בקרת גישה לנתונים
1) מדוע זה iGaming
סיכון ורגולציה: PII/מימון, חציית גבולות, דרישות RG/AML.
מהירות ואמון: ניתוחי שירות עצמי בטוח ו-ML ללא ”הפצות” ידניות.
ביקורת ואחריות: ”מי ראה מה ולמה”, ההשלכות של עקרון הזכויות המינימליות.
2) עקרונות בסיסיים
1. פריבילגיה לפחות - בדיוק מה שאתה צריך ובזמן הנכון.
2. הפרדה בין חובות (SoD) - מפתח מאשר גישה; אנליסט בעל נתונים.
3. רק-in-TIME (Just-in-Time) - זמנית, שללה באופן אוטומטי את הזכויות.
4. הגנה בעומק - הגנה רב-רמה: שירות רשת = table # table = row = row.
5. גישה ומסכות בקוד/מאגר, סקירה באמצעות יחסי ציבור.
6. פתרונות מבוססים על קטלוג, שושלות, סיווג וחוזים.
3) סיווג נתונים
כיתות: ציבורי/פנימי/סודי/מוגבל (PII/Finance).
תגיות בתרשים ובקטלוג: "pii", "financial", "tokenized", "masking", "rle" (רמת השורה), "cle" (רמת הטור), "geo = EU/TR/"...," derenant'.
- מוגבל: אסימונים/מסכות בכל מקום; איתור רק ב ”אזור הנקי” לפי בקשה.
- סודי: גישה עם מסכות ברירת מחדל; מסיר מסכות באמצעות הצדקה ו-JIT.
- פנימי/ציבורי: על ידי תפקידי דומיין, לא מח "ש.
4) מודלי הרשאה
RBAC (בסיס תפקידים.) : התחלה מהירה, קטלוגי תפקידים (”שיווק-אנליסט”, ”סיכונים-מבצעים”).
ABAC (מאפיין-בסיס.) : מדינה, מותג, סביבה (prod/stage), פרויקט, תכלית עיבוד, זמן, רמת סיכון.
REBAC (על ידי מערכת יחסים): ”בעל סט”, ”domain steward”, ”מבקר”.
RBAC כמסגרת, ABAC משפר גבולות.
5) גרנולריות של גישה
רשת/כניסה: mTLS, הרשאה-רשימה, קישורים פרטיים.
שירות/אשכול: תפקידי IAM, חשבון שירות עם מינימום הרשאות.
ריפוזיטוריות: קטלוגים/דיאגרמות/טבלאות (GRANT), Row-Level Security (RLS), TEX-Level Security (CLS).
מיסוך/אסימון: מסכות דינמיות ב ־ SQL/BI; אסימונים במקום מח "ש.
פיכסטור/ML: גישה רק לאגרגטים/תכונות אפשריות; מדיניות תכונה (לאפשר/להכחיש).
קבצים/אובייקטים: קישורים חתומים מראש עם TTL, מדיניות הצפנה והורדה.
6) תבניות לתחומי מפתח
KYC/AML: CLS (רק אסימונים גלויים), RLS על ידי ארץ מרכזנית; DPO/Legal על ידי JIT.
תשלומים: מוגבלים, אסימונים FLE +, גישה לסיכון/תשלומים-Ops באמצעות JIT; העלאות מבוקרות.
אירועי משחק: פנימי/חסוי, RLS על ידי מותג/אזור/דייר, CLS על user_id.
משחקים אחראיים: גישת פקודת RG לצבירים; מקרים בודדים - על פי בקשה.
BI/ML: ”זהב” תצוגות ללא PII; רשימת המאפיינים המותרים, רישומי ההצדקה לשנויים במחלוקת.
7) הליכי גישה
7. 1 בקשה # אישור של action name
טופס דרישה: תכלית, היקף, מונח, תפקיד, תכונות ABAC, בעלים.
בדיקת רכב: שיעור נתונים, סיד, אימון הושלם? ניגוד אינטרסים?
בעלים (R), סטיוארד (C), DPO/Sec (A/C), IT/IAM (R).
7. 2 JIT Brust-glass
15 min/2 h/1 יום עם החזרה אוטומטית; חידוש - על יישום חדש.
פריצה: לתקריות; תפקידים/מפתחות אישיים, ביקורת חשבונות משופרת, לאחר המוות נדרש.
7. 3 ביקורות רגילות
סקירת גישה רבעונית: בעלי דומיין מאשרים תפקידים/תכונות.
ביטול אוטומטי של גישה ”נשכחת” (ללא שימוש 30/60 ימים).
8) מנגנונים טכניים
קטלוג וחוזים: מקור של אמת על בעלים, כיתות, מסכות.
מנוע מדיניות: OPA/מקביל למדיניות ABAC/Row/Tore.
מסכת נתונים: מסכות דינמיות ב ־ DWH/BI; תבנית מסכה בטוחה לטלפונים/דוא "ל.
טוקניזציה: כספת/FPE; איתור רק ב ”אזור הנקי”.
סודות ופאם: מנהל סודי, פגישות JIT, מסכי הקלטה עבור גישה למנהלים.
Audit & SIEM: יומנים בלתי ניתנים לשינוי (WORM), קורלציה של אירועי גישה עם הפעלות והעלאות.
מבודדים גיאו/דייר: הפרדה פיזית/לוגית (תרשימים, ספריות, אשכולות, מפתחות הצפנה).
9) הסכמה & DSAR
נגישות לוקחת בחשבון את הסכמתו של השחקן (שיווק = off off at hare security).
כפתורי DSAR: למצוא/לפרוק/למחוק על ידי אסימון; יומן המבצע כולו; משפטי Hold נחשב.
10) ניטור ו ־ SLO
גישה SLO: p95 זמן הנפקת גישת JIT (לדוגמה: 30 דקות).
אפס-פיל ביומנים: 100% אירועים ללא מח "ש.
קצב סטייה: התראות עבור ספייק SELECT או מצטרף לא טיפוסי להגבלה.
סיקור: 95% מהתפקידים נבחרים בזמן.
מסכה דרגה: הפרופורציה של בקשות שבו המסכה/אסימון הופעל.
Tetokenization MTR: זמן ממוצע לעיבוד יישום תקף.
11) תבניות
11. מדיניות גישה 1 (קטע)
עיקרון: חיסיון מינימלי + SoD + JIT.
תפקידים: קטלוג תפקידים עם תיאור של משימות/תצוגות.
תכונות ABAC: 'מדינה', 'מותג', 'env', 'מטרה', 'שימור'.
מסכות/אסימונים: פעיל על סודיות/מוגבלת כברירת מחדל.
סקירה: רבעון; החזרה אוטומטית של גישה ”נשכחת”.
הפרות: חסימה, חקירה, אימונים.
11. 2 טופס יישום
שם מלא/צוות/מנהל.
מה: ערוך/שולחן/תצוגה/תכונה.
מדוע: מטרה, תוצאה/מטריות צפויה
כמה זמן: טווח/לוח זמנים.
מחלקת נתונים: (השלמה אוטומטית מקטלוג).
חתימות: בעלים/סטיוארד, DPO או Seck (אם מוגבלת).
11. 3 קטלוג תפקידים (דוגמה)
אנליסט שיווק: Internal/Security Marts; ללא ניקוי; RLS על ידי מותג.
סיכונים-Ops: תשלומים מוגבלים עם מסכות; JIT לניקוי; לייצא רק דרך תבניות ”לבנות”.
צוות אר-ג 'י: יחידות אר-ג' י, גישה לתיקים לפי בקשה.
DS/ML: fichestor (תכונה מרשימה), ארגז כריכים ללא PII.
12) מימוש מפת דרכים
0-30 ימים (MVP)
1. סיווג של נתונים ותוויות בתרשימים.
2. קטלוג תפקידים + תכונות ABAC בסיסיות (country/brand/env).
3. מיסוך/אסימון ברירת מחדל עבור סודיות/מוגבלת.
4. תהליך JIT ויומן ביקורת; תקנות פריצת זכוכית.
5. RLS/CLS לתשלומים, KYC, אירועי משחקים; ביטול 'בחר' להגבלה.
30-90 ימים
1. מדיניות-as-Code ב- CI (קישור בקשה, חסימות במקרה של הפרות).
2. אינטגרציה עם הסכמה/DSAR; דוחות SLO גישה.
3. סקירת גישה רבעונית; ניתוק אוטומטי.
4. PAM עבור גישה אדמיניסטרטיבית; תיבת זמן הפעלות הקלטה.
3-6 חודשים
1. בידוד גיאו/דייר, מפתחות הצפנה אישיים על ידי תחום שיפוט.
2. המלצות אוטומטיות של תפקידים המבוססות על בקשות ממשיות (מבוססות שימוש).
3. אנליטיקה התנהגותית של גישה (אנטי-אנליטיקה), ספרי משחק של SOAR.
4. אישור תהליך וביקורת חיצונית.
13) אנטי דפוסים
”Superuser” לכל - ללא SoD ו JIT.
שיתוף נתונים דרך קבצים/צילומי מסך מחוץ לערוצים מבוקרים.
RLS/CLS רק ”על הנייר” - מסכות כבויות ב-BI.
אין ביקורת זכויות והחזרה אוטומטית; גישה ”נצחית”.
קטלוג/חוזים אינם מעודכנים - כללי הגישה אינם מעודכנים.
ניקוי יישומים ”לנוחיות” ללא ביקורת.
14) RACI (דוגמה)
מדיניות/ארכיטקטורה: CDO/CISO (A), DPO (C), Secops (R), Data Platform (R).
השקת גישה: IAM/IT (R), בעלים (A/R), Stewers (C), מנהלים (I).
Audit/Review: בעלים (R), DPO/SeC (A), Audit פנימי (C).
תקריות: Secops (R), Legal/PR (C), Domains (R).
15) חלקים קשורים
Data Management, Data Tokenization, Data Security and Encryption, Data Origin and Path, Ethics/DSAR, Security ML, Federated Learning.
סך הכל
בקרת גישה (באנגלית: Access control) היא מערכת של מדיניות, תכונות ואוטומציה המעניקה לצוותים את הנתונים הנכונים בדיוק בזמן ובכמות המתאימה, ומשאירה איתור מלא. ב-iGaming, זהו הבסיס לאמון במדדים, עמידות בתקריות ומהירות קבלת ההחלטות.