GH GambleHub

تفکیک وظایف و سطوح دسترسی

1) اهداف و اصول

اهداف:
  • حذف کنترل واحد بر عملیات بحرانی (پول/PII/انطباق)،
  • کاهش خطر تقلب/خطا
  • اطمینان از قابلیت اطمینان برای تنظیم کننده ها و ممیزی های داخلی.

اصول: اعتماد صفر· حداقل امتیاز· نیاز به دانستن· SoD (4 چشم)· ردیابی· قابلیت اطمینان (یادآوری سریع).

2) طبقه بندی داده ها و سطوح دسترسی

کلاس هانمونه هاالزامات دسترسی عمومی
عمومی استمحتوای سایتبدون مجوز
داخلیمعیارهای عملیاتی غیر PIISSO، نقش فقط خواندنی
محرمانه استگزارش های DWH (aggregates)SSO + MFA، گروه های تایید شده
محدود (PII/امور مالی)KYC/AML، معاملات، سیگنال های RGABAC + JIT، ورود به سیستم، ورود به سیستم WORM
بسیار محدوداسرار, کنسول های مدیریت, محیط پرداختPAM، جلسات ضبط شده، شبکه های جدا شده
💡 کلاس در دایرکتوری داده/RoPA ثابت شده و به سیاست های رمزگذاری، نگهداری و صادرات محدود می شود.

3) مدل حقوق: RBAC + ABAC

RBAC: نقش های دامنه (پشتیبانی، VIP، پرداخت، AML، KYC، FRM، BI، DevOps، DPO، حقوقی).
ABAC: ویژگی های متنی (محیط، جغرافیا، کلاس داده، دستگاه/MDM، زمان، سطح KYC، هدف دسترسی، خطر دستگاه).

یک مثال از شرایط ABAC: یک تحلیلگر BI می تواند "رویدادها _' را فقط بدون PII، فقط از شبکه شرکت/MDM، در روزهای هفته 08: 00-21: 00، با آموزش حریم خصوصی فعال، بخواند.

4) SoD - ماتریس توابع ناسازگار

عملکردمجاز استناسازگار (نیاز/4 چشم جدایی)
پرداخت هاتایید نتیجه گیریتغییر قوانین ضد تقلب یا محدودیت های VIP
ضد تقلب (FRM)ویرایش قوانین، تنظیم نگه داریدcacheouts/راه حل های بازپرداخت خود را تایید کنید
انطباق/AMLEDD/STR/SAR، KYC خوانده شدهصادرات کامل DWH/سیاهههای مربوط خام
پشتیبانی/VIPنمایش مشخصات (ماسک)دسترسی به اسناد ICC/معاملات خام
داده ها/BIaggregates/ناشناس سازیمشاهده PII بدون «هدف»
برنامه های توسعه/SREمدیریت زیرساختخواندن جداول کسب و کار با PII
توسعه دهندگانمرحله/توسعه، سیاهههای مربوط (ماسک.) محصول پی آی
DPO/حریم خصوصیحسابرسی، گزارش PIIتغییر حقوق تولید
💡 هر معامله ای که بر پول/PII/تحریم ها تأثیر بگذارد، مورد تأیید دو مدار (آغازگر ≠ تأیید کننده) است.

5) سطوح و انواع دسترسی

فقط خواندنی/ماسک خواندن: به طور پیش فرض برای BI/پشتیبانی.
Scoped Write: تغییرات در سرویس/روش (به عنوان مثال وارد کردن یادداشت های مورد).
مدیر ممتاز: فقط از طریق PAM (رمز عبور امن، پروکسی جلسه، ضبط جلسه، چرخش مخفی).
حساب های API/سرویس: حداقل ospreys، کلید های فردی در هر ادغام، mTLS.

6) JIT и شکستن شیشه

JIT (Just-in-Time): ارتفاع موقت (15-120 دقیقه) برای یک بلیط خاص، فراخوان خودکار، «هدف» اجباری.
شکستن شیشه: دسترسی اضطراری با تایید دوم MFA +، ضبط جلسه، امنیت + DPO پس از بررسی، ایجاد خودکار یک حادثه در صورت نقض.

7) فرآیندها (SOP)

7. درخواست 1/تغییر دسترسی (IDM/ITSM)

1. درخواست با «هدف»، تاریخ و صاحب اطلاعات.
2. SoD/کلاس داده/صلاحیت خود را بررسی کنید.
3. تأیید مالک دامنه + امنیت (برای محدود +).
4. صدور JIT/دسترسی دائمی (حداقل دامنه).
5. ورود به ثبت حقوق (تاریخ تجدید نظر، لغو SLA).

7. ۲ صدور گواهینامه مجدد حقوق

صاحبان سه ماهه حقوق گروه/کاربر را تأیید می کنند.
حقوق استفاده نشده خودکار (> 30/60 روز).

7. 3 صادرات داده ها

فقط از طریق موارد نمایش/خطوط لوله تایید شده ؛ به طور پیش فرض پوشش لیست های سفید از مقصد/فرمت ؛ امضا/هش ؛ دانلود لاگ

8) کنترل فروشنده/شریک

مستاجران B2B فردی، حداقل دامنه API، IP مجاز لیست، پنجره های زمان.
DPA/SLA: سیاهههای مربوط به دسترسی، دوره نگهداری، جغرافیا، حوادث، زیر پردازنده.
Offboarding: فراخوان کلیدی، تایید حذف، بسته شدن عمل.

9) ادغام با امنیت و انطباق

مسیرهای حسابرسی: «READ _ PII»، «EXPORT _ DATA»، «ROLE _ UPDATE»، «پرداخت _ تایید»، «BREAK _ GLASS».
SIEM/SOAR: هشدار برای حجم غیر طبیعی/دسترسی بدون «هدف »/خروج از پنجره/جغرافیایی.
GDPR/AML/PCI: نیاز به دانستن، سازگاری DSAR، جداسازی محیط پرداخت، WORM برای مجلات.

10) سیاست های نمونه (قطعات)

10. 1 سیاست مدیر VIP

نمای پروفایل نقاب دار، ممنوعیت صادرات، JIT به نمای تک KYC از طریق بلیط.

10. 2 سیاست برای تحلیلگر بازاریابی

فقط واحدهای بدون PII ؛ دسترسی با رضایت (پرچم CMP)، از دستگاه MDM، در طول ساعات کار.

10. 3 ABAC شبه یامل

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

فعالیت هاانطباق/حقوقیدی پی اوامنیتSRE/فناوری اطلاعاتداده ها/BIمحصولات/مهندسیصاحب دامنه
سیاست های SoD/سطوح دسترسیA/Rسی شارپسی شارپسی شارپسی شارپسی شارپسی شارپ
طراحی RBAC/ABACسی شارپسی شارپA/Rتحقیق و توسعهتحقیق و توسعهتحقیق و توسعهسی شارپ
JIT/PAM/شکستن شیشهمن و تومن و توA/Rتحقیق و توسعهمن و توسی شارپمن و تو
تصدیق مجددسی شارپسی شارپیک نفرتحقیق و توسعهتحقیق و توسعهتحقیق و توسعهتحقیق و توسعه
صادرات/ماسکسی شارپیک نفرتحقیق و توسعهتحقیق و توسعهتحقیق و توسعهسی شارپسی شارپ

12) معیارها و KRI ها/KPI ها

پوشش ABAC: ≥ 95٪ از مجموعه های بحرانی تحت قوانین ویژگی.
JIT-rate: ≥ 80٪ از ارتفاعات JIT است.
Offboarding TTR: لغو دسترسی ≤ 15 دقیقه از لحظه اخراج/غیرفعال کردن.
دسترسی های غیر طبیعی بدون «هدف»: = 0 (KRI).
جواز مجدد سه ماهه: 100٪ نقش/گروه تایید شده است.
انطباق صادرات: 100٪ از صادرات امضا شده/وارد شده است.

13) چک لیست

13. 1 قبل از اعطای دسترسی

  • «هدف» تعریف شده، تاریخ، صاحب داده
  • SoD/حوزه های قضایی/اعتبار سنجی کلاس داده گذشت
  • حداقل دامنه + ماسک فعال شده است
  • MFA/MDM/شرایط شبکه ملاقات کرد
  • مجلات و تاریخ تجدید نظر تنظیم شده است

13. 2 ممیزی سه ماهه

  • بررسی گروه/نقش در برابر ساختار سازمانی
  • حقوق استفاده نشده را لغو کنید
  • بررسی شکستن شیشه و صادرات عمده
  • تأیید آموزش (حفظ حریم خصوصی/امنیت)

14) سناریوها و اقدامات معمول

الف) مهندس نیاز به دسترسی موقت به prod-DB دارد

JIT 30-60 دقیقه، جلسه ضبط شده از طریق PAM، پس از بررسی، CAPA برای نقض.

ب) وابسته جدید می پرسد بازیکنان برای تخلیه

فقط/ناشناس سازی را جمع می کند ؛ اگر PII - قرارداد، مبنای قانونی، لیست سفید از زمینه ها، مجله/امضا، مدت محدود مرجع.

ج) مدیر VIP می خواهد اسناد KYC را ببیند

ممنوعیت دسترسی مستقیم ؛ درخواست از طریق AML/KYC، شماره تک از طریق JIT، ورود کامل از زمینه ها.

15) نقشه راه پیاده سازی

هفته 1-2: سیستم/داده موجودی، طبقه بندی، ماتریس RBAC پایه، جدول SoD اولیه.
هفته 3-4: ABAC (محیط زیست/ژئو/کلاس/MDM) پیاده سازی، JIT و شکستن شیشه ای، راه اندازی PAM، سیاهههای مربوط صادرات.
ماه 2: تقسیم بندی محیط CMC/پرداخت، کلید های فردی/KMS، هشدار SOAR برای نقض SoD/ABAC.
ماه 3 +: صدور گواهینامه مجدد سه ماهه، گسترش ویژگی (خطر/زمان دستگاه)، اتوماسیون ماسک، تمرینات معمولی تبلت.

TL ؛ دکتر متخصص

مدل دسترسی قابل اعتماد = طبقه بندی داده ها → RBAC + ABAC → SoD با 4 چشم → JIT/PAM و حسابرسی سخت → صدور گواهینامه مجدد و کنترل صادرات. این احتمال سوء استفاده را کاهش می دهد و سرعت عبور از ممیزی/بررسی های قانونی را افزایش می دهد.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.