GH GambleHub

Gorące/zimne portfele i polityka dostępu

1) Dlaczego podzielić na gorące/ciepłe/zimne

Celem jest zrównoważenie szybkości płatności i zabezpieczenia aktywów:
  • Hot - depozyty operacyjne/wypłaty (T0/T + 1), minimalne opóźnienia, ograniczone saldo.
  • Ciepłe - baseny pośrednie do uzupełniania na gorąco i duże płatności regularne.
  • Zimno - przechowywanie długoterminowe (rezerwy/skarb państwa), odizolowane od sieci w miarę możliwości.

Wynik: mniejsze ryzyko operacyjne i przewidywalne SLA przy kontrolowanym narażeniu.

2) Architektura referencyjna składowania

Warstwy i ich rola

Gorące (online, zautomatyzowane): podpisuje małe/średnie płatności w ramach dziennych limitów. Ochrona - HSM/KMS, silnik polityki, wpisy.
Ciepło (częściowo moduł online/sprzętowy): płatności za partię, uzupełnianie na gorąco, zwiększone limity, ręczne potwierdzenie.
Zimno (offline/air-gapped): multisig/MS; operacje są rzadkie, zgodnie z procedurą z fizycznym dostępem i dziennikiem.

Technologie

HSM/KMS dla gorących/ciepłych klawiszy i żetonów;

m-of-n multisig lub MPC dla ciepłego/zimnego;

Silnik zasad (limity, 4-oczy, listy dozwolonych adresów, okna czasowe);

Prywatny przekaźnik/ochrona MEV dla dużych transakcji.

3) Polityka dostępu

3. 1 Zasady

Najmniejsze uprawnienia (PoLP): Dostęp jest dokładnie według roli i strefy (gorący/ciepły/zimny).
Rozdzielenie obowiązków (SoD): różne osoby/usługi inicjują, zatwierdzają, podpisują, zwalniają.
4-eye: co najmniej dwie niezależne aprobaty dla operacji krytycznych (limity, listy adresowe, ciepłe → gorące).
Ścieżki izolacyjne: stadium prod, ACL sieciowe, indywidualne poświadczenia.

3. 2 Role

Operator (Płatności) - tworzy płatności/partie w granicach.
Approver (Skarb Państwa/Ryzyko): zatwierdzenie progów, whitelist/hold.
Custodian (Key Owner): Udział w grze wieloosobowej/MS na ciepło/zimno.
Zgodność: posiada/EDD/SAR, zasady podróży/rozwiązania KYT.
Bezpieczeństwo: zarządzanie HSM/KMS, rotacja klucza, incydenty.

4) Granice i szyny ochronne

KonturLimit transakcjidzienny limit wydatkówDodaj. zasady
GorąceNiski/średni (X)Niski/średni (X)prędkość według adresu/sieci; okna czasowe; 2 współczynnik dla podręcznika
CiepłoŚrednie/wysokie (Y)Średnia/wysoka (Α Y)4-oko, adresy białej listy, harmonogram okien
ZimnoBardzo wysoki (Z)Decyzją RadyKworum fizyczne, podpis offline, „okres chłodzenia”

Whitelist/denylist: książka adresowa z progami TTL, KYT i obowiązkowym dowodem posiadania (w przypadku osób niezatrudnionych).

5) Przepływy operacyjne

5. 1 Uzupełnianie gorąco z ciepłego

1. Monitorowanie 'hot _ balance <threshold' → żądanie uzupełnienia.
2. TAC/sankcje według adresów docelowych → zbieranie masła.
3. Podwójna aprobata (4-oko), podpis (ciepłe multisig/MS).
4. Tłumaczenie i nagrywanie w księdze; Ostrzegać o zmianie limitów.

5. 2 Wypłaty z gorącego

Automatycznie w granicach na-tx i na dzień.
Do przekroczenia - eskalacja w ciepłym: zwolnienie partyjne/częściowe + sprawdzenie RBA (SoF/KYT/Travel Rule).

5. 3 Przywracanie równowagi ciepłe i zimne

okresowe (co tydzień/według progu) lub w drodze decyzji skarbu państwa; podpis offline, dwa niezależne kanały potwierdzające, dziennik.

6) Bezpieczeństwo kluczowe

Wytwarzanie i magazynowanie: tylko na HSM/powietrze; odmowa eksportu kluczy prywatnych.
Rotacja: planowana (N miesiące), nieplanowana w incydencie; udokumentowane procedury wycofywania.
Backup/Shard-management: szyfrowane kulki (MPC) w różnych lokalizacjach/jurysdykcjach; okresowe testy odzysku.
Obwód sieci: IP permit-list, mTLS, podpisane haki internetowe, monitorowanie anomalii.
Kontrola zmian: RFC dla zmieniających się polityk/limitów, niezmiennych.

7) Zgodność i kontrola

KUT/sankcje: wstępna kontrola wjazdu/wyjazdu; różne profile ryzyka w sieciach.
Zasada podróży: dla VASP i VASP - IVMS101, repliki wiadomości i wyniki dostawy.
RBA: Limity/potwierdzenia zależą od segmentu ryzyka i kwoty.
Audyt: pełna ścieżka: kto/kiedy/co zainicjowane/zatwierdzone/podpisane; Wersja reguły w czasie operacji.
RODO/PII: minimalizacja, tokenizacja ID, oddzielne przechowywanie z PANÓW płatności.

8) Obserwowalność, dzienniki i rekonsylacja

Lager: odwzorowanie „faktury/w portfelu” (subaccount) według sieci/aktywów.
T + 0/T + 1 uzgodnienie: kwoty, opłaty, stopa (źródło ceny, znacznik czasu), salda otwarte.
Monitorowanie: gorące/ciepłe/zimne saldo, szybkość potwierdzenia, opłata, nieprawidłowe płatności, przełączanie do sieci kopii zapasowych.
Ostrzeżenia: ponad ograniczenia/prędkość, nowe adresy poza białą listą, rozbieżności w pojednaniu.

9) Playbooks incydentu

Wyciek/kompromis gorący: natychmiastowe usunięcie limitów do zera, przeniesienie sald do ciepłego/zimnego, kluczowa rotacja, dochodzenie, zgłoszenie do organów regulacyjnych/partnerów.
Anomalie płatnicze: zamrażanie partii, ponowne sprawdzenie KYT, żądanie SoF, częściowe zwolnienie bezpiecznej części.
Degradacja burzy sieciowej/opłaty: automatyczne przełączanie do sieci/metody czuwania, aktualizacja ETA w interfejsie użytkownika.
Niedostępność dostawcy opieki/RPC: feilover, ręczne zwolnienie płatności krytycznych za pomocą ciepłej analizy po incydencie.
Nieautoryzowane zmiany zasad: automatyczny zwrot, SecOps/powiadomienie o zgodności, raport z audytu.

10) Mierniki i OKR

Bezpieczeństwo/Zgodność

Udział aktywów w zimnych/ciepłych/gorących (zakresy docelowe), liczba naruszeń ograniczeń.
KYT odrzuca%, sankcjonowane trafienia, konwersja SAR (w stosownych przypadkach).
Liczba zmian polityki/miesiąc, udane/odrzucone żądania eskalacji limitu.

Niezawodność/operacje

Czas do wypłaty p50/p95 na gorące/ciepłe trasy.
Częstotliwość uzupełniania gorąca, średni rozmiar uzupełnienia.
Procent płatności samochodowych vs instrukcja obsługi, incydenty/kwartał.

Ekonomia/UX

Koszt na zatwierdzony (całość według sieci/składnika aktywów), opłata-procent kwoty.
Błędy sieci/notatki/znaczników, liczba częściowych wydań, bilety opóźnień.

11) Anty-wzory

Przepełnione gorące portfele bez twardych dziennych ochraniaczy.
Jeden dostawca powierniczy/jedna sieć bez SPOF → rezerwy.
Brak 4-oczu i brak SoD podczas ciepłej/zimnej operacji.
Klucze bez HSM/KMS, brak regularnych testów rotacyjnych/odzyskiwania.
Brak białej listy/TTL i KYT przed odstawieniem - zwiększone ryzyko.
Zmiana limitów „przez posłańca” bez RFC/audytu.
Brak idempotencji i anty-doubles w przekładkach - podwójne odpisy.

12) Lista kontrolna wdrażania (krótki)

  • Macierz warstwowa: gorąca/ciepła/zimna z limitami per-tx/na dzień i udziałami aktywów.
  • Role i dźwięki: Operator/Approver/Custodian/Compliance/Security, 4-eye.
  • HSM/KMS na gorąco/ciepło, multisig/MS na ciepło/zimno, podpis offline.
  • Adresy whitelist/denylist z TTL, progi KYT, dowód własności.
  • Procesy: uzupełnianie na gorąco, płatności za partię od ciepłej, przywrócenie równowagi do zimna.
  • Obserwowalność: lager, T + 0/T + 1 rekonstytucja, nadmiar wpisów.
  • Playbooks incydentów: kompromis, degradacja sieci, niedostępność dostawcy.
  • Rule/IVMS101 podróży, polityka RBA, zmiany w audycie.
  • Idempotencja, anty-bierze, backoff + jitter; podpisane haki internetowe.
  • Regularne kluczowe testy odzyskiwania i ćwiczenia incydentów.

13) Podsumowanie

Prawidłowa strategia na gorąco/ciepło/zimno to nie tylko trzy portfele, ale tryb zarządzania ryzykiem i dostępem: limity i 4-oczy, HSM/KMS i multisig/MRS, KYT/Travel Rule i RBA, przejrzyste procedury uzupełniania i płatności, obserwowalność i playbooks. Ten obwód daje szybkie płatności z gorącej z minimalną ekspozycją na aktywa i odpornością na incydenty - podstawą bezpiecznej i rentownej infrastruktury płatniczej iGaming.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.