GH GambleHub

Giriş siyasəti və seqmentləşdirmə

1) Məqsəd və prinsiplər

Məqsəd: ciddi nəzarət vasitəsilə sızma/saxtakarlıq riskini və tənzimləyici təsirləri minimuma endirmək «kim, nəyə və niyə giriş imkanı var», audit üçün sübut oluna bilər.
Prinsipləri: Least Privilege (minimum hüquqlar), Need-to-Know, Zero Trust, Segregation of Duties (SoD), Just-in-Time (JIT), izlənilebilirlik və bir kliklə giriş geri qaytarılması.

2) Məlumatların təsnifatı və qorunma səviyyələri

SinifNümunələrQorunma və giriş
Publicstatik səhifələr, marketinqicazəsiz mövcuddur
InternalPII olmadan əməliyyat metriklərSSO, «read-only» rolu
ConfidentialDWH aqreqatları, identifikatorsuz hesabatlarSSO + MFA, təsdiqlənmiş qruplar, jurnal
Restricted (PII/maliyyə)KYC, əməliyyatlar, RG siqnalları, sanksiyalar/RERAtributlar üzrə ABAC, JIT, Sahə jurnalı, WORM-log
Highly Restrictedaçarları, sirləri, inzibati konsollar, PAN seqmentiPAM, izolyasiya edilmiş perimetr, mTLS, qeydə alınmış sessiyalar
💡 Sinif RoPA/məlumat kataloqunda təyin olunur və şifrələmə siyasətinə, retenşna və giriş yollarına bağlıdır.

3) Giriş modeli: RBAC + ABAC

RBAC (rolları): əsas matris «rol → həll».
ABAC (atributlar): kontekstli qaydalar (oyunçu/operator yurisdiksiyası, mühit seqmenti, dəst həssaslığı, növbə/vaxt, cihaz, KYC yoxlama səviyyəsi, xidməti tapşırıq/purpose).

ABAC şərtləri nümunəsi (məntiq):
  • Marketinq analitiki 'events _' cədvəllərini yalnız analitikaya razılıq verən ölkələr üçün, yalnız iş günləri 08: 00-21: 00, yalnız korporativ şəbəkədən/MDM cihazından, PII (maskalanma daxil) sahələri olmadan oxuya bilər.

4) SoD - vəzifə ayrılması (antifrod və komplayens)

FunksiyaNə edə bilərsinizNə qadağandır
Anti-Fraudantifrod qaydalarını dəyişdirməköz cashaut/VIP limitləri təsdiq
Paymentstapıntıları təsdiqləməkantifrod qaydalarını redaktə etmək
Compliance/AMLEDD/STR bağlamaq, KYC oxumaqbütün DWH birbaşa ixrac
DPO/Privacyaudit, PII jurnalların oxunmasıprod hüquqlarını dəyişdirmək
SRE/DevOpsinfrastrukturun idarə edilməsibiznes PII cədvəlləri oxumaq
Developerslogs/dev/stagePII ilə prod məlumatlarına giriş
Support/VIPoyunçu profilini oxumaq (maskalı)xam PII ixracı
💡 Pula/PII təsir edən hər hansı bir hərəkət iki dövrəli yoxlama (4 gözlü prinsip) və ya avtomatik təsdiqləmə tələb edir.

5) JIT, break-glass и PAM

JIT (Just-in-Time): Artırılmış hüquqlar müəyyən bir tapşırıq üçün məhdud müddətə (15-120 dəq) verilir və avtomatik olaraq geri çağırılır.
Break-glass: ayrı bir prosedur (MFA + ikinci təsdiq + məcburi purpose göstərişi), sessiyanın tam qeydiyyatı və post-faktum review vasitəsilə təcili giriş.
PAM: admin hesabları üçün - parol anbarları, davranış analitikası, açar/sirr rotasiyası, səsyazma ilə sessiya proxy.

6) Seqmentasiya: orta, şəbəkə və məntiq

6. 1 Çərşənbə: 'prod' ≠ 'stage' ≠ 'dev'. Prod məlumatları stage/dev-ə köçürülmür; sintetik və ya təxəllüslü dəstlər istifadə olunur.

6. 2 Şəbəkələr (nümunə zonaları):
  • Edge/WAF/CDN → App-zona → Data-zona (DWH/DB) → Secrets/KMS.
  • Ödəniş perimetri (PSP/kartlar) ümumi proddan təcrid olunmuşdur; KOS/sanksiyalar - ayrı seqment.
  • 6. 3 Məntiqi seqmentasiya: ad boşluğu (K8s), tenant-IDs, DB/data kataloqu sxemləri, ayrı-ayrı şifrələmə açarları per tenant/region.
  • 6. 4 Geo-seqmentasiya: saxlama/emal (EC/UK/...); guidlərin və açarların region üzrə marşrutlaşdırılması.

7) Satıcılara və tərəfdaşlara giriş

Mexanika: fərdi B2B tenantları/hesabları, minimum API, mTLS, IP allow-list, vaxt-pəncərələr.
Müqavilələr: DPA/SLA (jurnallar, saxlama müddəti, coğrafiya, hadisələr, subprosessorlar).
Offbording: açarların geri çağırılması, silinmə təsdiqi, bağlanış aktı.
Monitorinq: anormal həcmdə alertlər, kütləvi ixracların qadağan edilməsi.

8) Proseslər (SOP)

8. 1 Sorğu/Giriş dəyişikliyi

1. IDM/ITSM-də purpose və son tarix ilə müraciət.
2. SoD/yurisdiksiya/məlumat sinifinin avtomatik yoxlanılması.
3. Domen sahibi tərəfindən təsdiq + Təhlükəsizlik/Compliance (Restricted + olduqda).
4. JIT/daimi giriş (minimum dəsti).
5. Jurnallaşdırma: kim/nə vaxt/nə verildi; yenidən baxılma tarixi.

8. 2 Periodik baxış (recertification)

Rüblük: sahibləri qrupların hüquqlarını təsdiq edir; istifadə olunmayan hüquqların avtomatik geri çağırılması (> 30/60 gün).

8. 3 Məlumatların ixracı

Yalnız bəyənilmiş paylaynlar/vitrinlər vasitəsilə, ağ format siyahıları (CSV/Parquet/JSON), default maskalama, imza/hash, boşaltma jurnalı.

9) Cihaz siyasəti və kontekst

MDM/EMM: Yalnız idarə olunan cihazlardan Restricted/Highly Restricted.
Kontekst siqnalları: geo, risk-skor cihazı, günün vaxtı, MFA vəziyyəti, IP nüfuzu - ABAC atributları kimi.
Browser uzantıları/ekran tutma: nəzarət və jurnal, həssas konsollar üçün qadağa.

10) Siyasətçi nümunələri (fraqmentlər)

10. 1 YAML (psevdo) - Marketinq analitikası üçün ABAC

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL maskası (ideya)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Monitorinq, jurnallar və alertlər

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.
KRIs: 'purpose' = 0 olmadan giriş; pəncərə xaricində Highly Restricted cəhd; uğursuz SoD yoxlamalar payı; anormal boşaltma.
KPI:% JIT ilə sorğular ≥ 80%; orta giriş vaxtı ≤ 4 saat; 100% yenidən sertifikatlaşdırma əhatə edir.
SOAR pleybukları: təhdidlər zamanı avtomatik baxış, istintaq üçün biletlər.

12) Tələblərə uyğunluq (qısa kart)

GDPR/UK GDPR: minimallaşdırma, Need-to-Know, DSAR-uyğunluq, PII audit.
AML/KYC: KUS/sanksiyalara giriş - yalnız təlim keçmiş rollar üçün, həllər jurnalı.
PCI DSS (mümkünsə): ödəniş zonasının bölünməsi, PAN/CSC saxlama qadağası, fərdi açarlar/hostinq.
ISO/ISMS: rəsmiləşdirilmiş giriş siyasəti, illik audit və testlər.

13) PACI

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Siyasət və SoDA/RCCCCCC
Model RBAC/ABACCCA/RRRRC
IDM/JIT/PAMIIA/RRICI
Yenidən sertifikatlaşdırmaCCARRRR
İxrac/maskalanmaCARRRCC

14) Yetkinlik metrikası

Kritik məlumat dəsti ABAC qaydaları ilə əhatə ≥ 95%.
JIT sessiyaları/bütün hüquqların artırılması ≥ 90%.
Offboarding giriş geri çağırma vaxtı ≤ 15 dəq.
0 hadisə «rolu ≠ funksiyası» (SoD).
100% giriş jurnalları mövcuddur və təsdiqlənmişdir (imza/hash).

15) Çek vərəqləri

15. 1 Giriş verilməzdən əvvəl

  • purpose müəyyən, tarix və data sahibi
  • SoD/yurisdiksiyaların yoxlanılması keçdi
  • Minimum skupe/maskalama daxildir
  • MFA/MDM/şəbəkə şərtlərinə riayət olunur
  • Jurnallaşdırma və yenidən baxılma tarixi xüsusi

15. 2 Rüblük baxış

  • Qrupların və rolların təşkilat strukturu ilə müqayisə edilməsi
  • «Asma» hüquqların avtomatik geri çağırılması
  • Anormal ixrac və break-glass yoxlama
  • Təlim və test həyəcanları

16) Tipik ssenarilər və tədbirlər

A) Yeni «VIP-menecer» rolu

VIP profillərinə giriş (maskalı), ixrac qadağası, bilet vasitəsilə KYC-yə bir dəfəlik baxmaq üçün JIT.

B) BI Vendor Auditi

PII olmadan vitrinlərə read-only, müvəqqəti VPN + allow-list, yerli saxlama qadağası, boşaltma jurnalı.

C) DevOps prod-DB-yə təcili giriş

break-glass ≤ 30 dəq, sessiya qeydləri, pozuntular üçün DPO/Compliance, CAPA ilə post-review.

17) Tətbiqi yol xəritəsi

Həftələr 1-2: verilənlərin/sistemlərin inventarlaşdırılması, verilənlər sinifləri, baza RBAC matrisi, SoD.
Həftələr 3-4: ABAC (ilk atributlar: mühit, geo, məlumat sinfi), IDM axınları, JIT/break-glass, PAM tətbiq edin.
Ay 2: ödəniş və KYC-perimetr seqmentasiyası, fərdi açarlar/KMS, ixrac jurnalları, SOAR-alertlər.
Ay 3 +: rüblük yenidən sertifikatlaşdırma, atributların genişləndirilməsi (cihaz/risk), maskalamanın avtomatlaşdırılması, müntəzəm təlimlər.

TL; DR

Etibarlı giriş modeli = məlumat təsnifatı → RBAC + ABAC → SoD + JIT/PAM → sərt seqmentasiya → jurnallar və alertlər. Bu sızma və sui-istifadə ehtimalını azaldır, auditi sürətləndirir və platformanı GDPR/AML/PCI və daxili standartlar çərçivəsində saxlayır.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.