GH GambleHub

Principio de los derechos mínimos necesarios

1) Objetivo y definición

Objetivo: permitir que el usuario/servicio sólo pueda acceder a los recursos estrictamente necesarios para realizar una tarea específica durante un período mínimo suficiente y en un volumen mínimo.
Definición: «mínimo en latitud (recursos), profundidad (operaciones), tiempo (TTL), contexto (geo/dispositivo/cambio), sensibilidad (PII/finanzas)».

2) Principios básicos de aplicación

1. Need-to-Know: cada derecho se relaciona con un purpose (base) específico.
2. Time-Bound: los derechos elevados se otorgan con TTL (JIT); derechos permanentes - sólo read/masked.
3. Scope-Bound: acceso restringido por alquiler/región/marca/proyecto (tenant/región scoping).
4. Minimización de datos: la PII está enmascarada de forma predeterminada; de-mask - sólo en base explícita.
5. Traceability: cualquier acceso → registro + 'purpose '/' ticket _ id'.
6. Revocabilidad: revisión rápida (offboarding ≤ 15 minutos, JIT - auto-lanzamiento).

3) Comunicación con otros controles

RBAC: establece quién puede (función básica) en principio.
ABAC: especifica en qué condiciones (geo, dispositivo/MDM, tiempo, nivel KYC, riesgo).
SoD: prohíbe las combinaciones peligrosas de roles, requiere 4-eyes para acciones sensibles.
Segmentación: perímetros de red/lógica (pago, KYC, DWH, secretos).
PAM/JIT/break-glass: emisión segura de privilegios temporales y su registro.

4) Clasificación de recursos y operaciones

Clase de datosEjemplosNivel mínimo
Publiccontenido del sitiosin autorización
Internalmétricas sin PIISSO, read-only
Confidentialinformes/agregados DWHSSO + MFA, roles de «viewer_...»
Restricciones (PII/finanzas)KYC/AML, transacciones, RGmasked-read, JIT para el no enmascarado
Highly Restrictedsecretos, consolas administrativas, PANPAM, sesiones grabadas, aislamiento

Operaciones: 'READ', 'MASKED _ READ' (por defecto para PII), 'WRITE' (scoped), 'APPROVE _' (4-eyes), 'NAT' (sólo a través de escaparates, firma/registro).

5) Ingeniería de derechos «de la tarea al acceso»

1. User Story → Purpose: «Los analistas necesitan construir un informe de conversión para la UE sin PII».
2. Lista de recursos: escaparate 'agg _ conversions _ eu'.
3. Operaciones: 'READ' (sin PII), la prohibición de 'NAT _ RAW'.
4. Contexto ABAC: horas de trabajo, corp-VPN/MDM, región = UE.
5. TTL: masked-read permanente; JIT para desenmascarar una sola vez (si es necesario).
6. Registros: 'READ '/' NAT' con 'purpose' y 'fields _ scope'.

6) Enmascaramiento y desenmascaramiento selectivo

Enmascarar el correo electrónico/teléfono/IBAN/PAN predeterminado;

Acceso no enmascarado ('pii _ unmask'): sólo JIT + 'purpose' + confirmación del propietario del dominio/Compliance;

En los informes - agregados/al-anonimato, prohibición de «pequeñas muestras» (privacy thresholds).

7) Privilegios temporales: JIT y break-glass

JIT: 15-120 minutos, bajo el ticket, salida automática, auditoría completa.
Break-glass: acceso de emergencia (MFA + segunda confirmación, grabación de sesión, Security + DPO post-rugido).
PAM: caja fuerte de secretos, proxy de sesión, rotación de privilegios.

8) Procesos (SOP)

8. 1 Emisión de acceso (IDM/ITSM)

1. Solicitud con 'purpose', recursos, TTL/permanencia.
2. Verificación automática de SoD/jurisdicción/clase de datos/contextos.
3. Aprobación del propietario del dominio; для Restricted+ — Security/Compliance.
4. Emisión de scop mínimo (a menudo masked-read).
5. Inscripción en el registro de derechos: fecha de revisión, SLA de revocación.

8. 2 Re-certificación (quarterly)

El propietario del dominio confirma cada rol/grupo; Derechos no utilizados (> 30/60 días) - cancelación automática.

8. 3 Exportar datos

Sólo a través de vitrinas aprobadas; listas blancas de formatos; firma/hash; registro de descargas; PII - por defecto impersonal.

9) Control de vendedores/subprocesadores

Scops de API mínimos, claves individuales por integración, IP allow-list, ventanas de tiempo.
DPA/SLA: roles, registros de acceso, retén, geografía, incidentes, subprocesadores.
Offboarding: revocación de claves, confirmación de eliminación, acto de cierre.

10) Auditoría y supervisión

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: alertas de acceso sin 'purpose', volúmenes anómalos, salida por ventana de tiempo/geo, infracción de SoD.
WORM: copia inmutable de los registros + hash chain/signature.

11) Métricas de madurez (KPI/KRI)

Cobertura:% de los sistemas críticos bajo RBAC/ABAC ≥ 95%.
Masked Reads Ratio: ≥ 95% de los accesos a PII están enmascarados.
Tasa JIT: ≥ 80% de los aumentos de derechos van como JIT.
Offboarding TTR: revocación de derechos ≤ 15 min.
Exports Signed: 100% de las exportaciones están firmadas y amarradas.
SoD Violations: = 0; intentos - auto-bloque/ticket.
Limpieza de acceso a Dormant: ≥ 98% de los derechos «colgantes» se eliminan dentro de las 24 h.

12) Escenarios estándar

A) Vista de KYC única para el cliente VIP

Básico: masked-read en el administrador VIP.
Acción: Acceso JIT 'pii _ unmask' en 30 min por ticket, registro de campos/scrin-logs, post-rugido.

B) El ingeniero necesita acceso a prod-DB

Solo a través de PAM + JIT ≤ 60 min, sesión grabada, prohibición de 'SELECT' por PII, post-rugido y CAPA en infracciones.

C) Informe BI con corte por país

Acceso a unidades sin PII; filtro ABAC: 'región en [EEA]', corp-VPN/MDM, hora 08: 00-21: 00.

13) Anti-patrones y cómo evitarlos

«Superroly «/herencia sin fronteras → fraccionar en roles de dominio, incluir ABAC.
Privilegios permanentes «por si acaso» → JIT + autocompletar.
Copiar datos prod en dev/stage → seudonimización/sintética.
Exportar PII fuera de los escaparates → listas blancas, firma, registro, enmascaramiento.
La falta de 'purpose' → un bloque duro y un ticket automático.

14) RACI (ampliado)

ActividadCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Política de Least PrivilegeA/RCCCCCC
Diseño RBAC/ABAC/JITCCA/RRRRC
Re-certificaciónCCARRRR
Exportar/enmascararCARRRCC
Vendedores/contratosA/RCCCIII

15) Hojas de cheques

15. 1 Antes de emitir el acceso

  • Especificado 'purpose' y TTL
  • Verificación de SoD/jurisdicciones pasadas
  • Enmascaramiento predeterminado, scop mínimo
  • Condiciones ABAC: red/dispositivo/tiempo/región
  • El registro y la fecha de revisión están configurados

15. 2 Trimestral

  • Revisión de roles/grupos, autocompletando derechos «colgantes»
  • Verificación de exportaciones anormales y break-glass
  • Formación confirmada sobre privacidad/seguridad

16) Hoja de ruta para la implementación

Semanas 1-2: inventario de datos/sistemas, clasificación, matriz básica de roles, activación del enmascaramiento predeterminado.
Semanas 3-4: ABAC (miércoles/geo/MDM/tiempo), JIT y PAM, listas blancas de exportación, revistas 'purpose'.
Mes 2: automatización offboarding, SOAR-alerta (sin 'purpose '/anomalías), re-certificación trimestral.
Mes 3 +: extensión de atributos (nivel de CUS/riesgo del dispositivo), privacy thresholds, ejercicios regulares de tabletop.

TL; DR

Privilegio Least = Cope mínimo + enmascaramiento PII + contexto ABAC + JIT/PAM + auditoría dura y revocación rápida. Hace que el acceso sea administrado, reduce el riesgo de fugas/fraudes y acelera las auditorías.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.