GH GambleHub

Erişim politikaları ve segmentasyon

1) Amaç ve prensipler

Amaç: Sıkı'kim, ne ve neden erişimi var "kontrolleri yoluyla sızıntı/dolandırıcılık ve düzenleyici sonuçları riskini en aza indirmek, denetim için kanıtlanabilir.
İlkeler: En Az Ayrıcalık (minimum haklar), Bilinmesi Gerekenler, Sıfır Güven, Görevlerin Ayrımı (SoD), Tam Zamanında (JIT), izlenebilirlik ve tek tıklamayla hatırlama.

2) Veri sınıflandırma ve koruma seviyeleri

SınıfÖrneklerKoruma ve erişim
KamuStatik sayfalar, pazarlamaYetki olmadan kullanılabilir
DahiliPII dışı operasyonel metriklerSSO, salt okunur rol
GizliDWH toplanır, kimlikleri olmayan raporlarSSO + MFA, onaylı gruplar, dergi
Kısıtlı (PII/Finans)KYC, işlemler, RG sinyalleri, yaptırımlar/PEPÖzniteliklere göre ABAC, JIT, alan günlüğü, WORM günlüğü
Son derece kısıtlıAnahtarlar, sırlar, yönetici konsolları, PAN segmentiPAM, izole çevre, mTLS, kaydedilmiş oturumlar
💡 Sınıf, RoPA/veri dizininde atanır ve şifreleme politikasına, tutma ve erişim yöntemlerine bağlıdır.

3) Erişim modeli: RBAC + ABAC

RBAC (rolleri): temel "role - resolution" matrisi.
ABAC (öznitelikler): bağlam kuralları (oyuncu/operatör yetki alanı, çevre segmenti, set hassasiyeti, vardiya/zaman, cihaz, KYC doğrulama seviyesi, hizmet görevi/amacı).

ABAC koşulu örneği (mantık):
  • Pazarlama analisti, 'events _' tablolarını yalnızca analitiğe izin verilen ülkeler için, yalnızca hafta içi 08: 00-21: 00 saatleri arasında, yalnızca kurumsal ağ/MDM cihazından, PII alanları (maskeleme etkin) olmadan okuyabilir.

4) SoD - görevlerin ayrılması (dolandırıcılıkla mücadele ve uyum)

FonksiyonNe yapabilirsinYasak olan nedir
Anti-dolandırıcılıkDolandırıcılıkla mücadele kurallarını değiştirinKendi nakit çıkışlarınızı/VIP limitlerinizi onaylayın
ÖdemelerSonuçları onaylayınDolandırıcılıkla mücadele kurallarını düzenle
Uyumluluk/AMLYakın EDD/STR, KYC okumaTüm DWH'nin doğrudan ihracatı
DPO/GizlilikDenetim, PII günlüklerini okumaprod haklarını değiştirme
SRE/DevOpsAltyapı yönetimiİş PII tablolarını okuyun
Geliştiricilergünlüklere erişme/dev/stagePII ile prod verilerine erişim
Destek/VIPOyuncu profilini oku (maskeli)Ham PII ihracat
💡 Para/PII'yi etkileyen herhangi bir işlem, iki devreli doğrulama (4-göz prensibi) veya otomatik bilet onayı gerektirir.

5) JIT, kırılma camı и PAM

JIT (Just-in-Time): Yükseltilmiş haklar, belirli bir görev için sınırlı bir süre (15-120 dakika) için verilir ve otomatik olarak iptal edilir.
Cam kırma: Ayrı bir prosedürle (MFA + ikinci onay + zorunlu endikasyon amacı) acil durum erişimi, oturumun tam kaydı ve gerçek sonrası inceleme.
PAM: yönetici hesapları için - şifre depoları, davranışsal analitik, anahtar/gizli rotasyon, kayıt ile oturum proxy.

6) Segmentasyon: orta, ağ ve mantıksal

6. 1 Ortamlar: 'Prod' ≠ 'stage' ≠ 'dev'. Prod verileri sahne/dev'e kopyalanmaz; Sentetik veya kenarlı kümeler kullanır.

6. 2 Ağlar (örnek bölgeler):
  • Edge/WAF/CDN - Uygulama Bölgesi - Veri Bölgesi (DWH/DB) - Sırlar/KMS.
  • Ödeme çevresi (PSP/kartlar) ortak üründen izole edilmiştir; CCM/yaptırımlar - ayrı bir segment.
  • 6. 3 Mantıksal bölümleme: ad alanları (K8s), kiracı kimlikleri, DB/veri dizini şemaları, kiracı/bölge başına ayrı şifreleme anahtarları.
  • 6. 4 Coğrafi bölümleme: Konuma göre depolama/işleme (EC/UK/...); Yönlendirme kılavuzları ve bölgedeki anahtarlar.

7) Satıcı ve iş ortağı erişimi

Mekanik: Bireysel B2B kiracılar/hesaplar, minimum API kapsamı, mTLS, izin listesi IP, pencere süresi.
Sözleşmeler: DPA/SLA (günlükler, saklama süreleri, coğrafya, olaylar, alt işlemciler).
Offboarding: anahtar hatırlama, silme onayı, kapanış eylemi.
İzleme: anormal hacimler için uyarılar, kitlesel ihracat yasağı.

8) Süreçler (SOP)

8. 1 İstek/değişiklik erişimi

1. IDM/ITSM'ye amaç ve terim ile başvuru.
2. SoD/yargı/veri sınıfı otomatik doğrulama.
3. Etki alanı sahibi onayı + Güvenlik/Uyumluluk (Sınırlı + ise).
4. JIT/kalıcı erişimin verilmesi (minimum set).
5. Günlük kaydı: kim/ne zaman/ne verilir; revizyon tarihi.

8. 2 Yeniden sertifikalandırma

Üç ayda bir: sahipler grupların haklarını onaylar; Otomatik kullanılmayan haklar (> 30/60 gün).

8. 3 Veri dışa aktarma

Sadece onaylanmış boru hatları/vitrinler aracılığıyla, formatların beyaz listelerine göre (CSV/Parquet/JSON), varsayılan maskeleme, imza/karma, indirme günlüğü.

9) Cihaz politikası ve bağlamı

MDM/EMM - Yalnızca yönetilen cihazlardan Erişim Kısıtlı/Yüksek Düzeyde Kısıtlı.
Bağlam sinyalleri: coğrafi, cihazların risk oranı, günün saati, MFA durumu, IP itibarı - ABAC nitelikleri olarak.
Tarayıcı uzantıları/ekran yakalama: kontrol ve günlük, hassas konsollar için yasak.

10) Politika örnekleri (snippet'ler)

10. 1 YAML (sözde) - pazarlama analisti için ABAC

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL maskeleme (fikir)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) İzleme, günlükler ve uyarılar

Denetim izleri: 'READ _ PII', 'EXPORT _ DATA', 'ROLE _ UPDATE', 'BREAK _ GLASS', 'PAYMENT _ APPROVE'.
KRI'ler: 'amaç' = 0 olmadan erişir; Pencerenin dışında Yüksek Derecede Kısıtlamaya çalışır; Başarısız SoD kontrollerinin payı; anormal deşarjlar.
KPI: JIT ile isteklerin %'si ≥ %80; Ortalama erişim süresi ≤ 4 saat; %100 yeniden sertifikalandırma kapsamı.
SOAR playbooks: Tehditler için otomatik hatırlama, soruşturma biletleri.

12) Uyumluluk (kısa harita)

GDPR/UK GDPR: minimizasyon, bilinmesi gerekenler, DSAR uyumluluğu, PII denetimi.
AML/KYC: CCM/yaptırımlara erişim - sadece eğitimli roller için, karar günlüğü.
PCI DSS (varsa): ödeme bölgesi ayrımı, PAN/CSC depolama yasağı, ayrı anahtarlar/barındırma.
ISO/ISMS: resmi erişim politikaları, yıllık denetimler ve testler.

13) PACI

AktiviteUyumluluk/YasalDPOGüvenlikSRE/ITVeri/BIÜrün/EngDomain sahipleri
Politikalar ve SoD'larA/RCCCCCC
RBAC/ABAC modeliCCA/RRRRC
IDM/JIT/PAMBENBENA/RRBENCBEN
Yeniden sertifikalandırmaCCARRRR
Dışa aktarma/MaskeCARRRCC

14) Olgunluk metrikleri

Kritik veri kümelerinin ABAC kuralı kapsamı %95 ≥.
JIT oturumları/tüm yükselmeler ≥ %90.
İptal süresi 15 dakika ≤.
0 rol ≠ işlev (SoD) olayları.
Erişim günlüklerinin %100'ü kullanılabilir ve doğrulanmıştır (imza/karma).

15) Kontrol listeleri

15. 1 Erişim izni vermeden önce

  • Amaç, tarih ve veri sahibi tanımlı
  • SoD/Yargı Yetkileri Doğrulandı
  • Minimum kapsam/maskeleme etkin
  • MFA/MDM/ağ koşulları karşılandı
  • Günlük kaydı ve revizyon tarihi yapılandırıldı

15. 2 Üç aylık inceleme

  • Grupları ve rolleri örgütsel yapıyla uzlaştırmak
  • Otomatik "asılı" haklar
  • Anormal ihracat ve kırılma camı olup olmadığını kontrol edin
  • Eğitim ve Test Uyarıları

16) Tipik senaryolar ve önlemler

A) Yeni rol "VIP Yöneticisi"

VIP profillerine erişim (maskeli), ihracat yasağı, bilet üzerinden bir kerelik KYC görüntüleme için JIT.

B) BI denetim sağlayıcısı

PII olmadan vitrinlere salt okunur, geçici VPN + izin listesi, yerel olarak kaydetmeyi yasaklayın, günlük indirin.

C) Prod-DB'ye DevOps acil erişim

Kırılma camı ≤ 30 dakika, kayıt oturumu, DPO/Uyumluluk, CAPA ile ihlaller için inceleme sonrası.

17) Uygulama Yol Haritası

Hafta 1-2: veri/sistem envanteri, veri sınıfları, temel RBAC matrisi, SoD.
3-4. Haftalar: ABAC'ı uygulayın (ilk özellikler: çevre, coğrafi, veri sınıfı), IDM akışları, JIT/kırılma camı, PAM.
Ay 2: ödeme ve KYC çevre segmentasyonu, ayrı anahtarlar/KMS, ihracat dergileri, SOAR uyarıları.
Ay 3 +: üç aylık yeniden sertifikalar, özellik uzantısı (cihaz/risk), maskeleme otomasyonu, düzenli tatbikatlar.

TL; DR

Sağlam erişim modeli = veri sınıflandırması - RBAC + ABAC - SoD + JIT/PAM - sert segmentasyon - günlükler ve uyarılar. Bu, sızıntı ve kötüye kullanım olasılığını azaltır, denetimi hızlandırır ve platformu GDPR/AML/PCI ve iç standartların sınırları içinde tutar.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.