GH GambleHub

SOC 2: Kontrollkriterien für die Sicherheit

1) SOC 2 auf den Punkt gebracht

SOC 2 ist eine unabhängige Bewertung, wie eine Organisation (Design) entwirft und (Operating) Kontrollen gemäß Trust Services Criteria (TSC) AICPA durchführt.
Bei iGaming erhöht dies das Vertrauen der Aufsichtsbehörden/Banken/PSPs/Partner und vereinfacht TPRM.

Berichtstypen:
  • Typ I - ein momentaner Zustand (zu einem bestimmten Datum): ob die Kontrollen korrekt ausgelegt sind.
  • Typ II - für den Zeitraum (in der Regel 6-12 Monate): ob die Kontrollen in der Praxis stabil arbeiten (mit Proben).

2) Trust Services Criteria (TSC) und wie man sie liest

Die Basis-Domain ist Security (Common Criteria). Der Rest wird optional zum Bereich hinzugefügt:
KriteriumDas ZielBeispiele für Auditorenfragen
Security (CC)Schutz vor unbefugtem ZugriffMFA, RBAC/ABAC, SoD, Protokolle, Schwachstellenmanagement
AvailabilityVerfügbarkeit nach ZielenDR/BCP, RTO/RPO, SLO-Überwachung, Incident Management
ConfidentialitySchutz sensibler DatenKlassifizierung, Verschlüsselung, Maskierung, Exportkontrollen
Processing IntegrityVollständigkeit/Genauigkeit/Aktualität der VerarbeitungDatenqualitätskontrolle, Abstimmungen, End-to-End-Tests
PrivacyDatenschutz-Zyklus für PIIRechtsgrundlage, RoPA, DSAR, Retention, CMP

3) Steuerungsmodell und Pflichtelemente (Security - CC)

Governance & Risk: IB-Politik, Risikoregister, Ziele, Rollen/RACI, Training.
Zugangskontrolle: RBAC/ABAC, SoD, JIT/PAM, Passwörter/MFA, SCIM/IGA-Vorführung, Offboarding ≤ 15 Min.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-Scan, CAB, Deploy Logs, Rollbacks.
Logging & Monitoring: zentrale Protokolle (WORM + Signatur), SIEM/SOAR, Alerts per KRI.
Vuln & Patch: Erkennungs-/Klassifizierungsprozess, SLA auf High/Critical, Deployment-Bestätigung.
Incident Response: Playbook, RACI, Kriegsraum, Postmortems und CAPA.
Vendor/TPRM: Due Diligence, DPA/SLA, Prüfungsrecht, Vendor Monitoring.

4) Erweiterte Kriterien (A, C, PI, P)

Availability (A)

SLO/SLA und Dashboards; DR/BCP (RTO/RPO), jährliche Tests; Kapazität/Cross-Region; Incident-Prozess nach Verfügbarkeit.

Confidentiality (C)

Klassifizierung der Daten; Verschlüsselung at rest/in transit (KMS/HSM); Tokenisierung von PII; Kontrolle der Ausfuhren (Unterschrift, Logbuch); retention.

Processing Integrity (PI)

Datenqualitätskontrolle: Schemata/Validierung, Deduplizierung, Reconciliation; Überwachung der Ausführung von Aufgaben; Verwaltung von Änderungen an Pipelines.

Privacy (P)

Datenschutzpolitik; RoPA/Rechtsgrundlage; GMR/Zustimmung; DPIA/DSAR; Maskierung/Retention; Tracker/SDK-Prüfung.

5) SOC 2 Mupping ↔ Ihre Richtlinien/Kontrollen

ISO 27001/ISMS → deckt die Grundlagen von CC ab (Risikomanagement, Richtlinien, Protokolle, Schwachstellen).
ISO 27701/PIMS → schließt viele Datenschutzkriterien ab.
Interne Abschnitte: RBAC/Least Privilege, Password Policy und MFA, Log Policy, Incidents, TPRM, DR/BCP - direkt auf TSC gemustert.

💡 Es wird empfohlen, eine Compliance-Matrix zu erstellen: „TSC-Klausel → Politik/Verfahren → Kontrolle → Metrik → evidence“.

6) Katalog der Kontrollen und Beispiele evidences

Für jede Kontrolle: ID, Zweck, Besitzer, Frequenz, Methode (automatisch/manuell), Beweisquellen.

Beispiele (Fragment):
  • „SEC-ACCESS-01“ - MFA für Admin-Zugriffe → IdP-Bericht, Einstellungseinblendungen, Log-Sampling.
  • „SEC-IGA-02“ - Offboarding ≤ 15 min → SCIM-Protokolle, Entlassungsscheine, Sperrprotokoll.
  • „SEC-LOG-05“ - Unveränderliche Protokolle (WORM) → Configs, Hash-Ketten, Export von Stichproben.
  • „AVAIL-DR-01“ - Jährlicher DR-Test → Testprotokoll, tatsächliche RTO/RPO.
  • „CONF-ENC-03“ - KMS/HSM Schlüsselmanagement → Rotationspolitik, KMS-Audit.
  • „PI-DATA-02“ - Reconciliation für Zahlungen → Abstimmungsberichte, Vorfälle, CAPA.
  • „PRIV-DSAR-01“ - SLA durch DSAR → Anforderungsregister, Zeitstempel, Antwortvorlagen.

7) Verfahren (SOP) zur Aufrechterhaltung von SOC 2

SOP-1 Die Zwischenfälle: detekt → triage → containment → RCA → CAPA → der Bericht.
SOP-2 Change Management: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 Schwachstellen: intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk des Berichts.
SOP-4 Zugänge: JML/IGA, vierteljährliche Re-Zertifizierung, SoD-Blöcke, JIT/PAM.
DR/BCP- SOP-5: jährliche Tests, Teilübungen, Veröffentlichung von RTO/RPO-Fakten.
SOP-6 Exporte/Datenschutz: whitelists, Signatur/log, retention/Löschungen.

8) Prüfungsvorbereitung: Typ I → Typ II

1. Gap-Analyse TSC: Beschichtungsmatrix, Liste der fehlenden Kontrollen.
2. Richtlinien und Verfahren: aktualisieren, Eigentümer zuweisen.
3. Einheitlicher evidence-Speicher: Protokolle, IdP/SIEM-Berichte, Tickets, Export von Samples (mit Signaturen).
4. Internal Readiness Audit: Durchführung des Auditor-Fragebogens, Erfassung der Stichproben.
5. Typ I (Datum X): Zeigen Sie das Design der Kontrollen und die Tatsache der Einführung.
6. Beobachtungszeitraum (6-12 Monate): kontinuierliche Sammlung von Artefakten, Schließung von Funden.
7. Typ II: Bereitstellung von Stichproben für den Zeitraum, Bericht über die operative Effizienz.

9) Metriken (KPI/KRI) für SOC 2

KPI:
  • MFA-Adoption (Admins/kritische Rollen) = 100%
  • Offboarding TTR ≤ 15 min
  • Patch SLA High/Critical ≥ 95% termingerecht geschlossen
  • DR-Tests: Plan-Plan-Ausführung = 100%, tatsächliche RTO/RPO normal
  • Coverage Logging (WORM) ≥ 95% der kritischen Systeme
KRI:
  • Zugang zur PII ohne' purpose'= 0
  • Verstöße gegen die SoD = 0
  • Vorfälle werden später als Vorschriften gemeldet = 0
  • Wiederholte Schwachstellen High/Critical> 5% - Eskalation

10) RACI (vergrößert)

AktivitätBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
Bereich SOC 2A/RRCCCCCCI
Verzeichnis der KontrollenIA/RRCRRRCI
Evidence-AufbewahrungsortIA/RRRRRRCI
Bereitschaft/intern. AuditIRRRRRRCA/R
Externes AuditIRRRRRRCI
SARA/RemediationIA/RRRRRRCC

11) Checklisten

11. 1 Bereitschaft (vor Typ I)

  • Umfang (TSC und Systeme) festgelegt
  • Richtlinien/Verfahren sind aktuell und genehmigt
  • Kontrollinhaber und Metriken zugewiesen
  • Prototyp evidence storage ready (Protokolle, IdP/SIEM-Berichte, Tickets)
  • Vorfall Tablette und DR-Mini-Test durchgeführt
  • Risiken und SoD-Matrix bestätigt

11. 2 Beobachtungszeitraum (zwischen I und II)

  • Wöchentliche Sammlung von Stichproben/Logexporten
  • Monatlicher KPI/KRI-Bericht
  • Schließen von Schwachstellen im SLA
  • Vierteljährliche Re-Zertifizierung der Rechte
  • DR/BCP-Test nach Plan

11. 3 Vor Typ II

  • Vollständiger Satz evidence für den Zeitraum (für jede Kontrolle)
  • Incident/Vulnerability Registry und CAPA
  • Management Review Report (Periodenergebnisse)
  • Aktualisierte Mapping-Matrix TSC↔kontroli

12) Häufige Fehler und wie man sie vermeidet

„Policies without practice“: Zeigen Sie Protokolle, Tickets, DR/Incident-Protokolle - nicht nur Dokumente.
Schwache Protokollierung: Ohne WORM/Signaturen und klare Ereignissemantik ist das Audit schwieriger.
Keine Re-Zertifizierung der Rechte: Das Risiko von „hängenden“ Zugriffen ist ein kritischer Nachteil.
Unvollständige Scope-Anbieter: SOC 2 sieht die Kette - fügen Sie TPRM, DPA/SLA, Audit-Rechte.
Einmaliger Sprung ohne Routine: Implementieren Sie SSM/Dashboards und monatliche Berichterstattung.

13) Roadmap (12-16 Wochen → Typ I, noch 6-12 Monate → Typ II)

Wochen 1-2: Gap-Analyse TSC, Scope, Eigentümer, Arbeitsplan.
Woche 3-4: Aktualisierung der Richtlinien/Verfahren, Zusammenstellung des Kontrollkatalogs und der Mupping-Matrix.
Wochen 5-6: Konfigurieren von Protokollen (WORM/Signatur), SIEM/SOAR, Schwachstellen/SLA-Patches, IdP/MFA, IGA/JML.
Woche 7-8: DR/BCP-Mindesttests, TPRM-Updates (DPA/SLA), Störfallprobe.
Woche 9-10: evidence-storage, KPI/KRI-Reporting, internes Readiness-Audit.
Woche 11-12: Letzte Änderungen, Auditor-Reservierung, Typ I.
Nächste: wöchentliche Sammlung von Artefakten, vierteljährliche Revue → Typ II am Ende des Zeitraums.

TL; DR

SOC 2 = klar Scope TSC → der Katalog kontrolej mit den Eigentümern und den Metriken → evidence nach Design und Operating → ununterbrochen логи/SIEM/IGA/DR/TPRM → Readiness → Type I → die Periode der Beobachtung → Type II. Machen Sie "Beweisbarkeit als Voreinstellung" - und das Audit wird ohne Überraschungen gehen.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.