GH GambleHub

Auditoría de identidades

1) Objetivo y resultado

Objetivo: garantizar el cumplimiento probado de los principios de Cero Confianza y menos privilegios a través de la verificación periódica de quién tiene qué accesos y por qué.
El resultado: un registro completo y actualizado de identidades y derechos con propietarios confirmados, accesos «dependientes» eliminados, base probatoria formalizada para controles internos y reguladores.

2) Alcance

Usuarios internos: personal, pasantes, ejecutivos, roles temporales.
Contratistas/socios: estudios de juegos, proveedores de PSP/KYC/AML, afiliados.
Identidades de servicio: bots, CI/CD, integraciones, claves y tokens API.
Roles privilegiados: Almirantes de Infraestructura/DB, Pagos, Risk, Trading.
Jugadores (en el contexto KYC): corrección de la cuenta de conjunto ↔ perfil KYC ↔ estados RG/AML (validación de procesos, no contenido de documentos).

3) Términos y principios

Identidad (identidad): un sujeto único (persona/servicio) con atributos.
Entitlement (privilegio): un derecho/rol específico sobre un recurso.
JML: Joiner → Mover → Leaver es un ciclo de vida de identidad.
SoD: separación de responsabilidades para operaciones de alto riesgo.
Least Privilege & Just-in-Time (JIT): conjunto mínimo de derechos emitidos por tiempo limitado.
Contabilidad: cada identidad tiene un propietario, cada derecho tiene una justificación empresarial y un plazo.

4) Fuentes de la verdad y modelo de datos

HRIS/Sistema de Recursos Humanos: fuente primaria de la condición de empleado (hire/move/exit).
IdP/SSO: un único punto de autenticación (MFA/FIDO2), federación.
IAM/IGA: directorio de roles, políticas y procesos de recertificación.
CMDB/directorio de servicios: propiedad de sistemas y circuitos de acceso.
Plataformas de proveedores: PSP/KYC/CDN/WAF/proveedores de juegos - portales de acceso externos.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Controles que la auditoría comprueba

1. SSO y MFA están en todas partes (sin cuentas locales y cuentas compartidas).
2. RBAC/ABAC/PBAC: los derechos son descritos por los políticos (policy-as-code), los roles son típicos y coherentes.
3. SoD: se han formalizado funciones y excepciones incompatibles.
4. JIT/PAM: aumentos temporales con ticket, grabación de sesión y revocación automática.
5. Secretos/claves: guardados en el gestor de secretos, con rotación y plazos de vida.
6. Registros y probabilidad: tamper-evident, trazabilidad conectada de quién/qué/dónde/cuándo/por qué.
7. Acceso de datos: enmascaramiento PII, exportación - sólo por flujo de trabajo con cifrado y TTL.

6) Proceso de auditoría (fin a fin)

1. Preparación: congelar la instantánea de derechos (entitlements snapshot) por sistemas; descarga desde IdP/IAM/proveedores.
2. Normalización: mapping de roles al directorio, deduplicación, agrupamiento por propietarios de recursos.
3. Categorización del riesgo: P1/P2 (privilegiados y sensibles) → verificación prioritaria.
4. Resertificación de derechos: los propietarios de sistemas confirman/rechazan los derechos (campañas de revisión de acceso).
5. Comprobación de SoD: identificación de incompatibilidades y excepciones temporales (con fecha de caducidad).
6. Conciliación JML: correlación de hire/move/exit con los derechos reales (incluidos los portales externos).
7. Cuentas de servicio: tener propietario, tokens de vida corta, sin «god-scope».
8. Base de pruebas: formación de un paquete de artefactos (informes, descargas, actos).
9. Remediation-plan: tickets de revocación/rectificación, plazos y responsables.
10. Informe final: estado de riesgo, KPI de ciclo, lecciones y mejoras de políticas.

7) contornos JML (que verificamos más profundamente)

Joiner: asignación automática de roles básicos, prohibición de «aditivos» manuales fuera del catálogo.
Mover: cambio de comando/ubicación → sustitución automática de roles, revocación de privilegios antiguos.
Leaver: revocar todos los derechos en X minutos/horas, cerrar el correo/VPN/portales de proveedores, desactivar claves y tokens.

8) Dependencias externas y portales

PSP/KYC/AML/CDN/WAF/proveedores de juegos: cada cuenta tiene el propietario, el propósito, la fecha límite, MFA, la prohibición de cuentas compartidas.
SoD/SLA contractuales: disponibilidad de dual-control para operaciones P1 (cambio de routing de pagos, límites de bonificaciones, etc.).
Conciliación regular: registro de portales externos ↔ lista de usuarios relevantes ↔ resultados de las recertificaciones.

9) Características del dominio iGaming

Payments & Risk: ramas SoD individuales; apruves para cambios en los límites/routing; auditoría de los ajustes manuales.
Trading/coeficientes: sandbox para modelado, roles de publicación separados, retroceso rápido; registro de cambios.
Responsible Gaming/KYC/PII: control estricto de la exportación, enmascaramiento en BI, SLA de procesamiento de solicitudes del regulador.
Afiliados y streamers: portales limitados con capacidades de reporting sin acceso a PII.

10) Políticas como código (PaC)

Las políticas en el repositorio (Rego/YAML), el rugido de PR, las pruebas.
Contexto dinámico en las soluciones allow/deny: entorno (prod), tiempo, ubicación, criticidad de la operación, señales KRI (por ejemplo, un estallido de acciones sensibles).
Vincular obligatoriamente el ticket y el objetivo en las promociones JIT.

11) Revistas y probabilidad

Cadena de eventos: consola administrativa/IdP → API → DB → proveedores externos.
Tamper-evident: almacenamiento WORM/immutable, firma de registros, TTL estrictos.
Búsqueda y respuesta: SLA de respuesta a solicitudes internas/externas (auditoría, regulador, banco/socio).

12) Métricas y KPI/KRI

KPI:
  • Porcentaje de derechos confirmados a tiempo (recertificación), porcentaje de campañas vencidas.
  • Tiempo desde el despido hasta la revocación completa de derechos (MTTR-leaver).
  • Proporción de aumentos JIT vs privilegios permanentes.
  • Número de conflictos SoD solucionados por ciclo.
  • Completa de sistemas cubiertos y portales externos.
KRI:
  • Spikes de acciones sensibles (exportación de PII, cambios de PSP).
  • Derechos no utilizados> N días.
  • Break-glass sin post-auditoría.
  • Cuentas sin propietario/propósito/fecha límite.

13) Hoja de ruta para la implementación (8-12 semanas)

Ned. 1-2: inventario de identidades y sistemas (incluyendo portales externos), catálogo de roles y matriz SoD.
Ned. 3-4: conectividad SSO/MFA en todas partes, recopilación única de entitlements, primeros informes snapshot.
Ned. 5-6: lanzamiento de campañas de resertificación IGA (prioridad P1/P2), revocación automática de Leaver.
Ned. 7-8: JIT/PAM para circuitos prod, grabación de sesiones, prohibición de cuentas compartidas en proveedores.
Ned. 9-10: PaC: formalización de políticas clave (exportación de PII, routing PSP, lanzamientos), pruebas de políticas unit.
Ned. 11-12: dashboards KPI/KRI, regulación de ciclos trimestrales, informes para cumplimiento/reguladores.

14) Patrones de artefactos

Role Catalog: rol, descripción, privilegios mínimos, propietario, aplicabilidad (tenant/región/entorno).
SoD Matrix: funciones/operaciones incompatibles, excepciones, fecha límite y titular de la excepción.
Access Review Pack: hoja de confirmación de derechos, comentarios, resultado (approve/revoke/mitigate).
Service Account Register: objetivo, propietario, vida útil, escopetas, lugar de almacenamiento de secretos, horario de rotación.
Inventario de portales externos: sistema, contactos, lista de usuarios, MFA, fecha de la última resertificación.
Evidence Checklist: qué descargas/registros y en qué formato almacenar para la auditoría.

15) Antipattern

Cuentas comunes y «administración para siempre».
Emisión manual de derechos de elusión IdP/IGA.
Ausencia de SoD o tolerancia de «excepciones temporales» sin fecha de caducidad.
Tokens de servicio sin rotación/propietario.
Exportación de PII «por carta» sin flujo de trabajo y cifrado.
No hay auditoría de portales externos (PSP/KYC/proveedores de juegos).

16) Hallazgos frecuentes de auditoría y corrección rápida

Accesos discontinuos en despedidos/contratistas: habilite la revocación automática de eventos HR (Leaver).
Roles con derechos redundantes: descompresión en atributos ABAC más pequeños y enlazados.
Cuentas compartidas con proveedores: migración a + MFA personales, emisión de roles temporales para tareas raras.
Secretos de larga vida: cambio a fichas/certificados de corta duración y rotación programada.

17) Enlace de gestión de incidentes

Cualquier incidente con un componente de acceso → actualización obligatoria del registro de riesgos y políticas, resertificación puntual de roles afectados, post-mortem con items de acción (y plazos).

Resultado

La auditoría de identidades es un ciclo repetible y automatizado: un registro completo de identidades y derechos → una recertificación orientada al riesgo → un JML rígido y una política JIT/PAM → como código y una auditoría probada → mejorar los resultados del ciclo. Este esquema reduce las posibilidades de abuso y error, acelera las investigaciones, refuerza el cumplimiento y protege las operaciones empresariales clave de las plataformas iGaming.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.