数据访问控制

1）为什么是iGaming

风险和监管：PII/财务，跨界，RG/AML要求。
速度和信任：安全的自助分析和ML，没有手动的"赠品"。
审计和责任："谁看到了什么，为什么"，最低权利原则的可证明性。

2）基本原则

1.Least Privilege-只有合适的时间。
2.Segregation of Duties（SoD）-批准访问≠开发人员；分析师≠数据所有者。
3.Just-in-Time （JIT）-临时、自动撤销的权利。
4.Defense in Depth-分层保护：网络→服务→表→栏→行→单元格。
5.Policy-as-Code-代码/存储库中的访问和掩码,通过PR进行咆哮。
6.Provenance-aware-解决方桉依赖于目录、线性、分类和合同。

3）数据分类

课程：Public/Internal/Confidential/Restricted（PII/财务）。
图和目录中的标签是："pii"，"financial"，"tokenized"，"masking"，"rle"（排名），"cle"（小号），"geo=EU/TR/……"，"tenant"。

• 受限制：代币/口罩无处不在；仅在申请的"清洁区"中进行分解。
• 机密：使用默认掩码进行访问；通过理由和JIT卸下口罩。
• 内部/公共：按域角色,没有PII。

4）授权模式

RBAC（basir角色。）*快速启动，角色目录（"Marketing-Analyst","Risk-Ops"）。
ABAC（basir属性。）*国家、品牌、环境（prod/stage）、项目、加工目标、时间、风险水平。
ReBAC（通过关系）："集合所有者"，"域的堆栈"，"咆哮者"。
Hybrid：RBAC作为框架，ABAC澄清边界。

5）访问粒度

网络/ingress： mTLS, allow-list, private links.

服务/群集：IAM角色，具有最小权限的服务帐户。
存储：目录/电路/表（GRANT），排级安全（RLS），色标安全（CLS）。
掩码/令牌化：SQL/BI中的动态掩码；代币而不是PII。
Fichestor/ML：仅访问聚合/允许的聚合；特征策略（allow/deny）。
文件/对象：与TTL的签名前链接、加密和下载策略。

6）关键域的模式

KYC/AML：CLS（仅可见令牌），操作员国家/地区的RLS；DPO/Legal通过JIT进行检测。
付款：受限制，FLE+代币，通过JIT访问Risk/Payments-Ops；可审核的卸载。
游戏活动：内部/机密，按品牌/地区/特南特RLS，CLS供user_id。
响应游戏：RG命令访问单元；个桉-通过申请。
BI/ML：没有PII的"黄金"店面；ML是允许的幻灯片列表，这是有争议的借口日志。

7）访问程序

7.1请求→同意→供应

申请表：目标、范围、期限、角色、ABAC属性、集合所有者。
自动反驳：数据类,SoD,培训完成了吗?利益冲突？

RACI: Owner (R), Steward (C), DPO/Sec (A/C), IT/IAM (R).

7.2 JIT и break-glass

JIT：15分钟/2小时/1天，带自动召回；延期-根据新的申请。
破玻璃：用于事件；个别角色/密钥、强化审核、后验收是强制性的。

7.3定期咆哮

季度访问审查：域所有者确认角色/属性。
自动停用"被遗忘"的可用性（30/60天不使用）。

8）技术机制

Catalog&Contracts：关于所有者、阶级、口罩的真相来源。
策略引擎：ABAC/Row/Column策略的ORA/等效项。
数据掩码：DWH/BI中的动态掩码；手机/电子邮件口罩格式保险箱。
Tokenization: vault/FPE;仅在"清洁区域"中进行分解。
Secrets&PAM： Secret-Manager, JIT会话,记录用于管理访问的屏幕。
Audit&SIEM：不变逻辑（WORM）,访问事件与会话和卸载的相关性。
Geo/tenant隔离器：fiz/逻辑分离（电路、目录、群集、加密密钥）。

9) Consent & DSAR

访问会考虑玩家的同意（marketing=off →隐藏营销属性）。
DSAR按钮：通过令牌查找/卸载/卸载；整个行动的基准；法律保留被考虑在内。

10）监控和SLO

Access SLO： p95 JIT访问发布时间（例如,≤ 30分钟）。
记录中的Zero-PII：100％没有PII的事件。
Anomaly rate：在SELECT或非典型的JOIN激增到Restricted时的异常值。
Review Coverage： ≥ 95%的角色按时咆哮。
Mask Hit-Rate：面具/令牌工作的查询比例。
Detokenization MTTR：处理有效申请的平均时间。

11）模板

11.1访问策略（片段）

原则：least privilege+SoD+JIT。
角色：任务描述/展示的角色目录。
ABAC属性："乡村"，"品牌"，"env"，"purpose"，"retention"。
口罩/令牌：默认情况下,在Confidential/Restricted上处于活动状态。
Review：四分之一；自动召回"被遗忘"的可用性。
违规行为：封锁，调查，培训。

11.2申请表格

谁：FIO/团队/经理。

什么： 集合/表/店面/fichi.

为什么：目标，预期结果/度量标准。
多久：时限/时间表。
数据类：（从目录自动完成）。
标题：所有者/Steward，DPO或Sec（如果受限制）。

11.3角色目录（示例）

Marketing-Analyst：内部/机密营销展示；没有排毒；按品牌划分的RLS。
Risk-Ops：受限制的蒙面付款；JIT进行分解；仅通过"白色"模式导出。
RG-Team： RG单元,通过申请访问桉例。
DS/ML：fichestor（allow-list fich），没有PII的sandbox。

12）实施路线图

0-30天（MVP）

1.图中的数据和标签分类。
2.角色目录+基本ABAC属性（国家/品牌/env）。
3.机密/受限的默认掩蔽/令牌化。
4.JIT流程和审计日志；破玻璃法规。
5.RLS/CLS用于支付，KYC，游戏事件；Restricted的"SELECT"禁令。

30-90天

1.CI中的Policy-as-Code（查询linter，违规时块）。
2.与Consent/DSAR的集成；访问SLO报告。
3.季度访问评论；自动停用。
4.用于管理层访问的PAM；会议记录；超时拳击。

3-6个月

1.Geo/tenant隔离，按司法管辖区单独加密密钥。
2.基于实际查询的自动角色推荐（基于用户）。
3.行为访问分析（反异常），SOAR花花公子。
4.流程认证和外部审计。

13）反模式

所有人的"超级用户"-没有SoD和JIT。
通过受控通道外的文件/屏幕截图解散数据。
RLS/CLS只是"纸上"-在BI中关闭口罩。
没有权利和自动召回的咆哮；"永恒"的访问。
目录/合同没有更新-访问规则已过时。
无需审核即可在"方便"应用程序中进行排毒。

14） RACI（示例）

策略/体系结构：CDO/CISO（A），DPO（C），SecOps（R），数据平台（R）。
可用性：IAM/IT（R），Owners（A/R），Stewards（C），经理（I）。
审计/评论：所有者（R），DPO/Sec（A），内部审计（C）。
事件：SecOps（R），法律/PR（C），域（R）。

15）相关部分

数据管理，数据令牌化，数据安全和加密，数据来源和路径，道德/DSAR，保密ML，联合学习。

底线

访问控制是来自策略，属性和自动化的系统，可为团队提供正确的数量和时间，从而保持完整的可跟踪性。在iGaming中，它是对度量标准，事件抵抗力和决策速度的信心的基础。