GH GambleHub

Principiul drepturilor minime necesare

1) Scopul și definiția

Scop: să permită utilizatorului/serviciului numai acele resurse strict necesare pentru îndeplinirea unei anumite sarcini, pentru perioada minimă suficientă și în volumul minim.
Definiție: „minim în latitudine (resurse), adâncime (operațiuni), timp (TTL), context (geo/dispozitiv/schimbare), sensibilitate (PII/finanțe)”.

2) Principiile de bază ale implementării

1. Need-to-Know: fiecare drept este asociat cu un anumit scop (bază).
2. Time-Bound: drepturi ridicate acordate cu TTL (JIT); drepturi permanente - numai citite/mascate.
3. Domeniul de aplicare-Bound: accesul este limitat de leasing/regiune/brand/proiect (chiriaș/regiune scoping).
4. Minimizarea datelor: PII este mascat în mod implicit; de-masca - numai pe teren explicit.
5. Trasabilitate: orice acces → jurnalul + 'scop '/' ticket _ id'.
6. Revocabilitate: feedback rapid (offboarding ≤ 15 minute, JIT - feedback automat).

3) Comunicarea cu alte controale

RBAC: seturi care, în principiu, pot (rol de bază).
ABAC: specifică în ce condiții (geo, dispozitiv/MDM, timp, nivel KYC, risc).
SoD: interzice combinațiile de roluri periculoase, necesită 4 ochi pentru acțiuni sensibile.
Segmentare: rețea/perimetre logice (plată, KYC, DWH, secrete).
PAM/JIT/break-glass: emiterea sigură a privilegiilor temporare și înregistrarea acestora.

4) Clasificarea resurselor și a operațiunilor

Clasa de dateExempleNivelul minim
Publicconținutul site-uluifără autorizație
Internăvalori non-PIISSO, numai pentru citire
ConfidenţialRapoarte/agregate DWHSSO + MFA, viewer_... roluri
Restricționată (PII/Finanțe)KYC/AML, Tranzacții, RGmascat-citit, JIT pentru demascate
Foarte restricționatăsecrete, console admin, PANPAM, sesiuni înregistrate, izolare

Operațiuni: 'READ', 'MASKED _ READ' (implicit pentru PII), 'WRITE' (scoped), 'APPROVE _' (4-eyes),' EXPORT '(numai prin storefronturi, semnătură/jurnal).

5) Task-to-access rights engineering

1. User Story → Scop: „Analistul trebuie să construiască un raport de conversie al UE fără PII”.
2. Lista resurselor: vitrina 'agg _ conversions _ eu'.
3. Operațiuni: „READ” (fără PII), „EXPORT _ RAW” interdicție.
4. Contextul ABAC: program de lucru, corp VPN/MDM, regiune = UE.
5. TTL: constant mascat-citit; JIT pentru o singură dată demascarea (dacă este necesar).
6. Jurnale: 'READ '/' EXPORT' cu 'scop' şi 'fields _ scope'.

6) Mascarea și demascarea selectivă

Mascarea e-mail/telefon/IBAN/PAN în mod implicit;

Acces demascat ('pi _ unmask') - numai JIT + 'scop' + confirmarea proprietarului domeniului/Conformitate;

În rapoarte - agregate/k-anonimat, interzicerea „eșantioanelor mici” (praguri de confidențialitate).

7) Privilegii temporare: JIT și spargerea sticlei

JIT: 15-120 minute, bilet, auto, audit complet.
Break-glass: acces de urgență (confirmare MFA + a doua, înregistrare sesiune, Securitate + DPO post-recenzie).
PAM: seif secret, proxy sesiune, rotație privilegiu.

8) Procese (POS)

8. 1 Grant de acces (IDM/ITSM)

1. Revendicare cu „scop”, resurse, TTL/persistență.
2. SoD/jurisdicție/clasă de date/auto-verificare context.
3. Aprobarea proprietarului domeniului; для Restricționat + - Securitate/Conformitate.
4. Emiterea unui domeniu minim de aplicare (adesea mascat-citit).
5. Înscrierea în registrul drepturilor: data revizuirii, rechemarea SLA.

8. 2 Re-certificare (trimestrial)

Proprietarul domeniului confirmă fiecare rol/grup; drepturi neutilizate (> 30/60 zile) - automat.

8. 3 Exportul de date

Numai prin intermediul magazinelor autorizate; formatarea listelor albe; semnătură/hash; Descărcați PII jurnal - depersonalizat în mod implicit.

9) Controlul furnizorului/sub-procesorului

Scopuri API minime, chei individuale per integrare, IP permis-list, ferestre de timp.
DPA/SLA: roluri, jurnale de acces, retenție, geografie, incidente, sub-procesoare.
Offboarding: rechemare cheie, confirmarea ștergerii, act de închidere.

10) Audit și monitorizare

Журналы: 'ROLE _ ASSIGN/REVOCE', 'JIT _ GRANT', 'READ _ PII', 'EXPORT _ DATA', 'PAYMENT _ APPROVE', 'BREAK _ GLASS'.
SIEM/SOAR: acces alerte fără „scop”, volume anormale, time-out/geo, încălcarea SoD.
VIERME: copie nemodificată a buștenilor + lanț/semnătură hash.

11) Valorile maturității (KPI/KRI)

Acoperire:% din sistemele critice pentru RBAC/ABAC ≥ 95%.
Raport citiri mascate: ≥ 95% dintre apelurile către PII sunt mascate.
Rata JIT: ≥ 80% din creșteri sunt JIT.
Offboarding TTR: revocarea drepturilor ≤ 15 min.
Exporturile semnate: 100% din exporturi sunt semnate și înregistrate.
Încălcări SoD: = 0; încercări - auto-bloc/bilet.
Curățarea accesului latent: ≥ 98% din drepturile de suspendare sunt șterse în decurs de 24 de ore.

12) Scenarii tipice

A) Vizualizare KYC unică pentru clientul VIP

Basic: mascat-citit la managerul VIP.
Acțiune: Accesul JIT 'pi _ unmask' pentru 30 de minute pe bilet, înregistrarea câmpului/jurnalul de ecran, post-recenzie.

B) Inginerul are nevoie de acces la prod-DB

Numai după PAM + JIT ≤ 60 min, sesiune înregistrată, ban 'SELECT' de PII, post-review și CAPA pentru încălcări.

C) Raportul BI pe țări

Acces la unități fără PII; Filtru ABAC: „regiune în [SEE]”, corp VPN/MDM, ora 08: 00-21: 00.

13) Anti-modele și cum să le evitați

„Super roluri „/moștenire fără limite → împărțite în roluri de domeniu, includ ABAC.
Privilegii permanente „pentru orice eventualitate” → JIT + auto.
Copierea datelor prod în dev/etapa → aliasing/sintetice.
Export storefronturi exterioare PII → whitelisting, semnătură, jurnal, mascare.
Absența „scopului” → blocaj dur și auto-bilet.

14) RACI (mărită)

ActivitateConformitate/JuridicDPOSecuritateSRE/ITDate/BIProdus/EngProprietarii de domenii
Politica privind cel mai mic privilegiuA/RCCCCCC
Design RBAC/ABAC/JITCCA/RRRRC
RecertificareCCARRRR
Export/MascăCARRRCC
Furnizori/ContracteA/RCCCIII

15) Liste de verificare

15. 1 Înainte de acordarea accesului

  • Specificat „purpose” și TTL
  • SoD/Jurisdicții verificate
  • Mascarea implicită, domeniul minim de aplicare
  • Condiții ABAC Rețea/Dispozitiv/Timp/Regiune
  • Data logării și a revizuirii configurată

15. 2 Trimestrial

  • Revizuirea rolurilor/grupurilor, „suspendarea” automată a drepturilor
  • Verificați exporturile anormale și spargerea sticlei
  • Confidențialitate confirmată/Instruire de securitate

16) Foaia de parcurs privind implementarea

Săptămânile 1-2: inventarul datelor/sistemului, clasificarea, matricea rolului de bază, permițând mascarea implicită.

Săptămânile 3-4: ABAC (miercuri/geo/MDM/time), JIT și PAM, liste albe de export, jurnale „scop”

Luna 2: automatizare offboarding, alerte SOAR (fără „scop ”/anomalii), re-certificare trimestrială.
Luna 3 +: extinderea atributelor (nivel CUS/risc de dispozitiv), praguri de confidențialitate, exerciții obișnuite de masă.

TL; DR

Cel mai mic privilegiu = domeniu minim de aplicare + mascare PII + context ABAC + JIT/PAM + audit dur și rechemare rapidă. Face accesul ușor de gestionat, reduce riscul de scurgeri/fraudă și accelerează auditurile.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.