SOC 2:安全基准标准
1) SOC 2简而言之
SOC 2是根据AICPA信托服务标准(TSC)对组织设计(设计)和执行(运营)控制方式的独立评估。
在iGaming中,这增加了监管机构/银行/PSP/合作伙伴的信心,并简化了TPRM。
- I型是一种即时状态(特定日期):控制是否正确设计。
- II型-一段时间(通常为6-12个月):控制在实践中是否稳定(带有样本)。
2)Trust Services Criteria(TSC)及其阅读方式
基本域是安全性(Common Criteria)。其余部分可选地添加到区域中:3)管理模式和强制性要素(安全-CC)
政府与风险:IB政策,风险注册表,目标,角色/RACI,培训。
访问控制:RBAC/ABAC,SoD,JIT/PAM,密码/MFA,SCIM/IGA provigening,离岸≤ 15分钟。
更改和SDLC:DevSecOps,SAST/DAST/DS,IaC扫描,CAB,降级日志,回滚。
记录与监控:集中式识别(WORM+签名),SIEM/SOAR, KRI等级。
Vuln&Patch:识别/分类过程,High/Critical上的SLA,部署确认。
事件反应:剧本,RACI,战争室,验尸和CAPA。
Vendor/TPRM:尽职调查,DPA/SLA,审计权,供应商监控。
4)高级标准(A, C, PI, P)
Availability (A)
SLO/SLA和dashbords;DR/BCP(RTO/RPO),年度测试;容量/跨区域;无障碍事件过程。
Confidentiality (C)
数据分类;在rest/in transit加密(KMS/HSM);PII令牌化;出口管制(签名,日志);重建。
Processing Integrity (PI)
数据质量控制:电路/验证、重复数据消除、恢复;控制任务启动;管理管线变更。
Privacy (P)
隐私政策;RoPA/合法理由;SMR/同意;DPIA/DSAR;伪装/重建;跟踪器/SDK审核。
5) Mapping SOC 2 ↔您的策略/控制
ISO 27001/ISMS →涵盖了CC(风险管理,政策,逻辑,漏洞)的基础。
ISO 27701/PIMS →关闭许多隐私标准。
内部部分:RBAC/Least Privilege,密码政策和MFA,博客政策,事件,TPRM,DR/BCP-直接在TSC上绘制。
6)控制目录和示例evidences
对于每个控制:ID,目标,所有者,频率,方法(自动/手动),证据来源。
示例(片段):- "SEC-ACCESS-01"-Admin Access的MFA → IdP报告,设置屏幕和日志样本。
- "SEC-IGA-02"-离开≤ 15分钟→ SCIM标志,裁员提要,锁定日志。
- "SEC-LOG-05"-不变期刊(WORM)→ configa,哈希链,样本导出。
- 'AVAIL-DR-01'-年度DR测试→测试协议,实际RTO/RPO。
- "CONF-ENC-03"-KMS/HSM密钥管理→轮换策略,KMS审核。
- "PI-DATA-02"-付款重新分配→对账报告,事件,CAPA。
- "PRIV-DSAR-01"-DSAR的SLA →查询注册表,时间戳和响应模式。
7)维持SOC 2的程序(SOP)
事件:triage containment RCA CAPA 报告。
SOP-2变更管理:PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy。
漏洞SOP-3:intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk报告。
SOP-4访问:JML/IGA,季度再认证,SoD块,JIT/PAM。
SOP-5 DR/BCP:年度测试,部分演习,RTO/RPO事实发布。
SOP-6出口/保密:白名单、签名/日志、转发/删除。
8)审核准备: Type I → Type II
1.TSC的盖子分析:涂层矩阵,缺失控制列表。
2.政策和程序:更新,指定所有者。
3.单一事件存储:logs, IdP/SIEM报告,tickets,样本导出(带签名)。
4.内部准备审计:审计员问卷的运行,样本的固定。
5.I型 (X日期):显示控制设计和启动事实。
6.观察期(6-12个月):不断收集文物,关闭发现。
7.Type II:提供期内样本,操作效率报告。
9)SOC 2的度量(KPI/KRI)
KPI:
MFA adoption (admins/关键角色)=100%
Offboarding TTR ≤ 15分钟
Patch SLA High/Critical按时关闭≥ 95%
DR测试: 执行计划图=100%,实际RTO/RPO正常
Coverage Loging (WORM) ≥ 95%的关键系统
KRI:
访问没有"purpose"=0的PII
SoD=0违规行为
事件在法规之后通知=0
重复漏洞High/Critical> 5%-升级
10)RACI(集合)
11)支票单
11.1 Readiness(在Type I之前)
- Scope (TSC和系统)固定
- 政策/程序是相关的,并得到批准
- 指定了控制和指标的所有者
- 原型evidence存储已准备就绪(日志、IdP/SIEM报告、字幕)
- 事件药丸和DR迷你测试进行
- 风险和SoD矩阵得到确认
11.2观察期(第一至二)
- 每周收集标本/出口
- KPI/KRI月度报告
- 关闭SLA中的漏洞
- 季度权利重新认证
- DR/BCP测试符合计划
11.3 Type II之前
- 期间(每项控制)的全套事件)
- 事件/漏洞注册表和CAPA
- 管理审查报告(期内结果)
- 更新的mapping矩阵TSC↔kontroli
12)频繁的错误以及如何避免错误
"没有实践的政策":显示徽章,字幕,DR/事件协议-不仅仅是文档。
弱逻辑:没有WORM/签名和明确的事件语义,审计就更加困难。
没有权利重新认证:"悬挂"出入的风险是一个关键的负数。
供应商不完整的Scope:SOC 2看到一个链条-添加TPRM,DPA/SLA,审计权限。
一次性跳跃无例程:引入SSM/dashbords和每月报告。
13)路线图(12至16周→ I型,另外6至12个月。→ II型)
第1周至第2周:TSC,Scope,所有者,工作计划的差距分析。
3-4周:更新策略/程序,收集控制目录和映射矩阵。
第5至第6周:设置逻辑(WORM/签名),SIEM/SOAR,SLA漏洞/补丁,IdP/MFA,IGA/JML。
第7周至第8周:DR/BCP最低测试,TPRM更新(DPA/SLA),事件排练。
第9-10周:事件存储,KPI/KRI报告,内部就绪审核。
第11-12周:最终编辑,审计员装甲,I型。
接下来: 每周收集文物,季度咆哮→ Type II.
TL;DR
SOC 2=清晰的Scope TSC 具有所有者和指标的控制目录 设计和运营 连续逻辑/SIEM/IGA/DR/TPRM Readiness Type I Type II惊喜。