Segregarea taxelor și a nivelurilor de acces

1) Obiective și principii

• exclude controlul unic asupra operațiunilor critice (bani/PII/conformitate)
• reduce riscul de fraudă/eroare,
• asigură verificarea autorităților de reglementare și a auditurilor interne.

Principii: Zero Trust· Less Privilege· Need-to-Know· SoD (4-eyes)· Trasability· Revocability (quick recall).

2) Clasificarea datelor și nivelurile de acces

3) Modelul drepturilor: RBAC + ABAC

RBAC: roluri pe domenii (Suport, VIP, Plăți, AML, KYC, FRM, BI, DevOps, DPO, Legal).
ABAC: atribute contextuale (mediu, geografie, clasa de date, dispozitiv/MDM, timp, nivel KYC, țintă de acces „scop”, risc de dispozitiv).

Un exemplu de condiție ABAC: un analist BI poate citi "evenimente _' numai fără PII, numai din rețeaua corporativă/MDM, în zilele lucrătoare 08: 00-21: 00, cu training activ de confidențialitate.

4) SoD - matrice de funcții incompatibile

5) Niveluri și tipuri de acces

Read-only/Masked Read: implicit pentru BI/Support.
Scoped Write: modificări în cadrul serviciului/procedurii (ex. introducerea notelor de caz).
Admin privilegiat: numai prin PAM (seif parolă, proxy sesiune, înregistrare sesiune, rotație secretă).
Conturi API/Service: ospreys minime, chei individuale per integrare, mTLS.

6) JIT и sparge-sticlă

JIT (Just-in-Time): altitudine temporară (15-120 min) pentru un anumit bilet, rechemare automată, „scop” obligatoriu.
Break-glass: acces de urgență cu confirmarea MFA + a doua, înregistrarea sesiunii, Securitate + DPO post-review, crearea automată a unui incident în caz de încălcare.

7) Procese (POS)

7. 1 Cerere/Modificare acces (IDM/ITSM)

1. Rechiziție cu „scop”, data și proprietarul datelor.
2. Auto-verificare SoD/clasa de date/jurisdicție.
3. Aprobarea proprietarului domeniului + Securitate (pentru Restricționat +).
4. Emiterea de JIT/acces permanent (domeniul minim de aplicare).
5. Înscrierea în registrul drepturilor (data revizuirii, revocarea SLA).

7. 2 Re-certificarea drepturilor

Proprietarii trimestriali confirmă drepturile de grup/utilizator.
Drepturi neutilizate automat (> 30/60 zile).

7. 3 Exportul de date

Numai prin carcase/conducte de afișare aprobate; Mascarea implicită a listelor albe de destinații/formate; semnătură/hash; descărcare jurnal.

8) Controlul furnizorului/partenerului

Chiriași individuali B2B, scopuri API minime, IP-list, ferestre de timp.
DPA/SLA: jurnale de acces, perioade de păstrare, geografie, incidente, sub-procesoare.
Offboarding: rechemare cheie, confirmarea ștergerii, act de închidere.

9) Integrarea cu securitatea și conformitatea

Trasee de audit: 'READ _ PII', 'EXPORT _ DATA', 'ROL _ UPDATE', 'PAYMENT _ APPROVE', 'BREAK _ GLASS'.
SIEM/SOAR: alerte pentru volume anormale/acces fără „scop ”/ieșire din fereastră/geo.
GDPR/AML/PCI: Need-to-Know, compatibilitate DSAR, segregare perimetrală de plată, WORM pentru reviste.

10) Politici de exemplu (fragmente)

10. 1 Politica VIP Manager

Vizualizarea profilului mascat, interdicția de export, JIT la o singură vizualizare KYC prin bilet.

10. 2 Politica de Marketing Analyst

Numai unități fără PII; acces cu consimțământ (pavilion CMP), de pe dispozitivul MDM, în timpul programului de lucru.

10. 3 Pseudo-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

12) Valori și IRC-uri/KPI-uri

Acoperire ABAC: ≥ 95% din seturile critice în conformitate cu regulile atributelor.
Rata JIT: ≥ 80% din creșteri sunt JIT.
Offboarding TTR: revocarea accesului ≤ 15 minute din momentul concedierii/dezactivării.
Accesări anormale fără 'scop': = 0 (IRK).
Recertificare trimestrială: 100% roluri/grupuri confirmate.
Conformitatea la export: 100% din exporturi sunt semnate/înregistrate.

13) Liste de verificare

13. 1 Înainte de acordarea accesului

• „scop” definit, dată, proprietar de date
• SoD/Jurisdicții/Validarea clasei de date a trecut
• Domeniul minim de aplicare + mascare activat
• Condițiile MFA/MDM/de rețea îndeplinite
• Jurnale și data revizuirii stabilite

13. 2 Audit trimestrial

• Verificarea grupurilor/rolurilor împotriva structurii organizaționale
• Revocați drepturile neutilizate
• Verificați sticlă spartă și exporturile majore
• Confirmați instruirea (confidențialitate/securitate)

14) Scenarii și măsuri tipice

A) Inginerul are nevoie de acces temporar la prod-DB

JIT 30-60 min, sesiune înregistrată prin PAM, post-revizuire, CAPA pentru încălcări.

B) Noul afiliat cere jucătorilor să descarce

Agregate numai/anonimizare; dacă PII - contract, temei juridic, lista albă a domeniilor, jurnal/semnătură, termen limitat de referință.

C) Managerul VIP vrea să vadă documentele KYC

Interzicerea accesului direct; cerere prin AML/KYC, o singură problemă prin JIT, jurnal complet de câmpuri.

15) Foaia de parcurs privind implementarea

Săptămânile 1-2: Inventarul sistemelor/datelor, Clasificarea, Matricea RBAC de bază, Tabelul SoD primar.
Săptămânile 3-4: implementarea ABAC (mediu/geo/clasă/MDM), JIT și break-glass, lansarea PAM, jurnalele de export.
Luna 2: CMC/perimetru de plată segmentare, chei individuale/KMS, SOAR alerte pentru încălcări SoD/ABAC.
Luna 3 +: re-certificare trimestrială, extensie atribut (risc dispozitiv/timp), automatizare mascare, exerciții de masă regulate.

TL; DR

Model de acces fiabil = clasificarea datelor → RBAC + ABAC → SoD cu 4 ochi → JIT/PAM și audit dur → re-certificare regulată și control al exportului. Acest lucru reduce probabilitatea de abuz și accelerează trecerea auditurilor/controalelor de reglementare.