GH GambleHub

Görevlerin ve erişim seviyelerinin ayrımı

1) Hedefler ve ilkeler

Hedefler:
  • Kritik işlemler üzerinde tek kontrol hariç (para/PII/uyumluluk),
  • Dolandırıcılık/hata riskini azaltmak,
  • Düzenleyiciler ve iç denetimler için doğrulanabilirliği sağlamak.

İlkeler: Sıfır Güven· En Az Ayrıcalık· Bilinmesi Gerekenler· SoD (4 gözlü)· İzlenebilirlik· Geri Alınabilirlik (hızlı hatırlama).

2) Veri sınıflandırma ve erişim seviyeleri

SınıfÖrneklerTemel erişim gereksinimleri
Kamusite içeriğiYetki olmadan
DahiliPII dışı operasyonel metriklerSSO, salt okunur rol
GizliDWH raporları (toplamlar)SSO + MFA, onaylı gruplar
Kısıtlı (PII/Finans)KYC/AML, işlemler, RG sinyalleriABAC + JIT, alan günlüğü, WORM günlüğü
Son derece kısıtlısırlar, yönetici konsolları, ödeme çevresiPAM, kayıtlı oturumlar, izole ağlar
💡 Sınıf/RoPA veri dizininde sabittir ve şifreleme, saklama ve dışa aktarma politikalarına bağlıdır.

3) Hak modeli: RBAC + ABAC

RBAC: etki alanına göre roller (Destek, VIP, Ödemeler, AML, KYC, FRM, BI, DevOps, DPO, Yasal).
ABAC: bağlamsal nitelikler (çevre, coğrafya, veri sınıfı, cihaz/MDM, zaman, KYC seviyesi, erişim hedefi 'amacı', cihaz riski).

ABAC koşuluna bir örnek: BI analisti aktif gizlilik eğitimi ile hafta içi 08: 00-21: 00 saatleri arasında 'olayları _' yalnızca PII olmadan, yalnızca kurumsal ağdan/MDM'den okuyabilir.

4) SoD - uyumsuz fonksiyonların matrisi

FonksiyonYetkilendirilmiştirUyumsuz (/4-göz ayrımı gerektirir)
ÖdemelerSonuçları onaylayınDolandırıcılıkla mücadele kurallarını veya VIP limitlerini değiştirin
Dolandırıcılıkla Mücadele (FRM)Kuralları düzenle, bekletmeyi ayarlaKendi önbellek/ters ibraz çözümlerinizi onaylayın
Uyumluluk/AMLEDD/STR/SAR, KYC okunduDWH/ham kütüklerin tam ihracatı
Destek/VIPProfil görüntüsü (maskelenmiş)ICC belgelerine/ham işlemlere erişim
Veri/BIagregalar/anonimleştirmePII'yi 'amaç' olmadan görüntüleme
DevOps/SREAltyapı yönetimiPII ile iş masalarını okuma
Geliştiricilersahne/geliştirme, günlükler (maske.) Prod-PII
DPO/GizlilikDenetim, PII günlükleriÜretim haklarının değişimi

Para/PII/yaptırımları etkileyen herhangi bir işlem iki devre onayına tabidir (başlatıcı ≠ onaylayıcı).

5) Erişim seviyeleri ve türleri

Salt okunur/Maskelenmiş Okunur: BI/Support için öntanımlı.
Kapsamlı Yazma: hizmet/prosedür içindeki değişiklikler (örn. vaka notları giriliyor).
Ayrıcalıklı Yönetici: sadece PAM üzerinden (şifre güvenli, oturum proxy, oturum kaydı, gizli rotasyon).
API/Hizmet Hesapları: minimal sorgular, entegrasyon başına bireysel anahtarlar, mTLS.

6) JIT и kırılma camı

JIT (Just-in-Time): Belirli bir bilet için geçici yükseklik (15-120 dakika), otomatik geri çağırma, zorunlu 'amaç'.
Kırılma camı: MFA + ikinci onay, oturum kaydı, Güvenlik + DPO inceleme sonrası, ihlal durumunda bir olayın otomatik olarak oluşturulması ile acil durum erişimi.

7) Süreçler (SOP)

7. 1 İstek/Değişiklik Erişimi (IDM/ITSM)

1. 'Amaç', tarih ve veri sahibi ile talep.
2. SoD/veri sınıfı/yargı yetkisini kendi kendine kontrol edin.
3. Etki alanı sahibi onayı + Güvenlik (Sınırlı + için).
4. JIT/kalıcı erişimin verilmesi (minimum kapsam).
5. Haklar kaydına giriş (revizyon tarihi, SLA iptali).

7. 2 Hakların yeniden belgelendirilmesi

Üç aylık sahipler grup/kullanıcı haklarını onaylar.
Otomatik kullanılmayan haklar (> 30/60 gün).

7. 3 Veri dışa aktarma

Sadece onaylanmış vitrinler/boru hatları aracılığıyla; Hedeflerin/formatların beyaz listelerini varsayılan maskeleme; İmza/hash; İndirme günlüğü.

8) Satıcı/ortak kontrolü

Bireysel B2B kiracılar, minimum API kapsamları, izin listesi IP, zaman pencereleri.
DPA/SLA: erişim günlükleri, saklama süreleri, coğrafya, olaylar, alt işlemciler.
Offboarding: anahtar hatırlama, silme onayı, kapanış eylemi.

9) Güvenlik ve uyumlulukla entegrasyon

Denetim izleri: 'READ _ PII', 'EXPORT _ DATA', 'ROLE _ UPDATE', 'PAYMENT _ APPROVE', 'BREAK _ GLASS'.
SIEM/SOAR: anormal hacimler için uyarılar/' amaç'/pencere/geo dışına çıkmadan erişim.
GDPR/AML/PCI: Bilinmesi Gerekenler, DSAR uyumluluğu, ödeme çevre ayrımı, dergiler için WORM.

10) Örnek politikalar (fragmanlar)

10. 1 VIP Yönetici Politikası

Maskeli profil görünümü, ihracat yasağı, bilet üzerinden tek KYC görünümüne JIT.

10. 2 Pazarlama Analisti Politikası

PII olmadan sadece birimler; Çalışma saatleri içinde MDM cihazından izin ile erişim (CMP bayrağı).

10. 3 Sözde YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

AktiviteUyumluluk/YasalDPOGüvenlikSRE/ITVeri/BIÜrün/EngAlan adı sahibi
SoD Politikaları/Erişim DüzeyleriA/RCCCCCC
RBAC/ABAC tasarımıCCA/RRRRC
JIT/PAM/kırık camBENBENA/RRBENCBEN
Yeniden sertifikalandırmaCCARRRR
Dışa aktarma/MaskeCARRRCC

12) Metrikler ve KRI'lar/KPI'lar

Kapsama ABAC: Öznitelik kuralları altında kritik kümelerin ≥ %95'i.
JIT oranı: Yüksekliklerin ≥ %80'i JIT'tir.
Offboarding TTR: İşten çıkarma/devre dışı bırakma anından itibaren 15 dakika ≤ erişimin iptali.
'Amaç' olmadan anormal erişimler: = 0 (KRI).
Üç aylık yeniden sertifikalandırma: %100 roller/gruplar onaylandı.
İhracat uyumluluğu: İhracatların %100'ü imzalanmış/kaydedilmiştir.

13) Kontrol listeleri

13. 1 Erişim izni vermeden önce

  • 'amaç' tanımlı, tarih, veri sahibi
  • SoD/Yargı/Veri Sınıfı doğrulama geçti
  • Minimum kapsam + maskeleme etkin
  • MFA/MDM/ağ koşulları karşılandı
  • Dergiler ve revizyon tarihi ayarlandı

13. 2 Üç aylık denetim

  • Örgütsel yapıya karşı grupları/rolleri kontrol edin
  • Kullanılmayan Hakları İptal Et
  • Kırılma camı ve büyük ihracatları kontrol edin
  • Eğitimi onayla (gizlilik/güvenlik)

14) Tipik senaryolar ve önlemler

A) Mühendisin prod-DB'ye geçici erişime ihtiyacı var

JIT 30-60 dakika, PAM üzerinden kaydedilen oturum, inceleme sonrası, ihlaller için CAPA.

B) Yeni bağlı kuruluş oyunculardan boşaltmalarını ister

Yalnızca/anonimleştirmeyi toplar; IF PII - sözleşme, yasal dayanak, alanların beyaz listesi, dergi/imza, sınırlı referans süresi.

C) VIP yöneticisi KYC belgelerini görmek istiyor

Doğrudan erişimin yasaklanması; AML/KYC üzerinden istek, JIT üzerinden tek sayı, alanların tam günlüğü.

15) Uygulama Yol Haritası

Hafta 1-2: Sistem/Veri Envanteri, Sınıflandırma, Temel RBAC Matrisi, Birincil SoD Tablosu.
3-4. Haftalar: ABAC (çevre/coğrafi/sınıf/MDM) uygulaması, JIT ve kırılma camı, PAM lansmanı, ihracat günlükleri.

2. Ay: CMC/ödeme çevre segmentasyonu, bireysel anahtarlar/KMS, SoD/ABAC ihlalleri için SOAR uyarıları.

Ay 3 +: üç aylık yeniden sertifikasyon, öznitelik uzantısı (cihaz riski/zamanı), maskeleme otomasyonu, düzenli masa üstü egzersizleri.

TL; DR

Güvenilir erişim modeli = veri sınıflandırması - RBAC + ABAC - 4 gözlü SoD - JIT/PAM ve sert denetim - düzenli yeniden sertifikalandırma ve ihracat kontrolü. Bu, kötüye kullanım olasılığını azaltır ve denetimlerin/düzenleyici kontrollerin geçişini hızlandırır.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.