GH GambleHub

Məlumatlara giriş nəzarəti

1) Niyə iGaming

Risk və tənzimləyici: PII/maliyyə, transsərhəd, RG/AML tələbləri.
Sürət və etimad: əl «paylama» olmadan təhlükəsiz öz-özünə xidmət analitikası və ML.
Audit və məsuliyyət: «kim nə gördü və niyə», minimum hüquqlar prinsipinin sübuta yetirilebilirliyi.

2) Əsas prinsiplər

1. Least Privilege - yalnız istədiyiniz və istədiyiniz müddət üçün.
2. Segregation of Duties (SoD) - girişi təsdiq ≠ tərtibatçı; analitik ≠ məlumat sahibi.
3. Just-in-Time (JIT) - müvəqqəti, avtomatik olaraq geri çağırıla bilən hüquqlar.
4. Defense in Depth - çox səviyyəli müdafiə: şəbəkə → xidmət → masa → sütun → sətir → hüceyrə.
5. Policy-as-Code - kodda/anbarda giriş və maskalar, PR vasitəsilə review.
6. Provenance-aware - həllər kataloq, linedge, təsnifat və müqavilələrə əsaslanır.

3) Məlumatların təsnifatı

Siniflər: Public/Internal/Confidential/Restricted (PII/Maliyyə).
Sxemlərdəki və kataloqdakı etiketlər: 'pii', 'financial', 'tokenized', 'masking', 'rle' (row-level), 'cle' (column-level), 'geo = EU/TR/...', 'tenant'.

Minimum qaydalar:
  • Restricted: hər yerdə tokenlər/maskalar; yalnız «təmiz zonada» detokinasiya.
  • Confidential: default maskalarla giriş; maskaların çıxarılması - əsaslandırma və JIT vasitəsilə.
  • Internal/Public: domen rolları üzrə, PII olmadan.

4) Avtorizasiya modelləri

RBAC (rol-bazir.) : sürətli başlanğıc, rollar kataloqu («Marketing-Analyst», «Risk-Ops»).
ABAC (atribut bazir.) : ölkə, marka, mühit (prod/stage), layihə, emal məqsədi, vaxt, risk səviyyəsi.
ReBAC (əlaqələr üzrə): «dəst sahibi», «domen steward», «revüer».
Hibrid: Çərçivə kimi RBAC, ABAC sərhədləri aydınlaşdırır.

5) Giriş qranulyarlığı

Şəbəkə/ingress: mTLS, allow-list, private links.
Xidmət/klaster: IAM rolları, minimum imtiyazlı service account.
Anbarlar: kataloqlar/sxemlər/cədvəllər (GRANT), Row-Level Security (RLS), Column-Level Security (CLS).
Maskalama/tokenizasiya: SQL/BI-də dinamik maskalar; PII əvəzinə tokenlər.
Fichestor/ML: yalnız aqreqatlara/icazə verilən fiçilərə giriş; əlamət siyasəti (allow/deny).
Fayllar/obyektlər: TTL ilə əvvəlcədən imzalanmış bağlantılar, şifrələmə və download siyasəti.

6) Əsas domenlər üçün patternlər

KYC/AML: CLS (yalnız tokenlər görünür), RLS operator ölkəsində; detocenization - JIT DPO/Legal.
Ödənişlər: Restricted, FLE + tokenlər, JIT vasitəsilə Risk/Payments-Ops; audit boşaltma.
Oyun tədbirləri: Internal/Confidential, marka/region/tenant RLS, user_id üçün CLS.
Responsible Gaming: RG komandasının aqreqatlara çıxışı; fərdi hallarda - müraciət üzrə.
BI/ML: PII olmadan «qızıl» vitrinlər; ML - icazə verilən fiqurların siyahısı, mübahisəli üçün bəhanələr jurnalı.

7) Giriş prosedurları

7. 1 Sorğu → razılaşma → təchizat

Müraciət forması: məqsədi, həcmi, müddəti, rolu, ABAC atributları, dəst sahibi.
Avtomatik yoxlama: məlumat sinfi, SoD, təlim keçdi? maraqlar toqquşması?
RACI: Owner (R), Steward (C), DPO/Sec (A/C), IT/IAM (R).

7. 2 JIT и break-glass

JIT: 15 dəqiqə/2 saat/1 gün avtomatik geri çağırış ilə; yeniləmə - yeni ərizə üzrə.
Break-glass: hadisələr üçün; fərdi rollar/açarlar, gücləndirilmiş audit, post-mortem tələb olunur.

7. 3 müntəzəm ağlama

Rüblük access review: domen sahibləri rolları/atributları təsdiqləyir.
«Unudulmuş» girişlərin avtomatik deaktivasiyası (no-use 30/60 gün).

8) Texniki mexanizmlər

Catalog & Contracts: sahibləri, siniflər, maskalar haqqında həqiqət mənbəyi.
Policy Engine: ABAC/Row/Column siyasətçisi üçün ORA/ekvivalenti.
Data Masking: DWH/BI dinamik maskalar; telefonlar/email üçün format-seyf maska.
Tokenization: vault/FPE; detokinasiya yalnız «təmiz zonada».
Secrets & PAM: gizli menecer, JIT sessiyaları, administrativ giriş üçün ekran qeydləri.
Audit & SIEM: Dəyişməz Qeydlər (WORM), Sessiyalar və Boşaltmalar ilə giriş hadisələrinin korrelyasiyası.
Geo/tenant izolyatorları: fiziki/məntiqi bölgü (sxemlər, kataloqlar, klasterlər, şifrələmə açarları).

9) Consent & DSAR

Access oyunçunun razılığını nəzərə alır (marketing = off → marketing atributları gizlətmək).
DSAR düymələri: tapmaq/boşaltmaq/tokenlə çıxarmaq; bütün əməliyyat log; Legal Hold nəzərə alınır.

10) Monitorinq və SLO

Access SLO: p95 JIT giriş vaxtı (məsələn, ≤ 30 dəq).
Zero-PII in logs: 100% PII olmadan hadisələr.
Anomaly rate: SELECT və ya tipik olmayan JOIN-in Restricted.
Review Coverage: Rolların ≥ 95% -i vaxtında yenilənir.
Mask Hit-Rate: maska/tokenin işlədiyi sorğuların payı.
Detokenization MTTR: valid ərizə emal orta vaxt.

11) Şablonlar

11. 1 Giriş siyasəti (fraqment)

Prinsip: least privilege + SoD + JIT.
Rollar: tapşırıqların/vitrinlərin təsviri olan rollar kataloqu.
ABAC atributları: 'country', 'brand', 'env', 'purpose', 'retention'.
Maskalar/tokenlər: Confidential/Restricted-də default aktiv.
Revyu: rüblük; «unudulmuş» girişlərin avtomatik icmalı.
Pozuntular: bloklama, araşdırma, təlim.

11. 2 Müraciət forması

Kim: ad/komanda/menecer.
Nə: dəsti/cədvəl/vitrin/çiçək.
Niyə: məqsəd, gözlənilən nəticə/metrika.
Nə qədər: müddət/cədvəl.
Verilənlər sinfi: (kataloqdan avtomatik doldurulur).
İmzalar: Owner/Steward, DPO və ya Sec (Restricted olduqda).

11. 3 Rollar kataloqu (nümunə)

Marketing-Analyst: Internal/Confidential marketinq vitrinləri; detokenizasiya olmadan; Marka RLS.
Risk-Ops: Maskalarla Restricted ödənişlər; Detokinizasiya üçün JIT; yalnız «ağ» şablonları vasitəsilə ixrac.
RG-Team: RG aqreqatları, müraciət hallarına giriş.
DS/ML: fichestor (allow-list fich), PII olmayan sandbox.

12) Tətbiqi yol xəritəsi

0-30 gün (MVP)

1. Sxemlərdə məlumatların və etiketlərin təsnifatı.
2. Rol kataloqu + əsas ABAC atributları (ölkə/marka/env).
3. Confidential/Restricted üçün default maskalama/tokenizasiya.
4. JIT prosesi və audit jurnalı; break-glass reqlament.
5. RLS/CLS ödənişlər, KYC, oyun hadisələri üçün; Restricted üçün «SELECT» qadağası.

30-90 gün

1. CI-də Policy-as-Code (sorğu linteri, pozuntular zamanı bloklar).
2. Consent/DSAR ilə inteqrasiya; SLO giriş hesabatları.
3. Rüblük access review; avtomatik deaktivasiya.
4. PAM admin giriş üçün; sessiyaların qeydləri; taym boks.

3-6 ay

1. Geo/tenant-izolyasiya, yurisdiksiyalara görə ayrı-ayrı şifrələmə açarları.
2. Faktiki sorğulara əsaslanan rolların avtomatik tövsiyələri (usage-based).
3. Davranış giriş analitikası (anti-anomaliya), SOAR pleybukları.
4. Proseslərin sertifikatlaşdırılması və xarici audit.

13) Anti-nümunələr

Hər kəs üçün «Superuser» - SoD və JIT olmadan.
Nəzarət olunan kanallar xaricində fayllar/ekran görüntüləri vasitəsilə məlumatların paylaşılması.
RLS/CLS yalnız «kağız üzərində» - maskalar BI-də söndürülmüşdür.
Heç bir review hüquqları və avto-rəy; «əbədi» giriş.
Kataloq/müqavilələr yenilənmir - giriş qaydaları köhnəlir.
Audit olmadan «rahatlıq üçün» tətbiqlərində detokenizasiya.

14) RACI (nümunə)

Siyasət/memarlıq: CDO/CISO (A), DPO (C), SecOps (R), Data Platform (R).
Giriş: IAM/IT (R), Owners (A/R), Stewards (C), Menecerlər (I).
Audit/Review: Owners (R), DPO/Sec (A), Internal Audit (C).
Hadisələr: SecOps (R), Legal/PR (C), Domenlər (R).

15) Əlaqəli bölmələr

Data Management, Data Tokenization, Data Təhlükəsizliyi və Şifrələmə, Data Mənşəyi və Yolu, Etika/DSAR, Məxfi ML, Federated Learning.

Yekun

Access Control - tam izlənilebilirlik buraxaraq komandalara tam lazımi həcmdə və vaxtda lazımi məlumatları verən siyasətlər, atributlar və avtomatlaşdırma sistemidir. iGaming-də bu, metriklərə inamın, hadisələrə qarşı müqavimətin və qərar qəbul etmə sürətinin əsasını təşkil edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.