GH GambleHub

Նույնականացման աուդիտ

1) Նպատակը և արդյունքը

Նպատակը 'ապահովել ապացուցված համապատասխանությունը Zero Trust-ի սկզբունքների և ամենափոքր արտոնությունների միջոցով այն մարդու, ով ունի ինչ հասանելի է և ինչու։

Արդյունքն այն է, որ ինքնության և իրավունքների ամբողջական և իրական իրականացումը հաստատված սեփականատերերի հետ, որոնք վերացվել են «կախված» հասանելիության միջոցով, որը կազմված է ապացուցիչ հիմքով ներքին վերահսկողության և կարգավորիչների համար։

2) Տարածք

Ներքին օգտագործողները 'պետությունը, պրակտիկները, ղեկավարները, ժամանակավոր դերերը։

Գործընկերներ/գործընկերներ 'խաղերի ստուդիա, PMS/KYC/AML պրովայդերներ, աֆֆիլիատներ։

Ծառայության ինքնությունը 'բոտեր, CI/CD, 108, բանալիներ և ցնցված API։

Արտոնյալ դերերը 'ենթակառուցվածքի/BD, Payments, Risk, Trading։

Խաղացողները (KYC-ի կոնտեքստում) 'KYC-պրոֆիլային կոդավորման ճիշտ հարաբերակցությունը RG/AML (գործընթացների ստուգում, ոչ փաստաթղթերի բովանդակություն)։

3) Տերմիններ և սկզբունքներ

Identity (ինքնությունը) 'եզակի սուբյեկտ (մարդ/ծառայություն) էքսպորտի հետ։

Entitlant (արտոնություն) 'կոնկրետ իրավունք/ռեսուրսի դեր։

JML: Joiner no Mover no Leaver-ը ինքնության կյանքի ցիկլ է։

SoD 'պարտականությունների բաժանումը բարձր ռիսկային վիրահատությունների համար։

Least Privilege & Just-in-Time (JIT) 'իրավունքների նվազագույն հավաքածու, որը տրվել է սահմանափակ ժամանակ։

Accountability: Յուրաքանչյուր ինքնություն ունի սեփականատեր, յուրաքանչյուր իրավունք ունի բիզնես հիմնավորում և ժամանակ։

4) Ճշմարտության աղբյուրները և տվյալների մոդելը

HRIS/վերջնական համակարգը 'աշխատողի կարգավիճակի առաջնային աղբյուրը (hire/move/exit)։

IdP/SSO 'մրցույթի միասնական կետը (MFA/FIDO2), ֆեդեգրաֆիա։

IAM/IGA 'դերերի, քաղաքական և վերացական գործընթացների կատալոգը։

CMDB/ծառայությունների կատալոգը 'համակարգերի և հասանելիության կոնտակտների սեփականությունը։

Պրովայդերների պլատֆորմները ՝ PMS/KYC/CDN/WAF/խաղերի պրովայդերներ - արտաքին հասանելիության պորտալներ։

Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Վերահսկել, որոնք ստուգում են աուդիտը

1. SSO և MFA-ը ամենուր (առանց տեղական բացթողումների և shared հաշիվների)։

2. RBAC/ABAC/PBAC: իրավունքները նկարագրված են քաղաքական գործիչների կողմից (policy-as-code), դերերը ՝ տիպիկ և ստանդարտ։

3. SoD 'ձևավորվում են անհամատեղելի դերեր և բացառություններ։

4. JIT/PAM 'ժամանակային պարամետրեր տիկետի, նստաշրջանի ձայնագրման և մեքենայի հետ։

5. Գաղտնիքները/բանալիները 'պահվում են գաղտնիքների կառավարությունում, վերացման և կյանքի ժամկետի հետ։

6. Ամսագրերը և ապացուցումը 'tamper-evident, կապի ուղին, ով/ինչ/երբ/ինչու։

7. Express: PII դիմակավորում, էքսպորտը միայն workflow-ից և TTL-ից։

6) Ինտեգրման գործընթացը (end-to-end)

1. Պատրաստումը 'սառեցնել իրավունքների պատկերը (entitlements apshot) համակարգերով։ բեռնումը IdP/IAM/պրովայդերներից։

2. Նորմալացում 'մեպպինգը դերեր է արտահանման, դեդուպլիկացիայի, ռեսուրսների սեփականատերերի խմբավորման համար։

3. Ռիսկի դասակարգումը ՝ P1/P2 (արտոնյալ և զգայուն) առաջնային ստուգում է։

4. Իրավունքների ռեցերտացիան. Համակարգերի սեփականատերերը ապացուցում են/մերժում իրավունքները (քարոզարշավը կատարվում է review)։

5. SoD-ի ստուգումը 'անհամատեղելիության և բացառությունների հայտնաբերումը (ամսաթվի հետ)։

6. JML-ը 'hire/move/exit համեմատությունը իրական իրավունքների հետ (ներառյալ արտաքին պորտալները)։

7. Ծառայողական սալիկները 'սեփականատիրոջ առկայությունը, խառնաշփոթ են, ոչ «god-scope»։

8. Ապացույցային հիմքը 'ռուսական արտեֆակտների ձևավորումը (հաշվետվություններ, արտանետումներ, ակտեր)։

9. Remediation-պլանը 'tikets վերանայման/շտկման, ժամկետների և պատասխանատու։

10. Վերջին զեկույցը 'ռիսկերի կարգավիճակը, KPI ցիկլը, դասերը և բարելավումը քաղաքական գործիչը։

7) JML ուրվագծերը (որ մենք ավելի խորը ենք ստուգում)

Joiner 'հիմնական դերերի ավտոմատ նշանակումը, ձեռքով «ավելացումների» արգելքը սահմաններից դուրս։

Mover: Թիմի/տեղանքի փոփոխությունը բացատրում է դերերի ավտոմատ փոխարինումը, հին արտոնությունների վերանայումը։

Leaver 'բոլոր իրավունքների վերանայումը X րոպեում/ժամ, փոստի կոդերը/SDN/պրովայդերների պորտալները, շարժիչների և հոսանքների անջատումը։

8) Արտաքին կախվածությունները և պորտալները

PMS/KYC/AML/CDN/WAF/խաղային պրովայդերներ. Յուրաքանչյուր կրակոց ունի սեփականատեր, նպատակը, ժամանակը, MFA-ը, ընդհանուր հաշիվների արգելքը։

Պայմանագրային SoD/SLA 'P1 վիրահատությունների համար dront-35l առկայությունը (վճարումների ռոտինգի փոփոխությունը, բոնուսների սահմանափակումները և այլն)։

Հիբրիդային ծափահարություն ՝ արտաքին պորտալների իրականացումը բացատրում է իրական օգտագործողների ցուցակը resertiae-ի արդյունքները։

9) iGaming տիրույթի առանձնահատկությունները

Payments & Risk: SoD առանձին ճյուղեր; apruds փոխելու համար limits/routing; ձեռքի օպտիկայի աուդիտ։

Trading/գործակիցները 'մոդելավորման, հրատարակման առանձին դերերի, արագ արձագանքման համար։ փոփոխության ամսագիրը։

Responsible Gaming/KYC/PII 'էքսպորտի խիստ վերահսկում, դիմակավորում BI-ում, SLA-ում կարգավորողի հարցումների մշակման համար։

Աֆֆիլիատները և ստրիմերները 'սահմանափակ պորտալներ, որոնք կարող են առանց PII հասանելիության։

10) Քաղաքականությունը որպես կոդ (PaC)

Քաղաքականությունները (Rego/YAML), PR-revew, թեստեր։

Դինամիկ կոնտեքստը allow/deny լուծումների մեջ 'շրջանակը (105), ժամանակը, միգրացիան, վիրահատության քննադատությունը, KRI ազդանշանները (օրինակ, զգայուն գործողությունների աճը)։

Պարտադիր կապումը հյուսելու և նպատակների հետ JIT ավելացման ժամանակ։

11) Ամսագրեր և ապացույցներ

Իրադարձությունների շղթան 'admin-condol/IdP www.API wwww.BD-ի արտաքին պրովայդերներ։

Tamper-evident: WORM/immutable-2019, ձայնագրությունների ստորագրություն, խիստ TTL։

Որոնումը և պատասխանը 'SLA պատասխան ներքին/արտաքին հարցումներին (աուդիտ, կարգավորիչ, բանկ/գործընկեր)։

12) Մետրիկի և KPI/KRI

KPI:
  • Ապացուցված իրավունքների մասնաբաժինը ժամանակի ընթացքում (վերացական), ժամկետանց քարոզարշավների տոկոսը։
  • Հեռացումից մինչև իրավունքների ամբողջական արձագանքը (MTTR-leaver)։
  • JIT ավելացման մասնաբաժինը անընդհատ արտոնություններ է։
  • Վերացված SoD հակամարտությունների քանակը ցիկլի համար։
  • Ծածկված համակարգերի և արտաքին պորտալների ամբողջությունը։
KRI:
  • Զգայուն գործողությունների սպայիկները (PII էքսպորտը, PSA փոփոխությունները)։
  • Չօգտագործված իրավունքները> N օր։
  • Break-glass-ը առանց post-2019-ի։
  • Հաշիվները առանց սեփականատիրոջ/նպատակների/ժամկետի։

13) Ճանապարհի քարտեզը (8-12 շաբաթ)

Մոսկվան։ 1-2: ինքնության և համակարգերի (ներառյալ արտաքին պորտալները), դերերի կատալոգը և SoD-մատրիցը։

Մոսկվան։ 3-4 'SSO/MFA կապը ամենուրեք, entitlements-ը, առաջին apshot զեկույցները։

Մոսկվան։ 5-6 'IGA-արշավների գործարկումը (P1/P2 գերակայություն), Leaver-ի ավտոմատ արձագանքը։

Մոսկվան։ 7-8: JIT/PAM պրոտո-կոնտուրների համար, նստաշրջանների ձայնագրումը, պրովայդերների shared հաշիվների արգելքը։

Մոսկվան։ 9-10: PaC: հիմնական քաղաքական (PII, PSA-routing,), unit-թեստեր քաղաքական։

Մոսկվան։ 11-12: dashbords KPI/KRI, եռամսյակային ցիկլերի կարգավորումը, կոմունիստական/կարգավորիչների հաշվետվությունները։

14) Արտեֆակտների օրինակները

Role Catalog 'դեր, նկարագրություն, նվազագույն արտոնություններ, սեփականատեր, կիրառություն (tenant/տարածք/շրջակա)։

SoD Matics: անհամատեղելի դերեր/վիրահատություններ, բացառություններ, ժամանակահատվածը և բացառության սեփականատերը։

Express Review Pack: Իրավունքների, մեկնաբանությունների, արդյունքը (approve/revoke/mitigate)։

Windows Account Register-ը 'նպատակը, սեփականատերը, կյանքի ժամանակահատվածը, սկաուտները, գաղտնիքների պահեստավորման տեղը, ռացիոնիզացիան։

External Portals Corentory-ը 'համակարգ, կապ, օգտագործողների ցուցակ, MFA, վերջին ռեցերտացիայի ամսաթիվը։

Evidence Systeklist: Ի՞ նչ արտանետումներ/լոգներ և ո՞ ր ձևաչափով պետք է պահպանվեն զբոսաշրջիկների համար։

15) Անտիպատերնի

Ընդհանուր հատվածները և «ադմինը հավերժ»։

Իրավունքների ձեռնարկությունները շրջանցելով IDP/IGA-ն։

SoD-ի կամ ռուսական «բացառությունների» բացակայությունը առանց մրցույթի ամսաթվի։

Ծառայողական հոսանքները առանց ռոտացիայի/սեփականատիրոջ։

PII էքսպորտը «նամակով» առանց workflow և ռուսական։

Չկա ռուսական արտաքին պորտալներ (PFC/KYC/խաղերի պրովայդերներ)։

16) Հաճախակի գտածոներ և արագ փոփոխություններ

Կախված հասանելի են ազատված/կապալառուների մոտ. Ներառել մեքենայական ակնարկներ HR (Leaver) իրադարձությունների վերաբերյալ։

Դերերը ավելցուկ իրավունքների հետ 'դեկոմոզել ավելի փոքր և կապել ABAC ատրիբուտները։

Shared-հաշիվները պրովայդերների մոտ 'անձնական + MFA-ի բողոքարկումը, որը բացատրում է դերերը հազվագյուտ խնդիրների համար։

Երկար գոյատևող գաղտնիքներ 'անցում կարճատև հոսանքներին/վկայագրերին և պլանային տարհանմանը։

17) Միակցիչի կառավարումը

Ցանկացած պատահար, որը կապված է մուտքի հետ, նախատեսում է ռիսկերների և քաղաքական գործչի պարտադիր նորարարություն, ազդած դերերի կետային ռեցերտացիա, փոստ-մորտը action items (և)։

Արդյունքը

Նույնականացման աուդիտը կրկնվող, ավտոմատացված ցիկլ է, որը համապատասխանում է ինքնության և իրավունքների ամբողջական փոփոխությանը ռիսկի կողմնորոշված ռեցերտիֆիկացիան, որը կոչվում է կոշտ JML և JIT/PAM։ Սա նվազեցնում է չարաշահման և սխալների հավանականությունը, արագացնում է հետազոտությունները, ամրացնում պահանջներին և պաշտպանում է iGaming պլատֆորմի հիմնական բիզնես վիրահատությունը։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։