GH GambleHub

SOC 2: Təhlükəsizlik nəzarət meyarları

1) SOC 2 iki sözlə

SOC 2 - təşkilatın Trust Services Criteria (TSC) AICPA-ya uyğun olaraq (Design) və (Operating) nəzarətlərini necə həyata keçirdiyini müstəqil qiymətləndirir.
iGaming-də bu, tənzimləyicilərin/bankların/PSP/tərəfdaşların etimadını artırır və TPRM-ni asanlaşdırır.

Hesabat növləri:
  • Type I - bir ani hal (müəyyən bir tarixdə): nəzarət düzgün dizayn edilib.
  • Type II - bir müddət ərzində (adətən 6-12 ay): nəzarət praktikada stabil işləyir (nümunələrlə).

2) Trust Services Criteria (TSC) və onları necə oxumaq olar

Əsas domen - Security (Common Criteria). Qalanları sahəyə əlavə olunur:
MeyarMəqsədAuditor suallarının nümunələri
Security (CC)Icazəsiz girişdən qorunmaMFA, RBAC/ABAC, SoD, jurnallar, boşluqların idarə edilməsi
AvailabilityMəqsədlər üçün əlçatanlıqDR/BCP, RTO/RPO, SLO monitorinqi, insident menecmenti
ConfidentialityMəxfi məlumatların qorunmasıTəsnifat, şifrələmə, maskalama, ixrac-nəzarət
Processing IntegrityTam/dəqiqlik/vaxtında emalMəlumat keyfiyyətinə nəzarət, yoxlamalar, sınaqlar
PrivacyPII üçün gizlilik dövrüQanuni əsaslar, RoPA, DSAR, Retenshn, CMP

3) Nəzarət modeli və məcburi elementlər (Security - CC)

Governance & Risk: İnformasiya Texnologiyaları Siyasəti, Risk Reyestri, Məqsədlər, Rollar/RACI, Təlim.
Access Control: RBAC/ABAC, SoD, JIT/PAM, parollar/MFA, SCIM/IGA provizinq, offboard ≤ 15 dəq.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-scan, CAB, deploy jurnalları, geri dönüşlər.
Logging & Monitoring: Mərkəzləşdirilmiş Logs (WORM + imza), SIEM/SOAR, KRI-lər.
Vuln & Patch: aşkarlama/təsnifat prosesi, High/Critical-da SLA, yerləşdirmə təsdiqi.
Incident Response: playbook, RACI, war-room, postmortems və CAPA.
Vendor/TPRM: due diligence, DPA/SLA, audit hüququ, satıcıların monitorinqi.

4) Genişləndirilmiş meyarlar (A, C, PI, P)

Availability (A)

SLO/SLA və dashboard; DR/BCP (RTO/RPO), illik testlər; tutum/kross-region; əlçatanlıq hadisələri prosesi.

Confidentiality (C)

Məlumatların təsnifatı; at rest/in transit şifrələmə (KMS/HSM); PII tokenizasiya; ixraca nəzarət (imza, jurnal); retenshn.

Processing Integrity (PI)

Məlumat keyfiyyətinə nəzarət: sxemlər/validasiya, deduplikasiya, reconciliation; tapşırıqların başlanmasına nəzarət; paylaynlarda dəyişikliklərin idarə edilməsi.

Privacy (P)

Gizlilik siyasəti; RoPA/qanuni əsaslar; SMR/razılıq; DPIA/DSAR; maskalama/retenshn; audit izləyiciləri/SDK.

5) Mapping SOC 2 Sizin siyasət/nəzarət

ISO 27001/ISMS → CC-nin əsasını əhatə edir (risklərin idarə edilməsi, siyasət, log, zəifliklər).
ISO 27701/PIMS → bir çox Gizlilik meyarlarını bağlayır.
Daxili bölmələr: RBAC/Least Privilege, Parol Siyasəti və MFA, Log Siyasəti, Insidentlər, TPRM, DR/BCP - birbaşa TSC-yə göndərilir.

💡 Uyğunluq matrisi tərtib etmək tövsiyə olunur: «TSC nöqtə → siyasət/prosedur → nəzarət → metrika → evidence».

6) Nəzarət kataloqu və evidences nümunələri

Hər bir nəzarət üçün: ID, hədəf, sahibi, tezlik, üsul (avtomatik/əl), sübut mənbələri.

Nümunələr (fraqment):
  • 'SEC-ACCESS-01' - MFA-da admin-access → IdP hesabatı, parametrlərin skrinshotları, log seçimi.
  • 'SEC-IGA-02' - Offboarding ≤ 15 dəq → SCIM-loqlar, ixtisar biletləri, bloklama jurnalı.
  • 'SEC-LOG-05' - Dəyişməz jurnallar (WORM) → konfiqlər, hash zəncirləri, nümunələrin ixracı.
  • 'AVAIL-DR-01' - İllik DR testi → test protokolu, faktiki RTO/RPO.
  • 'CONF-ENC-03' - KMS/HSM açar idarəetməsi → rotasiya siyasəti, KMS auditi.
  • 'PI-DATA-02' - Ödənişlər üzrə Reconciliation → Hesabatlar yoxlama, insidentlər, CAPA.
  • 'PRIV-DSAR-01' - DSAR → sorğu reyestri, vaxt tamponları, cavab şablonları ilə SLA.

7) SOC 2 saxlamaq üçün prosedurlar (SOP)

SOP-1 Hadisələr: Detekt → triage → containment → RCA → CAPA → hesabat.
SOP-2 Dəyişikliyin idarə edilməsi: PR → CI/CD → skan → CAB → deploy → monitorinq → geri/fiks.
SOP-3 Boşluqlar: intake → təsnifat → SLA → fix yoxlama → hesabat buraxılışı.
SOP-4 Accessories: JML/IGA, rüblük yenidən sertifikatlaşdırma, SoD blokları, JIT/PAM.
DR/BCP SOP-5: illik testlər, qismən təlimlər, RTO/RPO faktlarının yayımlanması.
SOP-6 İxrac/məxfilik: ağ siyahılar, imza/jurnal, retenshn/silinmə.

8) Audit hazırlığı: Type I → Type II

1. TSC-nin qapı analizi: örtük matrisi, çatışmayan nəzarətlərin siyahısı.
2. Siyasət və prosedurlar: yeniləmək, sahiblərini təyin etmək.
3. Vahid evidence saxlama: qeydlər, IdP/SIEM hesabatları, biletlər, nümunə ixracı (imzalarla).
4. Internal Readiness Audit: auditor sorğu vərəqəsinin keçidi, seçimi düzəltmək.
5. Type I (tarix X): nəzarət dizaynı və başlanğıc faktını göstərmək.
6. Müşahidə müddəti (6-12 ay): artefaktların davamlı toplanması, tapıntıların bağlanması.
7. Type II: dövr üçün nümunələr, əməliyyat səmərəliliyi hesabatı təqdim edin.

9) SOC 2 üçün metriklər (KPI/KRI)

KPI:
  • MFA adoption (admin/kritik rollar) = 100%
  • Offboarding TTR ≤ 15 dəq
  • Patch SLA High/Critical 95% ≥ bağlanıb
  • DR testləri: plan-qrafikin yerinə yetirilməsi = 100%, faktiki RTO/RPO normal
  • Kritik sistemlərin 95% -i ≥ Coverage Loging (WORM)
KRI:
  • 'purpose' = 0 olmadan PII-yə giriş
  • SoD = 0 pozuntuları
  • Hadisələr reqlamentlərdən sonra xəbərdar edilir = 0
  • High/Critical təkrar zəifliklər> 5% - eskalasiya

10) RACI (böyük)

AktivlikBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
SOC sahəsi 2A/RRCCCCCCI
Nəzarət kataloquIA/RRCRRRCI
Evidence-saxlamaIA/RRRRRRCI
Readiness/daxili. auditIRRRRRRCA/R
Xarici auditIRRRRRRCI
SARA/remediasiyaIA/RRRRRRCC

11) Çek vərəqləri

11. 1 Readiness (Type I-dən əvvəl)

  • Scope (TSC və sistemləri) sabit
  • Siyasət/prosedurlar aktualdır və təsdiqlənir
  • Təyin edilmiş nəzarət və metrika sahibləri
  • evidence saxlama prototipi hazırdır (qeydlər, IdP/SIEM hesabatları, biletlər)
  • Hadisə tablet və DR mini test aparılıb
  • Risklər və SoD matrisi təsdiq

11. 2 Müşahidə dövrü (I və II arasında)

  • Həftəlik yığım/ixrac log
  • KPI/KRI aylıq hesabatı
  • SLA-da zəifliklərin bağlanması
  • Rüblük yenidən sertifikatlaşdırma
  • DR/BCP test plana uyğun olaraq

11. 3 Əvvəlki Type II

  • evidence dövrü üçün tam dəsti (hər nəzarət üzrə)
  • Hadisələrin/zəifliklərin və CAPA reyestri
  • Management Review hesabatı (dövrün nəticələri)
  • Yenilənmiş Mapping Matrix TSC nəzarət

12) Tez-tez səhvlər və onlardan necə qaçmaq olar

«Təcrübəsiz siyasətçilər»: qeydləri, biletləri, DR/hadisə protokollarını göstərin - yalnız sənədlər deyil.
Zəif loging: WORM/imzalar və aydın semantika hadisələri olmadan audit daha mürəkkəbdir.
Hüquqların yenidən sertifikatlaşdırılması yoxdur: «asma» giriş riski kritik bir mənfi cəhətdir.
Natamam Scope satıcıları: SOC 2 bir zəncir görür - TPRM, DPA/SLA, audit hüquqları əlavə edin.
Rutinsiz birdəfəlik sıçrayış: SSM/dashboard və aylıq hesabat tətbiq edin.

13) Yol xəritəsi (12-16 həftə → Type I, daha 6-12 ay → Type II)

1-2 həftələr: TSC, Scope, sahibləri, iş planı.
Həftələr 3-4: siyasət/prosedurları yeniləyin, nəzarət kataloqunu və mapping matrisini toplayın.
5-6 həftələr: Logs (WORM/imza), SIEM/SOAR, boşluqlar/SLA yamalar, IdP/MFA, IGA/JML.
Həftələr 7-8: DR/BCP minimum testlər, TPRM yeniləmələri (DPA/SLA), hadisə məşqi.
9-10 həftələr: evidence-saxlama, KPI/KRI hesabatı, daxili readiness-audit.
11-12 həftələr: son düzəlişlər, auditor sifariş, Type I.
Sonrakı: artefaktların həftəlik toplanması, dövrün sonunda rüblük revyu → Type II.

TL; DR

SOC 2 = aydın Scope TSC → sahibləri və ölçülər ilə nəzarət kataloqu → evidence by Design & Operating → davamlı log/SIEM/IGA/DR/TPRM → Readiness → Type I → müşahidə müddəti → Type II. «default sübut» edin - və audit sürprizsiz keçəcək.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.