GH GambleHub

Trasee de audit și urme de acces

1) Scopul și domeniul de aplicare

Scop: asigurarea probabilității acțiunilor utilizatorilor/serviciilor, transparența investigațiilor, respectarea cerințelor de reglementare și a standardelor interne (GDPR/AML, contracte cu furnizorii PSP/KYC, ISO/PCI, dacă este cazul).
Acoperire: toate sistemele de producție, serviciile platformei (cont, plăți, anti-fraudă, CUS/sancțiuni, RG), panouri de administrare, gateway-uri API, DWH/BI, infrastructură (K8s/cloud), integrare cu furnizorii.

2) Ce să vă conectați (clase de evenimente)

1. Identificare si acces: login/logout, MFA, schimbare parola/cheie, SSO, acces "break-glass'.
2. Acțiuni administrative: modificări ale rolurilor/drepturilor, configurații, norme antifraudă/sancțiuni, steaguri caracteristice.
3. Operațiuni cu date PII/financiare: citire/export/ștergere, încărcare, accesare KYC, vizualizare profiluri VIP.
4. Tranzacții și bani: Numerar/depozite, anulări, returnări, decizii de chargeback.
5. Conformitate/AML/KYC: rezultate de screening (sancțiuni/PEP/Advers Media), decizii (TP/FP), EDD/STR/SAR.
6. Incidente și securitate: escaladări, modificări ale regulilor WAF/IDS, izolare de serviciu, rotație secretă.
7. Integrări/furnizori: apeluri API, erori, timeout-uri, exporturi, confirmări de ștergere/returnare a datelor.

💡 Principiu: înregistrăm cine/ce/când/unde/de ce/rezultat pentru orice operațiune care afectează securitatea, banii, datele și conformitatea.

3) Câmpuri obligatorii pentru evenimente (minim)

'event _ id' (UUID),' ts _ utc', 'ts _ local', 'source _ service', 'trace _ id'/' span _ id'

'actor _ type' (utilizator/serviciu/furnizor), 'actor _ id' (identificator puternic),' actor _ org '(dacă B2B)

'subject _ type' (account/tx/document/dataset), 'subject _ id'

'action' (ex., 'READ _ PII', 'EXPORT _ DATA', 'ROLE _ UPDATE', 'RETRAGERE _ APROBARE')

'result' (succes/negare/eroare) и 'reason '/' error _ code'

'ip', 'device _ amprent',' geo '(ţară/regiune),' auth _ context '(MFA/SSO)

'fields _ accessed '/' scope' (când se lucrează cu date PII/financiare) - cu mascare

'purpose '/' ticket _ id' (motiv: DSAR, incident, cerere de regulator, sarcină operațională)

4) Imutabilitate și probabilitate

Depozitarea WORM pentru copia „aurie” (găleți imuabile/politici de păstrare).
Semnătură cripto/lanț hash: semnarea periodică a loturilor de evenimente și/sau construirea unui lanț de hashes (lanțuri hash) pentru a identifica modificările.
Jurnalul modificărilor la scheme/reguli: scheme de versionare și politica de exploatare forestieră; orice editări trec prin CAB.
Stocare în buclă dublă: index online (căutare) + arhivă/imutabilitate.

5) Sincronizarea timpului și urmărirea

Single NTP/Chrony în toate mediile; în jurnalele - 'ts _ utc' ca sursă de adevăr.
Pentru fiecare jurnal - 'trace _ id'/' span _ id' pentru urmărirea end-to-end a cererilor (corelație între servicii, furnizori și față).

6) Confidențialitate și secrete

Interzis: parole, jetoane, PAN complet/CSC, numere de documente complete, date biometrice brute.
Mascare implicită: e-mail/telefon/IBAN/PAN → jetoane/afișare parțială.
Aliasing: 'user _ id' → token stabil în analiză; legarea la un ID real - numai într-o buclă protejată.
Compatibilitatea DSAR: capacitatea de a extrage selectiv jurnalele de subiect fără a dezvălui PII străine.

7) Perioada de valabilitate și nivelurile (retenție)

ClasăFierbinteCaldReceWORM/Legal Hold
Acces PII/Acțiuni de admin30 de zile6-12 luni24-36 lunipână la 5 ani/la cerere
Tranzacții/Decizii financiare90 de zile12 luni36 luni5-10 ani (LMA/contracte)
CCM/Sancțiuni/Decizii PEP30 de zile12 luni36 luni5-10 ani
Incidente/Securitate30 de zile6-12 luni24 lunipana la finalizarea investigatiilor
💡 Termenele specifice sunt aprobate de Legal/Conformitate, ținând cont de jurisdicții, licențe și contracte (PSP/KYC/cloud).

8) Acces și control (RBAC/ABAC)

Rolurile de citire a jurnalului de audit sunt separate de rolurile de administrare.
Acces MFA și Just-in-Time (spart-glass) cu auto-revocare/logare a motivelor.
Politica „minimă”: accesul la câmpurile PII/financiare numai atunci când este necesar și cu fixarea „scopului”.
Export/încărcare: liste albe de destinații și formate; semnătură obligatorie/hash, jurnal de încărcare.

9) Integrarea SIEM/SOAR/ETL

Fluxul evenimentului de audit intră în SIEM pentru corelații (de exemplu, masa 'READ _ PII' + intrare de pe noul dispozitiv).
Cărți de redare SOAR: bilete auto pentru încălcarea politicilor (fără „scop”, volum anormal, acces în afara ferestrei).
ETL/DWH: 'audit _ access',' pi _ exports', 'admin _ changes' ferestre cu controlul calităţii şi schema de versioning.

10) Calitatea datelor și validatoare

Scheme ca cod (JSON/Protobuf/Avro): câmpuri, tipuri, dicționare obligatorii; Validatoare CI.
Respingerea și coada de carantină pentru evenimentele cu erori de schemă; deșeuri metrice.
Deduplicarea/idempotența prin „(event_id, trace_id, ts)”; controlul retransmisiei.

11) RACI

SarcinăConformitate/JuridicDPOSecuritateSRE/DateProdus/Eng
Politică și retențieA/RCCCI
Controlul mascării/PIICA/RRRC
Imutabilitate/semnăturiICA/RRC
Acces/ExporturiCCA/RRI
Scheme/validatoriICCA/RR
Incidente și investigațiiCARRC
Furnizori/ContracteA/RCCCI

12) SOP: Investigarea accesului la date

1. Declanșator: alertă SIEM (anormal 'READ _ PII '/export), reclamație, semnal de la furnizor.
2. Colectarea artefactelor: descărcarea evenimentelor de către 'actor _ id'/' subject _ id'/' trace _ id',' scop 'jurnal, jurnale conexe (WAF/IdP).
3. Verificarea legalității: prezența unei fundații (sarcină DSAR/incident/serviciu), coordonare, ferestre de acces.
4. Evaluarea impactului: domeniul de aplicare/categorii PII, jurisdicții, riscuri pentru subiecți.
5. Soluție: incident-bridge (când High/Critical), izolare (revocarea acceselor, rotație cheie).
6. Raport și CAPA: cauze, politici încălcate, măsuri (mascare, instruire, modificări RBAC), termene limită.

13) SOP: Exportul de date (Regulator/Partener/DSAR)

1. Solicitarea → verificarea fundației și a identității (pentru DSAR) → generarea cererii către DWH.
2. Depersonalizare/minimizare în mod implicit; includerea PII numai din motive legale.
3. Descărcați generația (CSV/JSON/Parchet) → semnătură/hash → scrieți în jurnalul de descărcare (cine/când/ce/să/motiv).
4. Transfer printr-un canal aprobat (sFTP/Secure link); perioada de păstrare a copiilor - prin poliță.
5. Post-inspecție: confirmarea primirii, ștergerea fișierelor temporare.

14) Valori și IRC-uri/KPI-uri

Acoperire: ponderea sistemelor critice care trimit evenimente de audit ≥ de 95%.
Erori DQ: evenimente respinse de validator ≤ 0. 5% din flux.
MTTD de pierdere a debitului: ≤ 15 min (alertă la tăcere).
Accesări anormale fără 'scop': = 0 (IRK).
Timpul de răspuns la investigaţie: mediană ≤ 4 ore, P95 ≤ 24 ore.
Exporturi semnate/hash: 100%.
Reținere: ștergeri/arhive la timp ≥ 99%.

15) Cerințe privind furnizorul și subprodusul

DPA/SLA: descrierea jurnalelor de audit (scheme, termeni, geografie, format de export), WORM/imutabilitate, SLA de notificări incidente.
Acces furnizor: numite conturi de servicii, jurnalele acțiunilor lor, posibilitatea de audit selectiv.
Offboarding: revocarea cheilor, exportul/ștergerea jurnalelor, actul de închidere, confirmarea distrugerii backup-ului.

16) Siguranță și protecție împotriva manipulării

Separarea rolurilor: admin sursă ≠ admin de stocare ≠ auditor.
Semnătură agent/colector, mTLS între componente.
Controale anti-manipulare: compararea hash-urilor, verificări regulate ale integrității, alerte pentru discrepanțe.
Geo-replicarea copiilor WORM și testele regulate de recuperare.

17) Erori de tip și anti-modele

Înregistrarea valorilor sensibile (PAN/secrete) → includerea imediată a middleware-ului de redactare.
Lipsește 'scop '/' ticket _ id' la accesarea PII.
Încărcări locale „pe desktop” și trimiterea prin e-mail.
Lipsa unei singure scheme și validarea → câmpuri silențioase, imposibilitatea corelării.
Un singur cont super fără a fi legat de o persoană sau serviciu.

18) Liste de verificare

18. 1 Lansarea politicii/Revizuire

  • Schemele și dicționarele sunt aprobate; câmpuri obligatorii incluse
  • Mascarea și interdicțiile privind secretele sunt activate
  • NTP configurat, 'trace _ id' peste tot
  • Straturile calde/calde/reci/WORM sunt stivuite
  • RBAC/ABAC și spart-glass sunt proiectate
  • SIEM/SOAR integrat, alerte testate

18. 2 Audit lunar

  • Export selecție: semnături/jurnale corecte
  • Verificați păstrarea/ștergerile/Legal Hold
  • Măsurători DQ OK, parsare în carantină
  • Jurnalele furnizorului disponibile/complete

19) Foaia de parcurs privind implementarea

Săptămânile 1-2: inventarierea sistemelor, coordonarea schemelor și a câmpurilor obligatorii, setările de timp și de urme.
Săptămânile 3-4: activarea mascării, stratul WORM, integrarea SIEM/SOAR, rularea jurnalelor de export.
Luna 2: automatizare validator/alertă, playbook-uri de investigații, instruire în echipă.
Luna 3 +: audituri regulate, teste de stres de integritate, audituri pe niveluri, audituri ale furnizorilor/contractelor.

TL; DR

Trasee de audit puternice = evenimente complete și structurate + imutabilitate (WORM) și semnături + mascare PII + acces dur și încărcare jurnale + integrare SIEM/SOAR. Acest lucru accelerează investigațiile, reduce riscurile și face ca conformitatea să fie dovedită.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.