GH GambleHub

Hüquqların və siyasətlərin irsi

1) Niyə ekosistem miras

Şəbəkə ekosistemi operatorları, studiyaları/RGS, aqreqatorları, PSP/APM, KYC/AML, affiliatları və analitik xidmətləri birləşdirir. Hüquq iyerarxiyası və irsi siyasət olmadan, giriş nöqtəli «əl ayarlarına» çevrilir, PD və insident riskləri artır. Miras təmin edir:
  • Ölçmə sürəti: Yeni komponentlər/məhsullar standartlaşdırılmış «qutudan» siyasətlərini alır.
  • Homojenlik və uyğunluq: Üst səviyyəli guardrails avtomatik olaraq törəmə resurslara təsir göstərir.
  • Şəffaflıq və audit: proqnozlaşdırıla bilən tətbiq qaydası, istisnaların minimuma endirilməsi.

2) Əsas giriş ontologiyası

2. 1 İerarxik səviyyələr

1. Təşkilat/Ekosistem → qlobal təhlükəsizlik/data siyasətləri/RG.
2. Tenant/Partner → kvotalar, yurisdiksiyalar, məlumat sərhədləri, SLO məhdudiyyətləri.
3. Domen (məzmun, ödənişlər, KYC, affiliates, analitika, hadisələr) → giriş profili və şəbəkə perimetrləri.
4. Xidmət/App → API/Topik/Saxlama.
5. Resource → cədvəl/topic/end point/secret/stream.

2. 2 Avtorizasiya modelləri

RBAC (rolları): sürətli, şəffaf, yaxşı irsi (rolu → icazə dəsti).
ABAC (atributlar): çeviklik (geo, yurisdiksiya, risk sürəti, vaxt).
ReBAC (əlaqələr): «Mənim varlıqlarımla əlaqəli resurslara» giriş (operator, kampaniya, məlumat).
Təcrübə: hibrid RBAC + ABAC, ReBAC - sahiblik/kampaniya qrafları üçün.

3) Siyasət, alış-veriş və prioritetlər

3. 1 Siyasət növləri

Allow/Deny: açıq icazə/qadağa.
Guardrails: məcburi məhdudiyyətlər (PII out-of-scope, ixrac limitləri, time-based).
Quotas/Rate: tenant/kanal/region üzrə rps/txn/stream/event limitləri.
Contextual: geo/ASN/cihaz/vaxt/yoxlama/risk-skorinq şərtləri.
Delegation: Sıxılmış/TTL ilə hüquqların bir hissəsinin nümayəndəliyi.

3. 2 Vərəsəlik və tətbiq qaydası

Deny-first: qadağa icazədən daha güclüdür.
Precedence: `Guardrails (root) > Deny (parent) > Allow (parent) > Deny (child) > Allow (child)`.
Shadowing: Törəmə Allow valideyn Guardrail/Deny ləğv etmir.
istisnalara görə override: yalnız yazılı «justified exceptions» TTL və avto-film ilə.

3. 3 Cups

Org/Tenant: qlobal qaydalar və kvotalar.
Environment: prod/stage/sandbox - sərtlik prod artır.
Jurisdiction: məlumatların lokalizasiyası, RG məhdudiyyətləri.
Data Class: `Public/Internal/Confidential/PII-Sensitive/Financial`.
Operation: read/write/admin/export/impersonate.

4) Siyasətçi ağacları (Policy Trees)

4. 1 Struktur


/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

Hər qovşaqda: siyasətlərin siyahısı (allow/deny/guardrail/quota/context). Yuxarıdan aşağıya miras, yerli siyasətçilər məhdudiyyətlər əlavə edir, lakin qlobal qadağaları aradan qaldırmır.

4. 2 Nümunələr

Guardrail org-level: «PII ağ ölkə siyahısından kənarda vebhuklara çıxarıla bilməz».
Tenant-level: "X ölkələrindən KYC operatorları qadağandır; yalnız aqreqatları ixrac hesabatları".
Domain payments: «Write yalnız mTLS və ≤ 24 saat açarı ilə xidmət hesabı vasitəsilə».
Service api: «POST/deposits yalnız 'Idempotency-Key' ilə».
Resource topic: "Yalnız KYC rolu olan xidmətlərə 'kyc _ status' oxumaq. moderation` и ABAC `verified=true`».

5) Nümayəndəlik və müvəqqəti hüquqlar

Just-in-Time (JIT) Access: çatdırılma vaxtı (TTL, single-use).
Break-Glass: dərhal audit və sonrakı təhlil ilə təcili giriş.
Scoped Tokens: minimum 'scopes' dəsti (read: topic/kyc; write:api/deposit) + audience/issuer.
Chain-of-Trust :/ASN/alt şəbəkəyə bağlı servislərarası tokenlər.
Impersonation: yalnız jurnal və limitlərlə proxy xidməti vasitəsilə.

6) Domenlərdə miras

6. 1 Ödənişlər (PSP/APM)

Valideyn guardrail: 'bütün çağırışlar - mTLS + JWS vasitəsilə, ≤ N vaxtı, jitter retraisi; çarjbek huk məcburidir".
Törəmə xidmət ARM/region üçün kvota/kaps əlavə edə bilər. Deny orkestrator yan birbaşa zənglər.

6. 2 KYC/AML

Valideyn Deny: «Xam sənəd analitikaya yazılmamalıdır».
Törəmə Allow: «yalnız hash/hökm/risk kateqoriyalarını ötürmək».

6. 3 Məzmun/axın

Org guardrail: «minimum bitreyt və latency-SLO».
Tenant-override: «rominqdə keyfiyyətin azalması, lakin SLO-dan aşağı deyil».
Resource: Xüsusi bir canlı masaya giriş - yalnız RG-OK ilə seqmentlər.

6. 4 Hadisələr/EDA

Root: sxemlər/in-registry versiyaları, biznes mənasında exactly-once.
Domain: partiyaların açarları, dedup siyasəti.
Xidmət: kim top yaza/oxuya bilər; quotas/lag-budget.

7) Gizlilik və Sıfır Trust

PII-minimallaşdırma və default tokenizasiya, «seyf zonaları xaricində de-tokenizasiya edilə bilməz» siyasəti.
Şəbəkələrin seqmentləşdirilməsi: vendor-VPC, egress-allow-list, interzonic bag siyasətləri.
S2S və vebhuk üçün mTLS/JWS/HMAC, qısa ömürlü açarlar (JWKS/rotation).
SoD (Segregation of Duties): oxu rolları ≠ idarəetmə rolları ≠ açar buraxılış rolları.
Yurisdiksiyalar: irsi lokallaşdırma qaydaları, DPA/DPIA olmadan transsərhəd PD ixracının qadağan edilməsi.

8) Müşahidə və irsi audit

Policy Evaluation Trace: 'traceId' ilə «hansı siyasət işlədi» jurnalı.
Diff-log: kim/nə vaxt siyasətçi ağacını dəyişdi; WORM-saxlama.
Conformance testləri: müntəzəm giriş ssenariləri (allow/deny; export; impersonation).
Alertlər: deny/guardrail, həddindən artıq kvota, qaçmaq cəhdləri.

9) Münaqişələr və onların həlli

Sinif müəyyənləşdirin: Allow/Deny toqquşması, guardrail pozulması, ABAC şərtlərinin kəsişməsi.
precedence proseduru tətbiq edin (bax § 3. 2).
İstisna təsnifatı: müvəqqəti (TTL), daimi (qayda), səhv (rollback).
Artefaktları daxil edin: RFC/CR-ərizə, risk qiymətləndirməsinə istinad, CI-də avtomatik yoxlamalar.

10) Anti-nümunələr

TTL olmadan əl ilə verilmiş hüquqlar («əbədi»).
Allow-default və «səssiz» istisnalar.
Görünən guardrails olmadan miras - filiallar təhlükəsiz qaydaları bağlayır.
Rolların qarışması (admin = analitik = operator) - No SoD.
Xam PD-lərin üçüncü tərəf xidmətlərinə, «müvəqqəti» vebhuklara imzasız ixracı.
Break-glass zamanı audit dayandırıldı.
Sxemlərin üzən versiyaları: analitika/EDA ayrılır, deny yeni sahələrdə işləmir.

11) Ağac siyasətçi dizayn çek siyahısı

1. Məlumatları təsnif edin (Public/Internal/Confidential/PII/Financial).
2. Hiyerarxiya səviyyələrini və düyün sahiblərini (RACI) təyin edin.
3. Guardrails-i kökündən təyin edin (Zero Trust, PII, RG, yurisdiksiyalar).
4. RBAC rollarını və ABAC atributlarını formalaşdırın; SoD daxil edin.
5. Satınalmaları təsvir edin (org/tenant/env/jurisdiction/data class/operation).
6. Etiqad/TTL və break-glass audit yolu ilə daxil edin.
7. precedence və konfliktologiya (deny-first, override-proses) təyin edin.
8. Müşahidə qabiliyyətini təyin edin: evaluation-trace, diff-log, alertlər.
9. conformance set və müntəzəm istisnalar review başlayın.
10. Sənədləşdirin: siyasətçilər portalı, nümunələr, qum qutuları, simulyatorlar.

12) Yetkinlik metrikası

Coverage: irsi siyasətlər və konformans testləri ilə əhatə olunan resursların payı.
Drift: yerli istisnaların sayı/100 resurs; orta TTL istisnaları.
SoD Score: öhdəliklərin bölünməsi ilə istifadəçilərin payı.
PII Exposure: seyf zonaları xaricinə ixrac sayı (hədəf = 0).
Auditability:% evaluation-trace ilə sorğular; Giriş münaqişələri üzrə MTTR.
Change Velocity: CR vərəsəlik siyasətinin vaxtı.

13) Nümunələr şablon (sxematik)

Guardrail (root):
  • Deny: `export:PII` if `destination. country ∉ whitelist`
  • Require: `mTLS && JWS` for `webhook:`
  • Quota: `read:event: ≤ X rps per tenant`
Tenant Allow (payments):
  • Allow: `write:api/deposit` if `verified && risk_score < T && geo ∈ allowed`
  • Deny: `direct:psp/`
Resource Policy (topic: kyc_status):
  • Allow: `read` for role `KYC. moderation` where `jurisdiction == resource. jurisdiction`
  • Deny: `write` except service `kyc-orchestrator`

14) Təkamül yol xəritəsi

v1 (Fond): ağac siyasətçi, kökündə guardrails, RBAC, deny-ilk, dəyişiklik audit.
v2 (Integration): ABAC, nümayəndəlik/TTL, conformance-dəsti, evaluation-trace.
v3 (Automation): yurisdiksiya/məlumat üzrə avto-skopinq, policy-as-code, CI/CD-də avto-yoxlama, avtokarantin pozuntuları.
v4 (Networked Governance): Tərəfdaşlararası siyasətçi federasiyası, kriptovalyutası ilə xaç-tenant nümayəndəliyi, hüquqların verilməsi üçün proqnozlaşdırılan ipuçları (risk-skor).

Qısa xülasə

Hüquq və siyasətin irsi təhlükəsiz və sürətli ekosistemin çərçivəsidir. Kökündə guardrails ilə policy-tree qurun, deny-first və precedence tətbiq edin, RBAC + ABAC + ReBAC birləşdirin, TTL və ciddi auditdən istifadə edin. Yoxlamaları və istisnaların idarə edilməsini avtomatlaşdırın - və siz bütün iştirakçı şəbəkəsi üçün ölçülü, komplayent və proqnozlaşdırıla bilən giriş modelinə sahib olacaqsınız.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.