GH GambleHub

בקרת גישה למבצעים

1) למה אתה צריך את זה

שליטה בגישה לעסקאות מונעת הפסדים כספיים, ניצול לרעה והפרות רגולטוריות. הוא מגביל שגיאות ”רדיוס פיצוץ” ואיומים פנימיים, מאיץ חקירות ועושה שינויים שניתן לאתר. עבור iGaming, זה קריטי בתחום התשלומים, אנטי הונאה, תוכניות בונוס,

2) עקרונות בסיסיים

אפס אמון: אל תבטח כברירת מחדל; בדוק כל פעולה.
זכויות מינימום הכרחיות לזמן מוגבל.
גישה למידע/פונקציות רק למטרה סבירה.
הפרדה בין חובות (SOD): הפרדת תפקידים ”בקשה להוצאה לפועל של ביקורת”.
אחריות: כל פעולה היא על ישות בשם עם אחריות אישית/סמכותית.
Composability - גישה נוצרת על ידי מדיניות שניתן לאמת ולשנות אותה כקוד.

3) מודל בקרת גישה

3. 1 דוגמניות לחיקוי וייחוס

RBAC: תפקידים בסיסיים לפי פונקציה (תמיכה, סיכון, תשלומים, מסחר, מבצעים, Dev, SRE, ציות).
ABAC: תכונות של דייר/אזור/תחום שיפוט/ערוץ/מוצר/סביבה (prod/stage/dev).
PBAC/Policy-as-Code: כללים באופ "א/רגו או אנלוגים: מי/מה/איפה/מתי/למה/ההקשר (KRI, זמן, תפעול רמת סיכון).

3. 2 מטריצות SoD (דוגמה)

תשלומים/משיכות: ראשי תיבות: לאשר ביצוע.
בונוסים: ליצור קמפיין שמופעל על-פי גבולות השינוי.
גורמים/קו: דוגמנות בהוצאה לאור מתגלגלת בחזרה.
נתונים/PII: העלו בקשה לקבלת אישור על פי גישה לפענוח.
שחרורים: מפתחת אפליקציית שחרור weather roll-out.

4) זיהוי ומעגל הפדרציה

SSO/MFA: נקודת כניסה אחת עם MFA חובה, תמיכה FIDO2.
Just-in-Time (JIT) Provisioning - הקצאת תפקידים בכניסת תכונות וקבוצת סיכון.
SCIM/HR-מונע: הקצאה אוטומטית/שלילת זכויות לאירועי HR (שכר/תנועה/יציאה).
חשבונות שירות: אסימונים/תעודות קצרות ימים, סבב סודות, היקף מוגבל.

5) גישה חסויה (פאם)

החרפה זמנית של זכויות היתר עם סיבה וכרטיס.
בקרה כפולה (4 עיניים): עבור פעולות בסיכון גבוה (P1/P2) נדרשות שתי אפליקציות מפונקציות שונות.
בקרת הפעלה: הקלטה/יומן של הפעלות קריטיות, התראות חריגות, איסור על העתקת הדבק/שיתוף קבצים במידת הצורך.
פריצה זכוכית: גישת חירום עם מגבלות קשות, פוסט ביקורת חובה וחזרה אוטומטית.

6) בקרת גישה לנתונים

סיווג: PII/פיננסי/טכני/ציבורי.
מיסוך נתונים: מיסוך על ידי תפקידים, אסימון של מזהים.
נתיבי גישה: אנליטיקה קוראת צבירה; גישה למח "ש גולמי - רק דרך זרימות עבודה מאושרות עם חלון זמן מטרה.
ייצוא/שורה: כל העלאות נחתמות עם בקשה/כרטיס, מאוחסנת עם TTL.

7) שליטה על פעולות תחום iGaming

משיכות: מגבלות על כמות/שעה/יום, אפליקציית 2 פקטור, גורמי עצירה אוטומטיים (ניקוד סיכונים, מהירות).
בונוסים/פריספינים: מכסה עבור תקציב/דייר, ארגז חול פועל, שתי רמות אישור.
תקופות פרומו דורשות בדיקה כפולה, יומן פרסום, גלגול מהיר.
CYC/AML: גישה למסמכים על ידי יעד וכרטיס, איסור על הורדות המוניות.
מסלולי תשלום: שינוי כללי PSP - רק באמצעות שינוי ניהול עם סקירה של עמלות/המרות.
פעולות תמיכה: הקפאת חשבון, מחיקה/גיבוב - רק באמצעות תבנית של ספר מהלכים, עם יצירה אוטומטית של מקרה.

8) גישה לתשתיות

קטעי סביבה: Prod מבודד; גישה לבסיס עם תעודות SSH/MTLS קצרות.
קוברנטס/ענן: מדיניות למרחב נימי/נייטרלית, יציאה אסורה כברירת מחדל, PoddBornetes Policy/OPA Gatekeeeper.
DB/caches: מתווכי גישה (DB proxy, IAM-at-the-review), ”קריאה-רק כברירת מחדל”, DDL איסור בתוכנית ללא חלון שינוי.
סודות: מנהל סודי, סיבוב אוטומטי, איסור סודות במשתנים סביבתיים ללא הצפנה.

9) תהליכי יישום ועדכון

קטלוג גישה: תיאורים של תפקידים, תכונות, רמת סיכון של פעולות, SLO של התחשבות.
יישום: הצדקה, מונח, אובייקט (דייר/אזור/סביבה), נפח הפעולה הצפוי.
אפריל: מנהל שורות + data/ops בעלים; לסיכון גבוה - ציות/תשלומים/סיכון.
סקירת גישה: בעלים רבעוניים מאשרים את הצורך בזכויות; ניתוק אוטומטי של גישות ”תלויות”.

10) מדיניות-כקוד

ריכוז: OPA/Rego/Webhooks ב CI/CD וקונסולות מנהלים.
תהליכי יחסי ציבור, ביקורות מדיניות ובדיקות, ביקורת חשבונות.
הקשר דינמי: זמן של יום, KRI, geo, שחקן/מבצע ניקוד סיכונים.
Provability: לכל פתרון מתיר/מכחיש יש מדיניות מוסברת ושיא ביקורת.

11) יומנים וביקורות (טפל-ראיה)

אוסף בלתי ניתן לריכוז (WORM/immutable Storage), חתימת תקליטים.
שלמות: מי, מה, איפה, מתי, למה (כרטיס זיהוי), לפני/אחרי ערכים.
קישוריות: Transaction trace דרך הקונסולה = API = API = מסד נתונים = ספקים חיצוניים.
ביקורת SLA: זמינות רישום, זמן תגובה בקרה/רגולטור.

12) ניטור והתראה

גישה ל-KPI:% גישה ל-JIT, תקופת חיים של פריצת זכוכית ממוצעת, שיתוף זכוכית לא בשימוש> ימים N.
KRI של שימוש לרעה: הידבקויות של פעולות רגישות, העלאות המוניות, שעות/מיקומים לא טיפוסיים, רצפים ”application _ action _ rollback”.
התראות בזמן אמת, לפעולות P1/P2 בערוץ הכוננות והסיקור.

13) בדיקות ובקרת איכות

שולחן/סיפור מחומש: תרחישים של מישהו מבפנים, אסימון גנוב, שימוש לרעה בתפקידי תמיכה, שגיאות תצורה מכוונות.
כאוס-גישה: שלילת זכויות כפויה במהלך שינוי פעיל, בדיקת היציבות של תהליכים.
כשל SSO/PAM, גישה זכוכית שבר, התאוששות לולאה רגילה.

14) מימוש מפת דרכים (8-12 שבועות)

נד. 1-2: מלאי של מבצעים/תפקידים/נתונים, הערכת סיכונים ומטריצת SOD עיקרית.
נד. 3-4: SSO/MFA בכל מקום, ספריית גישה, JIT לקונסולות מנהלים, מדיניות אופ "א בסיסית.
נד. 5-6: PAM: JIT-התרוממות, הפעלות הקלטה, פריצת זכוכית עם פוסט-ביקורת. מח "ש ועבודה מסווגים על העלאות.
נד. 7-8: prod/stage/dev segmentation, מודל bastion, מתווך גישה לבסיס נתונים, DDL איסור.
נד. 9-10: פעולות בסיכון גבוה עם שליטה כפולה; התראות על התעללות ב-KRI; התורות הראשונות בשולחן.
נד. 11-12: מיצוב אוטומטי/SCIM, סקירת גישה רבעונית, איתור ביקורת מלאה, ומדדי ביצועים.

15) חפצים ותבניות

קטלוג תפקידים: תפקיד, תיאור, מינימום הרשאות, תכונות ABAC, בעלים.
מטריקס SoD: תפקידים/פעולות בלתי מתאימים, יוצאים מן הכלל, תהליך מעקף זמני.
רשימת פעולות P1/P2, קריטריונים כפולים, חלונות הוצאה להורג.
טופס בקשה גישה: מטרה, מונח, אובייקט, כרטיס, הערכת סיכונים, אפליקציות.
Policy Pack (PaC): מערכת של מדיניות Rego עם מבחנים ודוגמאות המכחישות/מאפשרות.
Audit Playbook: כיצד לאסוף שרשרת אירועים, תגובת SLA, מי מתקשר עם הרגולטור.

16) פונקציות KPI

% מהפעולות מכוסות על ידי SoD ושליטה כפולה

חיים ממוצעים של זכויות גבוהות (מטרה: שעות, לא ימים)

שיתוף גישות קבועות של JIT-vs

סגירת זמן יישומים ו% של עדכונים אוטומטיים באמצעות תבניות בסיכון נמוך

מספר/תדר של תקריות שבהן הגישה הייתה מפתח

ביקורת השלמות (% אירועים קשורים לכרטיס/היגיון)

17) תרופות אנטי ־ פטריות

”מנהל לנצח” וחשבונות כלליים.
גישה לנתוני ייצור דרך BI/ad hoc ללא תחפושת ורישום.
מדיניות על נייר ללא אכיפה בקוד/קונסולות.
פריצה ללא נתיחה שלאחר המוות והחזרה אוטומטית.
”מרצונם החופשי”.
ערבוב התפקידים של תמיכה ויישומים פיננסיים.

סך הכל

שליטה אפקטיבית בגישה לפעולות היא שילוב של עקרונות נוקשים (Zero Trust, Lest Privilege, SoD), אמצעים טכניים (SSO/MFA, PAM, PAC, segmentation, Data Brookers), תהליכי ניהול (קטלוג תפקידים, יישומים/עדכונים) וביקורת. מסגרת זו הופכת תשתיות ופעולות עסקיות לברות-קיימא, מפחיתה את הסבירות להתעללות ומאיצה את תגובת התקרית - תוך ציות מוכח לרגולטורים ולשותפים.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

Telegram
@Gamble_GC
התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.