RBAC: gerenciamento de papéis e permissões

1) Objetivos e princípios RBAC

O objetivo é tornar o acesso administrável, verificável e mínimo em volume para proteger o dinheiro/PII e cumprir os requisitos (GDPR/AML/PCI/ISO).
Princípios: Least Priorege\Need-to-Know's Separation of Duties (SoD )\Zero Trust _ Revocability (Revision Rápida).

2) Taxonomia de direitos e papéis

• Dados: 'READ', 'WRITE', 'EXPORT', 'DELETE', 'MASKED _ READ' (padrão PII).
• Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
• Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.
• Integrações: 'API _ CALL:', 'WEBHOOK _ SIGN', 'SERVICE _ CONFIG _ UPDATE'.

• Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
• Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.
• Os/s do sistema: 'devops _ admin', 'dba _ admin', 'service _ score _', 'read _ only _ prod'.
• Privilegiados (PAM/JIT): 'break _ glass _ admin', 'prod _ db _ jit _ editor'.

3) Engenharia de papéis (role engineering)

1. Inventário de recursos: sistemas/tabelas/endpoint, classes de dados (Public/Internal/Confidential/Restricted/Highly Resticted).
2. User stories por função: quem faz o quê e porquê (purpose).
3. Mupping de tarefas → perssions: conjunto mínimo para cada função.
4. Agrupamento no rol: um papel = um domínio de responsabilidade; evitar «superrolas».
5. Teste de : Verificação de incompatibilidade (por exemplo, 'payments _ ops' n' n' fraud _ rule _ admin').
6. Piloto e medição, emitimos um grupo temporariamente limitado, reunimos uma pista de auditoria.
7. Versioning: Cada alteração de papel é feita através de FAB com changelog.

4) Interação RBAC ↔ ABAC ↔ SoD

A RBAC responde «quem em princípio pode», ABAC - «em que condições» (ambiente, geo, dispositivo/MDM, tempo, nível KYC, 'purpose').
SoD proíbe combinações perigosas de papéis e requer 4-eyes para ações críticas.
Prática: por padrão, os papéis são atribuídos ao MASKED _ READ ao PII; para acessos não acessados, é necessário o atributo 'purpose' + JIT e uma solução positiva para a política ABAC.

5) Multiplicidade e contexto geo

Tenant-scope: os papéis são ligados à renda/marca/jurisdição ('role: payments _ ops @ EEA').
Geo-keys: chaves de criptografia individuais e segmentos de acesso per região (EC/UK/...).
Granularity: filtragem por coluna 'region _ código' (RLS) e por jurisdição do jogador.

6) Row/Column-Level Security e disfarce

• RLS (linhas): acesso somente aos registros do seu país/marca/comando.
• CLS (colunas): campos sensíveis estão disponíveis de forma mascarada; não, apenas com o privilégio 'pii _ unmask' + 'purpose'.

sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT: papel privilegiado temporário (15-120 min) sob o tíquete; O envio automático; uma auditoria completa.
Break-glass: acesso de emergência com MFA + segunda confirmação e gravação da sessão; pós-revezamento com Segurança + DPO.
PAM: Armazém de segredos, proxy de sessão, rotação de senhas/chaves.

8) Ciclo de vida de papéis (SOP)

SOP-1: Criar/Alterar rol

1. A solicitação do dono do domínio → uma lista de tarefas → mapping perssions → cheque SoD → piloto → FAB → lançamento + documentação.

SOP-2: Pedido e permissão

1. Solicitação (IDM/ITSM) com 'purpose' e prazo para verificação automática SoD/jurisdição aprovação do dono de dados + Segurança (para Restrited +) emissão (muitas vezes JIT) registro.

SOP-3: Levantamento/off

Triggers: demissão, mudança de papel, falta de atividade> 30/60 dias, JIT expirou.
Revisão automática e registro.

SOP-4: certificação re

Trimestralmente, os proprietários confirmam que os papéis dos usuários ainda são necessários; O sistema retira os direitos pendentes.

9) Exemplo de matriz de papéis (fatia)

10) Ferramentas e implementação (pattern)

Catálogo de papéis como código: YAML/JSON no repositório + validadores CI, changelog.
Central IdP/SSO: mantimentos SCIM, muppings de grupo 'group → role'.
Policy decision point: motor de políticas (ABAC) com atributos de contexto.
Segredos/KMS: isolamento de chaves per ambiente/região/tenante.
Data gateway: camada única de camuflagem/auditoria para DWH/BI/exportação.
SIEM/SOAR: Correlação 'ROLE _ UPDATE '/' READ _ PII '/' EXPORT _ DATA', tíquetes automáticos.

11) Auditoria e registro

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.
Requisitos: cópia WORM, cadeias de hash, assinatura de pacotes, 'purpose '/' card _ id' em cada evento, sincronização de tempo.

12) Métricas e KPI/KRI

Coverage:% dos sistemas RBAC ≥ 95%.
SoD violations: = 0; tentativas de atribuição de papéis incompatíveis - bloco automático.
JIT rate: ≥ 80% dos aumentos vão como JIT.

Offboarding TTR: Rever direitos ≤ 15 min

Masked reads ratio: ≥ 95% dos acessos ao PII - camuflados.
Recepção: 100% dos papéis estão confirmados trimestralmente.
Exports signed: 100% das exportações assinadas/revistas.

13) RASI (acentuado)

14) Folhas de cheque

Antes de criar a função

• User-stories descritos e 'purpose'
• Lista de recursos e classes de dados
• Mupping de perssões mínimas
• Teste/conflito SoD
• Políticas de camuflagem e RLS/CLS
• Plano de e-certificação e proprietários

Antes de dar acesso

• Fixo 'purpose' e prazo
• SoD/jurisdição/MDM/MFA cumpridos
• Camuflagem padrão, JIT de aumento
• O diário e a data de revisão estão incluídos

15) Erros frequentes e anti-pattern

«Superroly», com direitos amplos, em vez de domínios menores.
Acesso direto ao PII sem disfarce e 'purpose'.
Falta de SoD/quarto olhos para 'PAYMENT _ ABORDVE '/' KYC _ ABORDVE'.
Prorrogação dos direitos temporários para sempre.
Cópia de dados prod em dave/estágio.
Exportes opacos sem assinatura ou registro.

16) Mapa de trânsito de implementação

Semanas 1-2: inventário de recursos/classificação de dados; matriz de papéis de rascunho; Tabela SoD.
Semanas 3-4: RBAC como código (repositório), grupo IDP/SCIM, motor ABAC (atributos básicos: ambiente/geo/MDM/tempo), JIT/PAM, camada de camuflagem para DWH/BI.
Mês 2: e-certificação, automação offboarding, alertas SOAR para violações de RBAC/SoD/ABAC, registros de exportação/WORM.
Mês 3 +: extensão de atributos (risco de dispositivo, nível KYC), bias-auditoria de acessibilidade, otimização de custo e exercícios regulares tabletop.

TL; DR

RBAC forte = pequenos papéis de domínio + condições de atributo (ABAC) + SoD e JIT/PAM + camuflagem e RLS/CLS + auditoria rígida e RLS. Isso reduz o risco de fuga/abuso, acelera a auditoria e mantém a plataforma dentro dos limites da privacidade e da complacência.