GH GambleHub

Herencia de derechos y políticas

1) Por qué herencia del ecosistema

El ecosistema de red reúne operadores, estudios/RGS, agregadores, PSP/APM, KYC/AML, afiliados y servicios de análisis. Sin jerarquías de derechos y políticas heredadas, los accesos se convierten en «ajustes manuales» puntuales, los riesgos de PDs e incidentes aumentan. La herencia proporciona:
  • Velocidad de escala: los nuevos nodos/productos reciben políticas estandarizadas «fuera de la caja».
  • Uniformidad y cumplimiento: los guardrails de nivel superior actúan automáticamente sobre los recursos secundarios.
  • Transparencia y auditoría: orden de aplicación predecible, minimización de excepciones.

2) Ontología básica de acceso

2. 1 Niveles jerárquicos

1. Organización/Ecosistema → Políticas Mundiales de Seguridad/Datos/GT.
2. Tenant/Partner → cuotas, jurisdicciones, límites de datos, restricciones de SLO.
3. Dominio (contenido, pagos, KYC, afiliados, análisis, eventos) → perfil de acceso y perímetros de red.
4. Servicio/Aplicación → API/topics/almacenamiento.
5. Recurso → tabla/topic/endpoint/secreto/stream.

2. 2 Modelos de autorización

RBAC (roles): rápido, transparente, bien heredado (roles → conjuntos de permisos).
ABAC (atributos): flexibilidad (geo, jurisdicción, riesgo-score, tiempo).
ReBAC (relaciones): acceso a «recursos relacionados con mis entidades» (operador ↔ campaña ↔ datos).
Práctica: RBAC + ABAC híbrido, ReBAC - para gráficos de propiedad/campañas.

3) Políticas, cooperación y prioridades

3. 1 Tipos de políticas

Allow/Deny: Autorización/prohibición explícita.
Guardrails: restricciones obligatorias (PII out-of-scope, límites de exportación, tiempo base).
Quotas/Tasa: límites rps/txn/stream/event por tenant/canal/región.
Contextual: condiciones geo/ASN/dispositivo/tiempo/verificación/riesgo-puntuación.
Delegación: delegar una parte de los derechos con un scop/TTL tímido.

3. 2 Herencia y procedimiento de aplicación

Deny-first: la prohibición es más fuerte que la resolución.
Precedence: `Guardrails (root) > Deny (parent) > Allow (parent) > Deny (child) > Allow (child)`.
Shadowing: el hijo Allow no cancela el Guardrail/Deny primario.
Override por excepciones: sólo «justified exceptions» formalizados por escrito con TTL y autoservicio.

3. 3 Scopes

Org/Tenant: reglas y cuotas globales.
Medio ambiente: prod/stage/sandbox - la rigidez crece hacia prod.
Jurisdiction: localización de datos, restricciones RG.
Data Class: `Public/Internal/Confidential/PII-Sensitive/Financial`.
Operation: read/write/admin/export/impersonate.

4) Árboles de políticas (Policy Trees)

4. 1 Estructura


/org
/tenants/{tenantId}
/domains/{payments    kyc    content    affiliates    analytics    events}
/services/{api    broker    db    storage    sfu}
/resources/{endpoint    topic    table    bucket    secret}

En cada nodo: lista de políticas (allow/deny/guardrail/quota/context). Herencia de arriba abajo, las directivas locales agregan restricciones pero no eliminan las prohibiciones globales.

4. 2 Ejemplos

Guardrail org-level: «PII no se puede llevar a webhooks más allá de la lista blanca de países».
Tenant-level: "Los operadores KYC de los países X están prohibidos; exportar informes sólo agregados".
Pagos de dominio: «Escribir sólo a través de una cuenta de servicio con mTLS y clave ≤ 24h».
Service api: «POST/deposits sólo con 'Idempotency-Key'».
Resource topic: "Leer 'kyc _ status' sólo a los servicios con el rol 'KYC. moderation` и ABAC `verified=true`».

5) Delegación y derechos temporales

Acceso justo en tiempo (JIT): emisión en tiempo de ejecución (TTL, single-use).
Break-Glass: acceso de emergencia con auditoría inmediata y posterior ruptura.
Scoped Tokens: conjunto mínimo de 'scopes' (leer: topic/kyc; write:api/deposit) + audience/issuer.
Cadena de confianza: tokens interservicios enlazados al dispositivo/ASN/subred.
Impresión: sólo a través de un servicio proxy con registro y límites.

6) Herencia en dominios

6. 1 Pagos (PSP/APM)

Guardrail parental: "todas las llamadas son a través de mTLS + JWS, timaut ≤ N, retrés con jitter; el charjback-hook es obligatorio".
El servicio subsidiario puede agregar cuotas/caps al ARM/región. Deny a las llamadas directas para eludir el orquestador.

6. 2 KYC/AML

Deny parental: «un documento crudo no se puede escribir en analítica».
Filial Allow: «transmitir sólo hash/veredicto/categorías de riesgo».

6. 3 Contenido/streaming

Org guardrail: «bitrate mínimo y latency-SLO».
Tenant-override: «reducción de la calidad en itinerancia, pero no por debajo de SLO».
Recursos: acceso a una mesa en vivo específica - sólo segmentos con RG-OK.

6. 4 Eventos/EDA

Raíz: esquemas/versiones in-registry, exactly-once por sentido empresarial.
Dominio: claves de partidos, política de dedoup.
Servicio: quién puede escribir/leer un topic; quotas/lag-budget.

7) Privacidad y Zero Trust

Minimización PII y tokenización por defecto, la política «no se puede de tokenizar fuera de las zonas seguras».
Segmentación de redes: vendor-VPC, egress-allow-list, políticas de mecha interzona.
mTLS/JWS/HMAC para S2S y webhooks, llaves de vida corta (JWKS/rotation).
SoD (Segregation of Duties): funciones de lectura ≠ funciones de administración ≠ funciones de edición de claves.
Jurisdicciones: normas de localización hereditarias, prohibición de la exportación transfronteriza de PDn sin DPA/DPIA.

8) Observabilidad y auditoría de la herencia

Policy Evaluation Trace: la revista «qué política ha funcionado» con 'traceId'.
Registro diff: quién/cuándo cambió el árbol de políticas; Almacenamiento WORM.
Pruebas de conformación: correcciones regulares de escenarios de acceso (allow/deny; export; impersonation).
Alertas: activaciones deny/guardrail, exceso de cuotas, intentos de elusión.

9) Conflictos y su solución

Determinar clase: colisión Allow/Deny, violación de guardrail, intersección de condiciones ABAC.
Aplique el orden de precesencia (ver § 3. 2).
Clasificar una excepción: temporal (TTL), constante (regla), errónea (rollback).
Depositar artefactos: solicitud RFC/CR, referencia a evaluación de riesgos, verificación automática en CI.

10) Anti-patrones

Derechos emitidos manualmente sin TTL («para siempre»).
Allow-por defecto y excepciones «silenciosas».
Herencia sin guardrails visibles: las ramas hijas solapan reglas seguras.
Mezcla de roles (admin = analista = operador): no hay SoD.
Exportación de PDn crudos a servicios de terceros, webhooks «temporales» sin firma.
Auditoría deshabilitada en break-glass.
Versiones flotantes del diagrama: el analista/EDA se conecta, deny no se activa a los nuevos campos.

11) Lista de verificación de diseño de políticas de árbol

1. Clasifique los datos (Público/Interno/Confidencial/PII/Financiero).
2. Defina los niveles de jerarquía y propietarios de nodos (RACI).
3. Establecer guardrails en la raíz (cero confianza, PII, RG, jurisdicción).
4. Forme roles RBAC y atributos ABAC; habilite SoD.
5. Describa los scoups (org/tenant/env/jurisdiction/data class/operation).
6. Habilite la delegación/TTL y break-glass con el penacho de auditoría.
7. Impregna la precedencia y la conflictología (deny-first, override-process).
8. Ajuste la observabilidad: evaluación-trace, registro diff, alertas.
9. Ejecute el conjunto de configuración y el rugido regular de excepciones.
10. Documentar: portal de políticas, ejemplos, sandbox, simuladores.

12) Métricas de madurez

Cobertura: proporción de recursos cubiertos por políticas heredadas y pruebas de conformación.
Drift: número de excepciones locales/100 recursos; TTL de excepción media.
SoD Score: proporción de usuarios con responsabilidades compartidas.
Exposición PII: número de exportaciones fuera de las zonas seguras (objetivo = 0).
Auditabilidad:% de las consultas con evaluación-trace; MTTR sobre conflictos de acceso.
Cambio Velocity: tiempo de CR por política, teniendo en cuenta la herencia.

13) Ejemplos de patrones (esquemáticamente)

Guardrail (root):
  • Deny: `export:PII` if `destination. country ∉ whitelist`
  • Require: `mTLS && JWS` for `webhook:`
  • Quota: `read:event: ≤ X rps per tenant`
Tenant Allow (payments):
  • Allow: `write:api/deposit` if `verified && risk_score < T && geo ∈ allowed`
  • Deny: `direct:psp/`
Resource Policy (topic: kyc_status):
  • Allow: `read` for role `KYC. moderation` where `jurisdiction == resource. jurisdiction`
  • Deny: `write` except service `kyc-orchestrator`

14) Hoja de ruta para la evolución

v1 (Fundación): árbol de políticas, guardrails en la raíz, RBAC, deny-first, auditoría de cambios.
v2 (Integración): ABAC, delegación/TTL, configuración-conjunto, evaluación-trace.
v3 (Automatización): auto-couping por jurisdicción/datos, policy-as-code, autovigilancia en CI/CD, autocarantina de infracciones.
v4 (Networked Governance): Federación Interparlamentaria de Políticas, Delegación Cruzada con Cifrado, Pistas Predictivas (Riesgo-Score) para la Emisión de Derechos.

Resumen breve

La herencia de derechos y políticas es el marco de un ecosistema seguro y rápido. Construya la política-árbol con guardrails en la raíz, aplique deny-first y precedence, combine RBAC + ABAC + ReBAC, utilice la delegación con TTL y una auditoría estricta. Automatice las revisiones y la administración de excepciones, y obtendrá un modelo de acceso escalable, compatible y predecible para toda la red de miembros.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.