրացիան և միգրացիան. Որտեղ ֆիզիկապես պահպանվում են տվյալները, որ հիմքերի վրա փոխանցվում են մատակարարներին։ Նշված կատեգորիաների ցանկը։

5) KYC/AML առանց ավելորդ բացահայտման

Աստիճանային հավատարմագրում 'նախ նվազագույն (ID + սելֆի), լրացուցիչ փաստաթղթերը միայն ռիսկի ազդանշաններով։

• Ստուգումներ առանց email 'ID ուղարկման արգելք փոստով։ բոլոր փաստաթղթերը պորտալի միջոցով են։
• Կրկնվող KYC 'հեռախոսը փոխելիս/2FA-ը հստակ ժամկետներ է, եզրակացությունների սահմանափակում մինչև հաստատումը, բայց առանց շաբաթվա հավասարակշռության «սառեցման»։
• Հեռացում: KYC պատճենները մաքրվում են ժամանակի ընթացքում։ աշխատողներին հասանելիությունը արխիվին միայն դիմումով է։

6) Վճարումներ և գաղտնիություն

• 3DS2 'ինտերֆեյսի վավերացումը, նվազագույնի հասցնելու ռիսկերը։
• Եզրակացություններ 'առանց փաստաթղթերի «ավելցուկ» հարցման, գործարքների պատմությունը տեսանելի է ձեզ համար, բայց չի օգտագործվում գովազդի համար։
• Մոսկվան և լիմիթները 'բացված T&C; «թաքնված» ֆեեի բացակայությունը կոշիկի նամակներում։

7) 15 րոպեանոց գաղտնիության աուդիտ (ինքնաքննություն դեպոզիտից առաջ)

1. Banner cookie 'առանց համաձայնության միայն հիմնական cookie; կա գրանիտային opt-in (վերլուծություն/մարքեթինգը առանձին)։

2. Ցանցը/ջութակները 'բացեք «Network» -ը։ > 10 կողմնակի 'անհանգստացնող։

3. Գաղտնիության քաղաքականությունը 'գտնել պահեստավորման ժամանակը, կապերը, նորարարության ամսաթիվը (ոչ թե «նախորդ տարի»)։

4. Հաշունտը կանխատեսում է անվտանգությունը 'Passkeys/2FA, մուտքերի ամսագիր, «դուրս գալ բոլոր սարքերից»։

5. KYC apload 'համոզվեք, որ բեռնումը ներկառուցված է։ տեսեք, արդյոք նախազգուշացնում են անընդունելի գործողությունների մասին (email)։

6. Հաղորդակցությունների իրականացումը 'հնարավորություն անջատել email/SMS/2019-ը 1-2 կլիկում, առանց «թաքնված» չեկբոքսի։

7. GPC: Միացրեք Global Privacy Corl-ը զննարկիչում, համոզվեք, որ կայքը հարգում է նրան (մարքեթինգի թեստերը չեն բեռնվում)։

8. Հարցը զրույցի մեջ է, հարցրեք հաշիվը հեռացնելու և կատեգորիաներում տվյալների ավելացման ժամկետները, գնահատեք նշանը։

8) Չեկ-թերթ «Հարգանք գործընկերներին»

• Գաղտնիության հստակ քաղաքականությունը ամսաթվի և կոնտակտների հետ, որոնք հասկանալի են պահպանման ժամկետները
• Cookie/trekers - միայն opt-in; GPC/DNT հարգում է
• Passkeys + TOTP 2FA; մուտքերի ամսագիր; «դուրս գալ բոլոր սարքերից»
• Պաշտպանված KYC-apload; փաստաթղթերի ուղարկման արգելք email/messengers
• Վճարումների տոկենիզացիա; PAN չի պահվում կայքում
• Օգտագործողի իրավունքները իրականացվում են 'բեռնումը, ուղղումը, հաշիվը հանելը
• Պլանը կատարվում է պատահականության և խոցելիության փորձարկման համար
• Թափանցիկ տվյալների փոխանցումը և պրովայդերների ցուցակը

9) Կարմիր դրոշները (առանց քննարկման)

• Մարքեթինգային բեռնումը մինչև համաձայնությունը,> 20 կողմնակի օրինագծեր տիպային էջում։
• Խնդրում ենք ուղարկել անձնագիր/բանկային քարտեզ email/մեսենջեր։
• Ոչ Passkeys/2FA, չկա մուտքերի ամսագիր և նստաշրջանների կառավարում։
• Չի նշվում պահեստավորման/վերամշակման հիմքերը. քաղաքականությունը չի թարմացվել տարիներ շարունակ։

Գովազդի զանգվածային հաղորդագրությունը առանց ակնհայտ համաձայնության։ պարզ opt-out.

Քաղաքականության տարբեր պատասխաններ և տեքստեր նույն հարցին։

10) Հարցեր, որոնք պետք է աջակցեն (պատրաստի ձևանմուշներ)

"Ո՞ րն է իմ KYC փաստաթղթերի օրինակների պահպանման ժամանակը։ Ո՞ վ է նրանց հասանելիությունը և ո՞ ր հիմքով"։

"Որտե՞ ղ ներառել Passkeys-ը և տեսնել մուտքերի պատմությունը։ Կարո՞ ղ եք դուրս գալ բոլոր սարքերից մեկ կոճակ"։

• "Ինչպե՞ ս պետք է խնդրեմ բոլոր տվյալները բեռնել և հեռացնել հաշիվը։ Կատարման ժամկետը"։
• "Արդյո՞ ք իմ տվյալները փոխանցվում են երրորդ կողմերին գովազդի համար։ Ինչպե՞ ս դա ամբողջովին անջատել"։

11) Հատուկ AU խաղացողների համար

Կայքը պետք է հաշվի առնի մասնագիտության տեղական սպասումները (համաձայնություն, թափանցիկություն, բողոքների հետ աշխատելը), հրապարակի հասկանալի կապի ալիքը գաղտնիության համար պատասխանատու։

Կարևոր է հասկանալ, թե որտեղ են պահպանվում տվյալները ՝ ստանդարտ-կենտրոններ, որոնք ունեն հասկանալի միգրացիա և հիբրիդային փոխանցման հիմքեր։

Պատասխանատու խաղի գործիքները (limits, tim-aut, ինքնաբուխ) պետք է աշխատեն առանց ավելցուկ տվյալների բացահայտելու երրորդ կողմի մարքեթինգային պրովայդերներին։

12) Mini-FAQ

• Ոչ։ Բանկերը պարտավոր են, երբ կա վերլուծություն/մարքեթինգ և այլ աննշան կոոկին։

• Կայքում հարգող գաղտնիության վրա, այո, ֆունկցիոնալը չպետք է կոտրվի։

Ինչու՞ է Passkeys-ը ավելի կարևոր, քան SMS-2FA-ը։

Passkeys-ը դիմացկուն է ֆիշինգին և կախված չէ հեռախոսի համարից (Sim-swap)։

13) Եզրակացություն

Գաղտնիությունը հարգող կայքը հավաքման նվազագույնի հասցնելն է, պահեստավորման թափանցիկ ժամկետները, օգտագործողի ձեռքերում վերահսկումը, փաստաթղթերի և վճարների խիստ անվտանգությունը և իրական ընտրությունը ճեղքման մեջ։ Անցեք 15 րոպեանոց աուդիտ և չեկի թուղթ ավելի բարձր, և դուք արագորեն առանձնացնում եք կայքերը իրական մասնավորությամբ նրանցից, ովքեր օգտագործում են այն որպես մարքեթինգային կարգախոսներ։