GH GambleHub

Αρχή των ελάχιστων απαιτούμενων δικαιωμάτων

1) Σκοπός και ορισμός

Σκοπός: Να επιτρέπεται ο χρήστης/υπηρεσία μόνο στους πόρους που είναι απολύτως απαραίτητοι για την εκτέλεση συγκεκριμένης εργασίας, για το ελάχιστο επαρκές χρονικό διάστημα και για τον ελάχιστο όγκο.
Ορισμός: «ελάχιστο γεωγραφικό πλάτος (πόροι), βάθος (λειτουργίες), χρόνος (TTL), πλαίσιο (geo/συσκευή/βάρδια), ευαισθησία (PII/χρηματοδότηση)».

2) Βασικές αρχές εφαρμογής

1. Ανάγκη γνώσης: κάθε δικαίωμα συνδέεται με συγκεκριμένο σκοπό (βάση).
2. Time-Bound: αυξημένα δικαιώματα που χορηγούνται με TTL (JIT)· μόνιμα δικαιώματα - μόνο ανάγνωση/μάσκα.
3. Πεδίο εφαρμογής: η πρόσβαση περιορίζεται από τη μίσθωση/την περιφέρεια/το εμπορικό σήμα/το έργο (ενοικιαστής/περιφέρεια).
4. Ελαχιστοποίηση δεδομένων: Το PII καλύπτεται εξ ορισμού. de-mask - μόνο σε ρητό έδαφος.
5. Ιχνηλασιμότητα: οποιαδήποτε πρόσβαση → log + «σκοπού »/« εισιτήριο _ id».
6. Δυνατότητα ανάκλησης: ταχεία ανάδραση (offboarding ≤ 15 λεπτά, JIT - αυτόματη ανάδραση).

3) Επικοινωνία με άλλους ελέγχους

RBAC: ορίζει ποιος μπορεί καταρχήν (βασικός ρόλος).
ABAC: προσδιορίζει υπό ποιες συνθήκες (geo, συσκευή/MDM, χρόνος, επίπεδο KYC, κίνδυνος).
SoD: απαγορεύει τους συνδυασμούς επικίνδυνων ρόλων, απαιτεί 4 μάτια για ευαίσθητες ενέργειες.
Διαχωρισμός: δίκτυο/λογική περίμετρος (πληρωμή, KYC, DWH, μυστικά).
PAM/JIT/break-glass: ασφαλής έκδοση προσωρινών προνομίων και καταγραφή τους.

4) Ταξινόμηση πόρων και λειτουργιών

Κατηγορία δεδομένωνΠαραδείγματαΕλάχιστο επίπεδο
Κοινόπεριεχόμενο της τοποθεσίαςχωρίς άδεια
ΕσωτερικάΜετρήσεις εκτός PIISSO, μόνο ανάγνωσης
ΕμπιστευτικόΕκθέσεις DWH/συγκεντρωτικά μεγέθηSSO + MFA, viewer_... ρόλοι
Περιορισμένη (PII/Finance)KYC/AML, Συναλλαγές, RGΜασκοφόρος ανάγνωση, JIT για μη μασκοφόρο
Εξαιρετικά περιορισμένημυστικά, κονσόλες admin, PANPAM, καταγεγραμμένες συνεδρίες, απομόνωση

Πράξεις: 'READ', 'MASKED _ READ' (προεπιλογή για PII), 'WRITE' (πεδίο εφαρμογής), 'ΕΓΚΡΙΣΗ _' (4 μάτια),' ΕΞΑΓΩΓΗ '(μόνο μέσω καταστημάτων, υπογραφή/περιοδικό).

5) Μηχανική δικαιωμάτων πρόσβασης

1. «Ο αναλυτής πρέπει να εκπονήσει έκθεση μετατροπής της ΕΕ χωρίς PII».
2. Κατάλογος πόρων: showcase 'agg _ conversions _ eu'.
3. Πράξεις: 'READ' (χωρίς PII), απαγόρευση 'EXPORT _ RAW'.
4. Πλαίσιο ABAC: εργάσιμες ώρες, corp VPN/MDM, περιφέρεια = ΕΕ.
5. TTL: συνεχής μασκοφόρος ανάγνωση. JIT για εφάπαξ αποκάλυψη (εάν απαιτείται).
6. Αρχεία καταγραφής: 'READ '/' EXPORT' με 'σκοπό' και 'πεδία _ πεδίο εφαρμογής'.

6) Συγκάλυψη και επιλεκτική αποκάλυψη

Κάλυψη εξ ορισμού του ηλεκτρονικού ταχυδρομείου/τηλεφώνου/IBAN/PAN.

Ακάλυπτη πρόσβαση ('pii _ unmask') - μόνο JIT + 'σκοπός' + επιβεβαίωση ιδιοκτήτη τομέα/συμμόρφωσης·

Στις εκθέσεις - συγκεντρωτικά στοιχεία/k-ανωνυμία, απαγόρευση «μικρών δειγμάτων» (όρια απορρήτου).

7) Προσωρινά προνόμια: JIT και θραύση υαλοπινάκων

15-120 λεπτά, εισιτήριο, αυτοκίνητο, πλήρης έλεγχος.
Γυαλί θραύσης: πρόσβαση έκτακτης ανάγκης (MAX + δεύτερη επιβεβαίωση, καταγραφή συνεδρίας, Security + DPO μετά την επανεξέταση).
PAM: μυστική ασφάλεια, πληρεξούσιος συνεδρίας, εναλλαγή προνομίων.

8) Διαδικασίες (SOP)

8. 1 Επιχορήγηση πρόσβασης (IDM/ITSM)

1. Απαίτηση με «σκοπό», πόροι, TTL/εμμονή.
2. SoD/δικαιοδοσία/κλάση δεδομένων/αυτοέλεγχος πλαισίου.
3. Έγκριση ιδιοκτήτη τομέα· Περιορισμένη + - Ασφάλεια/Συμμόρφωση.
4. Έκδοση ελάχιστου πεδίου εφαρμογής (συχνά καλυμμένο).
5. Καταχώριση στο μητρώο δικαιωμάτων: ημερομηνία αναθεώρησης, ανάκληση SLA.

8. 2 Επαναπιστοποίηση (τριμηνιαία)

Ο ιδιοκτήτης τομέα επιβεβαιώνει κάθε ρόλο/ομάδα. μη χρησιμοποιηθέντα δικαιώματα (> 30/60 ημέρες) - αυτόματα.

8. 3 Εξαγωγή δεδομένων

Μόνο μέσω εγκεκριμένων καταστημάτων. whitelists μορφής· υπογραφή/hash· Λήψη αρχείου καταγραφής PII - αποπροσωποποιημένο εξ ορισμού.

9) Έλεγχος πωλητή/υπεργολάβου επεξεργασίας

Ελάχιστα πεδία API, μεμονωμένα κλειδιά ανά ενσωμάτωση, επιτρεπόμενη λίστα IP, παράθυρα χρόνου.
DPA/SLA: ρόλοι, αρχεία καταγραφής πρόσβασης, διατήρηση, γεωγραφία, περιστατικά, υπο-επεξεργαστές.
Offboarding: ανάκληση κλειδιού, επιβεβαίωση διαγραφής, πράξη κλεισίματος.

10) Έλεγχος και παρακολούθηση

: 'ROLE _ ASSIGN/REVOKE', 'JIT _ GRAN ,' READ _ PII ',' EXPORT _ DATA ',' PAYMENT _ REPACT ',' BREAK _ GLAS .
SIEM/SOAR: ειδοποιήσεις πρόσβασης χωρίς «σκοπό», μη φυσιολογικοί όγκοι, time-out/geo, παραβίαση SoD.
WORM: μη τροποποιημένο αντίγραφο κορμοτεμαχίων + αλυσίδα χασίς/υπογραφή.

11) Μετρήσεις διάρκειας (KPI/KRI)

Κάλυψη:% των κρίσιμων συστημάτων για RBAC/ABAC ≥ 95%.
Αναλογία μασκοφόρων αναγνώσεων: ≥ 95% των κλήσεων προς PII είναι καλυμμένες.
Ποσοστό JIT: ≥ 80% των αυξήσεων είναι JIT.
Offboarding TTR: ανάκληση δικαιωμάτων ≤ 15 λεπτά.
Υπογραφή εξαγωγών: υπογράφεται και καταγράφεται το 100% των εξαγωγών.
Παραβιάσεις SoD: = 0; απόπειρες - αυτόματο μπλοκ/εισιτήριο.
Καθαρισμός αδρανούς πρόσβασης: ≥ 98% των δικαιωμάτων ανάρτησης διαγράφονται εντός 24 ωρών.

12) Τυπικά σενάρια

A) Εφάπαξ προβολή KYC για VIP πελάτη

Βασική: μεταμφιεσμένη ανάγνωση στο διαχειριστή VIP.
Δράση: Πρόσβαση JIT 'pii _ unmask' for 30 λεπτά στο εισιτήριο, καταγραφή πεδίου/οθόνης, μετά την επανεξέταση.

B) Ο μηχανικός χρειάζεται πρόσβαση σε prod-DB

Μόνο μετά από PAM + JIT ≤ 60 λεπτά, καταγεγραμμένη συνεδρία, απαγόρευση 'SELECT' από PII, μετά την επανεξέταση και CAPA για παραβιάσεις.

C) Έκθεση BI ανά χώρα

Πρόσβαση σε μονάδες χωρίς PII. Φίλτρο ABAC: «περιφέρεια [ΕΟΧ]», corp VPN/MDM, ώρα 08: 00-21: 00.

13) Αντι-πρότυπα και τρόπος αποφυγής τους

«Υπερ-ρόλοι «/κληρονομιά χωρίς όρια → χωρισμένοι σε ρόλους τομέα, περιλαμβάνουν ABAC.
Μόνιμα προνόμια «σε περίπτωση» → JIT + auto.
Αντιγραφή δεδομένων prod σε dev/stage → ψευδώνυμο/συνθετικά.
Εξαγωγή PII εκτός καταστημάτων - whitelisting, υπογραφή, ημερολόγιο, κάλυψη.
Απουσία «σκοπού» → σκληρό μπλοκ και αυτόματο εισιτήριο.

14) RACI (διευρυμένη)

ΔραστηριότηταΣυμμόρφωση/ΝομικήDPOΑσφάλειαSRE/ITΔεδομένα/BIΠροϊόν/EngΙδιοκτήτες τομέων
Πολιτική ελαχίστων προνομίωνA/RCCCCCC
Σχεδιασμός RBAC/ABAC/JITCCA/RRRRC
ΕπαναπιστοποίησηCCARRRR
Εξαγωγή/ΜάσκαCARRRCC
Πωλητές/ΣυμβάσειςA/RCCCIII

15) Κατάλογοι ελέγχου

15. 1 Πριν από τη χορήγηση πρόσβασης

  • Προσδιορισμένη «χρήση» και TTL
  • Επαληθευμένο SoD/Δικαιοδοσίες
  • Προκαθορισμένη κάλυψη, ελάχιστο πεδίο εφαρμογής
  • Δίκτυο/συσκευή/ώρα/περιοχή συνθηκών ABAC
  • Διαμόρφωση ημερομηνίας καταγραφής και αναθεώρησης

15. 2 Τριμηνιαία

  • Αναθεώρηση ρόλων/ομάδων, αυτόματα «κρεμαστά» δικαιώματα
  • Έλεγχος για μη φυσιολογικές εξαγωγές και θραύση υαλοπινάκων
  • Επιβεβαιωμένη εκπαίδευση σε θέματα προστασίας της ιδιωτικής ζωής/ασφάλειας

16) Χάρτης πορείας για την εφαρμογή

Εβδομάδες 1-2: απογραφή δεδομένων/συστημάτων, ταξινόμηση, βασικός πίνακας ρόλων, επιτρέποντας την προκαθορισμένη κάλυψη.

Εβδομάδες 3-4: ABAC (Τετάρτη/geo/MDM/ώρα), JIT και PAM, whitelists εξαγωγών, αρχεία καταγραφής «σκοπού»

Μήνας 2: αυτοματοποίηση εκτός επιβίβασης, προειδοποιήσεις SOAR (χωρίς «σκοπό »/ανωμαλίες), τριμηνιαία επαναπιστοποίηση.
Μήνας 3 +: επέκταση χαρακτηριστικών (κίνδυνος CUS/συσκευής), όρια απορρήτου, τακτικές ασκήσεις tabletop.

TL, DR

Ελάχιστο προνόμιο = ελάχιστο πεδίο εφαρμογής + κάλυψη PII + πλαίσιο ABAC + JIT/PAM + σκληρός έλεγχος και γρήγορη ανάκληση. Καθιστά την πρόσβαση διαχειρίσιμη, μειώνει τον κίνδυνο διαρροών/απάτης και επιταχύνει τους ελέγχους.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.