GH GambleHub

Minimum tələb olunan hüquqlar prinsipi

1) Məqsəd və tərif

Məqsəd: istifadəçiyə/xidmətə yalnız müəyyən bir tapşırığın yerinə yetirilməsi üçün ciddi tələb olunan resurslara minimum kifayət qədər müddətə və minimum həcmdə icazə vermək.
Tərifi: «minimum enlik (resurslar), dərinlik (əməliyyatlar), vaxt (TTL), kontekstə (geo/cihaz/dəyişiklik), həssaslıq (PII/maliyyə)».

2) Həyata keçirilməsinin əsas prinsipləri

1. Need-to-Know: Hər hüquq xüsusi purpose (əsas) ilə bağlıdır.
2. Time-Bound: artan hüquqlar TTL (JIT) ilə verilir; daimi hüquqlar - yalnız read/masked.
3. Scope-Bound: icarə/region/marka/layihə (tenant/region scoping) üzrə giriş məhduddur.
4. Data-Minimization: PII default maskalı; de-mask - yalnız açıq əsasda.
5. Traceability: hər hansı bir giriş → jurnal + 'purpose '/' ticket _ id'.
6. Revocability: sürətli geri çağırış (offboarding ≤ 15 dəqiqə, JIT - avtomatik geri çağırış).

3) Digər nəzarət ilə əlaqə

RBAC: prinsipcə kim təyin edə bilər (əsas rol).
ABAC: hansı şəraitdə (geo, cihaz/MDM, vaxt, KYC səviyyəsi, risk) aydınlaşdırır.
SoD: təhlükəli rol kombinasiyasını qadağan edir, həssas hərəkətlər üçün 4 gözlər tələb edir.
Seqmentasiya: şəbəkə/məntiqi perimetrlər (ödəniş, KYC, DWH, sirlər).
PAM/JIT/break-glass: müvəqqəti imtiyazların təhlükəsiz verilməsi və qeyd edilməsi.

4) Resursların və əməliyyatların təsnifatı

Verilənlər sinfiNümunələrMinimum səviyyə
Publicsaytın məzmunuicazəsiz
InternalPII olmadan metriklərSSO, read-only
ConfidentialDWH hesabatları/aqreqatlarıSSO + MFA, «viewer_...» rolları
Restricted (PII/maliyyə)KYC/AML, əməliyyatlar, RGmasked-read, maskasız üçün JIT
Highly Restrictedsirləri, inzibati konsol, PANPAM, qeyd sessiyaları, izolyasiya

Əməliyyatlar: 'READ', 'MASKED _ READ' (PII üçün default), 'WRITE' (scoped), 'APPROVE _' (4-eyes), 'EXPORT' (yalnız vitrinlər vasitəsilə, imza/jurnal).

5) Hüquq mühəndisliyi «problemdən girişə»

1. User Story → Purpose: «Analitik PII olmadan AB dönüşüm hesabat qurmaq lazımdır».
2. Resursların siyahısı: 'agg _ conversions _ eu' vitrin.
3. Əməliyyat: 'READ' (PII olmadan), qadağan 'EXPORT _ RAW'.
4. ABAC konteksti: iş saatları, corp-VPN/MDM, region = EU.
5. TTL: daimi masked-read; Bir dəfəlik maskalanma üçün JIT (lazım olduqda).
6. Jurnallar: 'READ '/' EXPORT' s 'purpose' və 'fields _ scope'.

6) Maskalanma və seçmə maskalanma

E-mail/telefon/IBAN/PAN default maskalanması;

Maskasız giriş ('pii _ unmask') - yalnız JIT + 'purpose' + domen sahibinin təsdiqi/Compliance;

Hesabatlarda - aqreqatlar/k-anonimlik, «kiçik seçicilərin» qadağan edilməsi (privacy thresholds).

7) Müvəqqəti imtiyazlar: JIT və break-glass

JIT: 15-120 dəqiqə, bilet altında, avtomatik geri çağırma, tam audit.
Break-glass: təcili giriş (MFA + ikinci təsdiq, sessiya qeydləri, post-review Security + DPO).
PAM: Secrets Safe, Seans Proxy, imtiyazların rotasiyası.

8) Proseslər (SOP)

8. 1 Giriş (IDM/ITSM)

1. 'purpose', resursları, TTL/sabitlik ilə müraciət.
2. SoD/yurisdiksiya/məlumat sinfi/kontekstlərin avtomatik yoxlanılması.
3. Domen sahibinin təsdiqi; для Restricted+ — Security/Compliance.
4. Minimum yığımın verilməsi (tez-tez masked-read).
5. Hüquqların reyestrinə qeyd: yenidən baxılma tarixi, SLA geri çağırılması.

8. 2 Yenidən sertifikatlaşdırma (quarterly)

Domen sahibi hər rolu/qrupu təsdiqləyir; istifadə olunmayan hüquqlar (> 30/60 gün) - avtomatik geri çağırma.

8. 3 Məlumatların ixracı

Yalnız təsdiqlənmiş vitrinlər vasitəsilə; ağ format siyahıları; imza/hash; boşaltma jurnalı; PII - default anonimdir.

9) Satıcıların/subprosessorların nəzarəti

Minimum API skopları, fərdi per inteqrasiya açarları, IP allow-list, vaxt pəncərələri.
DPA/SLA: rollar, giriş jurnalları, retenshn, coğrafiya, hadisələr, alt prosessorlar.
Offbording: açarların geri çağırılması, silinmə təsdiqi, bağlanış aktı.

10) Audit və monitorinq

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: «purpose» olmadan giriş, anormal həcmlər, vaxt pəncərəsindən çıxış/geo, SoD pozuntusu.
WORM: jurnalların dəyişməz surəti + hash zəncirləri/imzalar.

11) Yetkinlik metrikası (KPI/KRI)

Coverage: RBAC/ABAC altında kritik sistemlərin% ≥ 95%.
Masked Reads Ratio: ≥ 95% PII müraciətləri maskalanmışdır.
JIT Rate: ≥ 80% hüquq artımları JIT kimi gedir.
Offboarding TTR: hüquqların geri çağırılması ≤ 15 dəq.
Exports Signed: 100% ixrac imzalanmış və çap edilmişdir.
SoD Violations: = 0; cəhdlər - avto-blok/bilet.
Dormant Access Cleanup: ≥ 98% «asılı» hüquqlar 24 saat ərzində silinir.

12) Tipik ssenarilər

A) VIP müştəri üçün bir dəfəlik KYC baxış

Əsas: masked-read VIP menecerində.
Fəaliyyət: JIT-giriş 'pii _ unmask' 30 dəq biletlə, sahə qeydləri/skrin-log, post-review.

B) Mühəndis prod-DB-yə çıxış lazımdır

Yalnız PAM + JIT vasitəsilə ≤ 60 dəq, qeyd sessiyası, PII, post-review və pozuntular zamanı CAPA-da «SELECT» qadağası.

C) Ölkə üzrə kəsmə ilə BI hesabatı

PII olmadan aqreqatlara giriş; ABAC filter: 'region in [EEA]', corp-VPN/MDM, saat 08: 00-21: 00.

13) Anti-nümunələr və onlardan necə qaçmaq olar

«Superroll «/limitsiz miras → domen rolları parçalayın, ABAC daxil.
«Hər ehtimala qarşı» daimi imtiyazlar → JIT + avtomatik geri çağırma.
dev/stage → təxəllüs/sintetika prod-data kopyalama.
Vitrinlər xaricində PII ixracı → ağ siyahılar, imza, jurnal, maskalanma.
Yox 'purpose' → sərt blok və avto-bilet.

14) RACI (böyük)

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Least Privilege SiyasətiA/RCCCCCC
RBAC/ABAC/JIT dizaynCCA/RRRRC
Yenidən sertifikatlaşdırmaCCARRRR
İxrac/maskalanmaCARRRCC
Satıcılar/müqavilələrA/RCCCIII

15) Çek vərəqləri

15. 1 Giriş verilməzdən əvvəl

  • 'purpose' və TTL tərəfindən göstərilmişdir
  • SoD/yurisdiksiyaların yoxlanılması keçdi
  • Default Maskalama, Minimal Scope
  • ABAC şərtləri: şəbəkə/cihaz/vaxt/region
  • Jurnallaşdırma və yenidən baxılma tarixi xüsusi

15. 2 Rüblük

  • Rolların/qrupların təftişi, «asma» hüquqların avtomatik geri çağırılması
  • Anormal ixrac və break-glass yoxlama
  • Təsdiqlənmiş Privacy/Security Training

16) Tətbiqi yol xəritəsi

Həftələr 1-2: verilənlərin/sistemlərin inventarlaşdırılması, təsnifat, əsas rol matrisi, default maskalamanın daxil edilməsi.
3-4 həftələr: ABAC (çərşənbə/geo/MDM/vaxt), JIT və PAM, ağ ixrac siyahıları, 'purpose' jurnalları.
Ay 2: offboarding avtomatlaşdırılması, SOAR-alertlər ('purpose '/anomaliyalar olmadan), rüblük yenidən sertifikatlaşdırma.
Ay 3 +: atributların genişləndirilməsi (CUS səviyyəsi/cihaz riski), privacy thresholds, müntəzəm tabletop təlimləri.

TL; DR

Least Privilege = minimum yığma + PII maskalama + ABAC konteksti + JIT/PAM + sərt audit və sürətli geri çağırış. Giriş idarə olunur, sızma/saxtakarlıq riskini azaldır və auditlərin keçməsini sürətləndirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.