GH GambleHub

Audit jurnalları və giriş izləri

1) Təyinatı və tətbiq sahəsi

Məqsəd: istifadəçilərin/xidmətlərin hərəkətlərinin sübuta yetirilməsini, araşdırmaların şəffaflığını, tənzimləyicilərin və daxili standartların (GDPR/AML, PSP/KYC provayderləri ilə müqavilələr, tətbiq edildikdə ISO/PCI) tələblərinə uyğunluğunu təmin etmək.
Əhatə dairəsi: bütün produser sistemləri, platforma xidmətləri (hesab, ödənişlər, antifrod, KUS/sanksiyalar, RG), inzibati panellər, API şlüzləri, DWH/BI, infrastruktur (K8s/bulud), satıcılarla inteqrasiya.

2) Logo (hadisə sinifləri)

1. Identifikasiya və giriş: giriş/giriş, MFA, şifrə/açar dəyişikliyi, SSO, «break-glass» giriş.
2. İnzibati hərəkətlər: rolların/hüquqların, konfiqurasiyaların, antifrod/sanksiya qaydalarının, fiça bayraqlarının dəyişdirilməsi.
3. PII/maliyyə məlumatları ilə əməliyyatlar: oxu/ixrac/silmə, yükləmə, KYC-yə giriş, VIP profillərinə baxış.
4. Əməliyyatlar və pul: cash-autlar/depozitlər, ləğv etmələr, geri qaytarmalar, çarjbeklər üzrə qərarlar.
5. Komplayens/AML/KYC: skrininq nəticələri (sanksiyalar/PEP/Adverse Media), həllər (TP/FP), EDD/STR/SAR.
6. Hadisələr və təhlükəsizlik: eskalasiya, WAF/IDS qaydalarının dəyişdirilməsi, xidmətlərin təcrid edilməsi, sirlərin rotasiyası.
7. İnteqrasiya/satıcılar: API çağırışları, səhvlər, vaxtlar, ixrac, məlumatların silinməsi/geri qaytarılması.

💡 Prinsip: təhlükəsizliyə, pula, məlumatlara və uyğunluğa təsir edən hər hansı bir əməliyyat üçün kim/nə/nə vaxt/harada/niyə/nəticəni qeyd edirik.

3) Məcburi hadisə sahələri (minimum)

`event_id` (UUID), `ts_utc`, `ts_local`, `source_service`, `trace_id`/`span_id`

'actor _ type' (user/service/vendor), 'actor _ id' (sabit identifikator), 'actor _ org' (B2B olduqda)

`subject_type` (account/tx/document/dataset), `subject_id`

`action` (e. g., `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `WITHDRAWAL_APPROVE`)

`result` (success/deny/error) и `reason`/`error_code`

'ip', 'device _ fingerprint', 'geo' (ölkə/region), 'auth _ context' (MFA/SSO)

'fields _ accessed '/' scope' (PII/findata ilə işləyərkən) - maskalı

'purpose '/' ticket _ id' (əsas: DSAR, insident, tənzimləyici sorğu, əməliyyat məsələsi)

4) Dəyişməzlik və sübuta yetirilməzlik

«Qızıl» nüsxə üçün WORM-saxlama (immutable buckets/retention policies).
Kriptovalyuta/hash zənciri: dəyişmələri müəyyən etmək üçün hadisə paketlərinin dövri imzası və/və ya hash zəncirinin qurulması (hash chaining).
Sxemlərin/qaydaların dəyişdirilməsi jurnalı: sxemləri və log siyasətini versiya edirik; hər hansı bir düzəliş CAB keçir.
İki dövrəli saxlama: əməliyyat indeksi (axtarış) + arxiv/immutability.

5) Vaxt sinxronizasiyası və izləmə

Bütün mühitlərdə vahid NTP/Chrony; log - 'ts _ utc' həqiqət mənbəyi kimi.
Hər bir loqda - 'trace _ id '/' span _ id' sorğuların keçici izlənməsi üçün (xidmətlər, satıcılar və cəbhə arasında korrelyasiya).

6) Gizlilik və sirləri

Qadağandır: şifrələr, PAN/CSC ilə dolu tokenlər, tam sənəd nömrələri, «xam» biometrik.
Default maskalama: e-mail/telefon/IBAN/PAN → tokenlər/qismən ekran.
Təxəllüs: 'user _ id' → analitikada sabit token; real ID bağlamaq - yalnız qorunan konturda.
DSAR uyğunluğu: kənar PII-ləri açmadan subyekt üzrə log seçmə imkanı.

7) Saxlama vaxtı və səviyyələri (retenshn)

SinifHotWarmColdWORM/Legal Hold
PII/admin-fəaliyyət giriş30 gün6-12 ay24-36 ay5 ilə qədər/tələb
Əməliyyatlar/Finish90 gün12 ay36 ay5-10 il (AML/müqavilələr)
KUS/sanksiyalar/RER-həllər30 gün12 ay36 ay5-10 il
Hadisələr/Təhlükəsizlik30 gün6-12 ay24 ayaraşdırmalar başa çatana qədər
💡 Xüsusi tarixlər yurisdiksiyalar, lisenziyalar və müqavilələr (PSP/KYC/bulud) nəzərə alınmaqla Legal/Compliance tərəfindən təsdiq edilir.

8) Giriş və nəzarət (RBAC/ABAC)

Audit log oxu rolları idarəetmə rollarından ayrılır.
MFA və Just-in-Time access (break-glass) avtomatik geri çağırma/səbəblərin loqosu ilə.
«Minimum» siyasəti: PII/findata sahələrinə yalnız lazım olduqda və 'purpose' işarəsi ilə daxil olmaq.
İxrac/boşaltma: alıcıların və formatların ağ siyahıları; məcburi imza/hash, boşaltma jurnalı.

9) SIEM/SOAR/ETL ilə inteqrasiya

Audit hadisələrinin axını SIEM-ə korrelyasiya üçün daxil olur (e. g., kütləvi 'READ _ PII' + yeni cihazdan giriş).
SOAR pleybukları: siyasətlərin pozulması halında avto-biletlər (no 'purpose', anormal həcm, pəncərədən kənar giriş).
ETL/DWH: vitrinlər 'audit _ access', 'pii _ exports', 'admin _ changes' keyfiyyət nəzarəti və sxem versiyası ilə.

10) Data keyfiyyəti və validatorlar

Sxemlər kimi kod (JSON/Protobuf/Avro): məcburi sahələr, tiplər, lüğətlər; CI-validatorlar.
Sxem səhvləri ilə hadisələr üçün rədd və quarantine-növbə; nikah metrikası.
Deduplikasiya/idempotentlik '(event_id, trace_id, ts)'; təkrar göndərmə nəzarət.

11) RACI

TapşırıqCompliance/LegalDPOSecuritySRE/DataProduct/Eng
Siyasət və RetenshnA/RCCCI
Maskalanma/PII nəzarətCA/RRRC
İmmutability/imzalarICA/RRC
Giriş/ixracCCA/RRI
Sxemlər/validatorlarICCA/RR
Hadisələr və araşdırmalarCARRC
Satıcılar/müqavilələrA/RCCCI

12) SOP: Məlumatlara çıxışın araşdırılması

1. Tetikleyici: SIEM (anormal 'READ _ PII '/ixrac), şikayət, satıcıdan gələn siqnal.
2. Artefaktların toplanması: 'actor _ id '/' subject _ id '/' trace _ id', 'purpose' jurnalı, əlaqəli qeydlər (WAF/IdP).
3. Qanuniliyin yoxlanılması: əsasın (DSAR/hadisə/xidməti tapşırıq), koordinasiya, giriş pəncərələrinin olması.
4. Təsirin qiymətləndirilməsi: həcmi/PII kateqoriyaları, yurisdiksiya, subyektlərə risk.
5. Həll: Bridge hadisəsi (High/Critical ilə), containment (giriş geri çağırılması, açar rotasiyası).
6. Hesabat və CAPA: səbəblər, pozulmuş siyasətlər, tədbirlər (maskalanma, təlim, RBAC dəyişiklikləri), şərtlər.

13) SOP: Məlumat ixracı (tənzimləyici/tərəfdaş/DSAR)

1. Sorğu → Baza və şəxsiyyətin yoxlanılması (DSAR üçün) → DWH-də sorğunun formalaşdırılması.
2. Default anonimləşdirilməsi/minimuma endirilməsi; yalnız hüquqi əsasda PII daxil.
3. Boşaltma Generation (CSV/JSON/Parquet) → imza/hash → boşaltma jurnalına giriş (kim/nə/nə/kimə/əsas).
4. Təsdiq edilmiş kanal vasitəsilə ötürmə (sFTP/Secure link); saxlama müddəti - siyasət.
5. Post-Control: alınması təsdiq, müvəqqəti faylları silmək.

14) Metrika və KRIs/KPIs

Coverage: audit hadisələri göndərən kritik sistemlərin payı ≥ 95%.
DQ səhvləri: validator tərəfindən rədd edilən hadisələr ≤ 0. 5% axın.
MTTD axını itkisi: ≤ 15 dəq (sükutla alert).
'purpose' olmadan anormal giriş: = 0 (KRI).
İstintaqa cavab vaxtı: mediana ≤ 4 saat, P95 ≤ 24 saat.
İmza/hash ilə ixrac: 100%.
Retrenşn riayət: 99% -ə ≥ silinmə/arxiv.

15) Satıcılara və alt prosessorlara tələblər

DPA/SLA: audit-loqların təsviri (sxemlər, tarixlər, coğrafiya, ixrac formatı), WORM/immutability, SLA hadisə bildirişləri.
Vendor girişi: adlı xidmət hesabları, onların fəaliyyət jurnalları, seçici audit imkanı.
Offbording: açarların geri çağırılması, jurnalların ixracı/silinməsi, bağlanış aktı, arxa xətaların məhv edilməsinin təsdiqi.

16) Təhlükəsizlik və manipulyasiyadan qorunma

Rolların ayrılması: mənbə administrasiyası ≠ anbar administrasiyası ≠ auditor.
Agentlərin/kollektorların imzası, komponentlər arasında mTLS.
Anti-tamper nəzarət: hash müqayisəsi, mütəmadi bütövlük yoxlamaları, uyğunsuzluqlar üçün risklər.
WORM kopiyalarının geo-replikasiyası və müntəzəm bərpa testləri.

17) Standart səhvlər və anti-nümunələr

Həssas dəyərlərin loqosu (PAN/Secrets) → redaction-middleware-in dərhal daxil edilməsi.
PII-yə daxil olduqda 'purpose '/' ticket _ id' yoxdur.
«Masaüstünə» lokal boşaltma və e-mail vasitəsilə göndərmə.
Vahid sxem və validasiya olmaması → «lal» sahələr, korrelyasiya mümkün deyil.
Bir insana və ya xidmətə bağlanmadan bir super hesab.

18) Çek vərəqləri

18. 1 Siyasətin başlaması/review

  • Sxemlər və lüğətlər təsdiq; məcburi sahələr daxildir
  • Maskalanma və sirr qadağaları daxildir
  • Xüsusi NTP, 'trace _ id' hər yerdə
  • Hot/Warm/Cold/WORM layları
  • RBAC/ABAC və break-glass dizayn
  • SIEM/SOAR inteqrasiya, risklər test

18. 2 Aylıq audit

  • İxrac nümunəsi: imzalar/jurnallar doğrudur
  • Retenshn/silmə yoxlama/Legal Hold
  • Normal DQ-metrik, quarantine təhlil
  • Vendor log mövcuddur/tam

19) Tətbiqi yol xəritəsi

1-2 həftələr: sistemlərin inventarlaşdırılması, sxemlərin və məcburi sahələrin razılaşdırılması, vaxt və izləmə parametrləri.
Həftələr 3-4: maskalama, WORM qatının açılması, SIEM/SOAR ilə inteqrasiya, ixrac jurnallarının işə salınması.
Ay 2: validatorların/alertlərin avtomatlaşdırılması, araşdırma pleybukları, komandaların hazırlanması.
Ay 3 +: müntəzəm auditlər, bütövlük stress testləri, dəyər optimallaşdırılması (tiering), satıcıların/müqavilələrin yoxlanılması.

TL; DR

Güclü audit jurnalları = tam və strukturlaşdırılmış hadisələr + immutability (WORM) və imzalar + PII maskalama + sərt giriş və boşaltma jurnalı + SIEM/SOAR ilə inteqrasiya. Bu araşdırmaları sürətləndirir, riskləri azaldır və uyğunluğu sübut edir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.