GH GambleHub

Маалыматтардын жеткиликтүүлүгүн көзөмөлдөө

1) Эмне үчүн iGaming

Тобокелдик жана жөнгө салуучу: PII/каржы, чек ара, RG/AML-талаптар.
Ылдамдык жана ишеним: коопсуз өзүн-өзү тейлөө аналитика жана кол "бөлүштүрүү" жок ML.
Аудит жана жоопкерчилик: "ким эмнени жана эмне үчүн көргөн", минималдуу укуктар принцибинин далилдүүлүгү.

2) Негизги принциптер

1. Least Privilege - гана керектүү жана керектүү мөөнөткө.
2. Segregation of Duties (SoD) - жеткиликтүүлүктү жактырган ≠ иштеп чыгуучу; аналитик ≠ маалыматтардын ээси.
3. Just-in-Time (JIT) - убактылуу, автоматтык түрдө кайтарылып алынуучу укуктар.
4. Defense in Depth - көп баскычтуу коргоо: тармак → кызмат → стол → тилке → сап → ячейка.
5. Policy-as-Code - PR аркылуу коддогу/репозиторийдеги жетүү жана маскалар.
6. Provenance-aware - чечимдер каталогго, сызыкка, классификацияга жана келишимдерге таянат.

3) Маалыматтарды классификациялоо

Класстар: Public/Internal/Confidential/Restricted (PII/каржы).
Схемалар жана каталогдогу белгилер: 'pii', 'financial', 'tokenized', 'masking', 'rle' (row-level), 'cle' (column-level), 'geo = EU/TR/...', 'tenant'.

Минималдуу эрежелер:
  • Restricted: токендер/маскалар бардык жерде; өтүнмө боюнча гана "таза зонада" детокенизациялоо.
  • Confidential: демейки маска менен кирүү; маскаларды алып салуу - негиздөө жана JIT аркылуу.
  • Internal/Public: домен ролдору боюнча, PII жок.

4) Авторизация моделдери

RBAC (ролу-базир.) : тез баштоо, ролдордун каталогдору ("Marketing-Analyst", "Risk-Ops").
ABAC (атрибут-базир.) : өлкө, бренд, чөйрө (prod/этап), долбоор, иштетүү максаты, убакыт, тобокелдик деңгээл.
ReBAC (мамилелер боюнча): "топтомдун ээси", "домендин ээси", "ревьюер".
гибрид: рамка катары RBAC, ABAC чек тактайт.

5) Гранулярдык жетүү

Тармак/ингресс: mTLS, allow-list, жеке шилтемелер.
Сервис/кластер: IAM ролдору, минималдуу артыкчылыктары бар service account.
Сактоо: каталогдор/схемалар/таблицалар (GRANT), Row-Level Security (RLS), Column-Level Security (CLS).
Masking/tokenization: SQL/BI динамикалык маскалар; токендер ордуна PII.
Fichestor/ML: агрегаттарга/уруксат берилген физиктерге гана жетүү; белгилер саясаты (allow/deny).
Файлдар/объекттер: TTL менен алдын ала кол коюлган шилтемелер, шифрлөө жана жүктөө саясаты.

6) Негизги домендер үчүн үлгүлөр

KYC/AML: CLS (токендер гана көрүүгө болот), RLS оператору өлкө боюнча; детокенизация - JIT боюнча DPO/Legal.
Төлөмдөр: Restricted, FLE + белгилер, JIT аркылуу Risk/Payments-Ops жетүү; түшүрүү.
Оюн иш-чаралар: Internal/Confidential, бренд/аймак/тенант боюнча RLS, user_id үчүн CLS.
Responsible Gaming: агрегаттар үчүн RG командасы жетүү; жеке учурларда - өтүнмө боюнча.
BI/ML: PII жок "алтын" айнек; ML - уруксат берилген сынактардын тизмеси, талаш-тартыштар үчүн шылтоо журналы.

7) Кирүү жол-жоболору

7. 1 Суроо-талап → макулдашуу → камсыз кылуу

Өтүнмөнүн түрү: максаты, көлөмү, мөөнөтү, ролу, ABAC атрибуттары, топтомдун ээси.
Autoprection: маалымат класс, SoD, окутуу өттү? кызыкчылыктардын кагылышуусу?
RACI: Owner (R), Steward (C), DPO/Sec (A/C), IT/IAM (R).

7. 2 JIT и break-glass

JIT: 15 мин/2 саат/1 auto кайра чакыртып алуу менен күн; узартуу - жаңы өтүнмө боюнча.
Break-glass: окуялар үчүн; жеке ролдор/ачкычтар, күчөтүлгөн аудит, пост-мортем милдеттүү.

7. 3 Үзгүлтүксүз кыйкырык

Чейректик access review: домен ээлери ролдорду/атрибуттарды ырасташат.
"унутулган" жетүү Auto Deaktivation (no-use 30/60 күн).

8) Техникалык механизмдер

Catalog & Contracts: ээлери жөнүндө чындыктын булагы, класстар, маскалар.
Policy Engine: ABAC/Row/Column саясаты үчүн ORA/барабар.
Data Masking: DWH/BI динамикалык маскалар; тел/email үчүн формат коопсуз маска.
Tokenization: vault/FPE; детокенизация гана "таза зонада".
Secrets & PAM: жашыруун менеджер, JIT сессиялар, администратор жетүү үчүн экран жазуу.
Audit & SIEM: өзгөрүлбөс логиндер (WORM), сессиялар жана жүктөмөлөр менен кирүү окуяларын байланыштыруу.
Geo/tenant изоляторлор: физикалык/логикалык бөлүнүү (схемалар, каталогдор, кластерлер, шифрлөө ачкычтары).

9) Consent & DSAR

Access оюнчу макулдугун эске алат (marketing = off → маркетинг атрибуттарын жашыруу).
DSAR-баскычтар: табуу/жүктөп/токен боюнча алып салуу; бүткүл операциянын журналы; Юридикалык Hold эске алынат.

10) Мониторинг жана SLO

Access SLO: p95 JIT жетүү убактысы (мисалы, ≤ 30 мин).
Zero-PII in logs: 100% PII жок окуялар.
Anomaly rate: SELECT же атипикалык JOIN Restricted үчүн жарк этүү.
Review Coverage: ≥ 95% ролдор өз убагында кыйналат.
Mask Hit-Rate: маска/токен иштеген суроо-талаптардын үлүшү.
Detokenization MTTR: Валиддик арызды иштетүүнүн орточо убактысы.

11) Үлгүлөр

11. 1 Кирүү саясаты (фрагмент)

Принцип: least privilege + SoD + JIT.
Ролдор: милдеттерди/витриналарды сүрөттөгөн ролдор каталогу.
ABAC атрибуттары: 'country', 'brand', 'env', 'purpose', 'retention'.
Маскалар/токендер: Confidential/Restricted боюнча демейки активдүү.
Review: чейрек; "унутулган" жетүү auto-карап чыгуу.
Бузуулар: бөгөт коюу, тергөө, окутуу.

11. 2 Өтүнмөнүн формасы

Ким: аты-жөнү/команда/менеджер.
Эмне: топтому/стол/витрина/чичи.
Эмне үчүн: максат, күтүлгөн натыйжа/метрика.
Канча убакыт: мөөнөтү/тартиби.
Берилиштер классы: (каталогдон автотолот).
Кол тамгалар: Owner/Steward, DPO же Sec (эгерде Restricted).

11. 3 Ролдор каталогу (мисал)

Marketing-Analyst: Internal/Confidential Marketing Display; детокенизациясыз; бренд боюнча RLS.
Risk-Ops: маскалар менен Restricted төлөмдөр; Детокенизация үчүн JIT; экспорт "ак" үлгүлөрү аркылуу гана.
RG-Команда: агрегаттар RG, өтүнмө боюнча учурларда жетүү.
DS/ML: fichestor (allow-list fich), PII жок sandbox.

12) Ишке ашыруунун жол картасы

0-30 күн (MVP)

1. Схемаларда маалыматтарды жана белгилерди классификациялоо.
2. Ролдор каталогу + негизги ABAC атрибуттары (өлкө/бренд/env).
3. Confidential/Restricted үчүн демейки Masking/tokenization.
4. JIT процесс жана аудит журналы; break-glass регламент.
5. төлөмдөр үчүн RLS/CLS, KYC, оюн окуялар; Restricted үчүн "SELECT" тыюу салуу.

30-90 күн

1. Policy-as-Code в CI (сурам линтери, бузуулар болгон учурда блоктор).
2. Consent/DSAR менен интеграция; SLO кирүү отчеттору.
3. Чейрек access review; авто-деактивация.
4. PAM башкаруу үчүн; сессияларды жазуу; тайм-бокс.

3-6 ай

1. Geo/tenant-изоляция, юрисдикция боюнча өзүнчө шифрлөө ачкычтары.
2. Иш жүзүндөгү суроо-талаптардын негизинде ролдорду Auto-сунуш (usage-based).
3. Behavioral Access Analytics (анти-аномалия), SOAR Playbook.
4. Процесстерди сертификациялоо жана тышкы аудит.

13) Анти-үлгүлөрү

бардык үчүн "Superuser" - SoD жана JIT жок.
Контролдонуучу каналдардын сыртындагы файлдар/скриншоттор аркылуу маалыматтарды издөө.
RLS/CLS гана "кагазда" - Masks BI өчүрүлгөн.
Эч кандай укукка жана auto-сын-пикир; "түбөлүк" жетүү.
Каталог/контракттар жаңыланбайт - кирүү эрежелери эскирет.
Детокенизация в приложениях "для удобства" без аудита.

14) RACI (мисал)

Саясат/архитектура: CDO/CISO (A), DPO (C), SecOps (R), Data Platform (R).
Жеткиликтүүлүктү берүү: IAM/IT (R), Owners (A/R), Stewards (C), Менеджерлер (I).
Аудит/ревю: Owners (R), DPO/Sec (A), Internal Audit (C).
Окуялар: SecOps (R), Юридикалык/PR (C), Домендер (R).

15) Байланыштуу бөлүмдөр

Data Management, Data Tokenization, Data Security & шифрлөө, Data Origin & Way, Ethics/DSAR, Privacy ML, Federated Learning.

Жыйынтык

Жеткиликтүүлүктү көзөмөлдөө - бул толук трассалануучулукту калтырып, командаларга керектүү маалыматтарды так керектүү көлөмдө жана убакытта берген саясаттардын, атрибуттардын жана автоматташтыруунун системасы. iGaming бул параметрлерге ишеним, инциденттерге туруктуулук жана чечим кабыл алуу ылдамдыгынын негизи болуп саналат.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Telegram
@Gamble_GC
Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.