GH GambleHub

Έλεγχος ταυτότητας

1) Σκοπός και αποτέλεσμα

Στόχος: η παροχή αποδεδειγμένης συμμόρφωσης με τις αρχές του Zero Trust και των ελάχιστων προνομίων μέσω τακτικής επαλήθευσης του ποιος έχει πρόσβαση σε πού και γιατί.
Αποτέλεσμα: πλήρες και ενημερωμένο μητρώο ταυτοτήτων και δικαιωμάτων με επιβεβαιωμένους ιδιοκτήτες, εξάλειψη της «παγωμένης» πρόσβασης, επίσημη βάση αποδεικτικών στοιχείων για τον εσωτερικό έλεγχο και τις ρυθμιστικές αρχές.

2) Πεδίο εφαρμογής

Εσωτερικοί χρήστες: προσωπικό, ασκούμενοι, επόπτες, προσωρινοί ρόλοι.
Εργολάβοι/συνεργάτες: στούντιο παιχνιδιών, πάροχοι PSP/KYC/AML, θυγατρικές.
Ταυτότητα υπηρεσίας: bots, CI/CD, ενοποιήσεις, κλειδιά και μάρκες API.
Προνομιακοί ρόλοι: υποδομή/διαχείριση βάσης δεδομένων, πληρωμές, κίνδυνος, διαπραγμάτευση.
Παίκτες (στο πλαίσιο KYC): ορθότητα της δέσμης λογαριασμών ↔ προφίλ KYC ↔ καταστάσεις RG/AML (διαδικασίες ελέγχου, όχι περιεχόμενο εγγράφου).

3) Όροι και αρχές

Ταυτότητα: μοναδική οντότητα (πρόσωπο/υπηρεσία) με χαρακτηριστικά γνωρίσματα.
Δικαίωμα: ειδικό δικαίωμα/ρόλος ενός πόρου.
JML: Joiner → Mover → Leaver - κύκλος ζωής ταυτότητας.
SoD: διαχωρισμός καθηκόντων για επιχειρήσεις υψηλού κινδύνου.
Ελάχιστο προνόμιο & Just-in-Time (JIT): ελάχιστο σύνολο δικαιωμάτων που χορηγούνται για περιορισμένο χρονικό διάστημα.
Λογοδοσία: κάθε ταυτότητα έχει έναν ιδιοκτήτη, κάθε δικαίωμα έχει μια επιχειρηματική υπόθεση και έναν όρο.

4) Πηγές αλήθειας και μοντέλο δεδομένων

Σύστημα HRIS/ΥΕ: κύρια πηγή του καθεστώτος του εργαζομένου (μίσθωση/μετακίνηση/έξοδος).
IdP/SSO: ενιαίο σημείο ταυτοποίησης (MFA/FIDO2), ομοσπονδία.
IAM/IGA: Κατάλογος ρόλων, πολιτικών και διαδικασιών επαναπιστοποίησης.
Κατάλογος CMDB/υπηρεσιών: ιδιοκτησία συστημάτων και βρόχοι πρόσβασης.
Πλατφόρμες παροχής: PSP/KYC/CDN/WAF/πάροχοι παιχνιδιών - εξωτερικές πύλες πρόσβασης.
: Identity (ανήκει) Org Unit/Team (έχει) Roles (επεκτείνεται μέσω ABAC) Δικαιώματα Πόροι.

5) Έλεγχοι που ελέγχθηκαν

1. SSO και MFA παντού (χωρίς τοπικούς λογαριασμούς και κοινούς λογαριασμούς).
2. RBAC/ABAC/PBAC: δικαιώματα που περιγράφονται από πολιτικές (πολιτικός κώδικας), ρόλοι - τυπικοί και συνεπείς.
3. SoD: οι ασύμβατοι ρόλοι και εξαιρέσεις επισημοποιούνται.
4. JIT/PAM: προσωρινές προαγωγές με εισιτήριο, ηχογράφηση συνεδρίας και αυτόματη ανάκληση.
5. Μυστικά/Κλειδιά: Αποθηκεύονται στον διαχειριστή μυστικών, με εναλλαγή και διάρκεια ζωής.
6. Καταγραφές και αποδεικτικά στοιχεία: παραποίηση, συνεκτικός εντοπισμός ποιος/τι/πού/πότε/γιατί.
7. Πρόσβαση δεδομένων: συγκάλυψη PII, εξαγωγή - μόνο με ροή εργασίας με κρυπτογράφηση και TTL.

6) Διαδικασία ελέγχου (από το τέλος έως το τέλος)

1. Προετοιμασία: δέσμευση στιγμιότυπου δικαιωμάτων (στιγμιότυπο δικαιώματος) ανά σύστημα. Λήψη από IdP/IAM/παρόχους

2. Ομαλοποίηση: χαρτογράφηση ρόλων σε έναν κατάλογο, αφαίρεση, ομαδοποίηση από τους ιδιοκτήτες πόρων.
3. Κατηγοριοποίηση κινδύνου: P1/P2 (προνομιακή και ευαίσθητη) → επαλήθευση προτεραιότητας.
4. Επαναπιστοποίηση δικαιωμάτων: οι ιδιοκτήτες συστημάτων επιβεβαιώνουν/απορρίπτουν τα δικαιώματα (εκστρατείες επανεξέτασης της πρόσβασης).
5. Έλεγχος του SoD για ασυμβατότητες και προσωρινές εξαιρέσεις (με ημερομηνία λήξης).
6. Συμφιλίωση JML: χαρτογράφηση ενοικίασης/μετακίνησης/εξόδου σε πραγματικά δικαιώματα (συμπεριλαμβανομένων εξωτερικών πυλών).
7. Λογαριασμοί υπηρεσιών: διαθεσιμότητα ιδιοκτήτη, βραχύβιες μάρκες, χωρίς «θεϊκό πεδίο εφαρμογής».
8. Βάση αποδεικτικών στοιχείων: σχηματισμός πακέτου αντικειμένων (αναφορές, μεταφορτώσεις, πράξεις).
9. Σχέδιο αποκατάστασης: εισιτήρια για ανάκληση/διόρθωση, προθεσμίες και υπεύθυνα πρόσωπα.
10. Τελική έκθεση: κατάσταση κινδύνου, KPI κύκλου, διδάγματα και βελτιώσεις πολιτικής.

7) Περίγραμμα JML (το οποίο ελέγχουμε βαθύτερα)

Joiner: αυτόματη ανάθεση βασικών ρόλων, απαγόρευση χειροκίνητων «προσθηκών» εκτός του καταλόγου.
Mover: αλλαγή εντολής/θέσης → αυτόματη αντικατάσταση ρόλων, ανάκληση παλαιών προνομίων.
Leaver: ανάκληση όλων των δικαιωμάτων εντός X λεπτών/ωρών, κλείσιμο πυλών αλληλογραφίας/VPN/παρόχου, κλειδιά απενεργοποίησης και μάρκες.

8) Εξωτερικές εξαρτήσεις και πύλες

PSP/KYC/AML/CDN/WAF/πάροχοι παιχνιδιών: κάθε λογαριασμός έχει ιδιοκτήτη, στόχο, προθεσμία, ΜΧΣ, απαγόρευση των κοινών λογαριασμών.
Συμβατική SoD/SLA: διαθεσιμότητα διπλού ελέγχου για πράξεις P1 (αλλαγή δρομολογίου πληρωμής, όρια πριμοδότησης κ.λπ.).
Τακτική συμφωνία: μητρώο εξωτερικών πυλών ↔ κατάλογος των σημερινών χρηστών ↔ αποτελέσματα επαναπιστοποίησης.

9) Χαρακτηριστικά του τομέα iGaming

Πληρωμές & κίνδυνος: επιλέξτε υποκαταστήματα SoD. επικαιροποιήσεις σχετικά με τις αλλαγές στα όρια/δρομολόγια· τον έλεγχο των χειροκίνητων προσαρμογών.
Εμπορία/παράγοντες: αμμοκιβώτια για μοντελοποίηση, ατομικοί εκδοτικοί ρόλοι, γρήγορη ανατροπή. αλλαγή ημερολογίου.
Υπεύθυνος για τα τυχερά παιχνίδια/KYC/PII: αυστηρός έλεγχος των εξαγωγών, συγκάλυψη σε ΔΑΙ, επεξεργασία αιτημάτων ρυθμιστικών αρχών SLA.
Θυγατρικές και streamers: περιορισμένες πύλες με δυνατότητες υποβολής εκθέσεων χωρίς πρόσβαση στο PII.

10) Πολιτικές ως Κώδικας (PaC)

Πολιτικές στο αποθετήριο (Rego/YAML), επανεξέταση δημοσίων σχέσεων, δοκιμές.
Δυναμικό πλαίσιο σε λύσεις που επιτρέπουν/αρνούνται λύσεις: περιβάλλον (prod), χρόνος, θέση, κρισιμότητα της λειτουργίας, σήματα KRI (για παράδειγμα, αύξηση ευαίσθητων ενεργειών).
Υποχρεωτική δέσμευση του εισιτηρίου και στόχος για προαγωγές JIT.

11) Περιοδικά και δυνατότητα απόδειξης

Αλυσίδα γεγονότων: admin console/IdP → API → βάσεις δεδομένων → εξωτερικούς παρόχους.
Εμφανής παραποίηση: WORM/αμετάβλητες αποθήκες, υπογραφή αρχείων, αυστηρή TTL.
Αναζήτηση και απάντηση: SLA ανταπόκρισης σε εσωτερικά/εξωτερικά αιτήματα (έλεγχος, ρυθμιστική αρχή, τράπεζα/εταίρος).

12) Μετρήσεις και KPI/KRI

KPI:
  • Μερίδιο των επιβεβαιωμένων δικαιωμάτων εγκαίρως (επαναπιστοποίηση),% των καθυστερημένων εκστρατειών.
  • Χρόνος από την απόλυση έως την πλήρη ανάκληση των δικαιωμάτων (MTTR-leaver).
  • Μερίδιο των προσαυξήσεων JIT έναντι έμμονων δικαιωμάτων.
  • Αριθμός επιλυμένων συγκρούσεων SoD ανά κύκλο.
  • Πληρότητα των καλυπτόμενων συστημάτων και των εξωτερικών πυλών.
KRI:
  • Προσκολλήσεις ευαίσθητων ενεργειών (εξαγωγές PII, αλλαγές PSP).
  • Μη χρησιμοποιηθέντα δικαιώματα> N ημέρες.
  • Γυαλί θραύσης χωρίς εκ των υστέρων έλεγχο.
  • Λογαριασμοί χωρίς ιδιοκτήτη/σκοπό/όρο.

13) Χάρτης πορείας για την εφαρμογή (8-12 εβδομάδες)

Νεντ. 1-2: απογραφή ταυτοτήτων και συστημάτων (συμπεριλαμβανομένων εξωτερικών πυλών), καταλόγου ρόλων και πίνακα SoD.
Νεντ. 3-4: Σύνδεση SSO/MFA παντού, ενιαία συλλογή δικαιωμάτων, οι πρώτες αναφορές στιγμιότυπου.
Νεντ. 5-6: έναρξη εκστρατειών επαναπιστοποίησης των ΔΣ (P1/P2 προτεραιότητα), αυτόματη ανάκληση για το Leaver.
Νεντ. 7-8: JIT/PAM για κυκλώματα παραγωγής, συνεδρίες καταγραφής, απαγόρευση κοινών λογαριασμών από παρόχους.
Νεντ. 9-10: PaC: τυποποίηση των βασικών πολιτικών (εξαγωγή PII, δρομολόγηση PSP, εκλύσεις), δοκιμές μονάδας των πολιτικών.
Νεντ. 11-12: Ταμπλό KPI/KRI, τριμηνιαίοι κανονισμοί κύκλου, υποβολή εκθέσεων για τη συμμόρφωση/ρυθμιστικές αρχές.

14) Μοτίβα τεχνουργημάτων

Κατάλογος ρόλων: ρόλος, περιγραφή, ελάχιστα δικαιώματα, ιδιοκτήτης, δυνατότητα εφαρμογής (ενοικιαστής/περιφέρεια/περιβάλλον).
SoD Matrix - ασυμβίβαστοι ρόλοι/λειτουργίες, εξαιρέσεις, όρος εξαίρεσης και ιδιοκτήτης εξαίρεσης.
Πακέτο ανασκόπησης πρόσβασης: δελτίο επιβεβαίωσης δικαιωμάτων, σχόλια, αποτέλεσμα (έγκριση/ανάκληση/μετριασμός).
Μητρώο λογαριασμού υπηρεσίας: σκοπός, ιδιοκτήτης, διάρκεια ζωής, πεδία εφαρμογής, τόπος αποθήκευσης μυστικών, χρονοδιάγραμμα εναλλαγής.
Απογραφή εξωτερικών πυλών: σύστημα, επαφές, λίστα χρηστών, ΜΧΣ, τελευταία ημερομηνία επαναπιστοποίησης.
Κατάλογος ελέγχου αποδεικτικών στοιχείων: τι μεταφορτώνει/καταγράφει και σε ποιο μορφότυπο θα αποθηκεύσει για έλεγχο.

15) Αντιπατερίδια

Γενικοί λογαριασμοί και «admin forever».
Χειροκίνητη έκδοση δικαιωμάτων που παρακάμπτουν τα IdP/IGA.
Καμία ανοχή SoD ή «προσωρινές εξαιρέσεις» χωρίς ημερομηνία λήξης.
Μάρκες υπηρεσίας χωρίς περιστροφή/ιδιοκτήτη.
Εξαγωγή PII «με γράμμα» χωρίς ροή εργασίας και κρυπτογράφηση.
Απουσία ελέγχου εξωτερικών πυλών (πάροχοι PSP/KYC/παιχνιδιών).

16) Συχνές έρευνες και ταχεία διόρθωση

Παγωμένη πρόσβαση από απολυμένους/εργολάβους: δυνατότητα αυτόματης ανάδρασης σχετικά με εκδηλώσεις HR (Lever).
Περιττοί ρόλοι: αποσύνθεση σε μικρότερους ρόλους και δέσμευση χαρακτηριστικών ABAC.
Κοινοί λογαριασμοί με παρόχους υπηρεσιών: μετάβαση σε προσωπική + ΜΧΣ, έκδοση προσωρινών ρόλων για σπάνια καθήκοντα.
Μακρόβια μυστικά: μετάβαση σε βραχύβιες μάρκες/πιστοποιητικά και προγραμματισμένη περιστροφή.

17) Ομάδα διαχείρισης συμβάντων

Κάθε συμβάν με τη συνιστώσα της πρόσβασης → υποχρεωτική επικαιροποίηση του μητρώου κινδύνων και πολιτικών, επαναπιστοποίηση σημείων των επηρεαζόμενων ρόλων, μεταθανάτια με στοιχεία δράσης (και προθεσμίες).

Σύνολο

Ο έλεγχος ταυτότητας είναι ένας επαναλαμβανόμενος, αυτοματοποιημένος κύκλος: ένα πλήρες μητρώο ταυτοτήτων και δικαιωμάτων → επαναπιστοποίηση προσανατολισμένη στον κίνδυνο → σκληρές πολιτικές JML και JIT/PAM → ως κώδικας και αποδεδειγμένος έλεγχος → βελτιώσει τα αποτελέσματα του κύκλου. Ο βρόχος αυτός μειώνει την πιθανότητα κατάχρησης και σφαλμάτων, επιταχύνει τις έρευνες, ενισχύει τη συμμόρφωση και προστατεύει τις βασικές επιχειρηματικές δραστηριότητες των πλατφορμών iGaming.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.