GH GambleHub

کنترل دسترسی به داده ها

1) چرا بازی

ریسک و مقررات: PII/امور مالی، مرزی، الزامات RG/AML.

سرعت و اعتماد: تجزیه و تحلیل خودکار خدمات امن و ML بدون «توزیع» دستی

حسابرسی و مسئولیت: «چه کسی چه چیزی را دید و چرا»، قابلیت اثبات اصل حداقل حقوق.

2) اصول اساسی

1. حداقل امتیاز - فقط آنچه شما نیاز دارید و برای زمان مناسب.

2. تفکیک وظایف (SoD) - توسعه دهنده ≠ دسترسی را تأیید می کند ؛ تحلیلگر ≠ صاحب اطلاعات

3. Just-in-Time (JIT) - موقت، به طور خودکار حقوق لغو شده است.
4. دفاع در عمق - حفاظت چند سطحی: شبکه → سرویس → جدول → ستون → سلول.
5. Policy-as-Code - دسترسی و ماسک در کد/مخزن، بررسی از طریق PR.
6. منشاء آگاه - راه حل در کاتالوگ، نسب، طبقه بندی و قرارداد تکیه می کنند.

3) طبقه بندی داده ها

کلاس ها: عمومی/داخلی/محرمانه/محدود (PII/امور مالی).
برچسب ها در نمودارها و کاتالوگ: 'pii'، 'مالی'، 'tokenized'، 'masking'، 'rle' (سطح ردیف)، 'cle' (سطح ستون)، 'geo = EU/TR/...'، 'مستاجر'.

حداقل قوانین:
  • محدود: نشانه ها/ماسک ها در همه جا ؛ detokenization تنها در «منطقه پاک» بر اساس درخواست.
  • محرمانه: دسترسی با ماسک های پیش فرض ؛ از بین بردن ماسک - از طریق توجیه و JIT.
  • داخلی/عمومی: توسط نقش دامنه، بدون PII.

4) مدل های مجوز

RBAC (نقش پایه) : شروع سریع، کاتالوگ نقش («بازاریابی-تحلیلگر»، «ریسک-عملیات»).
ABAC) Attribute-Basis) : کشور، نام تجاری، محیط زیست (تولید/مرحله)، پروژه، هدف پردازش، زمان، سطح ریسک.
ReBAC (by relationship): «set owner», «domain steward», «reviewer».
ترکیبی: RBAC به عنوان چارچوب، ABAC مرزها را اصلاح می کند.

5) دانه بندی دسترسی

شبکه/ورود: mTLS، اجازه لیست، لینک های خصوصی.
سرویس/خوشه: نقش های IAM، حساب سرویس با حداقل امتیازات.
مخازن: کاتالوگ ها/نمودارها/جداول (GRANT)، امنیت سطح ردیف (RLS)، امنیت سطح ستون (CLS).

ماسک کردن/نشانه گذاری: ماسک های پویا در SQL/BI ؛ توکن ها به جای PII

Fichestor/ML: دسترسی فقط به aggregates/ویژگی های مجاز ؛ سیاست ویژگی (اجازه/انکار).
فایل ها/اشیاء: پیوندهای از پیش امضا شده با TTL، سیاست رمزگذاری و بارگیری.

6) الگوهای برای حوزه های کلیدی

KYC/AML: CLS (فقط نشانه ها قابل مشاهده هستند)، RLS توسط اپراتور کشور ؛ detokenization - DPO/قانونی توسط JIT.

پرداخت: محدود, FLE + نشانه, خطر/پرداخت-عملیات دسترسی از طریق JIT; آپلود های حسابرسی شده

رویدادهای بازی: داخلی/محرمانه، RLS با نام تجاری/منطقه/مستاجر، CLS برای user_id.
بازی مسئول: دسترسی فرمان RG به aggregates ؛ موارد فردی - در صورت درخواست.
BI/ML: ویترین «طلا» بدون PII ؛ ML - لیستی از ویژگی های مجاز، ورود به سیستم توجیه برای آنهایی که بحث برانگیز است.

7) روش های دسترسی

7. 1 درخواست → تصویب → مقررات

فرم درخواست: هدف، دامنه، اصطلاح، نقش، ویژگی های ABAC، مالک مجموعه.

بررسی خودکار: کلاس داده، SoD، آموزش کامل شده است ؟ تعارض منافع ؟

RACI: مالک (R)، کارگزار (C)، DPO/Sec (A/C)، IT/IAM (R).

7. 2 JIT и شکستن شیشه

JIT: 15 دقیقه/2 ساعت/1 روز با فراخوان خودکار ؛ تجدید - در یک برنامه جدید.
شکستن شیشه: برای حوادث ؛ نقش های فردی/کلید، ممیزی افزایش یافته، پس از مرگ مورد نیاز است.

7. 3 بررسی های منظم

بررسی دسترسی سه ماهه: صاحبان دامنه نقش ها/ویژگی ها را تأیید می کنند.
غیرفعال کردن خودکار دسترسی های «فراموش شده» (بدون استفاده از 30/60 روز).

8) مکانیسم های فنی

کاتالوگ و قراردادها: منبع حقیقت در مورد صاحبان، کلاس ها، ماسک ها.
موتور سیاست: OPA/معادل برای سیاست های ABAC/ردیف/ستون.
Data Masking: ماسک های پویا در DWH/BI ؛ قالب ماسک ایمن برای تلفن/ایمیل.
نشانه گذاری: طاق/FPE ؛ پاکسازی فقط در «منطقه پاک».
اسرار و PAM: مدیر مخفی، جلسات JIT، ضبط صفحه نمایش برای دسترسی به مدیریت.
حسابرسی و SIEM: سیاهههای تغییر ناپذیر (WORM)، ارتباط رویدادهای دسترسی با جلسات و آپلود.
جدا کننده های جغرافیایی/مستاجر: جدایی فیزیکی/منطقی (طرح ها، دایرکتوری ها، خوشه ها، کلید های رمزگذاری).

9) رضایت و DSAR

دسترسی ها رضایت بازیکن را در نظر می گیرند (بازاریابی = خاموش → پنهان کردن ویژگی های بازاریابی).
دکمه های DSAR: پیدا کردن/تخلیه/حذف توسط نشانه ؛ ثبت کل عملیات ؛ حقوقی محسوب می شود.

10) نظارت و SLO

دسترسی به SLO: زمان صدور دسترسی JIT (به عنوان مثال ≤ 30 دقیقه).
صفر PII در سیاهههای مربوط: رویدادهای 100٪ بدون PII.
Anomaly rate: هشدار برای سنبله SELECT یا غیر معمول JOIN به محدود.
پوشش بررسی: ≥ 95٪ از نقش ها به موقع بررسی می شوند.
Mask Hit-Rate: نسبت درخواست هایی که در آن ماسک/توکن ایجاد شده است.
Detokenization MTTR: زمان متوسط برای پردازش یک برنامه معتبر.

11) قالب ها

11. 1 خط مشی دسترسی (قطعه)

اصل: حداقل امتیاز + SoD + JIT.
نقشها: یک کاتالوگ از نقشها با شرح وظایف/ویترین.
ویژگی های ABAC: «کشور»، «نام تجاری»، «ENV»، «هدف»، «حفظ».
ماسک/نشانه: فعال در محرمانه/محدود به طور پیش فرض.

بررسی: فصلنامه ؛ یادآوری خودکار دسترسیهای «فراموش شده»

نقض: مسدود کردن، تحقیق، آموزش.

11. 2 فرم درخواست

چه کسی: نام کامل/تیم/مدیر.
چه چیزی: مجموعه/جدول/ویترین/ویژگی.

چرا: هدف، نتیجه مورد انتظار/معیارها

چه مدت: مدت/برنامه

کلاس داده:) تکمیل خودکار از فهرست (.
امضاها: مالک/کارگزار، DPO یا Sec (اگر محدود شده باشد).

11. 3 کاتالوگ نقش (به عنوان مثال)

بازاریابی-تحلیلگر: مارتهای بازاریابی داخلی/محرمانه ؛ بدون detokenization ؛ RLS با نام تجاری.
Risk-Ops: پرداخت های محدود با ماسک JIT برای detokenization ؛ صادرات تنها از طریق قالب های «سفید».
RG-تیم: واحد RG، دسترسی به موارد در صورت درخواست.
DS/ML: fichestor (ویژگی اجازه لیست)، sandbox بدون PII.

12) نقشه راه پیاده سازی

0-30 روز (MVP)

1. طبقه بندی داده ها و برچسب ها در طرح.
2. کاتالوگ نقش + ویژگی های اساسی ABAC (کشور/نام تجاری/ENV).
3. پوشش/توکنسازی پیشفرض برای محرمانه/محدود.

4. فرآیند JIT و ورود به سیستم حسابرسی ؛ مقررات شکستن شیشه

5. RLS/CLS برای پرداخت، KYC، رویدادهای بازی ؛ «SELECT» را برای Restricted غیرفعال کنید.

30-90 روز

1. سیاست به عنوان کد در CI (درخواست لاینتر، بلوک در صورت نقض).

2. ادغام با رضایت/DSAR ؛ دسترسی به گزارش های SLO

3. بررسی دسترسی سه ماهه ؛ غیر فعال کردن خودکار

4. PAM برای دسترسی به مدیریت ؛ ضبط جلسات جعبه زمان.

3-6 ماه

1. جداسازی جغرافیایی/مستاجر، کلیدهای رمزگذاری فردی توسط صلاحیت.
2. توصیه های خودکار نقش ها بر اساس درخواست های واقعی (مبتنی بر استفاده).
3. تجزیه و تحلیل رفتاری دسترسی (ضد تجزیه و تحلیل)، playbooks SOAR.
4. صدور گواهینامه فرآیند و ممیزی خارجی.

13) ضد الگوهای

«کاربر برتر» برای همه - بدون SoD و JIT.
به اشتراک گذاری داده ها از طریق فایل ها/تصاویر خارج از کانال های کنترل شده.
RLS/CLS فقط «بر روی کاغذ» - ماسک ها در BI خاموش می شوند.

بدون بررسی حقوق و فراخوان خودکار ؛ دسترسی «ابدی»

کاتالوگ/قراردادها به روز نمی شوند - قوانین دسترسی از تاریخ گذشته است.
Detokenization در برنامه های کاربردی «برای راحتی» بدون حسابرسی.

14) RACI (مثال)

سیاست ها/معماری: CDO/CISO (A)، DPO (C)، SecOps (R)، پلت فرم داده (R).
صدور دسترسی: IAM/IT (R)، صاحبان (A/R)، مباشرین (C)، مدیران (I).
حسابرسی/بررسی: صاحبان (R)، DPO/Sec (A)، حسابرسی داخلی (C).
حوادث: SecOps (R)، حقوقی/PR (C)، دامنه (R).

15) بخش های مرتبط

مدیریت داده ها، نشانه گذاری داده ها، امنیت داده ها و رمزگذاری، منبع و مسیر داده، اخلاق/DSAR، ML محرمانه، یادگیری فدرال.

مجموع

کنترل دسترسی یک سیستم از سیاست ها، ویژگی ها و اتوماسیون است که به تیم ها داده های مناسب را دقیقا در مقدار و زمان مناسب می دهد و قابلیت ردیابی کامل را فراهم می کند. در iGaming، این اساس اعتماد به معیارها، انعطاف پذیری حادثه و سرعت تصمیم گیری است.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

Telegram
@Gamble_GC
شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.