Polityka dostępu i segmentacja

1) Cel i zasady

Cel: zminimalizowanie ryzyka wycieków/oszustw i skutków regulacyjnych poprzez ścisłe kontrole „kto, co i dlaczego ma dostęp”, z możliwością przeprowadzenia audytu.
Zasady: Najmniejszy przywilej (minimalne prawa), Need-to-Know, Zero Trust, Segregacja obowiązków (SoD), Just-in-Time (JIT), identyfikowalność i jednokrotne kliknięcie.

2) Poziomy klasyfikacji i ochrony danych

3) Model dostępu: RBAC + ABAC

RBAC (role): podstawowa macierz „role → resolution”.
ABAC (atrybuty): zasady kontekstowe (jurysdykcja gracza/operatora, segment środowiska, czułość ustawienia, zmiana/czas, urządzenie, poziom weryfikacji KYC, zadanie/cel usługi).

• Analityk marketingowy może przeczytać tablice _' tylko dla krajów, w których jest zgoda na analitykę, tylko w dni powszednie 08: 00-21: 00, tylko z sieci korporacyjnej/urządzenia MDM, bez pól PII (maskowanie jest włączone).

4) SoD - rozdzielenie ceł (zwalczanie nadużyć finansowych i zgodność)

5) JIT, łamanie szkła - PAM

JIT (Just-in-Time): podwyższone prawa są wydawane na ograniczony okres (15-120 minut) dla określonego zadania i są automatycznie odwoływane.
Break-glass: dostęp awaryjny za pomocą oddzielnej procedury (MFA + drugie potwierdzenie + obowiązkowy cel wskazania), pełne nagranie sesji i przegląd po fakcie.
PAM: dla kont administratora - sklepy z hasłami, analityka behawioralna, rotacja klucza/sekret, serwer proxy sesji z nagrywaniem.

6) Segmentacja: medium, sieć i logiczne

6. 1 Środowisko: „prod” i „, etap” i „dev”. Dane Prod nie są kopiowane do etapu/dev; wykorzystuje zestawy syntetyczne lub aliased.

• Krawędź/WAF/CDN → Strefa aplikacji → Strefa danych (DWH/DB) → Sekrety/KMS.
• Obwód płatności (PSP/karty) jest odizolowany od wspólnego prod; CCM/sankcje - oddzielny segment.
• 6. 3 Segmentacja logiczna: przestrzenie nazw (K8s), identyfikatory lokatora, schematy DB/katalogu danych, indywidualne klucze szyfrowania na lokatora/region.
• 6. 4 segmentacja geograficzna: przechowywanie/przetwarzanie w zależności od lokalizacji (WE/UK/...); routing przewodników i kluczy wokół regionu.

7) Dostęp sprzedawcy i partnera

Mechanika: indywidualne B2B najemców/konta, minimalny zakres API, mTLS, allow-list IP, czas okna.
Umowy: DPA/SLA (dzienniki, okresy retencji, geografia, incydenty, podwykonawcy).
Offboarding: odzyskanie klucza, potwierdzenie usunięcia, akt zamknięcia.
Monitorowanie: wpisy dotyczące nieprawidłowych wielkości, zakaz masowego wywozu.

8) Procesy (SOP)

8. 1 Żądanie/zmiana dostępu

1. Zastosowanie do IDM/ITSM z przeznaczeniem i terminem.
2. SoD/jurysdykcja/automatyczna weryfikacja klasy danych.
3. Akceptacja właściciela domeny + Bezpieczeństwo/Zgodność (jeśli Ograniczona +).
4. Emisja JIT/stały dostęp (minimalny zestaw).
5. Rejestrowanie: kto/kiedy/co jest wydawane; data rewizji.

8. 2 Ponowna certyfikacja

Kwartał: właściciele potwierdzają prawa grup; automatyczne niewykorzystane prawa (> 30/60 dni).

8. 3 Eksport danych

Tylko poprzez zatwierdzone rurociągi/prezentacje, zgodnie z białymi listami formatów (CSV/Parquet/JSON), domyślne maskowanie, podpis/hash, pobierz dziennik.

9) Polityka i kontekst urządzenia

MDM/EMM - Access Restricted/Highly Restricted tylko z zarządzanych urządzeń.
Sygnały kontekstowe: geo, wskaźnik ryzyka urządzeń, pora dnia, status MFA, reputacja IP - jako atrybuty ABAC.
Rozszerzenie przeglądarki/przechwytywanie ekranu: kontrola i dziennik, zakaz dla wrażliwych konsoli.

10) Przykłady polityki (snippets)

10. 1 YAML (pseudo) - ABAC dla analityka marketingowego

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL maskowanie (pomysł)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Monitorowanie, dzienniki i wpisy

Ścieżki audytu: „READ _ PII”, „EXPORT _ DATA”, „ROLE _ UPDATE”, „BREAK _ GLASS”, „PAYMENT _ APPROVE”.
KRI: dostęp bez „celu” = 0; próby wysoce ograniczone poza oknem; udział nieudanych kontroli SoD; nieprawidłowe wyładowania.
KPI:% wniosków z JIT ≥ 80%; średni czas dostępu ≤ 4 godziny; 100% pokrycie ponownej certyfikacji.
SOAR playbooks: auto-recall dla zagrożeń, bilety dochodzeniowe.

12) Zgodność (krótka mapa)

RODO/UK RODO: minimalizacja, niezbędna wiedza, kompatybilność DSAR, audyt PII.
AML/KYC: dostęp do CCM/sankcji - tylko dla przeszkolonych ról, dziennik decyzji.
PCI DSS (w stosownych przypadkach): segregacja strefy płatności, zakaz przechowywania danych PAN/CSC, oddzielne klucze/hosting.
ISO/ISMS: sformalizowana polityka dostępu, roczne audyty i testy.

13) PACI

14) Wskaźniki zapadalności

ABAC obejmuje krytyczne zbiory danych ≥ 95%.
Sesje JIT/wszystkie podwyższenia ≥ 90%.
Czas wycofania z pokładu ≤ 15 minut.
0 incydentów funkcyjnych (SoD).
100% dzienników dostępu jest dostępnych i zweryfikowanych (podpis/hash).

15) Listy kontrolne

15. 1 Przed udzieleniem dostępu

• Cel, data i właściciel danych określone
• SoD/jurysdykcje zweryfikowane
• Minimalny zakres/możliwość maskowania
• Spełnione warunki MFA/MDM/sieci
• Skonfigurowano datę logowania i zmiany

15. 2 Przegląd kwartalny

• Pogodzenie grup i ról ze strukturą organizacyjną
• Prawa auto „wiszące”
• Sprawdzenie nieprawidłowego eksportu i rozbicia szkła
• Wpisy szkoleniowe i testowe

16) Typowe scenariusze i środki

A) Nowa rola „VIP Manager”

Dostęp do profili VIP (zamaskowanych), zakazu eksportu, JIT dla jednorazowego przeglądania KYC za pośrednictwem biletu.

B) Dostawca audytu BI

tylko do sklepów bez PII, tymczasowa lista VPN + zezwala, zabrania lokalnego zapisywania, pobierania dziennika.

C) Dostęp awaryjny DevOps do prod-DB

break-glass ≤ 30 min, session recording, post-review with DPO/Compliance, CAPA for violations.

17) Plan działania w zakresie wdrażania

Tygodnie 1-2: inwentaryzacja danych/systemu, klasy danych, podstawowa matryca RBAC, SoD.
Tygodnie 3-4: wdrożenie ABAC (pierwsze atrybuty: środowisko, geo, klasa danych), strumienie IDM, JIT/break-glass, PAM.
Miesiąc 2: płatność i segmentacja obwodu KYC, oddzielne klucze/KMS, dzienniki eksportowe, wpisy SOAR.
Miesiąc 3 +: kwartalne ponowne certyfikaty, rozszerzenie atrybutu (urządzenie/ryzyko), automatyzacja maskowania, regularne wiertła.

TL; DR

Solidny model dostępu = klasyfikacja danych → RBAC + ABAC → SoD + JIT/PAM → segmentacja twarda → dzienniki i wpisy. Zmniejsza to prawdopodobieństwo wycieków i nadużyć, przyspiesza audyt i utrzymuje platformę w granicach RODO/AML/PCI oraz standardów wewnętrznych.