Maglumat howpsuzlygy we şifrlemek

1) Näme üçin bu iGaming-de möhüm?

iGaming platformasy PII, maliýe jikme-jiklikleri, oýun sessiýalary, özüni alyp barşyň alamatlary, frodlara garşy signallar we ML modelleri bilen işleýär. Bu maglumatlaryň syzmagy ýa-da çalşylmagy jerimelere, bazarlaryň petiklenmegine, abraýyň zyýanyna we metrikleriň regressiýasyna (GGR, saklamak) getirýär.

• Gizlinlik (PII/maliýe serişdelerine iň az elýeterlilik).
• Bütewilik (çalyşmakdan we "hapa" maglumatlardan goramak).
• Elýeterlilik (okamak/ýazmak üçin SLO, DR-meýilnamalar).
• Yzarlamak (kim näme gördi/üýtgedi we haçan).

2) Howplaryň nusgasy (gysgaça)

Daşarky: API/integrasiýa, MITM, ransomware, üpjün edijiler (supply chain).
Içerki: artykmaç hukuklar, "kölegeli" ýüklemeler, zäherli ýazgylar, konfigurasiýa ýalňyşlyklary.
Maglumatlar we ML: wakalary çalyşmak/surat, model inwersiýasy, membership inference.
Ýurisdiksiýalar: serhetara çäklendirmeler, ýerli saklamak we aýyrmak talaplary.

3) Tranzitde şifrlemek (In Transit)

TLS 1. 2+/1. 3 diňe, gowşak şifrosuites öçürmek; TLS artykmaçlygy 1. 3.
mTLS for S2S (ýadro, dataleyk, katalog, fichestor, provayderler).
PFS (ECDHE) - hökmany.
Certificate pinning ykjam/desktop-müşderilerde we möhüm integrasiýalarda.
API-üpjün edijilere/PSP (HMAC-SHA-256) we wagt gözegçiligi/gaýtalanmalar (nonce, idempotency keys) haýyşlarynyň goly.

4) Ammardaky şifrlemek (At Rest)

• Bulutdaky jildleri/obýektleri şifrlemek/K8s (aç-açan, ýöne bozulan hyzmat bilen "kanuny" okamakdan goramaýar).

• TDE (Transparent Data Encryption) - esasy gatlak.
• FLE/Column-level AEAD "gyzgyn" meýdanlar üçin (email, telefon, PAN bellikleri): AES-256-GCM ýa-da ChaCha20-Poly1305.
• Row-level aýratyn duýgur ýazgylar üçin açarlar (VIP, tölegler).

• Envelope encryption (KMS-managed DEK, rotasiýa), açarlara girişi gözegçilik etmek.
• Manifestleriň goly we bitewiligiň gözegçiligi (hash/checksum, Merkle-paketler üçin agaçlar).

5) Kriptografiki saýlawlar (tejribe)

Simmetrik şifrlemek: özboluşly nonce/IV bilen AES-GCM/ChaCha20-Poly1305 (AEAD); saklamak 'ciphertext + auth tag'.
Kesmek: bitewilik üçin SHA-256/512; parollar üçin - Argon2id (ýa-da bcrypt/scrypt).
Goly: Artefaktlar/bukjalar üçin Ed25519/ECDSA P-256; API gollary üçin HMAC-SHA-256.
Esasy şertnamalar: ECDH (P-256/Curve25519).

6) Açarlary dolandyrmak (KMS/HSM)

Esasy açarlary döretmek/saklamak üçin KMS + HSM; envelope encryption для DEK.
Aýlaw: yzygiderli (senenama) we waka boýunça (waka). Migrasiýa döwri üçin dual-read goldawy.
Borçlaryň bölünmegi (SoD), "break-glass" üçin M-of-N, ähli amallary ýazga almak.
Aýratyn möhüm syrlar üçin Split-key/Shamir (mysal üçin, pei-autlaryň goly).
Geo-skoping açarlary: sebitler/markalar üçin dürli açarlar.

7) Gizlin dolandyryş

Merkezleşdirilen Secrets Manager (daşky gurşaw üýtgemelerinde däl).
JIT-syrlar (gysga ömürli), awto-rotasiýa we yzyna çagyryş.
Gizlinlikleri ibermek üçin Sidecar/CSI K8s.
Gizlin girimleri/söwdalary gadagan etmek; CI syzdyryş detektorlary.

8) Maglumatlaryň bitewiligi we olara bolan ynam

Wakalara/paketlere (prodýuser) gol çekmek we tassyklamak (konsumer).
Ewent-idempotentlik we anti-replay üçin özboluşly açarlar.
Shemalara gözegçilik etmek (Schema registry, laýyklyk), Data Contracts "ynam çäkleri" hökmünde.
Möhüm magazinesurnallar we hasabatlar üçin WORM-ammar.

9) Tokenizasiýa, maskalaşdyrmak we DLP

PII/Maliýe tokenizasiýasy (vault/FPE/DET) - tokenleriň loglarda, penjirelerde, şekillerde ulanylmagy.
UI we düşürişlerde gizlemek; bilet/söhbetdeşlik tekstlerinde PII redaksiýasy (NLP-sanitizing).
DLP syýasatlary: Gadagan edilen şablonlar (PAN, IBAN, pasport), düşüriş blogy, poçta barlagy/FTP/S3.

10) Giriş we audit

RBAC/ABAC: rol + atributlar (ýurt, marka, gurşaw); iň az hukuklar.
Awto-seslenme bilen JIT elýeterliligi; N günde bir gezek - hukuklaryň gykylygy.
mTLS + IP allowlist admin panelleri we möhüm end-points üçin.
Üýtgemeýän audit-loglar (WORM/append-only), SIEM bilen baglanyşyk.
Break-glass: aýratyn rollar/açarlar, hökmany post-mortem.

11) Ätiýaçlyk göçürmesi we DR

3-2-1: 3 göçürme, 2 dürli daşaýjy/XSD, 1 oflayn/izolirlenen (air-gapped).
Bekaplary öz açarlary bilen şifrlemek (üpjün ediji däl), programma boýunça dikeldiş synagy.
Domenler üçin RPO/RTO (tölegler <X min., oýun wakalary <Y min.).
Açarlary we torlary kripto izolýasiýasy bilen sebitleýin köpeltmek.

12) Gizlinlik we gabat gelmek

Maglumatlaryň klassifikasiýasy (Public/Internal/Confidential/Restricted).
Minimallaşdyrmak we maksatly baglanyşyk (KYC, AML, RG, hasabat).
Saklamak we aýyrmak syýasaty: grafikler, Legal Hold, DSAR; kripto-silmek.
Serhetçilik: geozonirlemek we lokal saklamak ýagdaýlary.

13) Maglumatlaryň howpsuzlygyna syn etmek

Loglarda Zero-PII (örtük metrikleri), DLP işe girizilende alertler.
Key health: aýlanmalar, şifrlenen amallaryň şowsuzlyklary, KMS/HSM anomaliýalary.
Integrity SLI: gol çekilen paketleriň/wakalaryň we barlanan signature-checks paýy.
Latency SLO: p95 tokenizasiýa/detokenizasiýa, şifrlemek/şifrlemek.
Access SLO: Maksatly wagtda işlenilen JIT-arzalaryň paýy.

14) Gurallar we tehnologiki gatlaklar (kategoriýalar)

KMS/HSM: baş açarlar, envelope, gol.
Secrets Manager: JIT-syrlar, aýlaw.
TLS-terminasiýa/mTLS-mesh: ingress/service mesh.
DLP/Masking: inspeksiýa, sanitizasiýa.
Shema Registry/Contracts: gabat gelmek, PII gadaganlyklary.
SIEM/SOAR: audit-ýazgylaryň baglanyşygy, awtomatiki reaksiýalar.
Backup/DR: arka taraplary toparlamak, dikeldiş synagy.

15) Şablonlar (ulanmaga taýýar)

15. 1 Şifrlemek syýasaty (bölek)

Algoritmler: AES-256-GCM/ChaCha20-Poly1305; Ed25519 goly; hash SHA-256.
Açarlar: HSM-de nesil; 90 gün ýa-da hadysada aýlanmak; geo-scoped.
Giriş: diňe mTLS arkaly hyzmat hasaplary; JIT tokenleri.
Magazinesurnallar: WORM-re; saklamak ≥ N aý.
Kadadan çykmalar: CISO/DPO-nyň çözgüdi boýunça, esaslandyryş ýazgysy bilen.

15. 2 Goralýan maglumatlar toplumynyň pasporty

Domen/tablo: payments. transactions

Synp: Restricted (Maliýe)

Şifrlemek: FLE (AES-GCM) 'card _ token', 'iban', 'payer _ id'

Açarlar: DEK per-field (envelope KMS)

Tokenizasiýa: PAN/phone/email üçin vault tokenleri

Giriş: ABAC (ýurt, "Payments-Ops" roly), JIT

Žurnallar: bukjalaryň goly, WORM, retenşn 2 ýyl

15. 3 Maglumatlary goýbermegiň çek-sanawy

• Şertnama "çal" zolaklarda PII-ni gadagan edýär, meýdanlar 'pii/tokenized' bilen bellendi
• TLS 1. 3 we mTLS S2S goşuldy
• FLE/TDE sazlandy, KMS/HSM açarlary, aýlanyş işjeňdir
• DLP düzgünleri we ýazgylary gizlemek synagdan geçýär
• Bellikler şifrlenýär, dikeldiş synagy barlandy
• SIEM audit ýazgylaryny alýar; "arassa zonadan" daşarda detokenizasiýa etmek üçin alertler

16) Durmuşa geçirmegiň ýol kartasy

0-30 gün (MVP)

1. Maglumatlaryň klassifikasiýasy we akym kartasy (PII/maliýe/ML).
2. TLS 1. 3/mTLS üçin S2S; gowşak şifrlemeleri gadagan etmek.
3. KMS/HSM götermek; açarlary envelope shemasyna geçirmek.
4. 3 sany möhüm domen (Payments/KYC/RG) üçin TDE we FLE goşuň.
5. Bloglary gizlemek we esasy DLP düzgünleri; Zero-PII attestasiýasy.

30-90 gün

1. PII/Maliýe belligi (vault/FPE); JIT elýeterliligi we detokenizasiýa barlagy.
2. Ingestion/ETL-de wakalaryň we integrity-çekleriň goly.
3. VIP tölegler üçin açarlaryň yzygiderli aýlanmagy, split-key.
4. Bellikler: 3-2-1, oflayn göçürme, aýlyk dikeldiş güni.
5. Daşbordlar SLO (Zero-PII, Integrity, Key-Health, Latency).

3-6 aý

1. Geo-skoped açarlary/ýurisdiksiýalar boýunça maglumatlar; serhetaşa syýasatlar.
2. audit/hasabat üçin WORM-ammar; SOAR pleýbuklary.
3. Analitika/ML bellikleri bilen doly örtmek; penjirelerde PII gadaganlygy.
4. Çärýekleýin maşklar: waka-simulýasiýa (ransomware, key leak, data poisoning).
5. Her ýyl gaýtadan gözden geçirmek we daşarky audit.

17) RACI (mysal)

Syýasatlar we gözegçilik: CISO/CDO (A), DPO (C), SecOps (R), Domain Owners (C).
Ключи/KMS/HSM: Security/Platform (R), CTO (A), Audit (C).
Tokenizasiýa/DLP: Data Platform (R), DPO (A), Domains (C).
Arkaplar/DR: SRE (R), CIO (A).
Gözegçilik/hadysalar: SecOps (R), SOAR (R), Legal/PR (C).

18) Maglumat howpsuzlygynyň metrikleri we SLO

Sahypalarda Zero-PII: ≥ 99. Wakalaryň 99% -i.
Integrity-pass: ≥ 99. Gol çekilen bukjalaryň 9% -i üstünlikli barlandy.
Key-hygiene: 100% öz wagtynda aýlanmalar, 0 möhleti geçen açarlar.
Detokenization SLO: p95 ≤ X min., diňe esasly haýyşlar boýunça.
Backup restore-rate: Üstünlikli dikeldiş synagy ≥ 99%.
Access review: çärýekleýin audit boýunça goşmaça hukuklaryň 95% ≥ ýapyldy.
Incident MTTR: ≤ görnüşleri üçin maksat çägini P1/P2.

19) Anti-patternler

TDE FLE we duýgur meýdanlary tokenizasiýa etmezden "görmek üçin".
Üýtgeýän gurşawda/ammarlarda syrlary saklamak.
Ähli domenler/sebitler üçin umumy açarlar/pepper.
PII/syrly ýazgylar; şifrlemesiz önümçilik bazalarynyň dampalary.
Dolulygyna gollaryň/barlaglaryň ýoklugy.
Ähli KMS/HSM üçin "Bir admin"; SoD we M-of-N ýok.

20) Oýun oýnamak hadysasy (gysgaça)

1. Detekt: SIEM/DLP/audit-log/şikaýat.
2. Durnuklaşdyrmak: segmentiň izolýasiýasy, açarlary/syrlary yzyna almak, problemaly akymlaryň durmagy.
3. Baha bermek: näme syzdy/ýoýuldy, gerimi, ýurisdiksiýasy, pidalar.
4. Aragatnaşyklar: Kanuny/PR/düzgünleşdiriji (zerur bolan ýerlerde), hyzmatdaşlar/oýunçylar.
5. Mitigasiýa: rotasiýa, retro-tokenizasiýa/şifrlemek, backfill/bitewilik barlagy.
6. Post-mortem: sebäpler, sapaklar, syýasatlary/bosagalary/synaglary täzelemek.

21) Baglanyşykly bölümler

Maglumatlary bellemek, Maglumatlaryň gelip çykyşy we ýoly, Etika we gizlinlik, Gizlin ML, Federated Learning, Düşünjäni azaltmak, DSAR/Legal Hold, Maglumatlaryň syn edilmegi.

Jemi

Maglumatlaryň ygtybarly goragy köp derejeli arhitektura + prosesleriň tertibi: häzirki zaman kriptografiýasy, berk KMS/HSM, tokenizasiýa, gol çekilen bitewilik, arassa loglar, dolandyrylýan elýeterlilik we barlanylýan bellikler. iGaming-de maglumatlar yzygiderli goralýan we üýtgeşmeler aç-açan, köpeldilip bilinýän we talaplara laýyk gelýän platformalar gazanylýar.