GH GambleHub

Vəzifə bölgüsü və giriş səviyyələri

1) Məqsədlər və prinsiplər

Məqsədlər:
  • kritik əməliyyatlar üzərində tək nəzarəti istisna etmək (pul/PII/uyğunluq),
  • saxtakarlıq/səhv riskini azaltmaq,
  • tənzimləyicilər və daxili auditlər üçün yoxlanılabilirliyi təmin edin.

Prinsiplər: Zero Trust· Least Privilege· Need-to-Know· SoD (4-eyes)· Traceability· Revocability (sürətli geri çağırış).

2) Məlumatların təsnifatı və giriş səviyyələri

SinifNümunələrƏsas giriş tələbləri
Publicsaytın məzmunuicazəsiz
InternalPII olmadan əməliyyat göstəriciləriSSO, rolu read-only
ConfidentialDWH hesabatları (aqreqatlar)SSO + MFA, təsdiq qrupları
Restricted (PII/maliyyə)KYC/AML, əməliyyatlar, RG siqnallarıABAC + JIT, sahə jurnalı, WORM-log
Highly Restrictedsirləri, inzibati konsollar, ödəniş perimetriPAM, qeydə alınmış sessiyalar, təcrid olunmuş şəbəkələr
💡 Sinif/RoPA məlumat kataloqunda qeyd olunur və şifrələmə, retenshn və ixrac siyasətinə bağlıdır.

3) Model hüquqları: RBAC + ABAC

RBAC: domen rolları (Support, VIP, Payments, AML, KYC, FRM, BI, DevOps, DPO, Legal).
ABAC: kontekst atributları (mühit, coğrafiya, məlumat sinfi, cihaz/MDM, vaxt, KYC səviyyəsi, giriş məqsədi 'purpose', cihaz riski).

ABAC şərtləri nümunəsi: BI analitiki yalnız PII olmadan, yalnız korporativ şəbəkədən/MDM-dən, həftə içi saat 08: 00-21: 00-da aktiv məxfilik təlimi olduqda oxuya bilər.

4) SoD - uyğun olmayan funksiyaların matrisi

FunksiyaIcazə verildiUyğunsuz (bölmə tələb/4-eyes)
Paymentstapıntıları təsdiqləməkanti-frod qaydalarını və ya VIP limitlərini dəyişdirin
Anti-Fraud (FRM)qaydaları dəyişdirmək, hold qoymaqöz cashauts/chargeback həll təsdiq
Compliance/AMLEDD/STR/SAR, KYC oxutam DWH/xam log ixrac
Support/VIPprofil baxmaq (maskalı)KOS sənədlərinə/xam əməliyyatlara giriş
Data/BIaqreqatlar/anonimləşdirməPII-yə 'purpose' olmadan baxın
DevOps/SREinfrastrukturun idarə edilməsiPII ilə biznes cədvəlləri oxumaq
Developersstage/dev, loi (maskir.) prod-PII
DPO/Privacyaudit, PII jurnallarıProd hüquqlarının dəyişdirilməsi
💡 Pul/PII/sanksiyalara təsir edən hər hansı bir əməliyyat iki dövrəli təsdiqdən keçir (təşəbbüskar ≠ təsdiq edən).

5) Giriş səviyyələri və növləri

Read-only/Masked Read: BI/Support üçün default.
Scoped Write: xidmət/tənzimləmə daxilində dəyişikliklər (məsələn, case qeydləri daxil).
Privileged Admin: yalnız PAM vasitəsilə (parol seyf, sessiya proxy, sessiya qeydləri, sirlərin rotasiyası).
API/Service Accounts: minimum skoplar, fərdi per inteqrasiya açarları, mTLS.

6) JIT и break-glass

JIT (Just-in-Time): müvəqqəti hüquqların artırılması (15-120 dəq) xüsusi bilet, avtomatik geri çağırış, məcburi 'purpose'.
Break-glass: MFA + ikinci təsdiqi ilə təcili giriş, sessiyanın qeydləri, post-review Security + DPO, pozuntular zamanı hadisənin avtomatik yaradılması.

7) Proseslər (SOP)

7. 1 Sorğu/Giriş dəyişikliyi (IDM/ITSM)

1. 'purpose', tarix və məlumat sahibi ilə müraciət.
2. SoD/data sinfi/yurisdiksiyanın avtomatik yoxlanması.
3. Domen sahibi + Təhlükəsizlik təsdiq (Restricted + üçün).
4. JIT/Daimi Giriş (Minimum Kupe).
5. Hüquqların reyestrinə qeyd (yenidən baxılma tarixi, SLA geri çağırılması).

7. 2 Hüquqların yenidən sertifikatlaşdırılması

Rüblük sahiblər qrupların/istifadəçilərin hüquqlarını təsdiqləyirlər.
Istifadə olunmayan hüquqların avtomatik geri çağırılması (> 30/60 gün).

7. 3 Məlumatların ixracı

Yalnız təsdiq edilmiş vitrinlər/paylaynlar vasitəsilə; default maskalama; alıcıların/formatların ağ siyahıları; imza/hash; boşaltma jurnalı.

8) Satıcıların/tərəfdaşların nəzarəti

Ayrı-ayrı B2B tenantları, minimal API skupları, IP allow-list, vaxt pəncərələri.
DPA/SLA: giriş qeydləri, saxlama müddəti, coğrafiya, hadisələr, alt prosessorlar.
Offbording: açarların geri çağırılması, silinmə təsdiqi, bağlanış aktı.

9) Təhlükəsizlik və komplayens ilə inteqrasiya

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: anormal həcmlər/' purpose 'olmadan giriş/pəncərə çıxışı/geo.
GDPR/AML/PCI: Need-to-Know, DSAR-uyğunluq, ödəniş perimetri bölünməsi, jurnallar üçün WORM.

10) Nümunə siyasəti (fraqmentlər)

10. 1 VIP menecer siyasəti

Maskalı profil görünüşü, ixrac qadağası, bilet vasitəsilə KYC tək görünüşü üçün JIT.

10. 2 Marketinq analitikası üçün siyasət

Yalnız PII olmadan aqreqatlar; MDM cihazından iş saatlarına razılıq olduqda giriş (CMP bayrağı).

10. 3 Psevdo-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
SoD siyasətləri/giriş səviyyələriA/RCCCCCC
RBAC/ABAC dizaynCCA/RRRRC
JIT/PAM/break-glassIIA/RRICI
Yenidən sertifikatlaşdırmaCCARRRR
İxrac/maskalanmaCARRRCC

12) Metrika və KRIs/KPIs

Coverage ABAC: Atribut qaydaları altında kritik dəstlərin 95% -ni ≥.
JIT-rate: ≥ 80% hüquq artımları JIT kimi gedir.
Offboarding TTR: ≤/deaktivasiyadan sonra 15 dəq.
'purpose' olmadan anormal giriş: = 0 (KRI).
Quarterly recertification: 100% rolları/qrupları təsdiq edilmişdir.
Export compliance: 100% ixrac imzalanmış/pozulmuş.

13) Çek vərəqləri

13. 1 Giriş verilməzdən əvvəl

  • Müəyyən 'purpose', son tarix, məlumat sahibi
  • SoD/yurisdiksiya/data sinfi yoxlama keçdi
  • Minimum scope + maskalama daxildir
  • MFA/MDM/şəbəkə şərtlərinə riayət olunur
  • Xüsusi jurnallar və baxış tarixi

13. 2 Rüblük təftiş

  • Qrupları/rolları təşkilat strukturu ilə müqayisə edin
  • İstifadə olunmayan hüquqları ləğv edin
  • Break-glass və böyük ixracatı yoxlayın
  • Təlim təsdiq (privacy/security)

14) Tipik ssenarilər və tədbirlər

A) Mühəndis prod-DB-yə müvəqqəti giriş lazımdır

JIT 30-60 min, PAM, post-review, CAPA pozuntular vasitəsilə qeyd sessiya.

B) Yeni affiliat oyunçuların boşaldılmasını xahiş edir

Yalnız aqreqatlar/anonimləşdirmə; əgər PII - müqavilə, hüquqi əsas, ağ sahə siyahısı, jurnal/imza, məhdud istinad müddəti.

C) VIP meneceri KYC sənədlərini görmək istəyir

Birbaşa giriş qadağası; AML/KYC vasitəsilə sorğu, JIT vasitəsilə tək emissiya, tam log sahələri.

15) Tətbiqi yol xəritəsi

Həftələr 1-2: sistemlərin/məlumatların inventarlaşdırılması, təsnifat, əsas RBAC matrisi, ilkin SoD cədvəli.
Həftələr 3-4: ABAC (mühit/geo/sinif/MDM), JIT və break-glass tətbiqi, PAM başlanğıcı, ixrac jurnalları.
Ay 2: COP/ödəniş perimetri seqmentasiyası, ayrı-ayrı açarlar/KMS, SoD/ABAC pozuntuları üçün SOAR-alertlər.
Ay 3 +: rüblük yenidən sertifikatlaşdırma, atributların genişləndirilməsi (cihaz riski/vaxt), maskalanma avtomatlaşdırılması, müntəzəm tabletop təlimləri.

TL; DR

Etibarlı giriş modeli = məlumatların təsnifatı → RBAC + ABAC → 4 gözlü SoD → JIT/PAM və sərt audit → müntəzəm yenidən sertifikatlaşdırma və ixrac nəzarəti. Bu sui-istifadə ehtimalını azaldır və auditlərin/tənzimləmə yoxlamalarının keçməsini sürətləndirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.