GH GambleHub

कर्तव्यों और पहुंच स्तरों का अलगाव

1) लक्ष्य और सिद्धांत

उद्देश्य:
  • महत्वपूर्ण संचालन (धन/पीआईआई/अनुपालन) पर एकल नियंत्रण को छोड़ कर,
  • धोखाधड़ी/त्रुटि के जोखिम को कम करें,
  • नियामकों और आंतरिक ऑडिट के लिए सत्यापन सुनिश्चित करें।

सिद्धांत: शून्य ट्रस्ट· कम से कम विशेषाधिकार -नीड-टू-नो· एसओडी (4-आंखें)· ट्रेसिबिलिटी· रिवोकैबिलिटी (त्वरित रिकॉल)।

2) डेटा वर्गीकरण और पहुंच स्तर

श्रेणीउदाहरणबुनियादी अभिगम आवश्यकताएं
सार्वजनिकसाइट सामग्प्राधिकरण के बिना
आंतरिकगैर-पीआईआई परिचालन मैट्रिक्सएसएसओ, केवल पढ़ ने की भूमिका
गोपनीयDWH रिपोर्ट (कुल)एसएसओ + एमएफए, अनुमोदित समूह
प्रतिबंधित (पीआईआई/वित्त)केवाईसी/एएमएल, लेनदेन, आरजी सिग्नलABAC + JIT, फील्ड लॉग, WORM लॉग
अत्यधिक प्रतिबंधितरहस्य, व्यवस्थापक कंसोल, भुगतान परिधिपीएएम, रिकॉर्ड किए गए सत्र, पृथक नेटवर्क
💡 वर्ग/RoPA डेटा निर्देशिका में तय किया गया है और एन्क्रिप्शन, प्रतिधारण और निर्यात नीतियों के लिए बाध्य है।

3) अधिकार मॉडल: RBAC + ABAC

RBAC: डोमेन द्वारा भूमिकाएँ (समर्थन, वीआईपी, भुगतान, AML, KYC, FRM, BI, DevOps, DPO, कानूनी)।

ABAC: प्रासंगिक विशेषताएं (पर्यावरण, भूगोल, डेटा वर्ग, उपकरण/एमडीएम, समय, केवाईसी स्तर, एक्सेस लक्ष्य 'उद्देश्य', डिवाइस जोखिम)।

ABAC की स्थिति का एक उदाहरण: एक BI विश्लेषक सक्रिय गोपनीयता प्रशिक्षण के साथ, सप्ताह के 08: 00-21: 00 पर केवल PII के बिना 'घटनाओं को पढ़ सकता है।

4) SoD - असंगत कार्यों का मैट्रिक्स

फंक्शनयह प्राधिकृत हैअसंगत (आवश्यकता/4-आंखों के पृथक्करण की)
भुगताननिष्कर्ष की पुष्टि करेंधोखाधड़ी विरोधी नियम या वीआईपी सीमा बदलें
धोखाधड़ी विरोधी (FRM)नियम संपादित करें, होल्ड सेट करेंअपने स्वयं के कैशआउट/चार्जबैक समाधान को मंजूरी दें
अनुपालन/एएमएलEDD/STR/SAR, KYC पढ़ाDWH/कच्चे लॉग का पूर्ण निर्यात
समर्थन/वीआईपीप्रोफाइल डिस्प्ले (नआईसीसी दस्तावेजों/कच्चे लेनदेन तक पहुंच
डेटा/द्विसमुच्चय/गुमनामी'उद्देश्य' के बिना पीआईआई देखना
DevOps/SREबुनियादी ढांचापीआईआई के साथ बिजनेस टेबल पढ़ ना
डेवलपर्सचरण/देव, लॉग (मास्क)। prod-PII
डीपीओ/गोपनीयताऑडिट, पीआईआई लॉगउत्पादन अधिकारों में परिवर
💡 धन/पीआईआई/प्रतिबंधों को प्रभावित करने वाला कोई भी लेनदेन दो-सर्किट अनुमोदन (सर्जक ≠ एप्रोवर) के अधीन है।

5) पहुंच स्तर और प्रकार

केवल पढ़ें/नकाबपोश पढ़ें: BI/समर्थन के लिए डिफ़ॉल्ट.

स्कोपेड राइट: सेवा/प्रक्रिया के भीतर परिवर्तन (उदा। केस नोट्स में प्रवेश)।

विशेषाधिकार प्राप्त एडमिन: केवल PAM (पासवर्ड सुरक्षित, सत्र प्रॉक्सी, सत्र रिकॉर्डिंग, गुप्त रोटेशन) के माध्यम से।

एपीआई/सेवा खाते: न्यूनतम ऑस्प्रे, प्रति एकीकरण व्यक्तिगत कुंजी, एमटीएलएस।

6) JIT и ब्रेक-ग्लास

JIT (जस्ट-इन-टाइम): एक विशिष्ट टिकट के लिए अस्थायी ऊंचाई (15-120 मिनट), स्वचालित रिकॉल, अनिवार्य 'उद्देश्य'।

ब्रेक-ग्लास: एमएफए + दूसरी पुष्टि, सत्र रिकॉर्डिंग, सुरक्षा + डीपीओ पोस्ट-रिव्यू के साथ आपातकालीन पहुंच, उल्लंघन के मामले में एक घटना का स्वचालित निर्माण।

7) प्रक्रियाएं (एसओपी)

7. 1 अनुरोध/परिवर्धित पहुँच (IDM/ITSM)

1. 'उद्देश्य', तिथि और डेटा स्वामी के साथ अनुरोध।

2. स्वयं जांच SoD/डेटा वर्ग/अधिकार क्षेत्र।

3. डोमेन मालिक अनुमोदन + सुरक्षा (प्रतिबंधित + के लिए)।

4. जेआईटी/स्थायी पहुंच (न्यूनतम दायरा) जारी करना।

5. अधिकारों के रजिस्टर में प्रविष्टि (संशोधन तिथि, एसएलए निरसन)।

7. 2 अधिकारों का पुन: प्रमाणीकरण

त्रैमासिक स्वामी समूह/उपयोगकर्ता अधिकारों की पुष

स्वचालित अप्रयुक्त अधिकार (> 30/60 दिन)।

7. 3 डाटा निर्यात

केवल अनुमोदित प्रदर्शन मामलों/पाइपलाइनों के गंतव्य/प्रारूपों की डिफ़ॉल्ट मास्किंग सफेद सूची; हस्ताक्षर/हैश; डाउनलोड लॉग।

8) विक्रेता/साथी नियंत्रण

व्यक्तिगत बी 2 बी किरायेदार, न्यूनतम एपीआई स्कोप, अनुमति-सूची आईपी, समय खिड़कियां।

DPA/SLA: एक्सेस लॉग, रिटेंशन पीरियड्स, भूगोल, घटनाएं, उप-प्रोसेसर।

ऑफबोर्डिंग: कुंजी रिकॉल, विलोपन की पुष्टि, समापन अधिनियम।

9) सुरक्षा और अनुपालन के साथ एकीकरण

ऑडिट ट्रेल्स: 'READ _ PII', 'EXPORT _ DATA', 'ROLID _ UPDATE', 'PAMENDION _ ADMPLOVE', '।

SIEM/SOAR: 'उद्देश्य '/विंडो/जियो से बाहर जाने के बिना असामान्य मात्रा/पहुंच के लिए अलर्ट।

GDPR/AML/PCI: पत्रिकाओं के लिए नीड-टू-नो, DSAR संगतता, भुगतान परिधि अलगाव, WORM।

10) उदाहरण नीतियां (टुकड़े)

10. 1 वीआईपी प्रबंधक नीति

नकाबपोश प्रोफ़ाइल दृश्य, निर्यात प्रतिबंध, जेआईटी से टिकट के माध्यम से एकल केवाईसी दृश्य।

10. 2 विपणन विश्लेषक के लिए नीति

केवल पीआईआई के बिना इकाइयाँ; काम के घंटों के दौरान एमडीएम डिवाइस से सहमति (सीएमपी ध्वज) के साथ पहुंच।

10. 3 स्यूडो-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

गतिविधिअनुपालन/कानूनीडीपीओसुरक्षाSRE/ITडेटा/द्विउत्पाद/Engडोमेन स्वामी
SoD नीतियां/पहुंच स्तरA/Rसीसीसीसीसीसी
RBAC/ABAC डिजाइनसीसीA/Rआरआरआरसी
JIT/PAM/ब्रेक-ग्लासमैंमैंA/Rआरमैंसीमैं
सुधारसीसीआरआरआरआर
निर्यात/मास्कसीआरआरआरसीसी

12) मेट्रिक्स और केआरआई/केपीआई

कवरेज ABAC: विशेषता नियमों के तहत महत्वपूर्ण सेटों का ≥ 95%।

JIT-दर: ≥ 80% ऊंचाई JIT है।

ऑफबोर्डिंग टीटीआर: बर्खास्तगी/निष्क्रियता के क्षण से ≤ 15 मिनट की पहुंच का निरसन।

'उद्देश्य' के बिना असामान्य पहुँच: = 0 (केआरआई)।

त्रैमासिक पुनरावृत्ति: 100% भूमिकाओं/समूहों की पुष्टि की।

निर्यात अनुपालन: निर्यात का 100% हस्ताक्षरित/लॉग किया जाता है।

13) चेकलिस्ट

13. 1 एक्सेस देने से पहले

  • 'उद्देश्य' परिभाषित, तिथि, डेटा मालिक
  • SoD/क्षेत्राधिकार/डेटा वर्ग सत्यापन पारित
  • न्यूनतम स्कोप + मास्किंग सक्षम
  • एमएफए/एमडीएम/नेटवर्क शर्तों को पूरा किया
  • जर्नल और संशोधन तिथि की स्थापना

13. 2 त्रैमासिक लेखा परीक्षा

  • संगठनात्मक संरचना के खिलाफ समूहों/भूमिकाओं
  • अप्रयुक्त अधिकार रद्द करें
  • ब्रेक-ग्लास और प्रमुख निर्यात की जाँच करें
  • प्रशिक्षण की पुष्टि करें (गोपनीयता/सुरक्षा)

14) विशिष्ट परिदृश्य और उपाय

ए) इंजीनियर को प्रोड-डीबी तक अस्थायी पहुंच की आवश्यकता है

JIT 30-60 मिनट, उल्लंघन के लिए PAM, पोस्ट-रिव्यू, CAPA के माध्यम से रिकॉर्ड किया गया सत्र।

बी) नया सहयोगी खिलाड़ियों को उतारने के लिए कहता है

केवल/गुमनामी एकत्र करता है; यदि पीआईआई - अनुबंध, कानूनी आधार, क्षेत्रों के श्वेतलिस्ट, पत्रिका/हस्ताक्षर, संदर्भ की सीमित अवधि।

C) VIP प्रबंधक KYC दस्तावेज देखना चाहता है

प्रत्यक्ष पहुंच का निषेध; एएमएल/केवाईसी के माध्यम से अनुरोध, जेआईटी के माध्यम से एकल अंक, क्षेत्रों का पूरा लॉग।

15) कार्यान्वयन रोडमैप

सप्ताह 1-2: सिस्टम/डेटा इन्वेंटरी, वर्गीकरण, बेसलाइन आरबीएसी मैट्रिक्स, प्राथमिक एसओडी तालिका।

सप्ताह 3-4: ABAC (पर्यावरण/भू/वर्ग/MDM) कार्यान्वयन, JIT और ब्रेक-ग्लास, PAM लॉन्च, निर्यात लॉग।

महीना 2: CMC/भुगतान परिधि विभाजन, व्यक्तिगत कुंजी/KMS, SOAR अलर्ट SOD/ABAC उल्लंघन के लिए।

महीना 3 +: त्रैमासिक पुन: प्रमाणीकरण, विशेषता विस्तार (डिवाइस जोखिम/समय), मास्किंग स्वचालन, नियमित टेबलटॉप अभ्यास।

टीएल; डीआर

विश्वसनीय पहुंच मॉडल = डेटा वर्गीकरण RBAC + ABAC SoD 4-आंखों के साथ JIT/PAM और हार्ड ऑडिट - नियमित रूप से पुन: प्रमाणीकरण और निर्यात नियंत्रण। यह दुरुपयोग की संभावना को कम करता है और ऑडिट/नियामक जांच के पारित होने की गति को गति देता है।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।