Blog Single

Pin Up texniki vasitələrdən istifadə edərək məlumatları necə qoruyur?

TLS 1.3 və müasir kriptoqrafiya nəqliyyat qatında məlumat təhlükəsizliyinin əsasını təşkil edir, hücum səthini azaldır və təhlükəsiz seans qurarkən gecikməni azaldır. TLS (Transport Layer Security) müştəri ilə server arasında ötürülən məlumatların məxfiliyini və bütövlüyünü təmin edən protokoldur; 1.3 versiyası əl sıxma müddətini tək gediş-dönüş üçün azaldır və köhnə şifrələri aradan qaldırır, ələ keçirməyə və təkrar ötürülməyə qarşı müqaviməti artırır. İnternet Mühəndisliyi İşçi Qrupu TLS 1.3-də Mükəmməl İrəli Məxfiliyin istifadəsini tapşırıb – bu mexanizm uzunmüddətli açarları pozmaqla keçmiş sessiyaları aşkar etməyən (IETF, RFC 8446, 2018). İstifadəçi üçün praktiki fayda ictimai şəbəkələrdə əlaqənin dinlənilməsi riskinin azaldılması və xüsusilə mobil cihazlarda sessiyanın daha sürətli başlamasıdır. Misal: kafedən hesaba daxil olarkən TLS 1.3 istifadə edərək təhlükəsiz seans qurulur və hətta təcavüzkar trafiki kopyalasa belə, birdəfəlik seans açarları olmadan şifrəni açmaq mümkün deyil (IETF, 2018).

İstirahət zamanı AES-256 və HSM vasitəsilə açarların idarə edilməsi ilə şifrələmə şəxsi qeydləri, ödəniş hadisələrini və KYC məlumatlarını infrastruktur səviyyəsində icazəsiz girişdən qoruyur. AES-256, Milli Standartlar və Texnologiya İnstitutu və PCI Təhlükəsizlik Standartları Şurası tərəfindən düzgün tətbiq edildikdə ödəniş və şəxsi məlumatların qorunması üçün kifayət kimi tanınan simmetrik şifrələmə alqoritmidir (NIST SP 800-38, 2017; PCI DSS v4.0, 2022). HSM (Təchizat Təhlükəsizliyi Modulu) kriptoqrafik açarları təhlükəsiz mühitdə yaradan və saxlayan, onların proqramlara və ya server yaddaşına yüklənməsinin qarşısını alan aparat moduludur. İstifadəçinin faydası hətta fərdi qovşaq pozulsa belə, nəticələr riskini azaldır: məlumatlar şifrələnmiş qalır, açarlar əlçatmazdır və giriş jurnalı hər əməliyyatı qeyd edir. Nümunə: KYC sənəd snapshotları açarın fırlanması ilə şifrlənmiş yaddaşda saxlanılır və şifrənin açılması yalnız ISO/IEC 27001 Əlavə A nəzarətlərinə və PCI DSS tələblərinə (ISO/IEC 27001:2013/2022; PCI02, PCI02.02) uyğun gələn ciddi şəkildə tənzimlənən proses vasitəsilə mümkündür.

Uyğunluğa nəzarət və kriptoqrafik gigiyena köhnəlmiş cihazlar və zəif şifrə dəstləri ilə əlaqəli zəifliklərin qarşısını alır. Köhnə brauzerlər TLS 1.3 və ya müasir elliptik əyri dəstləri dəstəkləməyə bilər, bu da reytinqin aşağı salınması və ya əlaqənin rədd edilməsi riskini artırır. Mozilla Təhlükəsizlik Məsləhəti (Server Side TLS, 2022–2024 yeniləmələri) etibarsız şifrə paketlərini (RC4, 3DES) söndürməyi və PFS prioriteti ilə müasir AEAD paketlərindən (AES-GCM, CHACHA20-POLY1305) istifadə etməyə məcbur etməyi tövsiyə edir. İstifadəçi üçün fayda proqnozlaşdırıla bilən, möhkəm əlaqə davranışı və cihaz minimum tələblərə cavab vermədikdə aydın təkmilləşdirmə mesajlarıdır. Nümunə: köhnəlmiş brauzeri olan köhnə Android cihazında əlaqə təhlükəsiz giriş üçün TLS 1.3 və ya dəstəklənən şifrə dəstinin tələb olunduğunu izah edərək təkmilləşdirmə tələb edir; Bu, etibarsız endirmə ehtimalını azaldır (Mozilla Server Side TLS Təlimatları, 2024).

Təhlükəsiz kanalların davamlı monitorinqi və hadisələrin qeydi real vaxtda müdaxilə cəhdlərini müəyyən etməyə və qarşısını almağa kömək edir. SIEM (Təhlükəsizlik Məlumatı və Hadisələrin İdarə Edilməsi) hadisələri – autentifikasiya, girişdən imtina, anomal əlaqələri birləşdirir və potensial insidentlər haqqında xəbərdarlıqlar yaradır; SOAR (Təhlükəsizlik Orkestrasiyası, Avtomatlaşdırma və Cavab) oyun kitabçasına əsaslanan cavabları avtomatlaşdırır: bloklamaq, yenidən doğrulama tələb etmək və sessiyanı riskli kimi qeyd etmək. NIST Kibertəhlükəsizlik Çərçivəsi əsas əməliyyat modeli kimi Müəyyən Et-Qorun-Aşkar-Cavab Ver-Bərpa dövrünü dəstəkləyir (NIST CSF, 2018/2023). İstifadəçinin faydası əlavə hərəkət etmədən hesabı qoruyan vaxtında göstərişlər və bloklamadır. Nümunə: Müxtəlif geolokasiyalardan anormal sayda sorğu olduqda, sistem sessiyanı qeyd edir, XİN tələb edir və təsdiqlənərsə, hesabın ələ keçirilməsinin qarşısını alaraq əməliyyatı davam etdirir (NIST CSF, 2018/2023).

İstifadəçi üçün TLS 1.3 və TLS 1.2 arasındakı fərq nədir?

TLS 1.3 köhnə mexanizmlərlə uyğunluğu saxlayan TLS 1.2-dən fərqli olaraq əlaqə yaratmaq üçün tələb olunan addımların sayını azaldır və zəif şifrələri aradan qaldırır. Əsas fərq məcburi Mükəmməl İrəli Məxfilik və sadələşdirilmiş əl sıxmadır ki, bu da gecikməni və reytinqin aşağı salınma riskini azaldır. IETF (RFC 8446, 2018) statik RSA mübadilələrinin çıxarılmasını və yalnız trafikin bütövlüyünə qarşı hücumlara davamlı olan müasir AEAD şifrələrinin (AES-GCM, CHACHA20-POLY1305) dəstəyini müəyyən edir. İstifadəçi üstünlüklərinə veb-saytlara daha sürətli təhlükəsiz giriş və ictimai şəbəkələrdə seans açarının tutulması riskinin aşağı olması daxildir. Məsələn, pik saatlarda mobil şəbəkədə TLS 1.3 əlaqələri daha sürətli qurur və zəif şifrələrlə əlaqələr kəsilmir, avtorizasiya sabitliyini yaxşılaşdırır (IETF, 2018).

TLS 1.3, həmçinin təkrar ötürmə riskinə görə məhdudiyyətlərlə olsa da, yenidən qoşulmalarda sessiyanın daha sürətli bərpası üçün Sıfır Gedişin Bərpasını (0-RTT) dəstəkləyir. İstifadəçi üçün bu, tam əl sıxma olmadan tətbiqi açarkən və ya nişanları dəyişdirərkən daha sürətli yenidən daxil olmaq deməkdir. Praktiki fayda, tablosunda və ya kassada səhifələr arasında naviqasiya kimi ümumi hərəkətlər zamanı gecikmənin azaldılmasıdır. Məsələn, əmanətin statusunu yoxlamaq üçün kassaya yenidən daxil olarkən, gecikməni azaldan və şəbəkə sorğularının sayını azaldan sessiyanın bərpasından istifadə edilir (IETF, 2018; Mozilla TLS Rəhbərliyi, 2024).

Şəxsi məlumatlar necə saxlanılır və şifrələnir?

Şəxsi məlumatlar və ödəniş qeydləri AES-256 istifadə edərək şifrələnmiş şəkildə saxlanılır və NIST tövsiyələrinə və PCI DSS tələblərinə uyğun gələn HSM vasitəsilə idarə olunur. Açar HSM-də yaradılarsa və müntəzəm olaraq fırlanırsa, AES-256 yüksək səviyyəli təhlükəsizlik təmin edir və giriş ciddi rollar və əsas istifadə auditi vasitəsilə idarə olunur (NIST SP 800-57/800-38, 2017-2020). İstifadəçinin faydası hətta infrastrukturun bir hissəsi təhlükə altına düşsə belə, sızma riskinin azaldılmasıdır: əsas və kontekstual giriş siyasətləri olmadan məlumatlar əlçatmaz olaraq qalır. Məsələn, KYC sənədlərinin fotoşəkilləri şifrələnir və şifrənin açılması yalnız qanuni əsası və ikili girişə nəzarəti olan xidmət vasitəsilə mümkündür (NIST, 2017–2020; PCI DSS v4.0, 2022).

ISO/IEC 27001 və 27701 məlumat ehtiyatının, saxlanma müddətlərinin və şifrələnmiş yaddaşa çıxışın idarə edilməsi üçün proses çərçivəsini təşkil edir. ISO/IEC 27001 (ISMS, 2013/2022) Əlavə A nəzarət tədbirlərini müəyyən edir: girişə nəzarət, kriptoqrafiya, giriş; ISO/IEC 27701 (PIMS, 2019/2021) məxfilik tələblərini əlavə edir: minimuma endirmə, emal məqsədləri, saxlama müddəti və subyekt hüquqları. İstifadəçinin faydası: məlumatların əsaslandırılmadan kopyalanmasının qarşısını alan proqnozlaşdırıla bilən qaydalar və KYC saxlama müddəti, məsələn, AML tələbləri çərçivəsində tənzimlənir. Misal: yoxlama qeydləri qanunla müəyyən edilmiş müddət ərzində saxlanılır, bundan sonra nəzarət və auditlə silinmə/arxivləşdirmə prosesi başlayır (ISO/IEC 27001:2022; ISO/IEC 27701:2019/2021).

Məlumatlarıma kimin girişi var və bu necə təsdiqlənir?

RBAC (Rola Əsaslı Giriş Nəzarəti) və ABAC (Atribut Əsaslı Giriş Nəzarəti) təşkilat daxilində kimin rol və kontekstli atributlar əsasında məlumatlara baxa və emal edə biləcəyini müəyyən edir. RBAC əvvəlcədən təyin edilmiş rollara (məsələn, KYC operatoru, anti-fırıldaqçı analitik) əsaslanan icazələr təyin edir, ABAC isə giriş icazəsi verməzdən əvvəl şərtləri – vaxt, coğrafi yerləşdirmə, tapşırıq statusu, risk səviyyəsini tətbiq edir. ISO/IEC 27001 Əlavə A ən az imtiyaz və müntəzəm nəzərdən keçirmə prinsipini tələb edir, GDPR isə “bilməli” girişi tələb edir – yalnız qanuni emal məqsədi üçün lazım olduqda giriş (GDPR, 2016/2018). İstifadəçi üçün fayda audit edilə bilən, sənədləşdirilmiş giriş nəzarətidir, burada “geniş” icazələr azaldılır və hər bir əməliyyat qeyd olunur. Nümunə: fırıldaqçılıqla mübarizə işçisi yalnız tranzaksiya metadatasını və risk siqnallarını görür, fərdi məlumatların tam dəsti isə yalnız formal əsasda mövcuddur (ISO/IEC 27001:2022; GDPR, 2016/2018).

Daimi giriş yoxlamaları və log auditləri gizli risklər yaradan yetim hesabların və köhnəlmiş rolların yığılmasının qarşısını alır. Bu prosesə rolların cari öhdəliklərə uyğunluğunun yoxlanılması, istifadə olunmamış hesabların deaktiv edilməsi və nəzarət funksiyası (məsələn, DPO və ya informasiya təhlükəsizliyi xidməti) vasitəsilə yüksəldilmiş imtiyazların təsdiqlənməsi daxildir. NIST SP 800-53 (rev. 5, 2020) hərəkətlərin qeydə alınması və auditi üçün Girişə Nəzarət (AC) və Audit və Hesabatlılıq (AU) nəzarət siniflərini təsvir edir. İstifadəçinin faydası məlumatlara icazəsiz daxil olma ehtimalının azaldılması və hadisənin araşdırılması zamanı hadisələr zəncirinin yenidən qurulması imkanıdır. Məsələn, KYC materiallarına təkmil giriş tələb edərkən, jurnal girişi avtomatik olaraq yaradılır, ikitərəfli təsdiqləmə həyata keçirilir və tapşırığın tamamlanmasından sonra giriş ləğv edilir (NIST SP 800-53, 2020).

RBAC və ya ABAC – Girişə nəzarət üçün hansı daha yaxşıdır?

RBAC standart proseslər üçün daha sadə və proqnozlaşdırıla biləndir, ABAC isə fırıldaqçılıq əleyhinə araşdırmalar kimi mürəkkəb ssenarilərdə çeviklik və kontekstual dəqiqliyi təmin edir. Əsas meyar tapşırıqların miqyası və müxtəlifliyidir: əgər rollar sabitdirsə və istisnalar azdırsa, RBAC şəffaflığı təmin edir; bir neçə şərt (vaxt, yoxlama statusu, risk səviyyəsi) varsa, ABAC atributlar vasitəsilə giriş əlavə xərclərini azaldır. ISO/IEC 27001 Əlavə A birləşmiş yanaşmaya imkan verir: RBAC vasitəsilə əsas hüquqlar və ABAC siyasətləri və təsdiqləri vasitəsilə genişləndirmələr. İstifadəçinin faydası “geniş” hüquqların minimuma endirilməsi və şəxsi məlumatlara lazımsız baxma ehtimalının azaldılmasıdır. Məsələn, operator yalnız KYC statuslarını və metaməlumatları görür, sənəd şəkillərinə giriş isə atributlardan istifadə etməklə verilir – açıq yoxlama zamanı, səbəb və vaxt pəncərəsi (ISO/IEC 27001:2022).

ABAC-ın mürəkkəbliyi yetkin proseslər tələb edir: atributların düzgün təsviri, həqiqət mənbələri və avtomatlaşdırılmış toqquşma yoxlamaları. NIST SP 800-162 (2014) ABAC arxitekturasını təfərrüatlandırır və qeyri-müəyyənliklərin qarşısını almaq üçün vahid atribut lüğətini tövsiyə edir. İstifadəçi faydası məlumat subyekti üçün şəffaflığı artıran və auditi asanlaşdıran “kim, nə vaxt və niyə” girişinin dəqiq, sənədləşdirilmiş məntiqidir. Məsələn, əməliyyat tarixçəsinə giriş yalnız aktiv sessiyası olan işçiyə, iş saatları ərzində, səlahiyyətli şəbəkə seqmentindən və istintaq sistemində müvafiq hal olduqda; başqa yerdən edilən cəhd avtomatik olaraq rədd edilir (NIST SP 800-162, 2014).

İki faktorlu autentifikasiyanı necə qurmaq olar?

MFA/2FA (çox faktorlu autentifikasiya) parol oğurlandıqda hesabın ələ keçirilməsi riskini azaltmaq üçün ikinci müstəqil amil əlavə edir – SMS kodu, TOTP proqramı və ya təkan təsdiqi. OAuth2/OIDC token ömrünü, yeniləmə prosedurlarını və etibarlı cihazları müəyyən edən sessiya və şəxsiyyət idarəetmə standartlarıdır. PSD2 ödəniş əməliyyatları üçün Güclü Müştəri Doğrulamasını təqdim etdi ki, bu da istehlakçı xidmətlərinə təsir göstərir: həssas hərəkətlər üçün əlavə amil tələb olunur (PSD2, 2018; OpenID Foundation, 2019–2022). İstifadəçinin faydası hücum üçün əlavə maneə və itirilmiş telefon halında proqnozlaşdırıla bilən bərpa prosesidir. Məsələn, yeni cihazdan daxil olmağa cəhd edərkən, sistem proqramdan TOTP tələb edir və pul çıxararkən əlavə təkan təsdiqi tələb edir.

Konfiqurasiya təcrübələrinə hücuma davamlı faktorun (TOTP və ya təkan) seçilməsi, ehtiyat kodların saxlanması və etibarlı kanal vasitəsilə əlaqəli cihazın yoxlanılması daxildir. Milli təlimatlar çatdırılma kanallarına hücum riskini qəbul edir və tək faktorlu autentifikasiya sxemlərini ləğv etməklə davamlılığın artırılmasını tövsiyə edir (NIST SP 800-63B, 2017/2020). İstifadəçinin faydası hətta cihaz itirilsə belə hesaba girişin proqnozlaşdırıla bilən olmasıdır: ehtiyat kodlar əlavə şəxsiyyət yoxlaması ilə daxil olmağa imkan verir və dəstək xidməti təsdiq protokoluna uyğun işləyir. Nümunə: istifadəçi telefonunu itirir, ehtiyat kodu daxil edir, şəxsiyyət yoxlamasını tamamlayır və kilidlənmə riski olmadan 2FA keçidini yeni cihaza dəyişir (NIST SP 800-63B, 2017/2020).

Pin Up tam olaraq nəyi toplayır və onu nə qədər müddətə saxlayır?

Pin Up https://pinup-az4.com/ Azerbaijan-da məlumatların toplanması və saxlanması ISO/IEC 27001 və 27701 beynəlxalq standartları, həmçinin GDPR və məlumatların qorunması üzrə yerli qanunvericiliyin tələbləri ilə tənzimlənir. Şəxsiyyəti müəyyən edən məlumat (PII) ad, doğum tarixi, əlaqə məlumatları və KYC təsdiq sənədlərini ehtiva edir; ödəniş məlumatları (kartlar, elektron pul kisəsi), cihaz qeydləri və sessiya metadataları da qeyd olunur. ISO/IEC 27701 məlumatların minimuma endirilməsini və emal məqsədlərinin dəqiq müəyyən edilməsini tələb edir, GDPR isə qanunauyğunluq, şəffaflıq və məhdud saxlama müddətləri prinsiplərini təsbit edir (ISO/IEC 27701:2019/2021; GDPR, 2016/2018). İstifadəçilər məlumatların “ehtiyatda” toplanmadığını, yalnız qeydiyyat, yoxlama və əməliyyatlar üçün istifadə edildiyini başa düşürlər. Məsələn, KYC-ni doldurarkən, yalnız lazımi sənədlər yüklənir və foto yoxlama tamamlanana və tənzimləmə müddəti yerinə yetirilənə qədər şifrələnmiş formada saxlanılır.

Saxlama müddətləri məlumat kateqoriyasından və normativ tələblərdən asılıdır. AML qaydaları tələb edir ki, KYC və əməliyyat qeydləri müştəri münasibətləri bitdikdən sonra ən azı beş il saxlanılsın (FATF Tövsiyələri, 2020–2023). GDPR yalnız vergi və ya maliyyə öhdəlikləri kimi qanuni əsas olduqda uzadılmasına icazə verir və ISO/IEC 27001 artıqlığın qarşısını almaq üçün silinmə və arxivləşdirmə prosesinə nəzarət edir. İstifadəçinin faydası proqnozlaşdırıla bilir: məlumatlar sistemdə qeyri-müəyyən müddətə saxlanılmır, lakin istifadə müddəti bitdikdən sonra silinir və ya anonimləşdirilir. Məsələn, terminal əməliyyat qeydləri beş il ərzində saxlanılır, bundan sonra onlar arxivləşdirilir və əməliyyat istifadəsi üçün artıq mövcud deyildir (FATF, 2020–2023; ISO/IEC 27001:2022).

Pin Up-ın ISO 27001/27701 sertifikatları varmı?

ISO/IEC 27001 informasiya təhlükəsizliyi idarəetmə sisteminin (ISMS), ISO/IEC 27701 isə məxfilik idarəetmə sisteminin (PIMS) mövcudluğunu təsdiq edir. Bu sertifikatlar müstəqil auditorlar tərəfindən verilir və beynəlxalq tələblərə uyğunluğunu təsdiqləyir. ISO/IEC 27001 risklərin idarə edilməsi, kriptoqrafiya, giriş və insidentlərin idarə edilməsini əhatə edir; ISO/IEC 27701 məxfiliyi əlavə edir: emal məqsədləri, minimuma endirmə, məlumat subyektinin hüquqları və saxlama müddətləri (ISO/IEC 27001:2013/2022; ISO/IEC 27701:2019/2021). İstifadəçinin faydası proseslərin kənardan yoxlanıldığına və ən yaxşı təcrübələrə uyğun olduğuna əminlikdir. Məsələn, ISO 27701 o deməkdir ki, emal məqsədləri və saxlama müddətləri sənədləşdirilir və istifadəçi müəyyən edilmiş prosedurlara uyğun olaraq məlumatların silinməsini tələb edə bilər.

Tarixən ISO/IEC 27001 2005-ci ildə təqdim edilmiş və yeni təhdidləri və təcrübələri əks etdirmək üçün 2013 və 2022-ci illərdə yenilənmişdir; ISO/IEC 27701 məxfilik üçün əlavə olaraq 2019-cu ildə qəbul edilmişdir. Bu inkişaf standartların bulud xidmətləri və transsərhəd məlumat ötürülməsi risklərinə uyğunlaşmasını nümayiş etdirir. İstifadəçilər sertifikatlaşdırmanın cari təhdidlərə və təchizat zənciri təcrübələrinə cavab verdiyinə dair əminlikdən faydalanırlar. Məsələn, ISO/IEC 27001:2022 yeniləməsi iGaming platformaları üçün uyğun olan bulud xidməti və təchizatçıların idarə edilməsi üçün nəzarətləri əlavə etdi (ISO/IEC 27001:2022; ISO/IEC 27701:2019).

Məxfilik siyasəti nə qədər tez-tez yenilənir?

Məxfilik siyasətləri hər il və ya tənzimləyici tələblər və texnologiyalar dəyişdikdə onların müvafiq qalmasını təmin etmək üçün nəzərdən keçirilir. GDPR istifadəçilər üçün məlumatın şəffaflığını və başa düşülməsini tələb edir, o cümlədən emal məqsədləri, məlumat kateqoriyaları və məlumat subyekti hüquqları (GDPR, 2016/2018). ISO/IEC 27701 sənədləri mütəmadi olaraq yeniləmək və dəyişiklikləri bildirmək ehtiyacını müəyyən edir. İstifadəçilər hansı məlumatların toplandığı və onlardan necə istifadə edildiyi barədə ən son məlumatlara çıxış əldə etməkdən faydalanırlar. Məsələn, biometrik autentifikasiya həyata keçirildikdə siyasət yenilənir və interfeysdə dərc olunur ki, istifadəçi əlavə edilmiş məlumat kateqoriyalarını görə bilsin.

Yeniləmə təcrübələri həmçinin infrastruktur və təchizatçılardakı dəyişikliklərlə əlaqələndirilir. Yeni KYC provayderi qoşulubsa və ya giriş başqa məlumat mərkəzinə köçürülübsə, siyasət yenilənməlidir və istifadəçilərə bildirişlər göndərilməlidir. Məsləhətçi araşdırmalar şəffaf yeniləmələr və satıcılar və məlumat yerlərinin təsvirləri ilə şikayətlərin azaldığını sənədləşdirmişdir (Deloitte, 2022). İstifadəçi üstünlüklərinə məlumatların kimə və hara ötürülməsinə nəzarət etmək imkanı daxildir. Məsələn, giriş alt prosessoru dəyişdikdə, istifadəçilər yerləşdiyi ölkəni və sertifikatları göstərən bildiriş və yenilənmiş siyasət alırlar (ISO/IEC 27036:2021; Deloitte, 2022).

Mən niyə yoxlanılıram və qərarın səbəbini harada görə bilərəm?

Müştərinizi tanıyın (KYC) və Çirkli Pulların Yuyulmasına Qarşı Mübarizə (AML) yoxlamaları beynəlxalq FATF standartlarına və yerli qanunlara uyğun olmaq üçün qeydiyyat, əməliyyatlar və davranış anomaliyaları zamanı işə salınır. FATF Tövsiyələri çirkli pulların yuyulması və terrorizmin maliyyələşdirilməsinin qarşısını almaq üçün məcburi şəxsiyyət və maliyyə mənbələrinin yoxlanılmasını müəyyən edir (FATF, 2020–2023). İstifadəçi üçün bu o deməkdir ki, yoxlama “isteğe bağlı” deyil, normativ tələblərə uyğun aparılır. İstifadəçi fırıldaqçılıqdan qorunma və proqnozlaşdırıla bilən bir prosesdən faydalanır: bloklama baş verərsə, onu həll etmək üçün həmişə səbəb və fürsət var. Məsələn, müxtəlif kartlardan depozitlər tez-tez edilirsə, sistem AML yoxlamasını işə salır və vəsaitin mənbəyinin təsdiqini tələb edir.

XAI (İzah edilə bilən AI) fırıldaqçılıq əleyhinə sistem və KYC mühərrikinin qərarlarını izah etmək üçün istifadə olunur ki, istifadəçi nəticəyə təsir edən amilləri başa düşsün. EGBA etibarı artırmaq və şikayətləri azaltmaq üçün izahlılığın tətbiqini tövsiyə edir (EGBA, 2021). İnterfeys səbəbi göstərir: sürət (çox tez-tez edilən əməliyyatlar), cihazın barmaq izi (yeni cihaz), geolokasiya (qeyri-adi bölgə) və blokdan çıxarmaq üçün tələb olunan sənədlərin siyahısı. İstifadəçinin faydası aydın prosesdir və problemi tez həll etmək imkanıdır. Misal: KYC sorğusu rədd edildikdə, sistem “Sənəd rədd edildi: aşağı görüntü keyfiyyəti” xəbər verir. Oyunçu zəif işıqlandırmada foto yükləyir və yoxlama uğurludur.

Avtomatik KYC və ya əllə yoxlama – hansı daha etibarlıdır?

Avtomatlaşdırılmış yoxlama daha sürətli və daha miqyaslı olur, əl ilə yoxlama isə mürəkkəb hallarda dəqiqliyi təmin edir; yetkin təcrübə hibriddir. Auto-KYC sənədin tanınması və biometrikadan istifadə edərək prosesi bir neçə dəqiqə ərzində tamamlamağa imkan verir; əllə yoxlama insan müdaxiləsini tələb edir və saatlar və ya günlər çəkir. Tədqiqat mübahisəli hallarda insan nəzarətinin tələb olunduğuna dair xəbərdarlıqla (PwC, 2022; Deloitte, 2022). İstifadəçinin faydası sürət və etibarlılıq balansındadır: sadə yoxlamalar dərhal tamamlanır, mürəkkəb yoxlamalar isə insan müdaxiləsini tələb edir. Misal: tələbə pasportu yükləyir – avtomatik KYC onu 5 dəqiqə ərzində təsdiqləyir; doğum tarixi uyğun gəlmirsə, insan operatoru çağırılır və 24 saat ərzində yoxlamanı tamamlayır.

Tarixən, KYC prosesləri tam mexaniki prosesdən avtomatlaşdırılmış, sonra isə əməliyyatın risk profilini və kontekstini nəzərə alan hibrid modellərə çevrilmişdir. Bu təkamül qərarların sürətini və aydınlığını qoruyarkən səhvləri və şikayətləri azaldır (Deloitte, 2022). İstifadəçinin faydası proqnozlaşdırıla bilir: sadə işlər tez həll edilir, mürəkkəb olanlar isə sənədləşdirilmiş izahatlarla səmərəli şəkildə həll edilir. Məsələn, sorğu anketi məlumatları ilə sənəd arasında uyğunsuzluq varsa, iş əl ilə baxılmaq üçün ötürülür və istifadəçi çatışmayan materialların siyahısı və son tarix olan bildiriş alır (Qumar Oyunlarına Uyğunluq, 2023).

Doğrulamadan sonra blok nə qədər tez silinir?

Blokdan çıxarmaq üçün tələb olunan vaxt yoxlamanın növündən və sənədlərin tamlığından asılıdır. Sənaye müşahidələri orta hesabla 24-72 saatlıq KYC/AML yoxlama pəncərəsini göstərir (Qumar Uyğunluğu, 2023). Sənədlər düzgündürsə və vəsaitin mənbəyi təsdiqlənərsə, blok avtomatik olaraq blokdan çıxarılır; əlavə suallar yaranarsa, müddət xəbərdarlıq edilməklə uzadıla bilər. İstifadəçi vaxt çərçivəsini və qabaqcadan planlaşdırma qabiliyyətini başa düşməkdən faydalanır, xüsusən də vəsait çıxararkən. Nümunə: tez-tez depozitlərə görə pulun çıxarılması dondurulduqda, istifadəçi bank çıxarışını yüklədi və 36 saat sonra pulun çıxarılması blokdan çıxarıldı.

Səhvlər ən çox sənəd keyfiyyəti və ya məlumat uyğunsuzluğu ilə bağlıdır. Peşəkar assosiasiyalar qeyd edirlər ki, imtinaların əhəmiyyətli bir hissəsi aydın olmayan fotoşəkillər və ya çatışmayan sənədlərlə bağlıdır; aydın tələblər təkrar rəddləri azaldır (EGBA, 2021). İstifadəçinin üstünlüyü materialları əvvəlcədən hazırlamaq və gecikmələrdən qaçmaq imkanıdır. Məsələn, parıltı ilə pasport yükləyərkən, sistem fotoşəkili rədd edir; gündüz işığı və düz fon ilə ikinci cəhd uğurludur.

Pin Up hadisələr haqqında necə xəbərdar edir və məlumatları kimə paylaşır?

Hadisələrin idarə edilməsi ISO/IEC 27001 Əlavə A və NIST Kibertəhlükəsizlik Çərçivəsinin prinsiplərinə əsaslanır, burada aşkarlama, cavablandırma və bərpa əsas mərhələlərdir. SIEM müxtəlif sistemlərdən hadisələri birləşdirir – girişlər, əməliyyatlar, giriş cəhdləri – və potensial insidentlər haqqında xəbərdarlıqlar yaradır; SOAR cavabı avtomatlaşdırır: şübhəli seansları bloklamaq, istifadəçiləri xəbərdar etmək və araşdırma kitablarını işə salmaq (NIST CSF, 2018/2023). İstifadəçinin üstünlüklərinə vaxtında bildiriş və gizli sızma riskinin azaldılması daxildir. Məsələn, bir neçə geolokasiyadan aktivlik aşkar edildikdə, sistem avtomatik olaraq sessiyanı bloklayır və idarə panelinə və e-poçta bildirişlər göndərir.

Bildiriş müddətləri GDPR-nin 33-cü maddəsi ilə tənzimlənir ki, bu da nəzarət orqanlarının 72 saat ərzində məlumatlandırılmasını və istifadəçilərin lazımsız gecikmə olmadan məlumatlandırılmasını tələb edir (GDPR, 2016/2018). ISO/IEC 27001:2022 insident sənədlərini və səbəb və nəticələrin hesabatını tələb edir. Məsləhətçi təcrübələri qeyd edir ki, şəffaf bildirişlər şikayətləri azaldır və platformaya inamı artırır (Deloitte, 2022). İstifadəçinin faydası proqnozlaşdırıla bilir: məlumatların pozulması halında istifadəçilər hadisəni, onun nəticələrini və tövsiyə olunan hərəkətləri təsvir edən bildiriş alırlar. Məsələn, bir alt prosessor təhlükə altına düşərsə, istifadəçilər “Məlumatlarınız təsirlənmiş ola bilər. Parolunuzu dəyişdirməyi və 2FA-nı aktivləşdirməyi tövsiyə edirik” mesajı alır.

Məlumatların pozulmasını necə bildirirsiniz?

Məlumatların pozulması bildirişləri bir çox kanallar vasitəsilə göndərilir: e-poçt, şəxsi hesab və lazım olduqda push bildirişləri. GDPR hadisənin təsvirini, təsirə məruz qalan məlumatların kateqoriyasını və istifadəçi tövsiyələrini daxil etmək üçün bildirişləri tələb edir, ISO/IEC 27701 isə tarix/vaxtın qeyd edilməsini və rabitə jurnalının saxlanmasını tələb edir (GDPR, 2016/2018; ISO/IEC 27701:2019/2021). İstifadəçinin faydası tam məlumat əldə etmək və hərəkət etmək bacarığıdır. Məsələn, giriş jurnalı sızdırılıbsa, istifadəçilər hadisəni təsvir edən e-poçt və təkrar pozuntu riskini azaldan “Parolun dəyişdirilməsi tövsiyə olunur” bildirişi alırlar.

Təcrübə həmçinin bildiriş SLA daxildir; 24 saata qədər SLA-ya malik şirkətlər zərəri azaldır və etibarı artırır (PwC, 2022). Təhlükəsizlik siyasəti istifadəçilərin hadisənin təsdiqlənməsindən sonra 24 saat ərzində xəbərdar edilməsini nəzərdə tutur. İstifadəçi məlumatın gizlədilməyəcəyinə və vaxtında təqdim olunduğuna əmin olmaqdan faydalanır. Məsələn, KYC foto sızmasından şübhələnirsinizsə, 12 saat ərzində hesab fəaliyyətini yoxlamaq tövsiyəsi ilə bildiriş göndərilir (PwC, 2022).

Serverlər və alt prosessorlar harada yerləşir?

Serverlər beynəlxalq təhlükəsizlik tələblərinə uyğunluğu təsdiqləyən ISO/IEC 27001 və PCI DSS sertifikatlı məlumat mərkəzlərində yerləşdirilir. Məlumatların lokallaşdırılması GDPR transsərhəd ötürülməsi tələblərini nəzərə alır: məlumatlar standart müqavilə müddəalarının (SCC) və ya Beynəlxalq Məlumat Ötürmə Müqaviləsi (IDTA) (GDPR, 2016/2018) mövcud olması şərti ilə Aİ və ya digər yurisdiksiyalarda saxlanıla bilər. Təchizatçı və alt prosessor risklərinin idarə edilməsi təhlükəsizlik və məxfiliyə nəzarətin qiymətləndirilməsi daxil olmaqla, ISO/IEC 27036:2013/2021 ilə tənzimlənir. İstifadəçilər məlumatlarının fiziki yerini və onu qorumaq üçün görülən tədbirləri başa düşməkdən faydalanırlar. Məsələn, məxfilik siyasətində alt prosessorların siyahısı, o cümlədən KYC təchizatçıları və ödəniş şlüzləri, ölkə və sertifikatlaşdırma məlumatları (ISO/IEC 27036:2021) dərc olunur.

Satıcı riskləri DPIA (Məlumatların Qorunmasına Təsirin Qiymətləndirilməsi) və məlumatların qorunması müqavilələri (DPA) vasitəsilə idarə olunur. GDPR tələb edir ki, ötürmə məqsədləri, məlumat kateqoriyaları və qorunma tədbirləri qeyd olunsun və alt prosessor dəyişdikdə siyasət yenilənsin və istifadəçilərə məlumat verilsin. Məsləhətçi araşdırmalar göstərir ki, subprosessorların siyahısının şəffaflığı şikayətləri azaldır və etibarı artırır (Deloitte, 2022). İstifadəçilər məlumatların dəqiq kimə ötürüldüyünü və hansı zəmanətlərin verildiyini yoxlamaq imkanından faydalanırlar. Məsələn, yeni KYC satıcısı qoşulduqda istifadəçilər bildiriş və yeni alt prosessoru və onun sertifikatlarını göstərən yenilənmiş siyasət alırlar.

Məlumatlarımı necə idarə edə bilərəm?

Məlumat subyektlərinin hüquqları GDPR (12-23-cü maddələr) və ISO/IEC 27701-də, o cümlədən giriş, düzəliş, silinmə, emalın məhdudlaşdırılması və daşınma (GDPR, 2016/2018; ISO/IEC 27701:2019/2021) ilə təsbit edilmişdir. İstifadəçilər məlumatlarının surətini tələb edə, səhvləri düzəldə və ya məlumatların saxlanması üçün hüquqi əsas olmadıqda onu silə bilərlər; bu proses sənədləşdirilməli və yoxlanılmalıdır. İstifadəçilər öz məlumatlarına nəzarətdən və sorğuların qanunla müəyyən edilmiş müddətlərdə yerinə yetirildiyinə inamdan faydalanırlar. Misal: istifadəçi hesabın silinməsi sorğusu göndərir və məlumatlar 30 gün ərzində silinir və ya anonimləşdirilir; saxlanması üçün hüquqi əsas varsa, istifadəçi izahat və qanuna keçid alır.

Məlumatların silinməsi sorğusunu necə təqdim edə bilərəm?

Məlumatların silinməsi sorğusu şəxsi hesab və ya e-poçt vasitəsilə təqdim edilir, sui-istifadənin qarşısını almaq üçün şəxsiyyətin təsdiqi tələb olunur. GDPR prosesin sadə və əlçatan olmasını tələb edir və ISO/IEC 27701 sorğu tarixinin, cavabın və görülən tədbirlərin qeyd olunmasını tələb edir (GDPR, 2016/2018; ISO/IEC 27701:2019/2021). İstifadəçi məlumatlarına nəzarət etmək və sorğu əsasında silinəcəyinə əmin olmaq imkanından faydalanır. Nümunə: istifadəçi “Məxfilik” bölməsinə keçir, “Məlumatları Sil”i seçir, şəxsiyyətini yoxlayır və fəaliyyət jurnalı ilə birlikdə tamamlanma bildirişini alır.

Təcrübə şəxsiyyətin yoxlanılması üçün sənədlərin siyahısı daxildir: pasport, təsdiqlənmiş e-poçt ünvanı və telefon nömrəsi. Dəqiq yoxlama sui-istifadə riskini azaldır və etibarı artırır, eyni zamanda yoxlamanın özü minimum lazımi miqyasda saxlanılmalıdır (Deloitte, 2022). İstifadəçinin faydası üçüncü tərəflər tərəfindən icazəsiz məlumatların silinməsindən qorunmaqdır. Məsələn, silinmə tələbi zamanı sistem şəxsiyyəti təsdiqləmək üçün pasportun surətinin yüklənməsini tələb edir; uğurlu yoxlamadan sonra məlumatlar silinir və sorğunun qeydi məxfilik jurnalında saxlanılır.

Sorğuma cavab almaq üçün nə qədər vaxt lazımdır?

GDPR sorğular üçün cavab müddətini tənzimləyir: 30 günə qədər, mürəkkəb hallarda onu 90 günə qədər uzatmaq imkanı ilə, uzadılma səbəbləri barədə istifadəçiyə məlumat verilir (GDPR, 2016/2018). ISO/IEC 27701 sorğu tarixinin qeyd olunmasını və onun statusu barədə istifadəçiyə məlumat verilməsini tələb edir və təcrübələr təsdiq edir ki, son tarixlərə riayət etmək şikayətləri azaldır və etibarı artırır (PwC, 2022). İstifadəçi proqnozlaşdırıla bilənlikdən və hərəkətləri planlaşdırmaq qabiliyyətindən faydalanır. Nümunə: istifadəçi profilindəki xətanı düzəltmək üçün sorğu göndərir və 20 gün sonra tamamlanma bildirişi alır; əlavə yoxlama zərurəti yarandıqda, müddət səbəbləri izah edilməklə 60 günə qədər uzadılır.

Səhvlər ən çox natamam sorğular və ya şəxsiyyət təsdiqinin olmaması ilə bağlıdır. Sənaye müşahidələri göstərir ki, imtinaların əhəmiyyətli bir hissəsi sənədlərin tam dəstinin olmaması ilə əlaqədardır; aydın təlimatlar təkrar imtinaları azaldır (EGBA, 2021). İstifadəçinin üstünlüyü əvvəlcədən düzgün material hazırlamaq və gecikmələrdən qaçmaq bacarığıdır. Məsələn, pasport yükləmədən silinmə tələbi edildikdə, sistem sorğunu rədd edir; sənədlərlə yenidən göndərmə uğurla başa çatdı və istifadəçi müəyyən edilmiş müddət ərzində silinmə təsdiqini alır.

Metodologiya və mənbələr (E-E-A-T)

Pin Up Azərbaycanın məlumatların qorunmasında şəffaflıq və inamla bağlı təhlili beynəlxalq standartların, sənaye tədqiqatlarının və yerli qaydaların birləşməsinə əsaslanır. Beynəlxalq standartlar ISO/IEC 27001 (2013/2022) və ISO/IEC 27701 (2019/2021) informasiya təhlükəsizliyi və məxfiliyin idarə edilməsi, həmçinin ödəniş məlumatlarının qorunması üçün PCI DSS v4.0 (2022) və FATF Tövsiyələri (2020) KKK/2023 prosesləri üçün əsas təşkil edir. Normativ bazaya istifadəçi hüquqlarını, bildiriş müddətlərini, autentifikasiya tələblərini və insidentlərə cavab dövrünü müəyyən edən GDPR (2016/2018), PSD2 (2018) və NIST CSF (2018/2023) daxildir. PwC (2022) və Deloitte (2022) konsaltinq hesabatları avtomatik KYC, bildirişlər və təchizatçıların idarə edilməsi üçün təcrübələri aydınlaşdırır, Mozilla-nın (2024) TLS konfiqurasiyaları üzrə tövsiyələri texniki çərçivəni tamamlayır. Azərbaycandan yerli məlumatlar ödəniş infrastrukturunun kontekstini və maliyyə məlumatlarının saxlanması tələblərini nəzərə alır (Azərbaycan Mərkəzi Bankı, 2023). Təqdim olunan praktiki hallar standart ssenarilərdə standartların tətbiqini göstərir: sürət anomaliyaları səbəbindən geri çəkilmələrin dondurulması, etibarlı fotoşəkillərlə KYC-dən uğurla keçmək, alt prosessorların siyahısını dərc etmək və SLA bildirişləri. Bu fond E-E-A-T prinsiplərinə uyğundur və Pin Up Azərbaycan istifadəçilərinin məlumatlarının qorunmasında şəffaflığın və etibarın ekspert təhlilini təmin edir.