GH GambleHub

Auditoria de identificações

1) Objetivo e resultado

O objetivo é garantir que os princípios Zero Trust e os menores privilégios sejam comprovadamente compatíveis através da verificação regular de quem tem onde e porquê.
Resultado: registro completo e atualizado de identidades e direitos com proprietários confirmados, acesso eliminado «dependente», base de provas de controle interno e reguladores.

2) Área de alcance

Utilizadores internos, estagiários, executivos, papéis temporários.
Empreiteiros/parceiros: estúdios de jogos, PSP/KYC/AML provedores, afiliados.
Identidades de serviço: bots, CI/CD, integração, chaves e tocens API.
Funções privilegiadas: Adminas de infraestrutura/BD, Payments, Risk, Trading.
Jogadores (no contexto KYC): Correto vínculo de aprendizado ↔ perfil KYC ↔ estados RG/AML (verificação de processos que não contém documentos).

3) Termos e princípios

Identidade: sujeito único (pessoa/serviço) com atributos.
Entitlement (privilégio): direito/papel específico para o recurso.
JML: Joiner → Mover → Leaver - um ciclo de vida de identidade.
SoD: Divisão de responsabilidades para operações de alto risco.
Least Privilege & Just-in-Time (JIT): conjunto mínimo de permissões concedidas por tempo limitado.
Accountability: Cada identidade tem um dono, cada direito tem uma justificativa e um prazo.

4) Fontes de verdade e modelo de dados

HRIS/recursos humanos: fonte primária de status do funcionário (hire/move/exit).
IdP/SSO: ponto de autenticação unificado (MFA/FIDO2), federação.
IAM/IGA: diretório de papéis, políticas e processos de ressarcimento.
CMDB/diretório de serviços: propriedade de sistemas e contornos de acesso.
Plataformas de provedores PSP/KYC/CDN/WAF/Provedores de Jogos - portais de acesso externos.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) Controladores que verificam a auditoria

1. SSO e MFA em todo o lado (sem dados locais ou contas shared).
2. RBAC/ABAC/PBAC: Os direitos são descritos por políticas (policy-as-código), os papéis são típicos e conveniados.
3. SoD: os papéis e exceções incompatíveis são formalizados.
4. JIT/PAM: promoções temporárias com tíquete, gravação de sessão e revogação automática.
5. Segredos/chaves, guardados no gestor de segredos, rotativos e de vida.
6. Revistas e Provabilidade: tamper-evident, traçado de contato de quem/o/o/o/o/o/o/o/porquê.
7. Data Access: camuflagem PII, exportação por workflow com criptografia e TTL.

6) Processo de auditoria (end-to-end)

1. Preparação: congelamento da imagem de direitos (entitlents snapshot) em sistemas; descarregar do IDP/IAM/provedores.
2. Normalização: maping de papéis para catálogo, dedução, agrupamento de recursos.
3. Categoria de risco: P1/P2 (privilegiados e sensíveis) → verificação prioritária.
4. Reverter direitos: proprietários de sistemas confirmam/rejeitam direitos (campanhas access review).
5. Verificar SoD: detecta incompatibilidade e exceções temporárias (com data de vencimento).
6. Mapeamento JML: mapeamento hire/move/exit com direitos reais (incluindo portais externos).
7. Ensinamentos de serviço: Possuir proprietário, tokens de curta duração, sem «god-scope».
8. Base de provas: formação de um pacote de artefatos (relatórios, descargas, atos).
9. Plano Remediation: tíquetes para revisão/correção, prazos e responsáveis.
10. Relatório final: status de risco, KPI de ciclo, lições e melhorias de políticas.

7) Contornos JML (que verificamos mais fundo)

Joiner: atribuição automática de papéis básicos, proibição de «aditivos» manuais fora do catálogo.
Mover: mudança de comando/localização → substituição automática de papéis, reversão de privilégios antigos.
Leaver: Revogação de todas as permissões em X minutos/hora, encerramento de e-mails/VPN/portais de provedores, desativação de chaves e tokens.

8) Dependências e portais externos

PROVEDORES DE JOGOS PSP/KYC/AML/CDN/WAF: Cada aluno tem o dono, o objetivo, o prazo, a MFA, a proibição de contas compartilhadas.
SoD/SLA contratuais: dual-controle para transações P1 (alteração de roteamento de pagamentos, limites de bônus, etc.).
Cruzamento regular: registro de portais externos ↔ lista de usuários atuais ↔ resultados de ressalvas.

9) Características do domínio iGaming

Payments & Risk: ramais individuais de SoD; aprujos para alterações nos limites/roteamento; auditoria de ajustes manuais.
Trading/coeficientes: barras de areia para modelagem, papéis de publicação individuais, reversão rápida; registro de alterações.
Resolvível Gaming/KYC/PII: controle de exportação rígido, camuflagem para BI, SLA processamento de solicitações do regulador.
Afiliados e striptees: portais limitados com capacidade de relatórios sem acesso ao PII.

10) Políticas como código (PaC)

Políticas no repositório (Rego/YAML), revezamento PR, testes.
Contexto dinâmico nas soluções allow/deny: ambiente (prod), tempo, localização, criticidade da operação, sinais KRI (por exemplo, aumento de ações sensíveis).
Vinculação obrigatória ao tíquete e ao alvo em elevações JIT.

11) Revistas e comprovabilidade

Cadeia de eventos: Admin Console/IDP → API → BD → provedores externos.
Tamper-evident: armazenamento WORM/imutable, assinatura de registros, TTL rigoroso.
Pesquisa e resposta: SLA resposta a pedidos internos/externos (auditoria, regulador, banco/sócio).

12) Métricas e KPI/KRI

KPI:
  • Percentual de direitos confirmados no prazo (ressalvas),% das campanhas atrasadas.
  • Tempo desde a demissão até a revogação completa dos direitos (MTTR-leaver).
  • Proporção de aumento de JIT vs privilégios permanentes.
  • Número de conflitos SoD resolvidos por ciclo.
  • A totalidade dos sistemas cobertos e portais externos.
KRI:
  • Spikes de ação sensível (exportação PII, mudanças PSP).
  • Permissões não utilizadas> N dias.
  • Break-glass sem pós-auditoria.
  • Contas sem dono/destino/prazo.

13) Mapa de trânsito de implementação (8-12 semanas)

Ned. 1-2: inventário de identidades e sistemas (incluindo portais externos), catálogo de papéis e matriz SoD.
Ned. 3-4: conexão SSO/MFA em todo o lado, coleta única de entitlents, primeiros relatórios snapshot.
Ned. 5-6: lançamento de campanhas de ressarcimento IGA (P1/P2 prioridade), revisto automático por Leaver.
Ned. 7-8: JIT/PAM para contornos de prod, gravação de sessões, proibição de contas shared para provedores.
Ned. 9-10: PaC: formalização de políticas-chave (exportação de PII, routing PSP, lançamentos), testes de política unit.
Ned. 11-12: dashboards KPI/KRI, regulamento de ciclos trimestrais, relatórios para complacentes/reguladores.

14) Modelos de artefatos

Role Catalog: papel, descrição, privilégios mínimos, proprietário, aplicável (região/ambiente).
SoD Matrix: funções/operações incompatíveis, exceções, prazo e dono da exceção.
Access Review Pack: folha de permissões, comentários, resultados (appreve/revoke/mitigate).
Service Account Register: alvo, proprietário, vida, escopos, local de armazenamento de segredos, horário de rotação.
External Portals Inventory: sistema, contatos, lista de usuários, MFA, data da última ressalva.
Evidence Checklist: Quais downloads/logs e em que formato armazenar para a auditoria.

15) Antipattern

Ensinamentos compartilhados e «admins para sempre».
Permissões manuais para contornar IdP/IGA.
Não há SoD ou permissão de «exceções temporárias» sem data de expiração.
Tocadores de serviço sem rotação/proprietário.
Exportar PII por carta sem workflow ou criptografia.
Não há auditoria de portais externos (PSP/KYC/provedores de jogos).

16) Frequentes descobertas de auditoria e correção rápida

Disponibilidade/contratantes demitidos: incluir uma revisão automática sobre eventos HR (Leaver).
Papéis com excesso de permissões: desconstruir em menores e vincular atributos ABAC.
Contas shared dos provedores: migração para pessoal + MFA, emissão de papéis temporários para tarefas raras.
Segredos de longa duração - mudança para tokens/certificados de curta duração e rotação programada.

17) Incidente-gestão de ligação

Qualquer incidente com o componente de acesso → atualização obrigatória do registro de risco e políticas, ressalvas pontuais dos papéis afetados, pós-mortem com action items (e prazos).

Resultado

A auditoria de identificações é um ciclo repetível e automatizado: registro completo de identidade e direitos ressalvas orientadas de risco JML rígido e JIT/PAM de políticas como código e auditoria comprovada melhorar os resultados do ciclo. Este padrão reduz a possibilidade de abuso e erro, acelera as investigações, fortalece a conformidade e protege as principais operações de negócios da plataforma iGaming.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.