Amallaryň audit žurnallary
(Bölüm: Amallar we Dolandyryş)
1) Bellenilmegi we ýörelgeleri
Audit magazineurnaly ýazgylaryň üýtgewsizligini we hakykylygyny subut etmek ukyby bilen kimiň, näme, nirede, haçan we näme üçin edendigi baradaky hakykatyň esasy çeşmesidir.
Ýörelgeler:- Dolulygy: adamlaryň, hyzmatlaryň we daşarky hyzmatdaşlaryň hereketleri örtülendir.
- Üýtgewsizlik: ýazgylar göze görünýän yzsyz täzeden ýazylyp/aýrylyp bilinmez.
- Atributiýa: hereket subýekt, rol, kontekst, artefaktlar bilen baglanyşyklydyr.
- Gaýtalanmak ukyby: wakany hasabatda/jedelde gaýtalap bolýar.
- PII iň az: diňe zerur, maska we bellikler bilen.
2) Örtügiň ugurlary
Ulanyjy hereketleri: giriş/SSO/MFA, rollary/çäkleri üýtgetmek, PII bilen amallar.
Artykmaç amallar: JIT/PAM-sessiýalar, break-glass, administrator-konsol.
Maliýe: baha sanawlary/salgytlar/FX neşirler, tölegler/tölegler, eskrou, hasapdan çykarmak/yzyna gaýtarmak.
Konfigurasiýalar/goýberişler: şahsyýetnamalar, shemalaryň göçmegi, deploý/yza gaýdyp gelmek, açarlar/şahadatnamalar.
Integrasiýa: webhuklar, gollar, kwitansiýalar, idempotency-açarlar.
Maglumatlar: PII okamak/eksport etmek, artefaktlary döretmek/aýyrmak, syýasatlary üýtgetmek.
3) Binagärlik we üýtgemezlik
Autentifikasiýa, kwotalar we shema tassyklamasy bolan ingest-şlýuzy.
WORM-ammar (immutable buckets/append-only): wersiýa, Retention Lock, Legal Hold.
Kriptokwitaniýalar: möhüm wakalar üçin 'receipt _ hash' we DSSE-gol döredilýär.
Merkle zynjyrlary: wagtal-wagtal kesikler (checkpoint) gurulýar, kök heşi çap edilýär.
Chain of custody: artefaktlaryň hereketini yzarlamak (kime, haçan, haýsy esasda elýeterli boldy).
Wagt Sync: NTP/PTP, 'event _ time' we 'ingest _ time' bellikleri, 'skew' düzedişleri.
4) Wakanyň shemasy (salgylanma)
audit_event {
id, event_time, ingest_time, producer, subject {
id, type: human service partner, roles[], mfa?, device_posture?
},
action: CREATE READ UPDATE DELETE EXECUTE PUBLISH APPROVE ROLLBACK,
target { type, id, version?, region?, tenant? },
context { ip/asn, user_agent, env, trace_id, request_id },
policy_version, sod_check: pass fail, justification?, ticket_ref?,
result: success deny error, error_code?,
diff_hash?, payload_hash?, receipt_hash?, dsee_signature?,
pii_classification: none aggregated tokenized sensitive,
retention_class, labels[]
}Goşmaça: maliýe üçin - 'fx _ version/tax _ rule _ version/pricelist _ version'; webhook üçin - 'webhook _ id', 'idempotency _ key'.
5) Maglumatlaryň we zonalaryň nusgasy
Hot (operasiýa): 7-30 gün, çalt soraglar/daşbordlar.
Warm (OLAP): 6-24 aý, analitika/gözleg.
Cold (arhiw/WORM): 7-10 ýyla çenli (düzgünleşdiriji).
Retensiýa synplary: 'operational', 'financial', 'security', 'legal _ hold'.
Syýasatyň wersiýasy: ähli wakalar 'policy _ version' bilen bellendi; syýasaty üýtgetmek - aýratyn audit-waka.
6) Elýeterlilik we gizlinlik
RBAC/ABAC/ReBAC: rol/tenant/sebit/iş (case) boýunça görünmek.
PII maskalanmagy: kesgitleýjileriň belligi, ilkinji çykarylyşy - diňe tassyklanan joblar arkaly.
Göni aýyrmak gadaganlygy: diňe 'tombstone' + Legal Hold; aýratyn magazineurnally "goşmaça arassalaýjylar".
Auditiň özi auditiň özi: girelgelere kim tomaşa edenligi/düşürenligi hem ýazylýar.
7) Hil, yzygiderlilik, goşa
Data contracts: girelgede berk shema we lambda-validasiýa.
Idempotency & dedup: '(event_id, producer)'; «seen-cache» + KV.
Wagt düzedişi: giç wakalar üçin suw bellikleri (watermarks).
Doly gözegçilik: çeşmeleriň hasaplaýjylaryny we ingest-metrikleri deňeşdirmek.
8) Daşbordlar we haýyşlar
Operatiw: artykmaç hereketler, SoD-düzgün bozmalar, JIT-hukuk göterimleri, PII-e elýeterlilik.
Maliýe: FX/Tax/PriceList neşirleri, kotirowkalar, esasy gollar.
Integrasiýa: webhuk kwitansiýalary, lag, retrai, dubli.
Relizler/konfigi: kim/haçan/näme açdy/togtatdy, hadysalar bilen baglanyşyk.
Gözleg ssenarileri: 'trace _ id', 'subject. id`, `target. id ', wagt/sebit/tenant,' policy _ version '.
Eksport: kwitansiýa (gol çekilen manifest) bilen haýyş boýunça bukjaly düşürmeler.
9) API we webhuklar
'POST/audit/ingest' - wakalary kabul etmek (autentifikasiýa, çäkler, shema).
'GET/audit/search' - süzgüçler, paginasiýa, netije çägi.
'GET/audit/trace/{ trace _ id}' - zynjyr boýunça wakalar toplumy.
'POST/audit/receipt/verify' - kwitansiýany barlamak/DSSE.
Вебхуки: `SoDViolation`, `PrivilegedSession`, `PIIAccess`, `PolicyChanged`, `FinancialArtifactPublished`.
10) Auditiň SLO/hil metrikleri
Ingest Availability: ≥ 99. 95%.
Freshness (operasiýa): лаг ≤ 30 s p95.
Completeness: ≥ 99. Çeşmeleriň 5% -i penjireden maglumat iberdi.
Correctness: gözegçilik pullarynyň tapawudy ≤ 0. 1%.
Tamper-evidence: 100% döwürler Merkle-kökleri/gollary bilen tassyklanýar.
PII Hygiene: 100% duýgur synply wakalar - maska/belgi bilen.
11) Pleýbuklar we hadysalar
Ýazgylary çalyşmak şübhesi: Merkle-kökleri derrew barlamak, DSSE-kwitansiýalary deňeşdirmek, giriş izolýasiýasy, Kanuny Hold.
PII syzmagy: täsir eden wakalary/eksportlary gözlemek, giriş barlagy, DPO/düzgünleşdirijä möhletler boýunça habarnamalar.
SoD bozulmasy: amalyň bloky, roluň wagtlaýyn aýrylmagy, syýasaty derňemek we düzetmek.
Ingest ret edilmegi: buferizasiýa, pese gaçmak düzgüni, dikeldilenden soň bellik etmek, dublikatlara gözegçilik etmek.
12) Hukuk taýdan çydamlylyk we komplayens
Ýurisdiksiýalar boýunça retention: maliýe/salgytlar - 5-10 ýyl; howpsuzlyk - syýasat boýunça; şahsy maglumatlar - iň az zerur möhlet.
Legal Hold: düzgünleşdirijiniň işi/haýyşy boýunça aýyrmagy doňdurmak.
Hasabat artefaktlary: döwürleriň görkezijisi, kök heşleri, gol çekenleriň sanawy, çeşmeleriň inventarizasiýasy.
Düşündirip bolmaýar: kripto gollary, garaşsyz timestamping (içerki TSA).
13) iGaming/fintech aýratynlyklary
Tölegler/tölegler: ygtyýarnamalaryň, kliringiň, şowsuzlyklaryň, chargebackyň doly ýoly; bank kwitansiýalary bilen deňeşdirmek.
RTP/çäklendirmeler: profilleriň çap edilmegi, üýtgeşmeler, gözegçilik edilýän RTP we çäklendirmeler boýunça çözgütler - gollar we wersiýa bilen.
Affiliates: webhuklary kabul etmek, öwrülişikler, garşylyklar/eskrou - diňe gol çekilen artefaktlar boýunça.
Praýs-listler/salgytlar/FX: her sargyt boýunça artefaktyň görnüşi; yzyna gaýtarmak - kwitansiýalar bilen.
14) RACI
15) Töwekgelçilikler we anti-patternler
Yzsyz redaktirlenip bilinýän ýazgylar → kanuny goldaw.
Wagt senkronizasiýasynyň ýoklugy → gabat gelmeýän wagtlar.
Kwitansiýasyz Şadow-eksport → syzmak/jedeller.
Sahypalardaky syrlar → eglişik.
SLO/hadysalar bilen baglanyşyk ýok → "maglumat gonamçylygy" peýdasyz.
16) Girizmegiň çek-sanawy
- Örtügiň we policy_version çäklerini kesgitlemek.
- Autentifikasiýa, shemalar we kwotalar bilen ingest.
- WORM, Merkle bölümlerini, DSSE gollaryny, TSA-ny öz içine alyň.
- Synplara we Legal Hold-a görä retensiýalary sazla.
- RBAC/ABAC/ReBAC we magazinesurnallara giriş barlagyny giriziň.
- Daşbordlary guruň: artykmaçlyklar, PII, maliýe, goýberişler/konfigi.
- Pleýbuklary açyň: tamper, PII-syzmak, ingest-şowsuzlyk, SoD-bozulma.
- Repleri we dedupy synag toplumynda synap görüň.
- Kwitansiýalar we haýyşlaryň sanawy bilen eksporty ýola goýmak.
- Her çärýekde hil metrikleriniň (freshness/completeness/tamper) barlagyndan geçmeli.
17) FAQ
Hemme zady adaty DB-de saklamak mümkinmi?
Operasiýa üçin - hawa, ýöne möhüm magazinesurnallar WORM/append-only-da gollar we Merkle-bölekler bilen göçürilmelidir.
Her okalyşa logo goýmalymy?
PII/Maliýe okamak hökmanydyr; galanlary - syýasat we baha boýunça.
Üýtgewsizligi nädip subut etmeli?
Kök heşleri, DSSE gollary, garaşsyz TSA we gaýtalanýan barlag amallary.
"Aýyrmak hukugy" (GDPR) bilen näme etmeli?
Bejeriş ulgamlaryndaky esasy zady aýyryň; audit-magazinesurnallarda - dikeldilip bilinjek PII bolmazdan bellikleri/heşleri saklaň we zerur bolsa "Legal Hold" -y ýörediň.
Gysgaça mazmuny: Audit žurnallary "S3-de ýazgylar" däl-de, aç-açan syýasat, üýtgewsiz saklamak, dolandyrylyp bilinýän elýeterlilik we jedele/kadalaşdyryjy barlaglara taýynlyk bilen kriptografiki taýdan subut edilip bilinjek hereket taryhy bolup durýar. Şertnamalar boýunça ingest guruň, möhüm wakalara gol çekiň, Merkle-bölekleri we daşbordlary saklaň - ynamyň, howpsuzlygyň we laýyklygyň ygtybarly binýady bolar.