GH GambleHub

Politici de acces și segmentare

1) Scop și principii

Scopul: minimizarea riscului de scurgeri/fraudă și consecințe de reglementare prin controale stricte „cine, ce și de ce are acces”, cu probabilitate de audit.
Principii: Cel mai mic privilegiu (drepturi minime), Need-to-Know, Zero Trust, Segregarea îndatoririlor (SoD), Just-in-Time (JIT), trasabilitate și rechemare cu un singur clic.

2) Nivelurile de clasificare și protecție a datelor

ClasăExempleProtecție și acces
Publicpagini statice, marketingdisponibil fără autorizație
Internăvalori operaționale non-PIISSO, rol numai pentru citire
ConfidenţialAgregate DWH, rapoarte fără ID-uriSSO + MFA, grupuri aprobate, jurnal
Restricționată (PII/Finanțe)KYC, tranzacții, semnale RG, sancțiuni/PEPABAC după atribute, JIT, jurnal de câmp, jurnal WORM
Foarte restricționatăchei, secrete, console admin, segment PANPAM, perimetru izolat, mTLS, sesiuni înregistrate
💡 Clasa este atribuită în directorul RoPA/date și este legată de politica de criptare, retenție și metode de acces.

3) Model de acces: RBAC + ABAC

RBAC (roluri): matricea de bază „rol → rezoluție”.
ABAC (atribute): reguli de context (jurisdicție jucător/operator, segment de mediu, sensibilitate set, schimbare/timp, dispozitiv, nivel de verificare KYC, sarcină de serviciu/scop).

Exemplu de condiție ABAC (logică):
  • Analistul de marketing poate citi tabelele de "evenimente _' numai pentru țările în care există consimțământ pentru analitică, numai în zilele de lucru 08: 00-21: 00, numai din rețeaua corporativă/dispozitiv MDM, fără câmpuri PII (mascarea este activată).

4) SoD - separarea taxelor (antifraudă și conformitate)

FuncțieCe se poateCe este interzis
Antifraudămodificarea normelor antifraudăAprobați propriile dvs. cashout-uri/limite VIP
Plățiconfirmă concluziilemodificarea normelor antifraudă
Conformitate/LMAînchide EDD/STR, citind KYCexportul direct al întregului DWH
DPO/Confidențialitateaudit, citire jurnale PIImodificarea drepturilor prod
SRE/DevOpsadministrarea infrastructuriicitiți mesele PII de afaceri
Dezvoltatoriaccesarea jurnalelor/dev/stageaccesarea datelor prod cu PII
Suport/VIPcitiți profilul jucătorului (mascat)export PII brut
💡 Orice acțiune care afectează banii/PII necesită verificarea cu două circuite (principiul 4-ochi) sau aprobarea automată a biletelor.

5) JIT, sticlă spartă и PAM

JIT (Just-in-Time): drepturile ridicate sunt emise pentru un interval limitat (15-120 minute) pentru o anumită sarcină și sunt revocate automat.
Break-glass: acces de urgență printr-o procedură separată (confirmare AMF + al doilea scop + indicație obligatorie), înregistrarea completă a sesiunii și revizuirea post-factuală.
PAM: pentru conturile de admin - magazine de parole, analiză comportamentală, rotație cheie/secret, proxy sesiune cu înregistrare.

6) Segmentare: mediu, rețea și logică

6. 1 Medii: "prod' ≠" etapa "≠" dev ". Datele prod nu sunt copiate în stadiul/dev; folosește seturi sintetice sau aliasate.

6. 2 Rețele (zone de exemplu):
  • Edge/WAF/CDN → App Zona → Zona de date (DWH/DB) → Secretele/KMS.
  • Perimetrul de plată (PSP/carduri) este izolat de prod comun; CCM/sancțiuni - un segment separat.
  • 6. 3 Segmentare logică: namespaces (K8s), ID-uri de chiriași, scheme de directoare DB/date, chei individuale de criptare per chiriaș/regiune.
  • 6. 4 Geo-segmentare: stocare/prelucrare în funcție de locație (CE/UK/...); ghiduri de rutare și chei în jurul regiunii.

7) Furnizor și partener de acces

Mecanică: chiriași/conturi individuale B2B, domeniul minim API, mTLS, IP lista de permise, timp fereastră.
Contracte: DPA/SLA (jurnale, perioade de păstrare, geografie, incidente, sub-procesoare).
Offboarding: rechemare cheie, confirmarea ștergerii, act de închidere.
Monitorizare: alerte pentru volume anormale, interzicerea exporturilor în masă.

8) Procese (POS)

8. 1 Cerere/schimbare acces

1. Aplicarea la IDM/ITSM cu scop și termen.
2. SoD/jurisdicție/auto-verificare clasă de date.
3. Aprobarea proprietarului domeniului + Securitate/Conformitate (dacă este restricționat +).
4. Emiterea de JIT/acces permanent (set minim).
5. Logare: cine/când/ce este emis; data revizuirii.

8. 2 Recertificare

Trimestrial: proprietarii confirmă drepturile grupurilor; drepturi neutilizate automat (> 30/60 zile).

8. 3 Exportul de date

Numai prin conducte/vitrine aprobate, conform listelor albe de formate (CSV/parchet/JSON), mascare implicită, semnătură/hash, jurnal de descărcare.

9) Politica și contextul dispozitivului

MDM/EMM - Acces restricționat/foarte restricționat numai de la dispozitivele gestionate.
Semnale contextuale: geo, rata de risc a dispozitivelor, ora zilei, starea MFA, reputația IP - ca atribute ABAC.
Extensii de browser/captură de ecran: control și jurnal, interdicție pentru console sensibile.

10) Exemple de politici (fragmente)

10. 1 YAML (pseudo) - ABAC pentru analist de marketing

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 Mascare SQL (idee)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Monitorizare, busteni si alerte

Trasee de audit: 'READ _ PII', 'EXPORT _ DATA', 'ROLE _ UPDATE', 'BREAK _ GLASS',' PAYMENT _ APPROVE '.
IRC-uri: accesează fără „scop” = 0; încercările de a foarte restricționate în afara ferestrei; cota de controale SoD eșuate; descărcări anormale.
KPI:% din cererile cu JIT ≥ 80%; durata medie de acces ≤ 4 ore; Acoperire de re-certificare 100%.
Playbooks SOAR: auto-rechemare pentru amenințări, bilete de investigație.

12) Conformitate (hartă scurtă)

GDPR/UK GDPR: minimizare, nevoia de a cunoaște, compatibilitate DSAR, audit PII.
AML/KYC: acces la CCM/sancțiuni - numai pentru roluri instruite, jurnal de decizii.
PCI DSS (dacă este cazul): segregarea zonei de plată, interzicerea stocării PAN/CSC, chei separate/găzduire.
ISO/ISMS: politici de acces formalizate, audituri anuale și teste.

13) PACI

ActivitateConformitate/JuridicDPOSecuritateSRE/ITDate/BIProdus/EngProprietarii de domenii
Politici și SoDsA/RCCCCCC
Modelul RBAC/ABACCCA/RRRRC
IDM/JIT/PAMIIA/RRICI
RecertificareCCARRRR
Export/MascăCARRRCC

14) Valorile maturității

Acoperirea regulilor ABAC a seturilor de date critice ≥ 95%.
Şedinţe JIT/toate creşterile ≥ 90%.
Timpul de revocare ≤ de 15 minute.
0 incidente de rol ≠ funcție (SoD).
100% din jurnalele de acces sunt disponibile și verificate (semnătură/hash).

15) Liste de verificare

15. 1 Înainte de acordarea accesului

  • Scopul, data și proprietarul datelor definite
  • SoD/Jurisdicții verificate
  • Domeniul minim de aplicare/mascare activat
  • Condițiile MFA/MDM/de rețea îndeplinite
  • Data logării și a revizuirii configurată

15. 2 Revizuire trimestrială

  • Reconcilierea grupurilor și rolurilor cu structura organizațională
  • Auto „agățat” drepturi
  • Verificați exporturile anormale și spargerea sticlei
  • Alerte de formare și de testare

16) Scenarii și măsuri tipice

A) Noul rol „VIP Manager”

Acces la profile VIP (mascate), interdicție de export, JIT pentru o singură dată de vizionare KYC prin intermediul biletului.

B) Furnizor audit BI

citire-numai la storefronturi fără PII, VPN temporar + permite-listă, interzice salvarea la nivel local, descărcare jurnal.

C) DevOps acces de urgență la prod-DB

pauză-sticlă ≤ 30 min, sesiune de înregistrare, post-revizuire cu DPO/Conformitate, CAPA pentru încălcări.

17) Foaia de parcurs privind implementarea

Săptămânile 1-2: inventarul datelor/sistemului, clasele de date, matricea RBAC de bază, SoD.
Săptămânile 3-4: implementarea ABAC (primele atribute: mediu, geo, clasa de date), fluxuri IDM, JIT/break-glass, PAM.
Luna 2: plată și segmentarea perimetrului KYC, chei separate/KMS, jurnale de export, alerte SOAR.
Luna 3 +: re-certificări trimestriale, extinderea atributelor (dispozitiv/risc), automatizarea mascării, exerciții regulate.

TL; DR

Model de acces robust = clasificarea datelor RBAC + ABAC SoD + JIT/PAM segmentarea hard busteni si alerte. Acest lucru reduce probabilitatea de scurgeri și abuzuri, accelerează auditul și menține platforma în limitele GDPR/AML/PCI și standardele interne.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.