Амнияти маълумот ва рамзгузорӣ

1) Чаро он дар IGaming муҳим аст

Платформаи IGaming бо PII, тафсилоти молиявӣ, ҷаласаҳои бозӣ, хислатҳои рафторӣ, сигналҳои зидди қаллобӣ ва моделҳои ML кор мекунад. Ихроҷ ё иваз кардани ин маълумот ба ҷарима, басташавии бозор, зарари обрӯ ва регрессияи ченакҳо (GGR, нигоҳдорӣ) оварда мерасонад.

• Махфият (дастрасии ҳадди ақал ба PII/молия).
• Беайбӣ (муҳофизат аз маълумоти ғоратгарӣ ва ифлос).
• Мавҷудият (нақшаҳои SLO-ро хонед/нависед, DR).
• Пайгирӣ (кӣ тамошо кард/тағир дод ва кай).

2) Модели таҳдид (кӯтоҳ)

Берунӣ: Созишномаи API/ҳамгироӣ, MITM, ransomware, таъминкунандагон (занҷири таъминот).
Дохилӣ: ҳуқуқҳои зиёдатӣ, боркунии "соя", гузоришҳои заҳролуд, хатогиҳои конфигуратсия.
Маълумот ва ML: ивазкунӣ/хусусияти ҳодиса, инверсия модел, пешниҳоди узвият.
Қаламравҳо: маҳдудиятҳои наздисарҳадӣ, талаботҳои нигоҳдорӣ ва ихтиёрдории маҳаллӣ.

3) Рамзгузорӣ дар транзит

TLS 1. 2+/1. 3 танҳо, люксҳои шифрии заифро хомӯш кунед; афзалият TLS 1. 3.
mTLS барои S2S (yadro↔dataleyk↔katalog↔fichestor↔provaydery).
PFS (ECDHE) - лозим аст.
Пинҳон кардани шаҳодатнома ба мизоҷони мобилӣ/мизи корӣ ва ҳамгироии интиқодӣ.
Имзои API дархостҳо ба провайдерҳо/PSP (HMAC-SHA-256) ва назорати вақт/такрорӣ (nonce, калидҳои idempotency).

4) Дар истироҳат

• Рамзгузории ҳаҷм/ашё дар абри the/K8s (шаффоф аст, аммо аз хондани "қонунӣ" аз ҷониби хадамоти осебпазир муҳофизат намекунад).

• TDE (Рамзгузории шаффофи маълумот) - қабати асосӣ.
• FLE/Сутун дар сатҳи AEAD барои майдонҳои гарм (почтаи электронӣ, телефон, аломатҳои PAN): AES-256-GCM ё ChaCha20-Poly1305.
• Калидҳои сатр барои сабтҳои махсусан ҳассос (VIP, пардохтҳо).

• Рамзгузории лифофа (KMS-идоракунии DEK, гардиш), назорати дастрасии калидҳо.
• Манифест имзо ва назорати якпорчагӣ (hash/checksum, дарахтони Merkle барои бастаҳо).

5) Интихоби криптографӣ (амалия)

Рамзгузории симметрӣ: AES-GCM/ChaCha20-Poly1305 (AEAD) бо nonce/IV беназир; 'рамз + барчасп' нигоҳ доред.
Хэш: SHA-256/512 барои беайбӣ; барои паролҳо - Argon2id (ё bcrypt/scrypt) бо параметризатсия ва намак.
Имзо: Ed25519/ECDSA P-256 барои артефактҳо/бастаҳо; HMAC-SHA-256 барои имзои API.
Тартиби асосӣ: ECDH (P-256/Curve25519).

6) Идоракунии калидҳо (KMS/HSM)

KMS + HSM барои тавлид/нигоҳдории калидҳои асосӣ; рамзгузории лифофа для DEK.
Гардиш: мунтазам (тақвим) ва аз рӯи ҳодиса (ҳодиса). Дастгирии дутарафаи давраи муҳоҷират.
Ҷудосозии вазифаҳо (So-D), M-of-N барои "шикастани шиша", сабти ҳама амалиётҳо.
Split-key/Шамир барои сирри махсусан интиқодӣ (масалан, имзои пардохт).
Калидҳои ҷуғрофӣ: калидҳои гуногун барои минтақаҳо/брендҳо.

7) Идоракунии махфӣ

Менеҷери асрори мутамарказ (на дар тағирёбандаҳои муҳити анборӣ).
Асрори JIT (кӯтоҳмуддат), гардиши худкор ва ба хотир овардан.
Sidecar/CSI барои расонидани асрори ба оташдонҳои K8s.
Манъи гузоришҳо/роҳҳо бо асрори; ихроҷи детекторҳо дар CI.

8) Беайбии маълумот ва эътимод

Имзои рӯйдодҳо/бастаҳо (аз ҷониби истеҳсолкунанда) ва санҷиш (аз ҷониби фурӯшанда).
Idempotency ҳодиса ва калидҳои беназири зидди такрорӣ.
Назорати нақша (Феҳристи схема, мутобиқат), Шартномаҳои маълумот ҳамчун "ҳудуди эътимод".
Нигоҳдории WORM барои маҷаллаҳои интиқодӣ ва гузоришдиҳӣ.

9) Токенизатсия, ниқоб ва DLP

Токенизатсияи PII/молия (vault/FPE/DET) - истифодаи нишонаҳо дар гузоришҳо, дӯконҳо ва хусусиятҳо.
Маска дар UI ва боргузорӣ; Нашри PII дар матнҳои чипта/чат (санитарияи NLP).
Сиёсати DLP: қолабҳои манъшуда (PAN, IBAN, шиноснома), блоки зеркашӣ, inspection/FTP/S3 почта.

10) Дастрасӣ ва аудит

RBAC/ABAC: нақш + атрибутҳо (кишвар, бренд, муҳити зист); ҳуқуқҳои камтарин.
JIT бо ёдраскунии худкор дастрасӣ дорад; як маротиба дар як рӯз N - баррасии ҳуқуқҳо.
Рӯйхати алифбои M TLS + IP барои панелҳои маъмурӣ ва нуқтаҳои интиқодӣ.
Гузоришҳои аудиторӣ тағйирнопазиранд (WORM/танҳо замима), робита бо SIEM.
Танаффус: нақшҳо/калидҳои инфиродӣ, пас аз қатл ҳатмӣ.

11) Нусхабардорӣ ва DR

3-2-1: 3 нусха, 2 медиа/CDS гуногун, 1 офлайн/ҷудошуда (ҳаво).
Рамзгузории нусхаҳои эҳтиётӣ бо калидҳои худ (на провайдер), санҷиши барқароркунии ба нақша гирифташуда.
RPO/RTO барои доменҳо (пардохтҳо <X дақиқа, чорабиниҳои бозӣ <Y min.).
Такрори минтақавӣ бо ҷудокунии криптои калидӣ ва шабакавӣ.

12) Махфият ва риояи он

Таснифи маълумот (Ҷамъиятӣ/Дохилӣ/Махфӣ/Маҳдуд).
Ҳадди аққал ва алоқаи мақсаднок (KYC, AML, RG, ҳисобот).
Сиёсати нигоҳдорӣ ва ихтиёрдорӣ: графикҳо, нигоҳдории ҳуқуқӣ, DSAR; крипто-решакан.
Сарҳади сарҳадӣ: ҳолатҳои ҷуғрофӣ ва анборҳои маҳаллӣ.

13) Риояи бехатарии маълумот

Zero-PII дар гузоришҳо (ченакҳои фарогирӣ), вақте ки DLP оғоз меёбад, ҳушдор медиҳад.
Саломатии асосӣ: гардиш, нокомии шифр, аномалияҳои KMS/HSM.
Яклухтӣ SLI - Фоизи бастаҳо/рӯйдодҳои имзошуда ва санҷиши имзоҳо тасдиқ карда шуданд.
Latency SLO: p95 токенизатсия/детокенизатсия, рамзгузорӣ/рамзкушоӣ.
Дастрасӣ ба SLO: ҳиссаи дархостҳои JIT, ки дар вақти таъиншуда коркард шудаанд.

14) Воситаҳо ва қабатҳои коркард (категорияҳо)

KMS/HSM: калидҳои усто, лифофа, имзо.
Менеҷери асрори: сирри JIT, ротатсия.
Қатъи TLS/MTLS-фикрию: ingress/service tesh.
DLP/Masking: санҷиш, санитария.
Феҳрист/шартномаҳои схема: Мутобиқат, манъи PII.
SIEM/SOAR: таносуби гузоришҳои аудит, аксуламалҳои автоматӣ.
Нусхабардорӣ/DR: оркестри нусхабардорӣ, санҷиши барқарорсозӣ.

15) Қолибҳо (барои истифода омодаанд)

15. 1 Сиёсати рамзгузорӣ (порча)

Алгоритмҳо: AES-256-GCM/ChaCha20-Poly1305; Ed25519 имзо; SHA-256 хэш.
Калидҳо: насл дар HSM; ротатсияи 90 рӯз ё ҳодиса; гео-миқёс.
Дастрасӣ: танҳо суратҳисобҳои хидматӣ тавассути m: TLS; Нишонаҳои JIT.
Гузоришҳо: Ҳолати WORM; нигаҳдорӣ ≥ N моҳ.
Истисноҳо: бо қарори CISO/DPO, бо сабти асос.

15. 2 Шиносномаи маҷмӯи маълумоти ҳифзшуда

Домен/ҷадвал: пардохтҳо. амалиётҳо

Синф: Маҳдуд (Молия)

Рамзгузорӣ: FLE (AES-GCM) аз рӯи майдонҳои 'card _ token', 'iban', 'payer _ id'

Калидҳо: DEK ҳар як майдон (лифофаи KMS)

Токенизатсия: нишонаҳои амудӣ барои PAN/телефон/почтаи электронӣ

Дастрасӣ: ABAC (кишвар, нақши "Пардохтҳо-Опс"), JIT

Гузоришҳо: имзои бастаҳо, WORM, нигоҳдорӣ 2 сол

15. 3 Рӯйхати тафтиши маълумот

• Шартнома PII-ро дар минтақаҳои хокистарӣ, майдонҳои 'pii/tokenized' манъ мекунад
• TLS 1. 3 ва MTLS дар S2S фаъол аст
• FLE/TDE танзим карда шудааст, калидҳо дар KMS/HSM, гардиши фаъол
• Қоидаҳои DLP ва санҷишҳои гузариши ниқоб
• Санҷиши нусхабардорӣ, санҷиши барқарорсозӣ санҷида шуд
• SIEM гузоришҳои аудиториро мегирад; ҳушдор медиҳад, ки кӯшиши детокенизатсия берун аз "минтақаи тоза"

16) Харитаи роҳсозӣ

0-30 рӯз (MVP)

1. Таснифи маълумот ва харитаи ҷараён (PII/Financials/ML).
2. Даргиронидани TLS 1. 3/mTLS барои S2S; манъ кардани компютерҳои шифрии заиф.
3. Гирифтани KMS/HSM; калидҳоро ба нақшаи лифофа интиқол диҳед.
4. Даргиронидани TDE ва FLE барои 3 соҳаи муҳим (Пардохтҳо/KYC/RG).
5. Ниқоби журнал ва қоидаҳои асосии DLP; Тахассуси сифр-PII.

30-90 рӯз

1. Токенизатсияи PII/Finance (vault/FPE); JIT дастрасӣ ва аудити детокенатсия.
2. Имзои ҳодиса ва санҷиши якпорчагӣ дар воридшавӣ/ETL.
3. Ротатсияи мунтазами калидҳо, калиди тақсимшуда барои пардохтҳои VIP.
4. Нусхабардорӣ: 3-2-1, нусхаи офлайнӣ, рӯзи барқароркунии ҳармоҳа.
5. Панели панелҳои SLO (Zero-PII, якпорчагӣ, саломатии калидӣ, ниҳонӣ).

3-6 моҳ

1. Калидҳои ҷуғрофӣ/додаҳо аз рӯи салоҳият; сиёсати байнисарҳадӣ.
2. Захираи WORM барои аудит/ҳисобот; Китобҳои бозикунии SOAR.
3. Фарогирии пурра бо таҳлил/нишонаҳои ML; Манъи PII дар ҳолатҳои намоишӣ.
4. Машқҳои семоҳа: моделсозии ҳодисаҳо (ransomware, ихроҷи калидҳо, заҳролудшавӣ аз маълумот).
5. Санҷиши солона ва аудити беруна.

17) RACI (мисол)

Сиёсатҳо ва назорат: CISO/CDO (A), DPO (C), Sec

Ключи/KMS/HSM: Амният/Платформа (R), CTO (A), Аудит (C).
Токенизатсия/DLP: Платформаи маълумот (R), DPO (A), Доменҳо (C).
Нусхабардорӣ/DR: SRE (R), CIO (A).
Мониторинг/Ҳодисаҳо: Секопс (R), SOAR (R), Ҳуқуқӣ/PR (C).

18) Метрикаҳои амнияти маълумот ва SLO

Zero-PII дар гузоришҳо: ≥ 99. 99% рӯйдодҳо.
Гузариши беайбӣ: ≥ 99. 9% бастаҳои имзошуда бомуваффақият тасдиқ карда шуданд.
Гигиенаи калидӣ: 100% гардиши саривақтӣ, 0 калидҳои мӯҳлати истифодашуда.
Детокенизатсия SLO: p95 ≤ X дақиқа, танҳо бо дархости асоснок.
Сатҳи барқароркунии нусхабардорӣ: санҷиши бомуваффақият барқарор мекунад ≥ 99%.
Шарҳи дастрасӣ: пӯшида ≥ 95% ҳуқуқҳои барзиёди аудити семоҳа.
Ҳодисаи MTTR - ≤ ҳадди мақсадноки намудҳои P1/P2.

19) Анти-намунаҳо

TDE "барои намоиш" бидуни FLE ва токенизатсияи майдонҳои ҳассос.
Нигоҳ доштани асрҳо дар тағирёбандаҳои муҳити зист/анборҳо.
Калидҳои муштарак/ќаламфури барои ҳамаи доменҳо/минтақаҳо.
Гузоришҳо бо PII/асрори; бе рамзгузорӣ.
Ягон имзо/санҷиши якпорчагӣ дар қубурҳо вуҷуд надорад.
"Администратори ягона" барои ҳама KMS/HSM; Не So-D ва M-of-N.

20) Ҳодисаи дафтарчаи бозӣ (мухтасар)

1. Муайянкунӣ: SIEM/DLP/audit-log/шикоят.
2. Стабилизатсия: ҷудокунии сегмент, бекоркунии калид/махфӣ, боздоштани ҷараёни мушкилот.
3. Арзёбӣ: чӣ ҷараён дошт/таҳриф кард, миқёс, қаламравҳо, таъсир расонд.
4. Иртибот: Ҳуқуқӣ/PR/танзимкунанда (дар ҳолати зарурӣ), шарикон/бозингарон.
5. Коҳиш: гардиш, токенизатсияи ретро/рамзгузорӣ, санҷиши backfill/якпорчагӣ.
6. Пас аз марг: сабабҳо, дарсҳо, навсозии сиёсат/ҳадди ниҳоӣ/санҷишҳо.

21) Қисматҳои марбут

Токенизатсияи маълумот, пайдоиши маълумот ва роҳ, ахлоқ ва махфият, махфияти ML, омӯзиши федералӣ, коҳиш додани ғараз, DSAR/нигоҳдории ҳуқуқӣ, риояи маълумот.

Натиҷа

Муҳофизати боэътимоди додаҳо як архитектураи сатҳи баланд + интизоми равандҳо мебошад: криптографияи муосир, KMS/HSM-и қатъӣ, токенизатсия, якпорчагии имзошуда, гузоришҳои тоза, дастрасии идорашаванда ва нусхаҳои тасдиқшаванда. Дар IGaming платформаҳо ғолиб меоянд, ки маълумот бо нобаёнӣ ҳифз карда мешавад ва тағирот шаффоф, такроршаванда ва мувофиқ мебошанд.