GH GambleHub

SOC 2: معايير مراقبة السلامة

1) SOC 2 باختصار

SOC 2 هو تقييم مستقل لكيفية تصميم المنظمة (التصميم) وتنفيذ الضوابط (التشغيل) وفقًا لمعايير خدمات الثقة AICPA (TSC).
في iGaming، يزيد هذا من ثقة المنظمين/البنوك/PSP/الشركاء ويبسط TPRM.

أنواع التقارير:
  • النوع الأول - حالة فورية واحدة (لتاريخ محدد): ما إذا كانت عناصر التحكم مصممة بشكل صحيح.
  • النوع الثاني - للفترة (عادة 6-12 أشهر): هل تعمل عناصر التحكم بشكل ثابت في الممارسة العملية (مع العينات).

2) معايير خدمات الثقة (TSC) وكيفية قراءتها

المجال الأساسي هو الأمن (المعايير المشتركة). يتم إضافة الباقي اختياريًا إلى المنطقة:
المعيارالغرضأمثلة على أسئلة مراجعي الحسابات
الأمن (CC)الحماية من الدخول غير المأذون بهMFA، RBAC/ABAC، SoD، جذوع الأشجار، إدارة نقاط الضعف
توافرالتوافر حسب الهدفDR/BCP، RTO/RPO، رصد SLO، إدارة الحوادث
السريةحماية البيانات الحساسةالتصنيف والتشفير والإخفاء وضوابط التصدير
نزاهة المعالجةاكتمال/دقة/حسن توقيت التجهيزمراقبة جودة البيانات، والتسويات، والاختبارات الشاملة
الخصوصيةحلقة خصوصية PIIأسباب مشروعة، RoPA، DSAR، الاحتفاظ، CMP

3) نموذج التحكم والعناصر الإلزامية (الأمن - القانون الجنائي)

الحوكمة والمخاطر: سياسة أمن المعلومات، وسجل المخاطر، والأهداف، والأدوار/RACI، والتدريب.
التحكم في الوصول: RBAC/ABAC، SoD، JIT/PAM، كلمات المرور/MFA، توفير SCIM/IGA، النقل إلى الخارج ≤ 15 دقيقة.
Change & SDLC: DevSecOps، SAST/DAST/DS، مسح IaC، CAB، سجلات الاستنفاد، التراجع.
قطع الأشجار والرصد: سجلات مركزية (توقيع WORM +)، تنبيهات SIEM/SOAR، KRI.
Vuln & Patch - تحديد/تصنيف العملية، SLA إلى High/Critical، تأكيد النشر.
الاستجابة للحوادث: كتاب قواعد اللعبة، RACI، غرفة الحرب، ما بعد الوفاة و CAPAs.
البائع/إدارة الموارد البشرية: بذل العناية الواجبة، وإدارة الشؤون السياسية/جيش تحرير السودان، والحق في مراجعة الحسابات، ورصد البائعين.

4) معايير موسعة (ألف وجيم وباء وباء وباء)

التوافر (أ)

وجيش تحرير السودان/جيش تحرير السودان ولوحات المتابعة ؛ DR/BCP (RTO/RPO)، الاختبارات السنوية ؛ القدرات/عبر المناطق ؛ عملية حوادث التوافر.

السرية (جيم)

تصنيف البيانات ؛ التشفير عند الراحة/أثناء العبور (KMS/HSM) ترميز PII ؛ ومراقبة الصادرات (توقيع، سجل) ؛ الاحتفاظ.

نزاهة المعالجة (PI)

مراقبة جودة البيانات: المخططات/عمليات التحقق، والتفريغ، والتسوية ؛ ورصد بدء المهام ؛ إدارة التغييرات في خطوط الأنابيب.

الخصوصية (P)

سياسة الخصوصية ؛ RoPA/الأسس القانونية ؛ CIW/الموافقة ؛ DPIA/DSAR; والإخفاء/الاحتفاظ ؛ تدقيق المتعقب/SDK.

5) رسم خرائط SOC 2 ↔ سياساتك/ضوابطك

وتغطي 27001/ISMS → للمنظمة الدولية لتوحيد المقاييس الأساس الذي تقوم عليه لجنة التنسيق (إدارة المخاطر، والسياسات، وجذوع الأشجار، ومواطن الضعف).
ISO 27701/PIMS → يغلق العديد من معايير الخصوصية.
الأقسام الداخلية: RBAC/Lest Privalege، سياسة كلمة المرور و MFA، سياسة تسجيل الدخول، الحوادث، TPRM، DR/BCP - قابلة للتخطيط مباشرة إلى TSC.

💡 يوصى بإنشاء مصفوفة مراسلة: «بند البرنامج التدريبي → السياسة/الإجراءات → الرقابة → → مقياس الأدلة».

6) فهرس الضوابط وأمثلة الأدلة

لكل رقابة: الهوية، والغرض، والمالك، والتردد، والطريقة (تلقائي/يدوي)، ومصادر الأدلة.

أمثلة (جزء):
  • «SEC-ACCESS-01» - MFA للوصول إلى الإدارة → تقرير IdP، لقطات شاشة للإعدادات، اختيار السجلات.
  • «SEC-IGA-02» - الإقلاع ≤ 15 دقيقة → سجلات SCIM، تذاكر الفصل، سجل الحظر.
  • «SEC-LOG-05» - تكوينات → جذوع الأشجار غير القابلة للتغيير (WORM)، وسلاسل التجزئة، وعينات التصدير.
  • «AVAIL-DR-01» - بروتوكول اختبار → اختبار DR السنوي، RTO/RPO الفعلي.
  • «CONF-ENC-03» - KMS/HSM الإدارة الرئيسية → سياسة التناوب، تدقيق KMS.
  • «PI-DATA-02» - تسوية المدفوعات → تقارير التسوية، الحوادث، CAPAs.
  • «PRIVICE-DSAR-01» - SLA by DSAR → سجل استعلام، طوابع زمنية، قوالب استجابة.

7) الإجراءات (SOPs) للحفاظ على SOC 2

SOP-1 الحوادث: الكشف → الفرز → الاحتواء → تقرير RCA → CAPA →.
SOP-2 Change Management: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 نقاط الضعف: التقرير intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk.
SOP-4 الوصول: JML/IGA، إعادة اعتماد ربع سنوية، كتل SoD، JIT/PAM.
DR/BCP SOP-5: اختبارات سنوية، تمارين جزئية، نشر حقائق RTO/RPO.
SOP-6 الصادرات/الخصوصية: القائمة البيضاء، التوقيع/السجل، الاحتفاظ/الحذف.

8) التحضير لمراجعة الحسابات: النوع الأول → النوع الثاني

1. تحليل فجوة TSC: مصفوفة الطلاء، قائمة الضوابط المفقودة.
2. السياسات والإجراءات: تحديث وتعيين المالكين.
3. تخزين الأدلة الموحدة: السجلات، وتقارير IdP/SIEM، والتذاكر، وتصدير العينات (مع التوقيعات).
4. مراجعة الجاهزية الداخلية: تشغيل استبيان مراجعة الحسابات، والتقاط العينات.
5. النوع الأول (التاريخ العاشر): يبين تصميم أجهزة التحكم وحقيقة الإطلاق.
6. فترة المراقبة (6-12 شهرا): جمع مستمر للقطع الأثرية، وإغلاق المكتشفات.
7. النوع الثاني: تقديم عينات عن الفترة، تقرير الكفاءة التشغيلية.

9) المقاييس (KPI/KRI) لـ SOC 2

KPI:
  • تبني MFA = 100٪
  • الإقلاع TTR ≤ 15 دقيقة
  • تم إغلاق Patch SLA High/Critical ≥ 95٪ في الوقت المحدد
  • اختبارات DR: تنفيذ الجدول = 100٪، RTO/RPO الفعلي طبيعي
  • التغطية بقطع الأشجار (WORM) ≥ 95٪ من الأنظمة الحرجة
KRI:
  • الوصول PII بدون «غرض» = 0
  • اضطرابات SoD = 0
  • الحوادث المبلغ عنها في وقت متأخر عن اللوائح = 0
  • نقاط الضعف العالية/الحرجة> 5٪ - التصعيد

10) RACI (موسع)

النشاطمجلس الإدارة/كبير الموظفين التنفيذيينCISO/ISMSالأمنالخصوصية/DPOSRE/ITالبيانات/البيانات الشخصيةالمنتج/المهندسالقانون/الامتثالالمراجعة الداخلية للحسابات
منطقة SOC 2A/RRجيمجيمجيمجيمجيمجيمأنا
فهرس الضوابطأناA/RRجيمRRRجيمأنا
تخزين الأدلةأناA/RRRRRRجيمأنا
الاستعداد/الهاتف الفرعي. مراجعة الحساباتأناRRRRRRجيمA/R
المراجعة الخارجية للحساباتأناRRRRRRجيمأنا
CAPA/الإصلاحأناA/RRRRRRجيمجيم

11) القوائم المرجعية

11. 1 الاستعداد (قبل النوع الأول)

  • النطاق (TSC والنظم) مقفل
  • السياسات/الإجراءات جارية ومعتمدة
  • ملاك المراقبة والمقاييس المخصصة
  • نموذج أولي لتخزين الأدلة جاهز (سجلات، تقارير IdP/SIEM، تذاكر)
  • إجراء اختبار صغير على طاولة الحادث و DR
  • تم تأكيد المخاطر ومصفوفة SoD

11. 2 فترة المتابعة (بين الأول والثاني)

  • أخذ العينات الأسبوعية/تصدير السجلات
  • تقرير KPI/KRI الشهري
  • إغلاق نقاط الضعف في جيش تحرير السودان
  • إعادة شهادة الحقوق الفصلية
  • اختبار DR/BCP كما هو مخطط

11. 3 قبل النوع الثاني

  • مجموعة كاملة من الأدلة لكل فترة (لكل مراقبة)
  • سجل الحوادث/الضعف و CAPA
  • تقرير استعراض الإدارة (مجاميع الفترة)
  • مصفوفة مستكملة لرسم الخرائط TSC↔kontroli

12) الأخطاء المتكررة وكيفية تجنبها

«السياسات بدون ممارسة»: عرض السجلات والتذاكر وبروتوكولات DR/الحوادث - وليس فقط المستندات.
ضعف قطع الأشجار: بدون التوقيعات/التوقيعات ووضوح دلالات الأحداث، يكون التدقيق أكثر صعوبة.
لا توجد إعادة التصديق على الحقوق: خطر الوصول «المعلق» هو ناقص حاسم.
نطاق البائع غير المكتمل: ترى SOC 2 السلسلة - أضف TPRM، DPA/SLA، حقوق مراجعة الحسابات.
رعشة لمرة واحدة بدون روتين: تنفيذ JMA/لوحات القيادة والتقارير الشهرية.

13) خارطة طريق (12-16 أسبوعًا → النوع الأول، 6-12 شهرًا أخرى → النوع الثاني)

الأسابيع 1-2: تحليل فجوة TSC، النطاق، المالكين، خطة العمل.
الأسابيع من 3 إلى 4: تحديث السياسات/الإجراءات، بناء دليل التحكم ومصفوفة رسم الخرائط.
الأسابيع 5-6: إعداد سجلات (WORM/signature)، SIEM/SOAR، نقاط ضعف/بقع SLA، IdP/MFA، IGA/JML.
الأسابيع 7-8: اختبارات DR/BCP الدنيا، تحديثات TPRM (DPA/SLA)، بروفة الحوادث.
الأسابيع 9-10: تخزين الأدلة، تقارير KPI/KRI، الاستعداد الداخلي - التدقيق.
الأسابيع 11-12: التعديلات النهائية، حجوزات المدقق، النوع الأول.
التالي: مجموعة أسبوعية من القطع الأثرية، استعراضات ربع سنوية → من النوع الثاني في نهاية الفترة.

TL; د

SOC 2 = Clease Scope TSC فهرس التحكم مع المالكين والمقاييس الأدلة على التصميم والتشغيل السجلات المستمرة/SIEM/IGA/DR/TPRM الاستعداد النوع الأول فترة المراقبة من النوع الثاني. قم «بإثبات افتراضيًا» - وسيتم التدقيق بدون مفاجآت.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.