GH GambleHub

Veri erişim kontrolü

1) Neden iGaming

Risk ve düzenleme: PII/finans, sınır ötesi, RG/AML gereklilikleri.
Hız ve güven: güvenli self servis analizler ve manuel "dağıtımlar" olmadan ML.
Denetim ve sorumluluk:'kim neyi ve neden gördü ", asgari haklar ilkesinin kanıtlanabilirliği.

2) Temel ilkeler

1. En Az Ayrıcalık - tam ihtiyacınız olan şey ve doğru zaman.
2. Görevlerin Ayrımı (SoD) - geliştirici ≠ erişimi onaylar; Analist ≠ veri sahibi.
3. Just-in-Time (JIT) - geçici, otomatik olarak iptal edilen haklar.
4. Derinlikte Savunma - çok seviyeli koruma: Ağ? Servis? Tablo? Sütun? Satır? Hücre.
5. Kod Olarak Politika - kod/depodaki erişimler ve maskeler, PR ile gözden geçirin.
6. Provenance-aware - çözümler katalog, soy, sınıflandırma ve sözleşmelere dayanır.

3) Veri sınıflandırması

Sınıflar: Kamu/Dahili/Gizli/Kısıtlı (PII/Finans).
Diyagramlardaki ve katalogdaki etiketler: 'pii', 'finansal', 'tokenize', 'maskeleme', 'rle' (sıra seviyesi), 'cle' (sütun seviyesi), 'geo = EU/TR/...', 'kiracı'.

Minimum kurallar:
  • Kısıtlı: her yerde belirteçler/maskeler; Detokenization sadece talep üzerine "temiz bölge'de.
  • Gizli: varsayılan maskelerle erişim; Maskeleri kaldırma - gerekçe ve JIT yoluyla.
  • Dahili/Genel: etki alanı rollerine göre, PII yok.

4) Yetkilendirme modelleri

RBAC (rol tabanı.) : hızlı başlangıç, rol katalogları ("Pazarlama-Analist", "Risk-Ops").
ABAC (öznitelik-temel.) : ülke, marka, çevre (prod/stage), proje, işleme amacı, zaman, risk seviyesi.
ReBAC (ilişkiye göre): "set sahibi", "etki alanı sorumlusu", "gözden geçiren".
Hibrid: Çerçeve olarak RBAC, ABAC sınırları geliştirir.

5) Erişimin granülerliği

Ağ/giriş: mTLS, allow-list, özel bağlantılar.
Hizmet/küme: IAM rolleri, minimum ayrıcalıklara sahip hizmet hesabı.
Arşivler: Kataloglar/diyagramlar/tablolar (GRANT), Satır Düzeyinde Güvenlik (RLS), Sütun Düzeyinde Güvenlik (CLS).
Maskeleme/tokenizasyon: SQL/BI'da dinamik maskeler; PII yerine belirteçler.
Fichestor/ML: Yalnızca agregalara/izin verilen özelliklere erişim; Özellik politikası (izin ver/reddet).
Dosyalar/nesneler: TTL ile önceden imzalanmış bağlantılar, şifreleme ve indirme politikası.

6) Önemli alanlar için desenler

KYC/AML: CLS (yalnızca belirteçler görünür), operatör ülkesine göre RLS; Detokenization - DPO/JIT tarafından yasal.
Ödemeler: Sınırlı, FLE + belirteçleri, JIT üzerinden Risk/Ödemeler-Ops erişimi; yüklemeleri denetledi.
Oyun etkinlikleri: Dahili/Gizli, markaya/bölgeye/kiracıya göre RLS, user_id için CLS.
Sorumlu Oyun: Agregalara RG komut erişimi; Bireysel davalar - talep üzerine.
BI/ML: PII içermeyen "altın" vitrinler; ML - izin verilen özelliklerin listesi, tartışmalı olanlar için gerekçe günlüğü.

7) Erişim prosedürleri

7. 1 Talep> hükümlerin onaylanması

Talep formu: amaç, kapsam, terim, rol, ABAC nitelikleri, set sahibi.
Otomatik kontrol: veri sınıfı, SoD, eğitim tamamlandı mı? Çıkar çatışması mı?
RACI: Sahibi (R), Steward (C), DPO/Sec (A/C), IT/IAM (R).

7. 2 JIT и kırılma camı

JIT: Otomatik geri çağırma ile 15 dakika/2 saat/1 gün; Yenileme - yeni bir uygulamada.
Kırık cam: olaylar için; bireysel roller/anahtarlar, gelişmiş denetim, ölüm sonrası gerekli.

7. 3 Düzenli incelemeler

Üç aylık erişim incelemesi: Etki alanı sahipleri rolleri/nitelikleri onaylar.
"Unutulmuş" erişimlerin otomatik olarak devre dışı bırakılması (kullanımsız 30/60 gün).

8) Teknik mekanizmalar

Katalog ve Sözleşmeler: Sahipler, sınıflar, maskeler hakkında bir gerçek kaynağı.
Politika Motoru: ABAC/Satır/Sütun politikaları için OPA/eşdeğeri.
Veri Maskeleme: DWH/BI'de dinamik maskeler; Telefonlar/e-posta için güvenli maske biçimi.
Tokenization: kasa/FPE; Detokenizasyon sadece "temiz bölgede".
Sırlar ve PAM: gizli yönetici, JIT oturumları, yönetici erişimleri için kayıt ekranları.
Denetim ve SIEM: değişmez günlükler (WORM), oturum ve yüklemelerle erişim olaylarının korelasyonu.
Coğrafi/kiracı izolatörleri: fiziksel/mantıksal ayırma (şemalar, dizinler, kümeler, şifreleme anahtarları).

9) Onay ve DSAR

Erişimler, oyuncunun rızasını dikkate alır (pazarlama = kapalı - pazarlama özelliklerini gizler).
DSAR düğmeleri: token ile bul/boşalt/sil; Tüm operasyonun günlüğü; Legal Hold sayılır.

10) İzleme ve SLO

Erişim SLO: JIT erişiminin verildiği p95 zamanı (örneğin ≤ 30 dakika).
Günlüklerde sıfır PII: PII olmadan %100 olaylar.
Anomali oranı: SELECT spike veya atipik JOIN to Restricted için uyarılar.
İnceleme Kapsamı: Rollerin ≥ %95'i zamanında gözden geçirilir.
Mask Hit-Rate: Maskenin/belirtecin tetiklendiği isteklerin oranı.
Detokenization MTTR: Geçerli bir uygulamayı işlemek için ortalama süre.

11) Şablonlar

11. 1 Erişim İlkesi (snippet)

İlke: en az ayrıcalık + SoD + JIT.
Roller: Görevlerin/vitrinlerin bir açıklaması olan bir rol kataloğu.
ABAC nitelikleri: 'ülke', 'marka', 'env', 'amaç', 'elde tutma'.
Maskeler/Belirteçler: Gizli/Kısıtlı'da varsayılan olarak etkindir.
İnceleme: Üç aylık; "Unutulmuş" erişimlerin otomatik hatırlanması.
İhlaller: engelleme, soruşturma, eğitim.

11. 2 Başvuru formu

Kim: Tam isim/takım/yönetici.
Ne: Set/Masa/Vitrin/Özellik.

Neden: Hedef, Beklenen Sonuç/Metrikler

Ne kadar süre: dönem/program.
Veri sınıfı: (katalogdan otomatik tamamlama).
İmzalar: Sahip/Steward, DPO veya Sec (Kısıtlıysa).

11. 3 Rol kataloğu (örnek)

Pazarlama Analisti: Dahili/Gizli Pazarlama Martları; detokenizasyon olmadan; Markasına göre RLS.
Risk-Ops: Maskelerle sınırlı ödemeler; Detokenizasyon için JIT; Yalnızca "beyaz" şablonlar aracılığıyla dışa aktarın.
RG-Team: RG birimleri, istek üzerine davalara erişim.
DS/ML: fichestor (allow-list özelliği), PII olmadan sandbox.

12) Uygulama Yol Haritası

0-30 gün (MVP)

1. Şemalardaki veri ve etiketlerin sınıflandırılması.
2. Rol kataloğu + temel ABAC özellikleri (ülke/marka/env).
3. Gizli/Kısıtlı için varsayılan maskeleme/tokenizasyon.
4. JIT süreci ve denetim günlüğü; Cam kırılması yönetmeliği.
5. Ödemeler, KYC, oyun etkinlikleri için RLS/CLS; Kısıtlı için 'SELECT' seçeneğine izin verilmemesi.

30-90 gün

1. CI'da Kod Olarak Politika (talep linter, ihlal durumunda bloklar).
2. Rıza/DSAR ile entegrasyon; SLO raporlarına erişin.
3. Üç aylık erişim incelemesi; Otomatik devre dışı bırakma.
4. Yönetici erişimleri için PAM; Kayıt oturumları zaman kutusu.

3-6 ay

1. Coğrafi/kiracı izolasyonu, yargı yetkisine göre bireysel şifreleme anahtarları.
2. Gerçek isteklere dayalı rollerin otomatik önerileri (kullanım tabanlı).
3. Erişimin davranışsal analizi (anti-analitik), SOAR oyun kitapları.
4. Proses sertifikasyonu ve dış denetim.

13) Anti-desenler

Herkes için "süper kullanıcı" - SoD ve JIT olmadan.
Kontrollü kanalların dışındaki dosyalar/ekran görüntüleri aracılığıyla veri paylaşımı.
RLS/CLS yalnızca "kağıt üzerinde" - BI'da maskeler kapatılır.
Hak incelemesi ve otomatik geri çağırma yok; "Sonsuz" erişim.
Katalog/sözleşmeler güncellenmez - erişim kuralları güncel değildir.
Denetim olmadan "kolaylık için" uygulamalarda detokenizasyon.

14) RACI (örnek)

Politikalar/Mimari: CDO/CISO (A), DPO (C), SecOps (R), Veri Platformu (R).
Erişim düzenleme: IAM/IT (R), Sahipler (A/R), Görevliler (C), Yöneticiler (I).
Denetim/İnceleme: Sahipler (R), DPO/Sec (A), İç Denetim (C).
Olaylar: SecOps (R), Yasal/PR (C), Etki Alanları (R).

15) İlgili bölümler

Veri Yönetimi, Veri Tokenizasyonu, Veri Güvenliği ve Şifreleme, Veri Kökeni ve Yolu, Etik/DSAR, Gizli ML, Federe Öğrenme.

Toplam

Erişim kontrolü, ekiplere tam olarak doğru miktarda ve zamanda doğru verileri veren ve tam izlenebilirlik sağlayan bir politikalar, nitelikler ve otomasyon sistemidir. Bu, iGaming'de metriklere olan güvenin, olay esnekliğinin ve karar verme hızının temelidir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Telegram
@Gamble_GC
Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.