GH GambleHub

Міндеттерді бөлу және қол жеткізу деңгейлері

1) Мақсаттар мен қағидаттар

Мақсаттары:
  • сындарлы операцияларды (ақша/PII/комплаенс),
  • алаяқтық/қателік қаупін төмендету,
  • реттеуіштер мен ішкі аудиттер үшін тексеруді қамтамасыз етуге міндетті.

Принциптер: Zero Trust· Least Privilege· Need-to-Know· SoD (4-eyes)· Traceability· Revocability (жылдам қайтарып алу).

2) Деректерді жіктеу және қол жеткізу деңгейлері

СыныпМысалдарҚол жеткізудің негізгі талаптары
Publicсайт мазмұнырұқсатсыз
InternalPII-сыз операциялық көрсеткіштерSSO, read-only рөлі
ConfidentialDWH есептері (агрегаттар)SSO + MFA, бекітілген топтар
Restricted (PII/қаржы)KYC/AML, транзакциялар, RG сигналдарыABAC + JIT, өріс журналы, WORM-лог
Highly Restrictedқұпия, әкімшілік-консоль, төлем периметріPAM, жазылған сессиялар, оқшауланған желілер
💡 Сынып деректер каталогында/RoPA тіркеледі және шифрлау, ретеншн және экспорт саясатына байланыстырылады.

3) Құқық үлгісі: RBAC + ABAC

RBAC: домендер бойынша рөлдер (Support, VIP, Payments, AML, KYC, FRM, BI, DevOps, DPO, Legal).
ABAC: контекстік атрибуттар (орта, география, деректер класы, құрылғы/MDM, уақыт, KYC деңгейі, қатынау мақсаты 'purpose', құрылғы тәуекелі).

ABAC-шарттардың мысалы: BI талдаушысы «events _» -ті тек PII-сіз, тек корпоративтік желіден/MDM-ден, жұмыс күндері 08: 00-21: 00, белсенді құпиялылық тренингі болған кезде оқи алады.

4) SoD - үйлеспейтін функциялардың матрицасы

ФункцияРұқсат етілгенСыйыспайтын (бөлуді қажет етеді/4-eyes)
Paymentsқорытындыны растауантифрод-ережелерді немесе VIP лимиттерін өзгерту
Anti-Fraud (FRM)ережелерді өзгерту, hold қоюжеке кэшауттарды/chargeback шешімін мақұлдау
Compliance/AMLEDD/STR/SAR, KYC оқутолық экспорт DWH/шикі логтар
Support/VIPПрофайлды қарап шығу (жасырын)АЖК құжаттарына/шикі транзакцияларға қол жеткізу
Data/BIагрегаттар/анонимдеу'purpose' жоқ PII қарап шығу
DevOps/SREинфрақұрылымды әкімшілендіруPII бар бизнес-кестелерді оқу
Developersstage/dev, логи (маскир.) prod-PII
DPO/PrivacyPII аудит журналдарыпрод-құқықтарды өзгерту
💡 Ақшаға/PII/санкцияларға әсер ететін кез келген операция екі контурлы мақұлдаудан өтеді (бастамашы ≠ бекітуші).

5) Қолжетімділік деңгейлері мен түрлері

Read-only/Masked Read: BI/Support үшін әдепкі.
Scoped Write: сервис/регламент шегіндегі өзгерістер (мысалы, кейс бойынша ескертулерді енгізу).
Privileged Admin: тек PAM арқылы (парольді сейф, сессиялық прокси, сессия жазбасы, құпияларды ротациялау).
API/Service Accounts: ең аз жиынтықтар, жеке per интеграция кілттері, mTLS.

6) JIT и break-glass

JIT (Just-in-Time): құқықтарды уақытша жоғарылату (15-120 мин.), нақты сауалнама, автоматты қайтарып алу, міндетті 'purpose'.
Break-glass: MFA + екінші растауы бар шұғыл қолжетімділік, сессия жазбасы, Security + DPO пост-ревю, бұзушылықтар кезіндегі инциденттің автоматты құрылымы.

7) Процестер (SOP)

7. 1 Сұрау/Қатынас өзгерту (IDM/ITSM)

1. 'purpose', мерзімі және деректер иесі бар өтінім.
2. SoD/деректер класын/юрисдикциясын автотіркеу.
3. Домен иесі + Security (Restricted + үшін).
4. JIT/тұрақты қолжетімділікті беру (ең аз сатып алу).
5. Құқықтар тізіліміне жазба (қайта қарау күні, SLA қайтарып алу).

7. 2 Құқықтарды қайта сертификаттау

Иелері топтардың/пайдаланушылардың құқықтарын тоқсан сайын растайды.
Пайдаланылмайтын құқықтарды автоматты түрде қайтарып алу (> 30/60 күн).

7. 3 Деректерді экспорттау

Тек мақұлданған витриналар/пайплайндар арқылы; әдепкі бүркемелеу; адресаттардың/пішімдердің ақ тізімдері; қолы/хэш; түсіру журналы.

8) Вендорларды/әріптестерді бақылау

Жекелеген B2B-тенанттар, ең аз API-купалар, allow-list IP, уақыт терезелері.
DPA/SLA: кіру журналдары, сақтау мерзімі, география, инциденттер, субпроцессорлар.
Оффбординг: кілттерді қайтарып алу, жоюды растау, жабу актісі.

9) Қауіпсіздікпен және комплаенспен интеграциялау

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: аномальды көлемдерге алерттар/' purpose '-сіз кіру/терезеден шығу/гео.
GDPR/AML/PCI: Need-to-Know, DSAR-үйлесімділігі, төлем периметрінің сегрегациясы, журналдар үшін WORM.

10) Мысалдар саясаты (фрагменттер)

10. 1 VIP-менеджердің саясаты

Профайлды бүркемеленген қарау, экспорттауға тыйым салу, JIT-ті біле тұра KYC-ті біле тұра көру.

10. 2 Маркетинг талдауына арналған саясат

Тек PII жоқ агрегаттар; MDM-құрылғыдан жұмыс уақытына (CMP жалаушасы) келісім болғанда қол жеткізу.

10. 3 Жалған-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

БелсенділікCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
SoD саясаты/қатынас деңгейлеріA/RCCCCCC
RBAC/ABAC дизайнCCA/RRRRC
JIT/PAM/break-glassIIA/RRICI
Қайта сертификаттауCCARRRR
Экспорттау/жасыруCARRRCC

12) Метрика және KRIs/KPIs

Coverage ABAC: атрибут ережелеріндегі күрделі жиынтықтардың 95% -ын ≥.
JIT-rate: ≥ 80% құқық арттыру JIT сияқты жүреді.
Offboarding TTR: рұқсатты кері қайтару жұмыстан босатылған/деактивацияланған сәттен бастап 15 минутқа ≤.
'purpose': = 0 (KRI).
Quarterly recertification: 100% рөлдер/топтар расталды.
Export compliance: 100% экспорт қол қойылды/қысқартылды.

13) Чек парақтары

13. 1 Кіру алдында

  • Анықталған 'purpose', мерзімі, деректер иесі
  • SoD/юрисдикция/деректер класын тексеру өтті
  • Ең аз сатып алу + бүркемелеу қосылған
  • MFA/MDM/желілік шарттар сақталған
  • теңшелген журналдар және қайта қарау күні

13. 2 Тоқсан сайынғы ревизия

  • Топтарды/рөлдерді ұйымдастыру құрылымымен салыстыру
  • Пайдаланылмайтын құқықтарды қайтарып алу
  • Break-glass және ірі экспорт тексеру
  • Оқуды растау (privacy/security)

14) Үлгілік сценарийлер мен шаралар

A) Инженерге prod-ДБ-ға уақытша қолжетімділік қажет

JIT 30-60 мин, PAM арқылы жазылған сессия, пост-ревью, бұзушылықтар кезінде CAPA.

B) Жаңа аффилиат ойыншыларды түсіруді сұрайды

Тек агрегаттар/анонимдеу; егер PII - шарт, құқықтық негіз, өрістердің ақ тізімі, журнал/қолтаңба, сілтеменің шектеулі мерзімі.

C) VIP менеджері KYC-құжаттарды көргісі келеді

Тікелей кіруге тыйым салу; AML/KYC арқылы сұрау салу, JIT арқылы бірлі-жарым беру, толық өріс.

15) Енгізу жол картасы

1-2 апталар: жүйелерді/деректерді түгендеу, жіктеу, базалық RBAC-матрица, бастапқы SoD-кесте.
3-4 апта: ABAC (орта/гео/класс/MDM), JIT және break-glass енгізу, PAM іске қосу, экспорт журналдары.
2-ай: ҚҰС/төлем периметрінің сегментациясы, жеке кілттер/KMS, SoD/ABAC бұзушылықтарына SOAR-алерты.
3 + айы: тоқсандық қайта сертификаттау, атрибуттарды кеңейту (құрылғы/уақыт қатері), бүркемелеуді автоматтандыру, тұрақты tabletop-оқу-жаттығулар.

TL; DR

Сенімді қолжетімділік моделі = деректерді жіктеу → RBAC + ABAC → SoD 4-eyes → JIT/PAM және қатаң аудит → тұрақты қайта сертификаттау және экспортты бақылау. Бұл теріс пайдалану ықтималдығын төмендетеді және аудиттің/реттеушілік тексерулердің өтуін жеделдетеді.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.