GH GambleHub

Controllo identificazioni

1) Obiettivo e risultato

Lo scopo è quello di garantire che i principi Zero Trust e i minori privilegi siano dimostrati attraverso la verifica regolare di chi dispone di dove e perché.
Risultato: un registro completo e aggiornato di identità e diritti con proprietari confermati, accessibilità eliminata «dipendente», base di prova per i controlli interni e regolatori.

2) Ambito di copertura

Utenti interni: staff, tirocinanti, dirigenti, ruoli temporanei.
Fornitori/partner: studi di giochi, PSP/KYC/AML provider, affiliati.
Identità dei servizi: bot, CI/CD, integrazioni, chiavi e token API.
Ruoli privilegiati: admini dell'infrastruttura/database, Payments, Risk, Trading.
Giocatori (in un contesto KYC): correttezza del collegamento ↔ Profilo KYC ↔ stato RG/AML (verifica processi, non contenuto documenti).

3) Termini e principi

Identity è un soggetto univoco (persona/servizio) con attributi.
Entitlement - Un diritto/ruolo specifico per una risorsa.
JML: Joiner → → Leaver è il ciclo di vita dell'identità.
SoD: separazione dei compiti per operazioni ad alto rischio.
Least Privilege & Just-in-Time (JIT) è un set minimo di diritti concesso per un periodo limitato.
Accountability: ogni identità ha un proprietario, ogni diritto ha una giustificazione aziendale e una scadenza.

4) Fonti di verità e modello di dati

Sistema HRIS/risorse umane: origine primaria dello stato del dipendente (hire/move/exit).
IdP/SSO: un unico punto di autenticazione (MFA/FIDO2), federazione.
IAM/IGA: directory di ruoli, regole e processi di ricezione.
CMDB/Catalogo servizi - Proprietà di sistemi e tracciati di accesso.
Piattaforme di provider PSP/KYC/CDN/WAF/videogame - portali di accesso esterni.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Controlli che verificano il controllo

1. SSO e MFA sono ovunque (senza account locali o shared).
2. RBAC/ABAC/PBAC - I diritti sono descritti da regole (policy-as-code), i ruoli sono tipici e coerenti.
3. SoD - Formalizzati ruoli e esclusioni incompatibili.
4. Promozioni temporanee JIT/PAM con ticket, registrazione sessione e richiamo automatico.
5. I segreti/chiavi sono conservati in un gestore di segreti, con rotazione e tempi di vita.
6. Registri e prove: tamper-evident, traccia collegata di chi/cosa/dove/quando/perché.
7. Data Access: maschera PII, esportazione solo per workflow con crittografia e TTL.

6) Processo di verifica (end-to-end)

1. Preparazione: congelamento dell'istantanea dei diritti (entitlements snapshot) sui sistemi; caricamento da IdP/IAM/provider.
2. Normalizzazione: mapping dei ruoli alla directory, deduplicazione, raggruppamento per proprietario delle risorse.
3. Classificazione del rischio: P1/P2 (privilegiati e sensibili) verifica prioritaria.
4. Restituzione dei diritti: i proprietari dei sistemi confermano/rifiutano i diritti (campagne access review).
5. Controllo SoD - Rilevamento delle incompatibilità e delle eccezioni temporanee (data di scadenza).
6. Compressione JML: mappatura hire/move/exit con i diritti effettivi (ad esempio portali esterni).
7. Cartelle di servizio: possesso del proprietario, token di breve durata, nessun god-scope.
8. Base di prova: creazione di un pacchetto di manufatti (report, caricamenti, atti).
9. Piano Remediation: tickets per revisione/correzione, tempi e responsabilità.
10. Report finale: stato dei rischi, ciclo KPI, lezioni e miglioramenti delle regole.

7) tracciati JML (che stiamo verificando in profondità)

Joiner: assegnazione automatica dei ruoli di base, impedimento degli integratori manuali fuori catalogo.
Movimento - Cambia comando/posizione, sostituisce automaticamente i ruoli, richiamando i vecchi privilegi.
Leaver: ritiro di tutti i permessi entro X minuti/ore, chiusura della posta/VPN/portali provider, disattivazione di chiavi e token.

8) Dipendenze e portali esterni

PSP/KYC/AML/CDN/WAF/Videogame provider: ogni account ha il proprietario, l'obiettivo, la scadenza, l'MFA, il divieto di account condivisi.
I contratti sono dual-control per le transazioni P1 (modifica del routing dei pagamenti, dei limiti di bonus, ecc.).
Incrociatura regolare: il registro dei portali esterni un elenco di utenti aggiornati e i risultati delle ricevute.

9) Caratteristiche del dominio iGaming

Payments & Risk - Rami di SoD separati; Apruzzi per le modifiche ai limiti/routing Controllo delle regolazioni manuali.
Trading/coefficienti: arenili da modellare, ruoli di pubblicazione separati, ripristino rapido; Registro delle modifiche.
Responciabile Gaming/KYC/PII: controllo rigido dell'esportazione, occultamento in BI, gestione SLA delle richieste di controllo.
Affiliati e striping: portali limitati con funzionalità di reporting senza accesso al PII.

10) Criteri come codice (PaC)

Criteri nel repository (Rego/YAML), RV, test.
Il contesto dinamico nelle soluzioni allow/deny è l'ambiente (prod), il tempo, la posizione, la criticità dell'operazione, i segnali KRI (ad esempio, l'esplosione di azioni sensibili).
Riferimento obbligatorio al ticket e all'obiettivo durante gli aumenti JIT.

11) Riviste e prove

Catena di eventi Admine Console/IdP → API → Database → provider esterni.
Tamper-evident: storage WORM/immutabile, firma record, TTL rigorosi.
Ricerca e risposta: SLA risposte a richieste interne/esterne (controllo, regolatore, banca/partner).

12) Metriche e KPI/KRI

KPI:
  • Percentuale di diritti confermati in scadenza (ricezione),% di campagne scadute.
  • Tempo dal licenziamento al ritiro completo dei diritti (MTTR-leaver).
  • Percentuale di aumento JIT vs privilegi permanenti.
  • Numero di conflitti SoD eliminati per ciclo.
  • Completezza dei sistemi coperti e portali esterni.
KRI:
  • Spiegature di azioni sensibili (esportazione PII, modifiche PSP).
  • Diritti inutilizzati> N giorni.
  • Break-glass senza post-verifica.
  • Account senza proprietario/obiettivo/scadenza.

13) Road map di implementazione (8-12 settimane)

Ned. 1-2: inventario di identità e sistemi (inclusi portali esterni), catalogo dei ruoli e matrice SoD.
Ned. 3-4: connessione SSO/MFA ovunque, raccolta unificata di entitlements, primi report snapshot.
Ned. 5-6: avvia le campagne di ricezione IGA (priorità P1/P2), recensione automatica su Leaver.
Ned. 7-8: JIT/PAM per i tracciati, scrittura delle sessioni, proibizione degli account shared per i provider.
Ned. 9-10: PaC: formalizzazione delle regole chiave (esportazione di PII, routing PSP, rilasci), test unit delle regole.
Ned. 11-12: dashboard KPI/KRI, regolamenti dei cicli trimestrali, rapporti per la compilazione/regolatori.

14) Modelli di manufatti

Rolle Catalog: ruolo, descrizione, privilegi minimi, proprietario, applicabilità (tenente/regione/ambiente).
SoD Matrix: ruoli/operazioni incompatibili, eccezioni, scadenza e proprietario dell'eccezione.
Access Review Pack - Foglio di autorizzazione, commenti, risultati (approve/revoke/mitigate).
Servizio Account Registrer: obiettivo, proprietario, durata, scorie, luogo di archiviazione dei segreti, programma di rotazione.
External Portals Inventory: sistema, contatti, elenco degli utenti, MFA, data dell'ultima ricezione.
Evidence Checklist: quali download/login e in quale formato memorizzare per il controllo.

15) Antipattern

Cartelle condivise e admine per sempre.
Rilascio manuale della patente per scardinare la IdP/IGA.
Assenza di SoD o autorizzazione a «eccezioni temporanee» senza data di scadenza.
Token di servizio senza rotazione/proprietario.
Esporta PII per lettera senza workflow o crittografia.
Nessun controllo dei portali esterni (PSP/KYC/provider di giochi).

16) Frequenti scoperte di verifica e correzione rapida

Accesso a licenze/appaltatori: abilita la recensione automatica degli eventi HR (Leaver).
Ruoli con diritti ridondanti: decompone in piccoli e lega attributi ABAC.
Account Shared dei provider: migrazione su MFA + personale, assegnazione di ruoli temporanei per attività rare.
Segreti a lunga vita: passaggio a token/certificati a breve durata e rotazione pianificata.

17) Incidente-gestione del collegamento

Qualsiasi incidente con il componente di accesso richiede l'aggiornamento obbligatorio del registro dei rischi e delle regole, la ricezione puntuale dei ruoli interessati, il post mortem con action items (e i tempi).

Totale

Il controllo delle credenziali è un ciclo ripetuto e automatizzato: il registro completo delle identità e dei diritti la ricezione orientata al rischio, il rigido JML e il criterio JIT/PAM come codice e l'ispezione dimostrabile dei risultati del ciclo. Questo tracciato riduce la possibilità di errori e abusi, velocizza le indagini, migliora la conformità e protegge le principali operazioni aziendali delle piattaforme iGaming.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.