GH GambleHub

Məlumat təhlükəsizliyi və şifrələmə

1) Niyə iGaming-də kritik

iGaming platforması PII, maliyyə rekvizitləri, oyun seansları, davranış əlamətləri, anti-frod siqnalları və ML modelləri ilə işləyir. Bu məlumatların sızması və ya dəyişdirilməsi cərimələrə, bazarların bloklanmasına, reputasiyaya və metriklərin reqressiyasına (GGR, saxlanma) səbəb olur.

Məlumatların təhlükəsizliyinin məqsədləri:
  • Gizlilik (PII/maliyyə minimum giriş).
  • Bütövlük (saxtakarlığa və «çirkli» məlumatlara qarşı qorunma).
  • Əlçatanlıq (oxumaq/yazmaq üçün SLO, DR planları).
  • İzləmə (kim nə izlədi/dəyişdi və nə vaxt).

2) Təhdid modeli (qısaldılmış)

Xarici: API/inteqrasiya kompromasiyası, MITM, ransomware, təchizatçılar (supply chain).
Daxili: həddindən artıq hüquqlar, «kölgə» boşaltmalar, zəhərli qeydlər, konfiqurasiya səhvləri.
Data və ML: hadisə/fich, model inversiya, membership inference.
Yurisdiksiyalar: transsərhəd məhdudiyyətlər, yerli saxlama və silmə tələbləri.

3) Tranzitdə şifrələmə (In Transit)

TLS 1. 2+/1. 3 yalnız, zəif shifrosuites söndürmək; TLS üstünlüyü 1. 3.
mTLS üçün S2S (nüvəsi, tarixi, kataloqu, fichestor, provayderləri).
PFS (ECDHE) - məcburidir.
Mobil/masaüstü müştərilər və kritik inteqrasiyalarda Certificate pinning.
API imzası/PSP (HMAC-SHA-256) və vaxt nəzarəti/təkrarlama (nonce, idempotency keys).

4) Saxlama şifrələmə (At Rest)

Blok səviyyəsi/disklər:
  • / K8s buludunda cildlərin/obyektlərin şifrələnməsi (şəffaf, lakin güzəştli xidmət tərəfindən «qanuni» oxunuşdan qorunmur).
Verilənlər bazası:
  • TDE (Transparent Data Encryption) - əsas təbəqə.
  • FLE/Column-level AEAD «isti» sahələr üçün (email, telefon, PAN tokenləri): AES-256-GCM və ya ChaCha20-Poly1305.
  • Xüsusi həssas qeydlər üçün Row-level açarları (VIP, ödənişlər).
Fayllar/obyektlər (Datalake/Lakehouse):
  • Envelope encryption (KMS-managed DEK, rotasiya), açarlara giriş nəzarəti.
  • Manifestlərin imzası və bütövlüyünə nəzarət (hash/checksum, paketlər üçün Merkle ağacları).

5) Kriptoqrafik seçkilər (təcrübə)

Simmetrik şifrələmə: unikal nonce/IV ilə AES-GCM/ChaCha20-Poly1305 (AEAD); saxlamaq 'ciphertext + auth tag'.
Hash: bütövlük üçün SHA-256/512; parollar üçün - parametrləşdirmə və duz ilə Argon2id (və ya bcrypt/scrypt).
İmza: Artefaktlar/paketlər üçün Ed25519/ECDSA P-256; API imzaları üçün HMAC-SHA-256.
Açar razılaşmalar: ECDH (P-256/Curve25519).

6) Açarların idarə edilməsi (KMS/HSM)

Master açarları yaratmaq/saxlamaq üçün KMS + HSM; envelope encryption для DEK.
Rotasiya: müntəzəm (təqvim) və hadisə (hadisə). Miqrasiya dövrü üçün dual-read dəstəyi.
Vəzifə bölgüsü (SoD), «break-glass» üçün M-of-N, bütün əməliyyatların qeydiyyatı.
Xüsusilə kritik sirlər üçün Split-key/Shamir (məsələn, pay-out imzası).
Geo-scoping açarları: regionlar/markalar üçün müxtəlif açarlar.

7) Gizli menecment

Mərkəzləşdirilmiş Secrets Manager (anbarın mühit dəyişənlərində deyil).
JIT sirləri (qısa ömürlü), avtomatik rotasiya və geri çağırış.
Sidecar/CSI K8s pod sirləri çatdırmaq üçün.
Gizli log/treys qadağası; CI sızma detektorları.

8) Bütövlük və məlumatlara inam

Hadisələrin/paketlərin imzalanması (prodüser) və yoxlanılması (konsumer).
Event idempotent və anti-replay üçün unikal açarlar.
Sxemlərə nəzarət (Schema Registry, uyğunluq), Data Contracts «etimad sərhədləri» kimi.
Kritik jurnallar və hesabatlar üçün WORM-saxlama.

9) Tokenizasiya, maskalanma və DLP

PII/Maliyyə (vault/FPE/DET) tokenləşdirilməsi - loglarda, vitrinlərdə, fiqurlarda tokenlərin istifadəsi.
UI və boşaltmalarda maskalanma; biletlərin/söhbətlərin mətnlərində PII redaktəsi (NLP-sanitizinq).
DLP siyasətləri: qadağan olunmuş şablonlar (PAN, IBAN, pasport), boşaltma bloku, poçt müfəttişliyi/FTP/S3.

💡 Ətraflı məlumat üçün «Məlumatların tokenlaşdırılması» səhifəsinə baxın.

10) Giriş və audit

RBAC/ABAC: rol + atributlar (ölkə, marka, mühit); ən kiçik hüquqlar.
Avtomatik rəy ilə JIT girişləri; Hər N gündə bir dəfə - haqları fəryad.
mTLS + IP allowlist admin panelləri və kritik end-points üçün.
Audit-loqlar dəyişməz (WORM/append-only), SIEM ilə korrelyasiya.
Break-glass: fərdi rollar/açarlar, məcburi post-mortem.

11) Ehtiyat və DR

3-2-1: 3 nüsxə, 2 müxtəlif daşıyıcı/HSD, 1 oflayn/izolyasiya (hava-qapalı).
Öz açarları ilə backup şifrələmə (provayder deyil), cədvəl üzrə bərpa testi.
Domenlər üçün RPO/RTO (ödənişlər <X min, oyun hadisələri <Y min).
Açarların və şəbəkələrin kriptovalyutası ilə regional replikasiya.

12) Gizlilik və uyğunluq

Məlumatların təsnifatı (Public/Internal/Confidential/Restricted).
Minimallaşdırma və hədəf bağlama (KYC, AML, RG, hesabat).
Saxlama və silmə siyasəti: qrafiklər, Legal Hold, DSAR; kriptovalyutası.
Transsərhəd: geozonlaşdırma və yerli saxlama halları.

13) Data təhlükəsizliyi müşahidə

Sıfır-PII (örtük metrikası), DLP işə salındıqda alertlər.
Key health: rotasiyalar, şifrələmə uğursuzluqları, KMS/HSM anomaliyaları.
Integrity SLI: imzalanmış paketlərin/hadisələrin və yoxlanılmış siqnature-yoxlamaların payı.
Latency SLO: p95 tokenization/detokenization, şifrələmə/deşifrə.
Access SLO: JIT müraciətlərinin xüsusi vaxtında işlənmiş payı.

14) Alətlər və texnoloji təbəqələr (kateqoriyalar)

KMS/HSM: Master açarları, envelope, imza.
Secrets Manager: JIT sirləri, rotasiya.
TLS-terminasiya/mTLS-mesh: ingress/service mesh.
DLP/Masking: yoxlama, dezinfeksiya.
Schema Registry/Contracts: uyğunluq, PII qadağaları.
SIEM/SOAR: audit-loqların korrelyasiyası, avtomatik reaksiyalar.
Backup/DR: backup orkestri, bərpa testi.

15) Şablonlar (istifadəyə hazır)

15. 1 Şifrələmə siyasəti (fraqment)

Alqoritmlər: AES-256-GCM/ChaCha20-Poly1305; Ed25519 imzası; hash SHA-256.
Açarlar: HSM-də nəsil; 90 gün və ya hadisə zamanı rotasiya; geo-scoped.
Giriş: mTLS vasitəsilə yalnız xidmət hesabları; JIT tokenləri.
Jurnallar: WORM rejimi; saxlama ≥ N ay.
İstisnalar: CISO/DPO-nun qərarı ilə, əsaslandırma qeydləri ilə.

15. 2 Qorunan məlumat dəsti pasportu

Domen/cədvəl: payments. transactions

Sinif: Restricted (maliyyə)

Şifrələmə: 'card _ token', 'iban', 'payer _ id' sahələri üzrə FLE (AES-GCM)

Açarlar: DEK per-field (envelope KMS)

Tokenizasiya: PAN/phone/email üçün vault tokenləri

Giriş: ABAC (ölkə, «Payments-Ops» rolu), JIT

Jurnallar: paket imzası, WORM, retenshn 2 il

15. 3 Məlumat buraxılış çek siyahısı

  • Müqavilə «boz» zonalarda PII qadağan, sahələr 'pii/tokenized'
  • TLS 1. 3 və mTLS S2S daxil
  • FLE/TDE özelleştirilmiş, KMS/HSM açarları, rotasiya aktiv
  • DLP qaydaları və log maskalama testləri keçir
  • Backaps şifrələnmiş, test bərpa təsdiq
  • SIEM audit log alır; «təmiz zona» xaricində detokenizasiya etmək üçün alertlər

16) Tətbiqi yol xəritəsi

0-30 gün (MVP)

1. Verilənlərin təsnifatı və axın xəritəsi (PII/maliyyə/ML).
2. TLS 1 daxil edin. 3/mTLS üçün S2S; zəif şifrələr qadağan.
3. KMS/HSM qaldırın; açarları envelope sxeminə köçürün.
4. 3 kritik domen (Payments/KYC/RG) üçün TDE və FLE daxil edin.
5. Log maskası və əsas DLP qaydaları; Zero-PII sertifikatlaşdırma.

30-90 gün

1. PII/Maliyyə (vault/FPE) tokenizasiyası; JIT Access və Detocenization audit.
2. ingestion/ETL-də hadisələrin və integrity çeklərinin imzası.
3. Daimi açar rotasiyası, VIP ödənişlər üçün split-key.
4. Backup: 3-2-1, oflayn surət, aylıq restore-gün.
5. Dashbord SLO (Zero-PII, Integrity, Key-Health, Latency).

3-6 ay

1. Geo-scoped açarları/yurisdiksiya məlumatları; transsərhəd siyasətçilər.
2. audit/hesabat üçün WORM-saxlama; SOAR pleybukları.
3. Analitik/ML tokenləri ilə tam əhatə; vitrinlərdə PII qadağası.
4. Rüblük təlimlər: hadisə-simulyasiya (ransomware, key leak, data poisoning).
5. İllik yenidən sertifikatlaşdırma və xarici audit.

17) RACI (nümunə)

Siyasət və nəzarət: CISO/CDO (A), DPO (C), SecOps (R), Domain Owners (C).
Ключи/KMS/HSM: Security/Platform (R), CTO (A), Audit (C).
Tokenizasiya/DLP: Data Platform (R), DPO (A), Domains (C).
Backup/DR: SRE (R), CIO (A).
Monitorinq/insidentlər: SecOps (R), SOAR (R), Legal/PR (C).

18) Metrik və SLO data təhlükəsizliyi

Qeydlərdə Zero-PII: ≥ 99. Hadisələrin 99% -i.
Integrity-pass: ≥ 99. Imzalanmış paketlərin 9% -i uğurla yoxlanılıb.
Key-hygiene: 100% vaxtında rotasiya, 0 vaxtı keçmiş açarlar.
Detokenization SLO: p95 ≤ X dəq., yalnız əsaslandırılması ilə müraciətlər üzrə.
Backup restore-rate: Uğurlu bərpa testi ≥ 99%.
Access review: rüblük audit üçün lazımsız hüquqların 95% -dən ≥ bağlandı.
Incident MTTR: ≤ növləri üçün hədəf eşik P1/P2.

19) Anti-nümunələr

TDE FLE və həssas sahələrin tokenizasiyası olmadan «nişan üçün».
Sirləri dəyişən mühit/anbarlarda saxlamaq.
Bütün domenlər/regionlar üçün ümumi açarlar/pepper.
PII/sirləri olan loqlar; şifrələmə olmadan damps prod bazaları.
Paylaynlarda imzaların/bütövlük yoxlamalarının olmaması.
Bütün KMS/HSM üçün «Vahid admin»; SoD və M-of-N yoxdur.

20) Playbook hadisəsi (qısa)

1. Detekt: SIEM/DLP/audit-log/şikayət.
2. Sabitləşdirmə: seqmentin izolyasiyası, açarların/sirlərin geri çağırılması, problemli axınların dayandırılması.
3. Qiymətləndirmə: nə sızdı/təhrif edildi, miqyas, yurisdiksiya, zərərçəkənlər.
4. Rabitə: Legal/PR/tənzimləyici (lazım olduqda), tərəfdaşlar/oyunçular.
5. Mitiqasiya: rotasiya, retro-tokenizasiya/şifrələmə, backfill/bütövlük yoxlaması.
6. Post-mortem: səbəblər, dərslər, siyasət/eşik/testlərin yenilənməsi.

21) Əlaqəli bölmələr

Data Tokenization, Data Mənşəyi və Yolu, Etika və Məxfilik, Məxfi ML, Federated Learning, Qərəzin azaldılması, DSAR/Legal Hold, Data Müşahidə.

Yekun

Etibarlı data qorunması çoxsəviyyəli arxitektura + proses nizam-intizamı: müasir kriptoqrafiya, ciddi KMS/HSM, tokenizasiya, imzalanmış bütövlük, təmiz qeydlər, idarə olunan giriş və yoxlanıla bilən arxa planlardır. iGaming-də məlumatların default olaraq qorunduğu və dəyişikliklərin şəffaf, təkrar və tələblərə cavab verdiyi platformalar qazanır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.