GH GambleHub

Gestione di ruoli e autorizzazioni RBAC

1) Obiettivi e principi RBAC

Obiettivo: rendere l'accesso gestibile, verificabile e minimo per proteggere il denaro/PII e soddisfare i requisiti (GDPR/AML/PCI/ISO).
Principi: Least Privilege· Need-to-Know· Separation of Duties (SoD)· Zero Trust· Revocability (recensione rapida)· Auditability.

2) Tassonomia diritti e ruoli

Tipi di diritti:
  • Dati: «READ», «WRITE», «EXPORT», «DELETE», «MASKED _ READ» (predefinito PII).
  • Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
  • Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.
  • Integrazioni: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.
Classi di ruolo:
  • Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
  • Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.
  • Di sistema/quelli: 'devops _ ammin', 'dba _ ammin', 'service _ account _', 'read _ only _ prod'.
  • Privilegiati (tramite PAM/JIT): 'break _ glass _ ammin', 'prod _ db _ jit _ editor'.

3) Progettazione dei ruoli (role engineering)

1. Inventario delle risorse: sistemi/tabelle/endpoint, classi di dati (Public/Internal/Confidential/Restringted/Highly Resticted).
2. User stories per funzionalità: chi fa cosa e perché (purpose).
3. Mapping attività →: set minimo per ogni funzione.
4. Raggruppamento nel ruolo: un ruolo = un dominio di responsabilità Evitare i SuperRoll.
5. Test di SoD: verifica delle incompatibilità (ad esempio, 'payments _ ops' ≠' fraud _ rule _ ammin ').
6. Pilota e misura, rilasciiamo un gruppo temporaneamente limitato, raccogliamo una traccia di revisione.
7. Versioning: ogni modifica del ruolo viene eseguita tramite CAV con changelog.

4) Interazione RBAC ABAC

RBAC risponde «chi può», ABAC - «in che condizioni» (ambiente, geo, dispositivo/MDM, tempo, livello KYC, «purpose»).
Il SoD vieta le combinazioni pericolose di ruoli e richiede 4-eyes per azioni critiche.
Pratica: per impostazione predefinita, i ruoli vengono assegnati a MASKED _ READ al PII; l'accesso non prenotato richiede l'attributo «purpose» + JIT e una soluzione positiva per il criterio ABAC.

5) Polifunzionalità e geo-contesto

Tenant-scope: i ruoli sono associati a noleggio/marchio/giurisdizione ('rolle: payments _ ops @ EEA').
Geo-keys: chiavi di crittografia separate e segmenti di accesso per regione (CE/UK/...).
Granularity - Filtra la colonna «region _ code» (RLS) e la giurisdizione del giocatore.

6) Row/Column-Level Security e occultamento

Strategia:
  • RLS (righe) - Accesso solo ai record del proprio paese/marchio/team.
  • CLS (colonne) - I campi sensibili sono disponibili mascheratamente. non in linea - solo con il privilegio «pii _ unmask» + «purpose».
Mini-esempio (idea SQL): 
sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT: ruolo temporaneo privilegiato (15-120 min) sotto il ticket; rilascio automatico; Un controllo completo.
Break-glass: accesso di emergenza con MFA + seconda conferma e registrazione sessione post-review con Sicurezza + DPO.
L'archivio dei segreti, il proxy di sessione, la rotazione delle password e delle chiavi.

8) Ciclo di vita dei ruoli (SOP)

SOP-1 - Crea/modifica un ruolo

1. La richiesta del proprietario del dominio una lista delle attività

SOP-2 - Richiesta e accesso

1. La richiesta (IDM/ITSM) con «purpose» e la data di scadenza per il controllo automatico SoD/giurisdizione è stata approvata dal proprietario dei dati + Security (per Restrited +) per l'emissione (spesso JIT) di un record.

SOP-3: recensione/off

Trigger: licenziamento, cambio di ruolo, nessuna attività> 30/60 giorni, JIT scaduto.
Recensione automatica e registro.

SOP-4: re-certificazione

Trimestralmente, i proprietari confermano che i ruoli degli utenti sono ancora necessari; Il sistema toglie la patente sospesa.

9) Esempio di matrice di ruoli (sezione)

RuoloBase autorizzazioniMascheraAzioni criticheConflitto SoD
`support_agent`PROFILI READ, TicketSì (PII masked)с `kyc_operator`
`vip_manager`READ VIP, bonuscon «payments _ ops» (approvazione)
`payments_ops`APPROVE_WITHDRAWAL, VIEW_TXPII masked`PAYMENT_APPROVE` (4-eyes)с `fraud_rule_admin`
`fraud_analyst`VIEW_RULES, HOLD_TXPII masked`CHANGE_FRM_RULE`с `payments_ops`
`kyc_operator`KYC_DECISIONDocumenti masked (view-once via JIT)`KYC_APPROVE`с `support_agent`
`bi_analyst`UNITÀ READSempre masked«EXPORT» attraverso le vetrineс `dba_admin`
`devops_admin`infra admin`BREAK_GLASS`con ruoli aziendali

10) Strumenti e implementazione (pattern)

Directory dei ruoli come codice: YAML/JSON nel repository + Validatori CI, changelog.
Centrale: SCIM-provider, mupping di gruppo «group-role».
Policy definition point - Motore criteri (ABAC) con attributi di contesto.
Secret/KMS - Isolamento chiavi per ambiente/regione/tenante.
Data gateway: un unico livello di maschera/controllo per DWH/BI/export.
SIEM/SOAR: correlazione «ROLLE _ UPDATE »/« READ _ PII »/« EXPORT _ DATA», ticket auto.

11) Controllo e registrazione

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.
Requisiti: copia WORM, catene hash, firma pacchetti, 'purpos'/' ticket _ id' in ogni evento, sincronizzazione temporale.

12) Metriche e KPI/KRI

Coverage:% sistemi RBAC ≥ 95%.
SoD violations: = 0; tentativi di assegnazione di ruoli incompatibili - blocco automatico.
JIT rate: l' 80% degli aumenti va come JIT.

Offboarding TTR: revoca dei diritti per 15 minuti

Masked reads ratio: il 95% degli accessi al PII sono mascherati.
Il 100% dei ruoli sono confermati trimestralmente.
Exports signed: 100% di esportazioni firmate/registrate.

13) RACI (ingrandito)

AttivitàCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
Politica di RBAC/SoDA/RCCCCCC
Progettazione dei ruoli/dirittiCCA/RRRRR
ABAC/JIT/PAMIIA/RRICI
E-certificazioneCCARRRR
Esporta/mascheraCARRRCC

14) Assegno fogli

Prima di creare un ruolo

  • User-stories e purpose descritte
  • Elenco delle risorse e delle classi di dati
  • Mapping minime permissioni
  • Verifica/conflitto soD
  • Criteri di occultamento e RLS/CLS
  • Piano di re-certificazione e proprietari

Prima dell'accesso

  • Fisso «purpose» e scadenza
  • SoD/giurisdizione/MDM/MFA completati
  • Maschera predefinita, JIT durante l'aumento
  • Registro e data di revisione inclusi

15) Errori frequenti e anti-pattern

«SuperRoli», con ampi diritti, invece di piccoli domini.
Accesso diretto al PII senza maschera e «purpose».
Nessun occhio SoD/quarto per «PAYMENT _ APPROVE »/« KYC _ APPROVE».
Proroga dei diritti temporali «per sempre».
Copia i dati prod in def/stage.
Esportatori opachi senza firma o registro.

16) Road map di implementazione

Settimane 1-2: inventario delle risorse/classificazione dei dati La bozza della matrice dei ruoli Tabella SoD.
Settimane 3-4: RBAC come codice (repository), gruppi IDP/SCIM, motore ABAC (attributi di base: ambiente/geo/MDM/ora), JIT/PAM, livello di maschera per DWH/BI.
Mese 2: e-certificazione, automazione offboarding, alert SOAR per violazioni di RBAC/SoD/ABAC, registri di esportazione/WORM.
Mese 3 +: estensione degli attributi (rischio del dispositivo, livello KYC), bias-verifiche delle disponibilità, ottimizzazione dei costi e esercizio di tabellazione regolare.

TL; DR

Forte RBAC = piccoli ruoli di dominio + condizioni di attributo (ABAC) + JIT/PAM + maschera e RLS/CLS + controllo rigido e e certificazione e certificazione. Ciò riduce il rischio di fuoriuscite/abusi, accelera le verifiche e mantiene la piattaforma ai limiti della privacy e della compliance.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Telegram
@Gamble_GC
Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.