GH GambleHub

الفصل بين الواجبات ومستويات الوصول

1) الأهداف والمبادئ

الأهداف:
  • ،
  • تقليل خطر الغش/الخطأ،
  • وضمان إمكانية التحقق من الجهات التنظيمية وعمليات المراجعة الداخلية للحسابات.

المبادئ: صفر ثقة: أقل امتياز: الحاجة إلى المعرفة· SoD (4-eyes)· قابلية التتبع للإلغاء (سرعة الاستدعاء).

2) تصنيف البيانات ومستويات الوصول

فئةأمثلةمتطلبات الوصول الأساسية
الجمهورمحتوى الموقعبدون إذن
داخليالمقاييس التشغيلية غير PIISSO، دور القراءة فقط
سريةتقارير DWH (المجاميع)SSO + MFA، المجموعات المعتمدة
مقيد (PII/Finance)KYC/AML، المعاملات، إشارات النمو الحقيقيABAC + JIT، سجل الحقل، سجل WORM
مقيد للغايةالأسرار، وحدات التحكم الإدارية، محيط الدفعPAM، جلسات مسجلة، شبكات معزولة
💡 تم تثبيت الفئة في دليل بيانات RoPA/وترتبط بسياسات التشفير والاحتفاظ والتصدير.

3) نموذج الحقوق: RBAC + ABAC

RBAC: الأدوار حسب المجال (الدعم، VIP، المدفوعات، AML، KYC، FRM، BI، DevOps، DPO، Legal).
ABAC: السمات السياقية (البيئة، الجغرافيا، فئة البيانات، الجهاز/MDM، الوقت، مستوى KYC، هدف الوصول «الغرض»، مخاطر الجهاز).

مثال على حالة ABAC: يمكن لمحلل BI قراءة "الأحداث _' فقط بدون PII، فقط من شبكة الشركة/MDM، في أيام الأسبوع من 08:00 إلى 21:00، مع تدريب نشط على الخصوصية.

4) SoD - مصفوفة الدوال غير المتوافقة

وظيفةإنه مأذون بهغير متوافق (يتطلب/فصل 4 عيون)
المدفوعاتيؤكد الاستنتاجاتتغيير قواعد مكافحة الاحتيال أو حدود كبار الشخصيات
مكافحة الاحتيالتحرير القواعد، تعيين عقدوافق على حلول cacheouts/chargeback الخاصة بك
الامتثال/مكافحة غسل الأموالEDD/STR/SAR, KYCالتصدير الكامل لخشب DWH/الخام
الدعم/كبار الشخصياتعرض الملف الشخصي (مقنع)الوصول إلى وثائق غرفة التجارة الدولية/المعاملات الأولية
البيانات/البيانات الشخصيةالمجموع/إخفاء الهويةمشاهدة PII بدون «قصد»
DevOps/SREإدارة الهياكل الأساسيةقراءة طاولات العمل مع PII
المطورونالمرحلة/التطوير، جذوع الأشجار (قناع) prod-PII
DPO/الخصوصيةالتدقيق، سجلات مؤشر الاستثمار الدوليتغيير حقوق الإنتاج
💡 تخضع أي معاملة تؤثر على المال/مؤشر الاستثمار الدولي/الجزاءات لموافقة دائرتين (المبادر ≠ الموافقة).

5) مستويات وأنواع الوصول

اقرأ فقط/مقنع اقرأ: افتراضي لـ BI/الدعم.
الكتابة ذات النطاق: التغييرات داخل الخدمة/الإجراء (على سبيل المثال وإدخال مذكرات الحالة).
إدارة متميزة: فقط من خلال PAM (كلمة مرور آمنة، وكيل جلسة، تسجيل جلسة، تناوب سري).
API/حسابات الخدمة: الحد الأدنى من ospreys، المفاتيح الفردية لكل تكامل، mTLS.

6) JIT и كسر الزجاج

JIT (في الوقت المناسب): الارتفاع المؤقت (15-120 دقيقة) لتذكرة محددة، والاستدعاء التلقائي، و «الغرض» الإلزامي.
زجاج الكسر: الوصول في حالات الطوارئ مع تأكيد MFA + الثاني، تسجيل الجلسة، الأمن + DPO بعد المراجعة، الإنشاء التلقائي للحادث في حالة الانتهاكات.

7) العمليات (SOP)

7. 1 طلب/تعديل الوصول (IDM/ITSM)

1. الطلب 'الغرض' والتاريخ ومالك البيانات.
2. تحقق من SoD/فئة البيانات/الولاية القضائية.
3. موافقة مالك المجال + الأمان (لـ Restructed +).
4. إصدار دليل التنفيذ المشترك/الوصول الدائم (النطاق الأدنى).
5. القيد في سجل الحقوق (تاريخ التنقيح، وإلغاء جيش تحرير السودان).

7. 2 إعادة التصديق على الحقوق

يؤكد المالكون الفصليون حقوق المجموعة/المستخدم.
الحقوق التلقائية غير المستخدمة (أكثر من 30/60 يومًا).

7. 3 تصدير البيانات

فقط من خلال حالات العرض/خطوط الأنابيب المعتمدة ؛ القوائم البيضاء المقنعة الافتراضية للوجهات/الأشكال ؛ التوقيع/التجزئة ؛ سجل التنزيل.

8) مراقبة البائع/الشريك

المستأجرون الفرديون B2B، الحد الأدنى من نطاقات واجهة برمجة التطبيقات، السماح بقائمة IP، النوافذ الزمنية.
إدارة الشؤون السياسية/جيش تحرير السودان: سجلات الدخول، وفترات الاحتفاظ، والجغرافيا، والحوادث، والمعالجات الفرعية.
الإقلاع: استدعاء المفتاح، تأكيد الحذف، إغلاق الفعل.

9) التكامل مع الأمن والامتثال

مسارات التدقيق: "اقرأ _ PII"، "EXPORT _ DATA"، "ROLE _ UPDATE"، "الدفع _ الموافقة"، "BREAK _ GLASs'.
SIEM/SOAR: تنبيهات لأحجام/وصول غير طبيعية بدون «غرض »/الخروج من النافذة/geo.
GDPR/AML/PCI: الحاجة إلى المعرفة، توافق DSAR، فصل محيط الدفع، WORM للمجلات.

10) سياسات مثالية (شظايا)

10. 1 سياسة مدير VIP

عرض ملف تعريف مقنع، حظر تصدير، JIT إلى عرض KYC واحد عبر التذكرة.

10. 2 سياسة محلل تسويق

وحدات فقط بدون PII ؛ الوصول بموافقة (علم CMP)، من جهاز MDM، خلال ساعات العمل.

10. 3 زائفة YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

النشاطالامتثال/القانونDPOالأمنSRE/ITالبيانات/البيانات الشخصيةالمنتج/المهندسمالك المجال
سياسات SoD/مستويات الوصولA/Rجيمجيمجيمجيمجيمجيم
تصميم RBAC/ABACجيمجيمA/RRRRجيم
JIT/PAM/كسر الزجاجأناأناA/RRأناجيمأنا
إعادة الاعتمادجيمجيمأRRRR
تصدير/قناعجيمأRRRجيمجيم

12) المقاييس و KRIs/KPIs

التغطية ABAC: ≥ 95٪ من المجموعات الحرجة بموجب قواعد السمة.
معدل JIT: ≥ 80٪ من الارتفاعات هي JIT.
نقل TTR: إلغاء الوصول ≤ 15 دقيقة من لحظة الفصل/التعطيل.
الوصول غير الطبيعي بدون 'الغرض': = 0 (KRI).
إعادة التصديق ربع السنوية: تم تأكيد الأدوار/المجموعات بنسبة 100٪.
الامتثال للصادرات: يتم توقيع/تسجيل 100٪ من الصادرات.

13) القوائم المرجعية

13. 1 قبل منح الوصول

  • تعريف «الغرض»، التاريخ، مالك البيانات
  • تم إقرار التحقق من صحة فئة SoD/الولايات القضائية/البيانات
  • الحد الأدنى للنطاق + القناع ممكّن
  • استيفاء شروط وزارة الخارجية/الآلية الإنمائية المتعددة الأطراف/الشبكة
  • المجلات وتاريخ التنقيح المحدد

13. 2 المراجعة الفصلية للحسابات

  • التحقق من المجموعات/الأدوار مقابل الهيكل التنظيمي
  • إلغاء الحقوق غير المستخدمة
  • فحص كسر الزجاج والصادرات الرئيسية
  • تأكيد التدريب (الخصوصية/الأمن)

14) السيناريوهات والتدابير النموذجية

أ) يحتاج المهندس إلى وصول مؤقت إلى prod-DB

JIT 30-60 دقيقة، جلسة مسجلة عبر PAM، ما بعد المراجعة، CAPA للانتهاكات.

ب) شركة تابعة جديدة تطلب من اللاعبين التفريغ

المجموع فقط/إخفاء الهوية ؛ IF PII - عقد، أساس قانوني، قائمة بيضاء للحقول، يومية/توقيع، فترة مرجعية محدودة.

ج) يريد مدير VIP الاطلاع على وثائق KYC

حظر الوصول المباشر ؛ الطلب عبر AML/KYC، إصدار واحد عبر JIT، سجل كامل للحقول.

15) خارطة طريق التنفيذ

الأسابيع 1-2: جرد النظام/البيانات، التصنيف، مصفوفة خط الأساس RBAC، جدول SoD الأساسي.
الأسابيع من 3 إلى 4: تنفيذ ABAC (البيئة/geo/class/MDM)، JIT و break-glass، إطلاق PAM، سجلات التصدير.
الشهر 2: تجزئة محيط الدفع/CMC، المفاتيح الفردية/KMS، تنبيهات SOAR لانتهاكات SoD/ABAC.
الشهر 3 +: إعادة اعتماد ربع سنوية، تمديد السمة (مخاطر الجهاز/الوقت)، أتمتة الإخفاء، تمارين طاولة منتظمة.

TL; د

نموذج الوصول الموثوق = تصنيف البيانات → RBAC + ABAC → SoD مع 4 عيون → JIT/PAM والمراجعة الصعبة → إعادة التصديق المنتظم ومراقبة الصادرات. هذا يقلل من احتمالية إساءة الاستخدام ويسرع من مرور عمليات التدقيق/الفحوصات التنظيمية.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.