GH GambleHub

Foydalanish siyosati va segmentatsiya

1) Maqsad va prinsiplar

Maqsad: «kim, nimaga va nima uchun kirish huquqiga ega» qat’iy nazorat orqali, audit uchun isbotlanishi mumkin bo’lgan holda, sizib chiqish/firibgarlik xavfini va tartibga solish oqibatlarini kamaytirish.
Tamoyillari: Least Privilege (minimal huquqlar), Need-to-Know, Zero Trust, Segregation of Duties (SoD), Just-in-Time (JIT), kuzatib borish va bir marta bosish orqali kirishni qaytarib olish.

2) Ma’lumotlarni tasniflash va himoya darajalari

SinfNamunalarHimoya va foydalanish
Publicstatik sahifalar, marketingavtorizatsiyasiz foydalanish mumkin
InternalPIIsiz operatsion metriklarSSO, «read-only» roli
ConfidentialDWH agregatlari, identifikatorsiz hisobotlarSSO + MFA, tasdiqlangan guruhlar, jurnal
Restricted (PII/moliya)KYC, tranzaksiyalar, RG-signallar, sanksiyalar/PERAtributlar bo’yicha ABAC, JIT, dalalar jurnali, WORM-log
Highly Restrictedkalitlar, sirlar, ma’muriy konsollar, PAN segmentiPAM, izolyatsiyalangan perimetr, mTLS, qayd etilgan sessiyalar
💡 Sinf RoPA/Ma’lumotlar katalogida beriladi va shifrlash siyosatiga, retenshna va kirish usullariga bog’langan.

3) Foydalanish modeli: RBAC + ABAC

RBAC (rollar): asosiy matritsasi «rol → echim».
ABAC (atributlar): kontekst qoidalar (oʻyinchi/operator yurisdiksiyasi, muhit segmenti, toʻplash sezgirligi, smena/vaqt, qurilma, KYC tekshirish darajasi, xizmat vazifasi/purpose).

ABAC shartlari misoli (mantiq):
  • Marketing-tahlilchi «events _» jadvallarini faqat tahlilga rozilik berilgan mamlakatlar uchun, faqat ish kunlari soat 08: 00-21: 00 da, faqat korporativ tarmoqdan/MDM-qurilmadan, PII maydonlarisiz o’qishi mumkin.

4) SoD - vazifalarni bo’lish (antifrod va komplayens)

FunksiyaNima qilish mumkinNima taqiqlangan
Anti-Fraudantifrod qoidalarini o’zgartirisho’z keshautlarini/VIP limitlarini ma’qullash
Paymentsxulosalarni tasdiqlashantifrod qoidalarini tahrirlash
Compliance/AMLEDD/STR ni yopish, KYC oʻqishBarcha DWH toʻgʻridan-toʻgʻri eksport
DPO/Privacyaudit, PII jurnallarini o’qishProd huquqlarini oʻzgartirish
SRE/DevOpsinfratuzilmani boshqarishbiznes-PII jadvallarni o’qish
Developerslogs/dev/stagePII bilan prod-ma’lumotlarga kirish
Support/VIPo’yinchining profilini o’qish (yashirin)xom PII eksporti
💡 Pulga/PIIga ta’sir etuvchi har qanday harakat ikki konturli tekshiruvni (4 ko’zli tamoyil) yoki avtomatik ravishda tiketa-ma’qullashni talab qiladi.

5) JIT, break-glass и PAM

JIT (Just-in-Time): oshirilgan huquqlar muayyan vazifa uchun cheklangan oraliqda (15-120 daqiqa) beriladi va avtomatik ravishda qaytarib olinadi.
Break-glass: alohida protsedura orqali avariya holatida kirish (MFA + ikkinchi tasdiqlash + majburiy purpose ko’rsatish), sessiyaning to’liq yozuvi va post-faktum revyu.
PAM: ma’muriy hisoblar uchun - maxfiy ma’lumotlar ombori, xulq-atvor tahlili, kalitlar/sirlarni almashtirish, yozuv bilan sessiya proksi.

6) Segmentatsiya: o’rta, tarmoq va mantiqiy

6. 1 Chorshanba:’prod’≠’stage’≠’dev’. Prod-ma’lumotlar stage/dev’ga ko’chirilmaydi; sintetik yoki taxalluslashtirilgan to’plamlardan foydalaniladi.

6. 2 Tarmoqlar (zonalar namunasi):
  • Edge/WAF/CDN → App-zona → Data-zona (DWH/DB) → Secrets/KMS.
  • To’lov perimetri (PSP/kartalar) umumiy proddan ajratilgan; MSK/sanksiyalar - alohida segment.
  • 6. 3 Mantiqiy segmentatsiya: nomlar fazosi (K8s), tenant-IDs, DB/maʼlumotlar katalogi sxemalari, alohida shifrlash kalitlari per tenant/mintaqa.
  • 6. 4 Geo-segmentatsiya: joylashuvga muvofiq saqlash/qayta ishlash (EC/UK/...); gidlar va kalitlarni mintaqa bo’yicha yo’naltirish.

7) Vendorlar va sheriklarning kirishi

Mexanika: alohida B2B-tenantlar/akkauntlar, minimal API-skoplar, mTLS, allow-list IP, vaqt-derazalar.
Shartnomalar: DPA/SLA (jurnallar, saqlash muddatlari, geografiya, noxush hodisalar, subprotsessorlar).
Offbording: kalitlarni chaqirib olish, olib tashlashni tasdiqlash, yopish dalolatnomasi.
Monitoring: g’ayritabiiy hajmlarga alertlar, ommaviy eksportni taqiqlash.

8) Jarayonlar (SOP)

8. 1 Foydalanishni soʻrash/oʻzgartirish

1. IDM/ITSM da purpose va muddati bilan buyurtma.
2. SoD/yurisdiksiya/ma’lumotlar sinfini avtoproverlash.
3. Domen egasi tomonidan tasdiqlash + Security/Compliance (agar Restricted + boʻlsa).
4. JIT/doimiy foydalanish imkoniyatini berish (minimal to’plam).
5. Jurnallashtirish: kim/qachon/nima berilgan; qayta ko’rib chiqish sanasi.

8. 2 Davriy qayta ko’rib chiqish (recertification)

Har chorakda: egalari guruhlarning huquqlarini tasdiqlaydi; foydalanilmayotgan huquqlarni avtomatik tarzda qaytarib olish (> 30/60 kun).

8. 3 Maʼlumotlarni eksport qilish

Faqat tasdiqlangan payplaynlar/vitrinalar orqali, oq formatlar roʻyxati boʻyicha (CSV/Parquet/JSON), andoza niqoblash, imzo/xesh, tushirish jurnali.

9) Qurilmalar siyosati va konteksti

MDM/EMM: Restricted/Highly Restricted faqat boshqariladigan qurilmalardan foydalanish.
Kontekst signallar: geo, xavf-tezkor qurilmalar, sutka vaqti, MFA holati, IP obro’si - ABAC atributlari sifatida.
Brauzer kengaytmalari/ekranni bosib olish: nazorat va jurnal, sezgir konsollarni taqiqlash.

10) Siyosatchilar namunalari (parchalar)

10. 1 YAML (psevdo) - marketing tahlilchisi uchun ABAC

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL maskalash (g’oya)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Monitoring, jurnallar va alertlar

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.
KRIs:’purpose’= 0; oynadan tashqarida Highly Restricted’ga urinishlar; muvaffaqiyatsiz bo’lgan SoD-tekshiruvlar ulushi; g’ayritabiiy tushirishlar.
KPI: JIT soʻrovlari% ≥ 80%; foydalanishni berishning o’rtacha vaqti ≤ 4 soat; 100% qayta sertifikatlash bilan qoplash.
SOAR-pleybuklar: tahdidlarda avto-sharh, tergov uchun chiptalar.

12) Talablarga muvofiqlik (qisqacha xarita)

GDPR/UK GDPR: minimallashtirish, Need-to-Know, DSAR muvofiqligi, PII auditi.
AML/KYC: MSK/sanktsiyalarga kirish - faqat o’qitilgan rollar uchun, qarorlar jurnali.
PCI DSS (agar qo’llash mumkin bo’lsa): to’lov zonasini segregatsiya qilish, PAN/CSCni saqlashni taqiqlash, alohida kalitlar/hosting.
ISO/ISMS: rasmiy kirish siyosati, yillik audit va testlar.

13) PACI

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Siyosat va SoDA/RCCCCCC
RBAC/ABAC modeliCCA/RRRRC
IDM/JIT/PAMIIA/RRICI
Qayta sertifikatlashCCARRRR
Eksport/yashirishCARRRCC

14) Etuklik metrikasi

Tanqidiy ma’lumotlar to’plamlarini ABAC qoidalari bilan qamrab olish ≥ 95%.
JIT sessiyalari/huquqlarning barcha oshirilishi ≥ 90%.
Offboarding bo’yicha kirishni chaqirib olish vaqti ≤ 15 daqiqa.
0 hodisalar «rol ≠ funksiya» (SoD).
100% kirish jurnallari mavjud va tasdiqlangan (imzo/xesh).

15) Chek-varaqlar

15. 1 Kirishdan oldin

  • Aniqlangan purpose, muddat va ma’lumotlar egasi
  • SoD/yurisdiksiyalar tekshiruvi o’tdi
  • Minimal shopping/kamuflyaj kiritilgan
  • MFA/MDM/tarmoq shartlariga rioya qilindi
  • Jurnallash va qayta ko’rib chiqish sanasi sozlangan

15. 2 Har choraklik sharh

  • Guruhlar va rollarni tashkiliy tuzilma bilan solishtirish
  • «Osilgan» huquqlarni avtomatik qaytarib olish
  • Gʻayritabiiy eksport va break-glass
  • Ta’lim va test-alertlar

16) Namunaviy stsenariylar va chora-tadbirlar

A) «VIP-menejer» ning yangi roli

VIP profillariga kirish (niqoblangan), eksport qilish taqiqlangan, bir martalik KYC koʻrish uchun JIT.

B) Vendor-audit BI

PIIsiz vitrinalarga read-only, vaqtinchalik VPN + allow-list, mahalliy saqlash taqiqlangan, tushirish jurnali.

C) DevOps prod-DBga shoshilinch kirish

break-glass ≤ 30 daqiqa, sessiya yozuvi, qoidabuzarlik holatlarida DPO/Compliance, CAPA bilan post-revyu.

17) Joriy etish yo’l xaritasi

1-2 haftalar: ma’lumotlar/tizimlar inventarizatsiyasi, ma’lumotlar klasslari, bazaviy RBAC-matritsasi, SoD.
3-4 haftalar: ABAC (birinchi atributlar: muhit, geo, ma’lumotlar sinfi), IDM-oqimlar, JIT/break-glass, PAMni joriy etish.
2-oy: to’lov va KYC-perimetri segmentatsiyasi, alohida kalitlar/KMS, eksport jurnallari, SOAR-alertlar.
3 + oy: choraklik qayta sertifikatlash, atributlarni kengaytirish (qurilma/xavf), niqoblashni avtomatlashtirish, muntazam o’quv mashg’ulotlari.

TL; DR

Ishonchli kirish modeli = ma’lumotlar tasnifi → RBAC + ABAC → SoD + JIT/PAM → qattiq segmentatsiya → jurnallar va alertlar. Bu sizib chiqish va suiiste’mol qilish ehtimolini kamaytiradi, auditni tezlashtiradi va platformani GDPR/AML/PCI va ichki standartlar chegarasida saqlaydi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.