GH GambleHub

İdentifikasiya auditi

1) Məqsəd və nəticə

Məqsəd: Kimin harada və niyə mövcud olduğunu müntəzəm olaraq yoxlayaraq Zero Trust prinsiplərinə və ən kiçik imtiyazlara sübuta yetiriləcək uyğunluğu təmin etmək.
Nəticə: daxili nəzarət və tənzimləyicilər üçün sübut bazası ilə rəsmiləşdirilmiş təsdiqlənmiş sahibləri, aradan qaldırılmış «asılı» girişləri ilə tam və aktual identifikasiya və hüquq reyestri.

2) əhatə dairəsi

Daxili istifadəçilər: ştat, təcrübəçilər, menecerlər, müvəqqəti rollar.
Podratçılar/tərəfdaşlar: oyun studiyaları, PSP/KYC/AML provayderləri, filiallar.
Xidmət şəxsiyyətləri: botlar, CI/CD, inteqrasiyalar, açarlar və API tokenləri.
Imtiyazlı rollar: infrastruktur idarəçiləri/BD, Payments, Risk, Trading.
Oyunçular (KYC kontekstində): Düzgün bağlama hesabatı, KYC profili, RG/AML statusları (proseslərin yoxlanılması, heç bir sənədin məzmunu).

3) Terminlər və prinsiplər

Identity (identity): atributları ilə unikal subyekt (insan/xidmət).
Entitlement (imtiyaz): resurs üçün xüsusi hüquq/rol.
JML: Joiner → Mover → Leaver - şəxsiyyətin həyat dövrü.
SoD: yüksək riskli əməliyyatlar üçün vəzifələrin ayrılması.
Least Privilege & Just-in-Time (JIT): məhdud müddətə verilən minimum hüquqlar dəsti.
Accountability: Hər bir kimliyin sahibi var, hər bir hüququn biznes əsaslandırması və müddəti var.

4) Həqiqət mənbələri və data modeli

HRIS/kadr sistemi: işçi statusunun ilkin mənbəyi (hire/move/exit).
IdP/SSO: vahid identifikasiya nöqtəsi (MFA/FIDO2), federasiya.
IAM/IGA: rollar, siyasət və resertifikasiya prosesləri kataloqu.
CMDB/Services kataloqu: giriş sistemlərinə və konturlarına sahib olmaq.
Provayder platformaları: PSP/KYC/CDN/WAF/oyun provayderləri - xarici giriş portalları.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Audit yoxlayan nəzarət

1. SSO və MFA hər yerdə (yerli hesablar və şəred hesabları olmadan).
2. RBAC/ABAC/PBAC: hüquqlar siyasətçilər tərəfindən təsvir edilmişdir (policy-as-code), rollar - tipik və razılaşdırılmış.
3. SoD: Uyğunsuz rollar və istisnalar rəsmiləşdirilmişdir.
4. JIT/PAM: bilet, sessiya qeydləri və avtomatik geri çağırış ilə müvəqqəti artımlar.
5. Sirlər/açarlar: Sirr menecerində, rotasiya və həyat müddəti ilə saxlanılır.
6. Jurnallar və sübuta yetirilebilirlik: tamper-evident, əlaqə izi kim/nə/harada/nə vaxt/nə üçün.
7. Data Access: PII maskalama, ixrac - yalnız şifrələmə və TTL ilə workflow.

6) Audit prosesi (end-to-end)

1. Hazırlıq: sistemlər üzrə hüquqların (entitlements snapshot) dondurulması; IdP/IAM/provayderlərdən yükləmə.
2. Normallaşma: kataloqdakı rolların mappinqi, deuplikasiya, resurs sahiblərinə görə qruplaşdırma.
3. Risk kateqoriyası: P1/P2 (imtiyazlı və həssas) → prioritet yoxlama.
4. Hüquqların yenidən sertifikatlaşdırılması: Sistem sahibləri hüquqları təsdiqləyir/rədd edir (access review kampaniyaları).
5. SoD yoxlaması: uyğunsuzluqların və müvəqqəti istisnaların müəyyən edilməsi (son tarixlə).
6. JML-müqayisə: hire/move/exit-in faktiki hüquqlarla (xarici portallar da daxil olmaqla) müqayisəsi.
7. Xidmət qeydləri: sahibinin olması, tokenlər qısadır, «god-scope» yoxdur.
8. Sübut bazası: artefaktlar paketinin formalaşdırılması (hesabatlar, boşaltmalar, aktlar).
9. Remediation-plan: geri çağırma/düzəliş biletləri, şərtlər və məsuliyyətli.
10. Son hesabat: risk statusu, KPI dövrü, dərslər və siyasət təkmilləşdirilməsi.

7) JML konturları (daha dərin yoxlamaq)

Joiner: əsas rolların avtomatik təyinatı, kataloq xaricində əl «əlavələri» qadağan.
Mover: komanda/yer dəyişdirilməsi → rolların avtomatik dəyişdirilməsi, köhnə imtiyazların geri çağırılması.
Leaver: X dəqiqə/saat ərzində bütün hüquqların geri çağırılması, e-poçt/VPN/provayder portallarının bağlanması, açarların və tokenlərin bağlanması.

8) Xarici asılılıqlar və portallar

PSP/KYC/AML/CDN/WAF/oyun provayderləri: hər bir hesabın sahibi, məqsədi, müddəti, MFA, ümumi hesabların qadağan edilməsi.
Müqaviləli SoD/SLA: P1 əməliyyatları üçün dual-control varlığı (ödənişlərin marşrutlaşdırılmasının, bonus limitlərinin və s. Dəyişdirilməsi).
Müntəzəm yoxlama: xarici portalların reyestri aktual istifadəçilərin siyahısı, resertifikasiya nəticələri.

9) iGaming domen xüsusiyyətləri

Payments & Risk: ayrı-ayrı SoD filialları; limit/routing dəyişiklikləri üçün ərizə; əl düzəlişlərinin auditi.
Trading/əmsalları: simulyasiya üçün qum qutuları, fərdi nəşr rolları, sürətli geri dönüş; dəyişiklik jurnalı.
Responsible Gaming/KYC/PII: ciddi ixrac nəzarət, BI maskalama, SLA tənzimləyici sorğu emalı.
Affiliates və Streamers: PII-yə çıxışı olmayan məhdud hesabat portalları.

10) Kod kimi siyasət (PaC)

Repositor siyasətləri (Rego/YAML), PR review, testlər.
allow/deny həllərindəki dinamik kontekst: mühit (prod), vaxt, məkan, əməliyyatın kritikliyi, KRI siqnalları (məsələn, həssas hərəkətlərin artması).
JIT artımlarında bir biletə və hədəfə məcburi bağlanma.

11) Jurnallar və sübuta yetirilebilirlik

Hadisələr zənciri: admin-konsol/IdP → API → DB → xarici provayderlər.
Tamper-evident: WORM/immutable-saxlama, imza qeydləri, ciddi TTL.
Axtarış və cavab: Daxili/xarici sorğulara cavab SLA (audit, tənzimləyici, bank/tərəfdaş).

12) Metrika və KPI/KRI

KPI:
  • Vaxtında təsdiqlənmiş hüquqların payı (resertifikasiya), vaxtı keçmiş kampaniyaların% -i.
  • İşdən çıxarılmadan tam hüquqların ləğvinə qədər (MTTR-leaver).
  • Daimi imtiyazlara qarşı JIT artımlarının payı.
  • Bir dövr ərzində aradan qaldırılmış SoD münaqişələrinin sayı.
  • Örtülmüş sistemlərin və xarici portalların tamlığı.
KRI:
  • Həssas hərəkətlərin qaynaqları (ixrac PII, PSP dəyişiklikləri).
  • İstifadə olunmayan hüquqlar> N gün.
  • Post-audit olmadan Break-glass.
  • Sahibi/məqsədi/müddəti olmayan hesablar.

13) Yol xəritəsi (8-12 həftə)

Ned. 1-2: şəxsiyyət və sistemlərin inventarlaşdırılması (xarici portallar daxil olmaqla), rol kataloqu və SoD matrisi.
Ned. 3-4: Hər yerdə SSO/MFA bağlantısı, vahid entitlements toplama, ilk snapshot hesabatları.
Ned. 5-6: GA-resertifikasiya kampaniyalarının başlaması (P1/P2 prioritet), Leaver avtomatik geri çağırılması.
Ned. 7-8: Prod-konturlar üçün JIT/PAM, sessiyaların qeydləri, provayderlərdən shared-hesabların qadağan edilməsi.
Ned. 9-10: PaC: əsas siyasətlərin rəsmiləşdirilməsi (ixrac PII, PSP-routing, buraxılışlar), vahid siyasət testləri.
Ned. 11-12: KPI/KRI daşbordları, rüblük dövrlər qaydaları, komplayens/tənzimləyicilər üçün hesabatlar.

14) Artefakt şablonları

Role Catalog: rolu, təsviri, minimum imtiyazları, sahibi, tətbiqi (tenant/region/mühit).
SoD Matrix: uyğun olmayan rollar/əməliyyatlar, istisnalar, son tarix və istisnaların sahibi.
Access Review Pack: hüquqların təsdiqi vərəqəsi, şərhlər, nəticə (approve/revoke/mitigate).
Service Account Register: məqsəd, sahibi, ömrü, alış-veriş, gizli saxlama yeri, rotasiya cədvəli.
External Portals Inventory: sistem, əlaqə, istifadəçi siyahısı, MFA, son resertifikasiya tarixi.
Evidence Checklist: hansı boşaltmalar/qeydlər və audit üçün hansı formatda saxlanılır.

15) Antipattern

Ümumi qeydlər və «həmişəlik».
IdP/IGA-dan yan keçərək hüquqların əl ilə verilməsi.
Son tarix olmadan SoD və ya «müvəqqəti istisnalara» icazə verilmir.
Rotasiya/sahibsiz xidmət tokenləri.
workflow və şifrələmə olmadan «məktub» PII ixrac.
Heç bir xarici portal auditi (PSP/KYC/oyun provayderləri).

16) Tez-tez aşkar edilmiş audit və sürətli düzəliş

İşdən çıxarılanlar/podratçılar arasında asma girişlər: HR (Leaver) hadisələri üzrə avto-rəyi daxil edin.
Həddindən artıq hüquqlu rollar: kiçik və ABAC atributları bağlamaq.
Şəred-hesablar: fərdi + MFA-ya miqrasiya, nadir vəzifələr üçün müvəqqəti rolların verilməsi.
Uzun ömürlü sirlər: qısa ömürlü tokenlərə/sertifikatlara və planlı rotasiyaya keçid.

17) Hadisə-menecment bağlama

Giriş komponenti ilə hər hansı bir hadisə → Risklər və siyasətlər reyestrinin məcburi yenilənməsi, təsirlənmiş rolların nöqtəli resertifikasiyası, action items (və şərtləri) ilə post-mortem.

Yekun

İdentifikasiya auditi təkrarlanan, avtomatlaşdırılmış bir dövrdür: şəxsiyyət və hüquqların tam reyestri → risk yönümlü resertifikasiya → sərt JML və JIT/PAM → siyasət kimi kod və sübut edilə bilən audit → çevrim nəticələrinə görə təkmilləşdirmə. Bu kontur sui-istifadə və səhv ehtimalını azaldır, araşdırmaları sürətləndirir, tələblərə uyğunluğu gücləndirir və iGaming platformasının əsas iş əməliyyatlarını qoruyur.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.