GH GambleHub

Prüfprotokolle und Zugangsspuren

1) Zweck und Anwendungsbereich

Zweck: Sicherstellung der Nachweisbarkeit der Handlungen der Nutzer/Dienste, Transparenz der Untersuchungen, Einhaltung der Anforderungen der Regulierungsbehörden und interner Standards (GDPR/AML, Verträge mit PSP/KYC-Anbietern, ISO/PCI, sofern anwendbar).
Abdeckung: alle Prod-Systeme, Plattform-Services (Konto, Zahlungen, Betrugsbekämpfung, CUS/Sanktionen, RG), Admin-Panels, API-Gateways, DWH/BI, Infrastruktur (K8s/Cloud), Vendor-Integrationen.

2) Was zu protokollieren ist (Ereignisklassen)

1. Identifikation und Zugang: Login/Logout, MFA, Passwort-/Schlüsselwechsel, SSO, „break-glass“ Zugang.
2. Administrative Aktionen: Änderungen an Rollen/Rechten, Konfigurationen, Anti-Fraud/Sanktionsregeln, Ficha-Flags.
3. Operationen mit PII/Daten: Lesen/Exportieren/Löschen, Hochladen, KYC-Zugriff, Anzeigen von VIP-Profilen.
4. Transaktionen und Geld: Cash Outs/Einzahlungen, Stornierungen, Rückerstattungen, Chargeback-Entscheidungen.
5. Compliance/AML/KYC: Screening-Ergebnisse (Sanktionen/PEP/Adverse Media), Entscheidungen (TP/FP), EDD/STR/SAR.
6. Vorfälle und Sicherheit: Eskalationen, Änderungen der WAF/IDS-Regeln, Isolation von Diensten, Rotation von Geheimnissen.
7. Integrationen/Anbieter: API-Aufrufe, Fehler, Timeouts, Exporte, Lösch-/Rückgabebestätigungen.

💡 Prinzip: Wir erfassen wer/was/wann/wo/warum/das Ergebnis für jeden Vorgang, der Sicherheit, Geld, Daten und Compliance betrifft.

3) Pflichtfelder der Veranstaltung (Minimum)

`event_id` (UUID), `ts_utc`, `ts_local`, `source_service`, `trace_id`/`span_id`

'actor _ type' (user/service/vendor), 'actor _ id' (persistent identifier), 'actor _ org' (falls B2B)

`subject_type` (account/tx/document/dataset), `subject_id`

`action` (e. g., `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `WITHDRAWAL_APPROVE`)

`result` (success/deny/error) и `reason`/`error_code`

"ip", "device _ fingerprint'," geo "(Land/Region)," auth _ context "(MFA/SSO)

'fields _ accessed '/' scope' (beim Arbeiten mit PII/Findans) - maskiert

'purpose '/' ticket _ id' (Basis: DSAR, Incident, Regulation Request, Operating Task)

4) Unveränderlichkeit und Nachweisbarkeit

WORM-Speicher für die „goldene“ Kopie (immutable buckets/retention policies).
Crypto Subscription/Hash Chain: Periodische Signierung von Ereignispaketen und/oder Aufbau einer Hash Chain (Hash Chaining) zur Identifizierung von Modifikationen.
Schema/Regeländerungsprotokoll: Wir versionieren Schemas und Protokollierungsrichtlinien; alle Bearbeitungen werden von CAB durchgeführt.
Zweikreisspeicherung: operativer Index (Suche) + Archiv/immutability.

5) Zeitsynchronisation und Ablaufverfolgung

Ein einziges NTP/Chrony in allen Umgebungen; in logs - 'ts _ utc' als Quelle der Wahrheit.
In jedem Log steht 'trace _ id '/' span _ id' für die End-to-End-Abfrageverfolgung (Korrelation zwischen Diensten, Anbietern und Front).

6) Privatsphäre und Geheimnisse

Verboten: Passwörter, Token, vollständige PAN/CSC, vollständige Dokumentnummern, „rohe“ Biometrie.
Standard-Maskierung: E-Mail/Telefon/IBAN/PAN → Token/Teilanzeige.
Pseudonymisierung: „user _ id“ → stabiles Token in der Analytik; an eine reale ID binden - nur in einer geschützten Schleife.
DSAR-Kompatibilität: Möglichkeit, Protokolle selektiv nach Subjekt zu extrahieren, ohne fremde PIIs offenzulegen.

7) Aufbewahrungsfristen und Niveaus (retention)

KlasseHotWarmColdWORM/Legal Hold
Zugriff auf PII/Admin-Aktionen30 Tage6-12 Monate24-36 Monatebis 5 Jahre/auf Anfrage
Transaktionen/Finallösungen90 Tage12 Monate36 Monate5-10 Jahre (AML/Verträge)
CUS/Sanktionen/RER-Beschlüsse30 Tage12 Monate36 Monate5-10 Jahre
Vorfälle/Sicherheit30 Tage6-12 Monate24 MonateBis zum Abschluss der Untersuchungen
💡 Spezifische Fristen werden von Legal/Compliance unter Berücksichtigung von Jurisdiktionen, Lizenzen und Verträgen (PSP/KYC/Cloud) genehmigt.

8) Zugang und Kontrolle (RBAC/ABAC)

Die Leserollen der Prüfungsprotokolle sind von den Administratorrollen getrennt.
MFA und Just-in-Time-Zugang (break-glass) mit Auto-Response/Ursachenprotokollierung.
„Minimum“ -Politik: Zugang zu PII/Findatenfeldern nur bei Bedarf und mit der Angabe „Zweck“.
Export/Upload: weiße Listen von Zielen und Formaten; obligatorische Signatur/Hash, Upload-Protokoll.

9) Integration mit SIEM/SOAR/ETL

Der Audit-Event-Stream geht an den SIEM für Korrelationen (e. g., Masse' READ _ PII'+ Eingabe vom neuen Gerät).
SOAR-Playbooks: Auto-Tickets bei Verletzung von Richtlinien (kein „Purpose“, anomales Volumen, Zugriff außerhalb des Fensters).
ETL/DWH: Vitrinen 'audit _ access', 'pii _ exports', 'admin _ changes' mit Qualitätskontrolle und Versionierung der Schaltungen.

10) Datenqualität und Validatoren

Schemata als Code (JSON/Protobuf/Avro): Pflichtfelder, Typen, Wörterbücher; CI-Validatoren.
Ablehnung und Quarantine-Queue für Ereignisse mit Schemafehlern; Die Metriken der Ehe.
Deduplizierung/Idempotenz nach'(event_id, trace_id, ts)'; Nachsendekontrolle.

11) RACI

AufgabeCompliance/LegalDPOSecuritySRE/DataProduct/Eng
Politik und RetentionA/RCCCI
Maskierung/PII-KontrolleCA/RRRC
Immutabilität/SignaturenICA/RRC
Zugang/ExportCCA/RRI
Schemata/ValidatorenICCA/RR
Vorfälle und UntersuchungenCARRC
Anbieter/VerträgeA/RCCCI

12) SOP: Untersuchung des Datenzugriffs

1. Auslöser: SIEM alert (anomal 'READ _ PII '/Export), Reklamation, Signal vom Anbieter.
2. Sammlung von Artefakten: Upload von Ereignissen durch 'actor _ id '/' subject _ id '/' trace _ id', 'purpose' -Protokoll, zugehörige Protokolle (WAF/IdP).
3. Rechtmäßigkeitsprüfung: Vorliegen einer Grundlage (DSAR/Incident/Service Task), Genehmigungen, Zugriffsfenster.
4. Folgenabschätzung: Umfang/Kategorien der PII, Zuständigkeiten, Risiken für die Akteure.
5. Lösung: Incident Bridge (bei High/Critical), Containment (Rückruf von Zugriffen, Schlüsselrotation).
6. Bericht und CAPA: Ursachen, verletzte Richtlinien, Maßnahmen (Maskierung, Schulung, RBAC-Änderungen), Fristen.

13) SOP: Datenexport (Regulator/Partner/DSAR)

1. Anfrage → Überprüfung der Grundlage und Identität (für DSAR) → Erstellung einer Anfrage an die DWH.
2. Standard-Anonymisierung/Minimierung; Einbeziehung von PII nur auf einer Rechtsgrundlage.
3. Upload-Generierung (CSV/JSON/Parket) → Signatur/Hash → Eintrag im Upload-Log (wer/wann/was/an/Basis).
4. Übertragung über einen genehmigten Kanal (sFTP/Secure Link); Aufbewahrungsfrist der Kopie - gemäß der Richtlinie.
5. Nachkontrolle: Empfangsbestätigung, Löschen temporärer Dateien.

14) Metriken und KRIs/KPIs

Coverage: Der Anteil der kritischen Systeme, die Audit-Ereignisse senden, ≥ 95%.
DQ-Fehler: Vom Validator abgelehnte Ereignisse ≤ 0. 5% des Stroms.
MTTD Strömungsverlust: ≤ 15 min (alert bei Stille).
Abnormale Zugriffe ohne' purpose': = 0 (KRI).

Reaktionszeit: Median ≤ 4 Stunden, P95 ≤ 24 Stunden

Exporte mit Signatur/Hashes: 100%.
Einhaltung der Retention: Löschung/Archivierung innerhalb ≥ 99%.

15) Anforderungen an Anbieter und Unterauftragsverarbeiter

DPA/SLA: Beschreibung der Audit-Protokolle (Schemata, Zeitrahmen, Geografie, Exportformat), WORM/immutability, SLA der Meldung von Vorfällen.
Lieferantenzugriff: benannte Servicekonten, Protokolle ihrer Aktivitäten, die Möglichkeit eines selektiven Audits.
Offboarding: Schlüsselrückruf, Export/Löschung von Protokollen, Schließungsakt, Bestätigung der Zerstörung von Backups.

16) Sicherheit und Manipulationsschutz

Rollenaufteilung: Quelladmin ≠ Speicheradmin ≠ Auditor.
Signatur der Agenten/Sammler, mTLS zwischen den Komponenten.
Anti-Tamper-Kontrollen: Hash-Vergleich, regelmäßige Integritätsprüfungen, Warnungen vor Abweichungen.
Geo-Replikation von WORM-Kopien und regelmäßige Wiederherstellungstests.

17) Typische Fehler und Anti-Muster

Protokollierung empfindlicher Werte (PAN/Secrets) → sofortige Aktivierung von Redaction-Middleware.
Keine' purpose '/' ticket _ id 'beim Zugriff auf die PII.
Lokale Uploads „auf den Desktop“ und Weiterleitung per E-Mail.
Das Fehlen eines einzigen Schemas und der Validierung → „stumme“ Felder, die Unmöglichkeit der Korrelation.
Ein einziges Super-Konto ohne Bindung an eine Person oder einen Dienst.

18) Checklisten

18. 1 Launch/Revue der Politik

  • Genehmigte Schemata und Wörterbücher; Pflichtfelder enthalten
  • Masken- und Geheimhaltungsverbote inklusive
  • NTP konfiguriert, 'trace _ id' überall
  • Hot/Warm/Cold/WORM Schichten gestartet
  • RBAC/ABAC und break-glass dekoriert
  • SIEM/SOAR integriert, Alerts getestet

18. 2 Monatliche Prüfung

  • Stichprobe der Ausfuhren: Die Unterschriften/Protokolle sind korrekt
  • Retention/Löschprüfung/Legal Hold
  • DQ-Metriken sind normal, Quarantine-Analyse
  • Vendor Logs verfügbar/vollständig

19) Umsetzungsfahrplan

Wochen 1-2: Inventarisierung von Systemen, Abstimmung von Schemata und Pflichtfeldern, Zeit- und Ablaufverfolgungseinstellungen.
Wochen 3-4: Aktivieren der Maskierung, WORM-Schicht, Integration mit SIEM/SOAR, Starten von Exportprotokollen.
Monat 2: Validatoren/Alert-Automatisierung, investigative Playbooks, Teamschulung.
Monat 3 +: regelmäßige Audits, Integritäts-Stresstests, Wertoptimierung (Tiering), Lieferanten-/Vertragsrevision.

TL; DR

Starke Prüfungsprotokolle = vollständige und strukturierte Ereignisse + Immutability (WORM) und Signaturen + PII Masking + Hard Access und Upload Log + SIEM/SOAR Integration. Das beschleunigt Untersuchungen, reduziert Risiken und macht Compliance nachweisbar.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.