GH GambleHub

Kimlik denetimi

1) Amaç ve sonuç

Amaç: Kimin nerede ve neden hangi erişime sahip olduğunu düzenli olarak doğrulayarak Sıfır Güven ilkelerine ve en az ayrıcalıklara kanıtlanabilir uyumluluk sağlamak.
Sonuç: onaylanmış sahiplerle tam ve güncel bir kimlik ve hak kaydı, "dondurulmuş" erişimin ortadan kaldırılması, iç kontrol ve düzenleyiciler için resmi bir kanıt tabanı.

2) Kapsam

Dahili kullanıcılar: personel, stajyerler, denetçiler, geçici roller.
Yükleniciler/ortaklar: oyun stüdyoları, PSP/KYC/AML sağlayıcıları, bağlı kuruluşlar.
Servis kimlikleri: botlar, CI/CD, entegrasyonlar, anahtarlar ve API belirteçleri.
Ayrıcalıklı roller: Altyapı/veritabanı yöneticileri, Ödemeler, Risk, Ticaret.
Oyuncular (KYC bağlamında): Hesap paketinin doğruluğu ↔ KYC profili ↔ RG/AML durumları (kontrol işlemleri, belge içeriği değil).

3) Şartlar ve ilkeler

Kimlik: Niteliklere sahip benzersiz bir varlık (kişi/hizmet).
Yetkilendirme: Bir kaynak için belirli bir hak/rol.
JML: Joiner - Mover - Leaver - kimlik yaşam döngüsü.
SoD: Yüksek riskli operasyonlar için görev ayrımı.
En Az Ayrıcalık ve Tam Zamanında (JIT): Sınırlı bir süre için verilen minimum haklar kümesi.
Hesap verebilirlik: Her kimliğin bir sahibi vardır, her hakkın bir iş davası ve bir terimi vardır.

4) Gerçeğin kaynakları ve veri modeli

HRIS/HR sistemi: Çalışan statüsünün birincil kaynağı (kiralama/taşıma/çıkış).
IdP/SSO: tek kimlik doğrulama noktası (MFA/FIDO2), federasyon.
IAM/IGA: Yeniden sertifikalandırma rolleri, politikaları ve süreçleri kataloğu.
CMDB/servis kataloğu: sistemlerin mülkiyeti ve erişim döngüleri.
Sağlayıcı platformları: PSP/KYC/CDN/WAF/oyun sağlayıcıları - harici erişim portalları.
Модель: Identity - (identity) (identity Unit/Team'e ait) - Org Unit/Team - (has) - Rolleri - (ABAC ile genişletin) - Yetkilendirmeler - (apply) - Kaynaklar.

5) Denetlenen kontroller

1. Her yerde SSO ve MFA (yerel hesaplar ve paylaşılan hesaplar olmadan).
2. RBAC/ABAC/PBAC: politikalarla tanımlanan haklar (kod olarak politika), roller - tipik ve tutarlı.
3. SoD: Uyumsuz roller ve istisnalar resmileştirilir.
4. JIT/PAM: Bilet, oturum kaydı ve otomatik geri çağırma ile geçici promosyonlar.
5. Sırlar/Anahtarlar: Sırlar Yöneticisi'nde saklanır, rotasyon ve yaşamlar.
6. Günlükler ve kanıtlanabilirlik: kurcalama kanıtı, tutarlı izleme kim/ne/nerede/ne zaman/neden.
7. Veri Erişimi: PII maskeleme, dışa aktarma - yalnızca şifreleme ve TTL ile iş akışı ile.

6) Denetim süreci (uçtan uca)

1. Hazırlık: Hakların anlık görüntüsünün (hakların anlık görüntüsü) sistem tarafından dondurulması; IdP/IAM/sağlayıcılarından indirin

2. Normalleştirme: rolleri bir dizine eşleme, veri tekilleştirme, kaynak sahiplerine göre gruplama.
3. Risk kategorizasyonu: P1/P2 (ayrıcalıklı ve hassas) - öncelikli doğrulama.
4. Hakların yeniden sertifikalandırılması: sistem sahipleri hakları onaylar/reddeder (erişim inceleme kampanyaları).
5. Uyumsuzluklar ve geçici istisnalar için SoD kontrolü (son kullanma tarihi ile birlikte).
6. JML mutabakatı: Kiralama/taşıma/çıkışı gerçek haklara eşleme (harici portallar dahil).
7. Hizmet hesapları: sahip mevcudiyeti, kısa ömürlü belirteçler, "tanrı kapsamı" yok.
8. Kanıt tabanı: Bir eser paketinin oluşumu (raporlar, yüklemeler, eylemler).
9. İyileştirme planı: geri çağırma/düzeltme biletleri, son tarihler ve sorumlu kişiler.
10. Nihai Rapor: Risk Durumu, Döngü KPI'ları, Öğrenilen Dersler ve Politika İyileştirmeleri.

7) JML konturları (daha derin kontrol ettiğimiz)

Marangoz: Temel rollerin otomatik olarak atanması, dizin dışında manuel "eklemelerin" yasaklanması.
Mover: komut/konum değişikliği - rollerin otomatik olarak değiştirilmesi, eski ayrıcalıkların iptal edilmesi.
Leaver: X dakika/saat içinde tüm hakların iptal edilmesi, posta/VPN/sağlayıcı portallarının kapatılması, anahtarların ve belirteçlerin devre dışı bırakılması.

8) Dış bağımlılıklar ve portallar

PSP/KYC/AML/CDN/WAF/oyun sağlayıcıları: Her hesabın bir sahibi, bir hedefi, bir son tarihi, bir MFA'sı, paylaşılan hesaplarda bir yasağı vardır.
Sözleşmeli SoD/SLA: P1 işlemleri için çift kontrolün kullanılabilirliği (ödeme yönlendirmesini değiştirme, bonus limitleri, vb.).
Düzenli mutabakat: dış portalların kaydı ↔ mevcut kullanıcıların listesi ↔ yeniden sertifikalandırma sonuçları.

9) iGaming etki alanının özellikleri

Ödemeler ve Risk: SoD şubelerini seçin; Limit/yönlendirme değişikliklerinde güncellemeler; Manuel ayarlamaların denetimi.
Ticaret/faktörler: modelleme için sanal alanlar, bireysel yayıncılık rolleri, hızlı geri dönüş; Günlüğü değiştir.
Sorumlu Oyun/KYC/PII: sıkı ihracat kontrolü, BI'de maskeleme, regülatör taleplerinin SLA işlenmesi.
İştirakler ve yayıncılar: PII'ye erişimi olmayan raporlama özelliklerine sahip sınırlı portallar.

10) Kod Olarak Politikalar (PaC)

Depodaki politikalar (Rego/YAML), PR incelemesi, testler.
İzin verme/reddetme çözümlerinde dinamik bağlam: çevre (prod), zaman, yer, operasyonun kritikliği, KRI sinyalleri (örneğin, hassas eylemlerin dalgalanması).
JIT promosyonları için bilet ve hedefe zorunlu bağlama.

11) Dergiler ve kanıtlanabilirlik

Olay zinciri: yönetici konsolu/IdP ^ API ^ veritabanları ^ harici sağlayıcılar.
Kurcalama-belirgin: WORM/değişmez-depolar, kayıtların imzası, sıkı TTL.
Arama ve yanıt: İç/dış taleplere yanıt SLA (denetim, düzenleyici, banka/ortak).

12) Metrikler ve KPI/KRI

KPI:
  • Onaylanmış hakların zamanında paylaşılması (yeniden belgelendirme), vadesi geçmiş kampanyaların yüzdesi.
  • İşten çıkarmadan hakların tamamen iptaline kadar geçen süre (MTTR-leaver).
  • JIT artışlarının kalıcı ayrıcalıklara karşı paylaşımı.
  • Döngü başına çözümlenmiş SoD çakışmalarının sayısı.
  • Kapalı sistemlerin ve dış portalların bütünlüğü.
KRI:
  • Hassas eylem adezyonları (PII dışa aktarma, PSP değişiklikleri).
  • Kullanılmayan haklar> N gün.
  • Denetim sonrası olmadan cam kırılması.
  • Sahibi/amacı/terimi olmayan hesaplar.

13) Uygulama Yol Haritası (8-12 hafta)

Ned. 1-2: kimliklerin ve sistemlerin envanteri (dış portallar dahil), rol kataloğu ve SoD matrisi.
Ned. 3-4: Her yerde SSO/MFA bağlantısı, tek bir hak koleksiyonu, ilk anlık görüntü raporları.
Ned. 5-6: IGA yeniden sertifikalandırma kampanyalarının başlatılması (P1/P2 öncelikli), Leaver için otomatik geri çağırma.
Ned. 7-8: Üretim devreleri için JIT/PAM, kayıt oturumları, sağlayıcılardan paylaşılan hesapların yasaklanması.
Ned. 9-10: PaC: Anahtar politikaların resmileştirilmesi (export PII, PSP yönlendirme, sürümler), politikaların birim testleri.
Ned. 11-12: KPI/KRI gösterge tabloları, üç aylık döngü düzenlemeleri, uyumluluk/düzenleyiciler için raporlama.

14) Eser desenleri

Rol Kataloğu: rol, açıklama, minimum ayrıcalıklar, sahip, uygulanabilirlik (kiracı/bölge/çevre).
SoD Matrix - uyumsuz roller/işlemler, istisnalar, istisna terimi ve istisna sahibi.
Access Review Pack: haklar onay sayfası, yorumlar, sonuç (onayla/iptal et/hafifletme).
Hizmet Hesabı Kaydı: amaç, sahip, ömür boyu, kapsamlar, sırların depolama yeri, rotasyon programı.
Dış Portallar Envanter: sistem, kişiler, kullanıcı listesi, MFA, son sertifikalandırma tarihi.
Kanıt Kontrol Listesi: Hangi yüklemeler/günlükler ve denetim için hangi formatta saklanacağı.

15) Antipatterns

Genel hesaplar ve "sonsuza kadar yönetici".
IdP/IGA'yı atlayan hakların el ile verilmesi.
Son kullanma tarihi olmayan SoD veya "geçici istisnalar" toleransı yoktur.
Rotasyon/sahibi olmayan hizmet belirteçleri.
İş akışı ve şifreleme olmadan PII'yi "harfe göre" dışa aktarın.
Harici portalların denetimi yok (PSP/KYC/oyun sağlayıcıları).

16) Sık denetim bulguları ve hızlı düzeltme

İşten çıkarılan/yüklenicilerden dondurulmuş erişim: İK olayları hakkında otomatik geri bildirim sağlar (Leaver).
Yedekli roller: daha küçük rollere ayrışır ve ABAC niteliklerini bağlar.
Sağlayıcılarla paylaşılan hesaplar: kişisel + MFA'ya geçiş, nadir görevler için geçici rollerin verilmesi.
Uzun ömürlü sırlar: Kısa ömürlü belirteçlere/sertifikalara geçiş ve planlı rotasyon.

17) Olay yönetimi grubu

Erişim bileşeniyle ilgili herhangi bir olay - risklerin ve politikaların kaydının zorunlu olarak güncellenmesi, etkilenen rollerin noktasal olarak yeniden belgelendirilmesi, eylem maddeleri (ve son tarihler) ile ölüm sonrası.

Toplam

Kimlik denetimi tekrarlanabilir, otomatik bir döngüdür: kimliklerin ve hakların eksiksiz bir kaydı - risk odaklı yeniden sertifikalandırma - zor JML ve JIT/PAM - politikaları kod ve kanıtlanabilir denetim olarak - döngünün sonuçlarını iyileştirir. Bu döngü, kötüye kullanım ve hata olasılığını azaltır, soruşturmaları hızlandırır, uyumluluğu güçlendirir ve iGaming platformlarının önemli iş operasyonlarını korur.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.