GH GambleHub

SOC 2: Κριτήρια ελέγχου της ασφάλειας

1) SOC 2 εν ολίγοις

Το SOC 2 είναι μια ανεξάρτητη αξιολόγηση του τρόπου με τον οποίο ένας οργανισμός σχεδιάζει (σχεδιάζει) και εκτελεί (λειτουργεί) ελέγχους σύμφωνα με τα κριτήρια του AICPA Trust Services (TSC).
Στο iGaming, αυτό αυξάνει την εμπιστοσύνη των ρυθμιστικών αρχών/τραπεζών/PSP/εταίρων και απλοποιεί το TPRM.

Τύποι εκθέσεων:
  • Τύπος I - μια στιγμιαία κατάσταση (για συγκεκριμένη ημερομηνία): εάν τα χειριστήρια είναι σωστά σχεδιασμένα.
  • Τύπος II - για την περίοδο (συνήθως 6-12 μήνες): οι έλεγχοι λειτουργούν σταθερά στην πράξη (με δείγματα).

2) Κριτήρια υπηρεσιών εμπιστοσύνης (TSC) και τρόπος ανάγνωσής τους

Ο βασικός τομέας είναι η ασφάλεια (κοινά κριτήρια). Τα υπόλοιπα προστίθενται προαιρετικά στην περιοχή:
ΚριτήριοΣκοπόςΠαραδείγματα ερωτήσεων του ελεγκτή
Ασφάλεια (ΥΝ)Προστασία από μη εξουσιοδοτημένη πρόσβασηMFA, RBAC/ABAC, SoD, αρχεία καταγραφής, διαχείριση τρωτότητας
ΔιαθεσιμότηταΔιαθεσιμότητα ανά στόχοDR/BCP, RTO/RPO, παρακολούθηση SLO, διαχείριση συμβάντων
ΕμπιστευτικότηταΠροστασία ευαίσθητων δεδομένωνΤαξινόμηση, κρυπτογράφηση, συγκάλυψη, έλεγχοι εξαγωγών
Ακεραιότητα επεξεργασίαςΠληρότητα/ακρίβεια/επικαιρότητα της επεξεργασίαςΈλεγχος ποιότητας δεδομένων, αντιπαραβολές, διατερματικές δοκιμές
Προστασία της ιδιωτικής ζωήςΒρόχος προστασίας της ιδιωτικής ζωής PIIΝόμιμοι λόγοι, RoPA, DSAR, κατακράτηση, CMP

3) Μοντέλο ελέγχου και υποχρεωτικά στοιχεία (Ασφάλεια - ΥΝ)

Διακυβέρνηση και κίνδυνος: πολιτική ασφάλειας πληροφοριών, μητρώο κινδύνων, στόχοι, ρόλοι/ΠΓΣ, κατάρτιση.
Έλεγχος πρόσβασης: RBAC/ABAC, SoD, JIT/PAM, κωδικοί πρόσβασης/MFA, SCIM/IGA πρόβλεψη, εκτός επιβίβασης 15 λεπτά.
Αλλαγή & SDLC: DevSecOps, SAST/DAST/DS, σάρωση IaC, CAB, αρχεία καταγραφής εξάντλησης, rollbacks.
Καταγραφή & Παρακολούθηση: κεντρικά αρχεία καταγραφής (WORM + υπογραφή), SIEM/SOAR, καταχωρίσεις KRI.
Vuln & Patch - Προσδιορίστε/Ταξινομήστε τη διαδικασία, SLA σε υψηλή/κρίσιμη, επιβεβαιώστε την ανάπτυξη.
Απάντηση περιστατικού: playbook, RACI, αίθουσα πολέμου, μεταθανάτια και CAPAs.
Πωλητής/TPRM: δέουσα επιμέλεια, DPA/SLA, δικαίωμα ελέγχου, παρακολούθηση πωλητών.

4) Εκτεταμένα κριτήρια (A, C, PI, P)

Διαθεσιμότητα (A)

SLO/SLA και ταμπλό· DR/BCP (RTO/RPO), ετήσιες δοκιμές· ικανότητα/διαπεριφερειακή ικανότητα· διαδικασία συμβάντος διαθεσιμότητας.

Εμπιστευτικότητα (Γ)

Ταξινόμηση δεδομένων. Κρυπτογράφηση σε ηρεμία/σε διαμετακόμιση (KMS/HSM) μαρκαρίσματος PII. έλεγχος εξαγωγών (υπογραφή, ημερολόγιο)· διατήρηση.

Ακεραιότητα επεξεργασίας (PI)

Έλεγχος της ποιότητας των δεδομένων: συστήματα/επικυρώσεις, αποπροσανατολισμός, αντιπαραβολή· παρακολούθηση της έναρξης των εργασιών· Διαχείριση αλλαγών στους αγωγούς.

Προστασία της ιδιωτικής ζωής (Π)

Πολιτική προστασίας της ιδιωτικής ζωής RoPA/νομικοί λόγοι· CIW/συγκατάθεση· DPIA/DSAR· κάλυψη/κατακράτηση· έλεγχος ιχνηλάτη/SDK.

5) Χαρτογράφηση SOC 2 ↔ τις πολιτικές/τους ελέγχους σας

Το ISO 27001/ISMS → καλύπτει τη βάση του ΥΝ (διαχείριση κινδύνων, πολιτικές, αρχεία καταγραφής, τρωτά σημεία).
Το ISO 27701/PIMS → κλείνει πολλά κριτήρια απορρήτου.
Εσωτερικά τμήματα: RBAC/Λιγότερο προνόμιο, Πολιτική κωδικών πρόσβασης και ΜΧΣ, Πολιτική καταγραφής, περιστατικά, TPRM, DR/BCP - που μπορούν να αντιστοιχιστούν άμεσα με την TSC.

💡 Συνιστάται η δημιουργία ενός πίνακα αντιστοιχίας: «TSC στοιχείο → πολιτική/διαδικασία → έλεγχος → → μέτρηση αποδεικτικών στοιχείων».

6) Κατάλογος ελέγχων και παραδείγματα αποδεικτικών στοιχείων

Για κάθε χειριστήριο: ταυτότητα, σκοπός, ιδιοκτήτης, συχνότητα, μέθοδος (αυτόματο/εγχειρίδιο), πηγές αποδεικτικών στοιχείων.

Παραδείγματα (θραύσματα):
  • «SEC-ACCESS-01» - ΜΧΣ για πρόσβαση σε διαχειριστές - έκθεση IdP, στιγμιότυπα οθόνης ρυθμίσεων, επιλογή αρχείων καταγραφής.
  • 'SEC-IGA-02' - Offboarding ≤ 15 λεπτά → αρχεία καταγραφής SCIM, εισιτήρια απόλυσης, ημερολόγιο εμπλοκής.
  • 'SEC-LOG-05' - Αμετάβλητα αρχεία καταγραφής (WORM) → διαμορφώσεις, αλυσίδες hash, δείγματα εξαγωγής.
  • 'AVAIL-DR-01' - Ετήσιο πρωτόκολλο δοκιμής DR, πραγματικό RTO/RPO.
  • «CONF-ENC-03» - Βασική πολιτική διαχείρισης → εναλλαγής KMS/HSM, έλεγχος KMS.
  • «PI-DATA-02» - Συμφωνία των εκθέσεων πληρωμών → συμφιλίωσης, συμβάντα, CAPA.
  • 'PRIV-DSAR-01' - SLA ανά μητρώο ερωτήσεων DSAR, χρονοσφραγίδες, πρότυπα απόκρισης.

7) Διαδικασίες (SOP) για τη διατήρηση του SOC 2

Περιστατικά: ανίχνευση τριπλασιασμός περιορισμός έκθεσης RCA CAPA.
Διαχείριση αλλαγών: .
Τρωτά σημεία: έκθεση .
Πρόσβαση: JML/IGA, τριμηνιαία επαναπιστοποίηση, SoD μπλοκ, JIT/PAM.
DR/BCP SOP-5: ετήσιες δοκιμές, μερικές ασκήσεις, δημοσίευση στοιχείων RTO/RPO.
Εξαγωγές/ιδιωτικότητα: whitelisting, υπογραφή/log, διατήρηση/διαγραφή.

8) Προετοιμασία του ελέγχου: Τύπος Ι - Τύπος ΙΙ

1. Ανάλυση κενού TSC: μήτρα επίχρισης, κατάλογος ελλειπόντων μαρτύρων.
2. Πολιτικές και διαδικασίες: ενημέρωση, διορισμός ιδιοκτητών.
3. Ενοποιημένη αποθήκευση αποδεικτικών στοιχείων: αρχεία καταγραφής, εκθέσεις IdP/SIEM, εισιτήρια, εξαγωγή δειγμάτων (με υπογραφές).
4. Εσωτερικός έλεγχος ετοιμότητας: διεξαγωγή ερωτηματολογίου ελέγχου, δειγματοληψία.
5. Τύπος I (ημερομηνία X): απεικόνιση του σχεδιασμού των χειριστηρίων και του γεγονότος της εκτόξευσης.
6. Περίοδος παρατήρησης (6-12 μήνες): συνεχής συλλογή αντικειμένων, κλείσιμο ευρημάτων.
7. Τύπος II: παροχή δειγμάτων για την περίοδο, έκθεση επιχειρησιακής απόδοσης.

9) Μετρήσεις (KPI/KRI) για το SOC 2

KPI:
  • Έγκριση ΜΧΣ = 100%
  • Offboarding TTR ≤ 15 λεπτά
  • Patch SLA Υψηλό/Κρίσιμο κλείσιμο ≥ 95% εγκαίρως
  • Δοκιμές DR: εκτέλεση του προγράμματος = 100%, πραγματική κανονική RTO/RPO
  • Κάλυψη με υλοτομία (WORM) ≥ 95% των κρίσιμων συστημάτων
KRI:
  • Πρόσβαση PII χωρίς «σκοπό» = 0
  • Διαταραχές του μεταβολισμού και της θρέψης 0
  • Περιστατικά που κοινοποιήθηκαν αργότερα από τους κανονισμούς = 0
  • Υψηλά/Κρίσιμα νέα τρωτά σημεία> 5% - κλιμάκωση

10) RACI (διευρυμένη)

ΔραστηριότηταΔιοικητικό Συμβούλιο/Διευθύνων ΣύμβουλοςCISO/ISMSΑσφάλειαΠροστασία της ιδιωτικής ζωής/ΥΠΔSRE/ITΔεδομένα/BIΠροϊόν/EngΝομική/συμμόρφωσηΕσωτερικός έλεγχος
Περιοχή SOC 2A/RRCCCCCCI
Κατάλογος ελέγχωνIA/RRCRRRCI
Αποθήκευση αποδεικτικών στοιχείωνIA/RRRRRRCI
Ετοιμότητα/εκχύλισμα έλεγχοςIRRRRRRCA/R
Εξωτερικός έλεγχοςIRRRRRRCI
CAPA/αποκατάστασηIA/RRRRRRCC

11) Κατάλογοι ελέγχου

11. 1 Ετοιμότητα (πριν από τον τύπο I)

  • Πεδίο εφαρμογής (TSC και συστήματα) κλειδωμένα
  • Τρέχουσες και εγκεκριμένες πολιτικές/διαδικασίες
  • Ιδιοκτήτες και μετρήσεις ελέγχου
  • Έτοιμη αποθήκευση πρωτότυπων αποδεικτικών στοιχείων (αρχεία καταγραφής, εκθέσεις IdP/SIEM, εισιτήρια)
  • Διεξαγωγή πινακίδας περιστατικού και μίνι δοκιμής DR
  • Επιβεβαιωμένοι κίνδυνοι και πίνακας SoD

11. 2 Περίοδος παρακολούθησης (μεταξύ I και II)

  • Εβδομαδιαία δειγματοληψία/καταγραφή εξαγωγής
  • Μηνιαία έκθεση KPI/KRI
  • Κλείσιμο ευπάθειας SLA
  • Επαναπιστοποίηση τριμηνιαίων δικαιωμάτων
  • δοκιμή DR/BCP όπως έχει προγραμματιστεί

11. 3 Πριν από τον τύπο ΙΙ

  • Πλήρες σύνολο αποδεικτικών στοιχείων ανά περίοδο (ανά έλεγχο)
  • Μητρώο περιστατικών/Τρωτότητας και CAPA
  • Έκθεση ανασκόπησης της διαχείρισης (σύνολα περιόδου)
  • Ενημερωμένος πίνακας χαρτογράφησης TSC↔kontroli

12) Συχνά λάθη και τρόπος αποφυγής τους

«Πολιτικές χωρίς πρακτική»: εμφάνιση αρχείων καταγραφής, εισιτηρίων, πρωτοκόλλων DR/συμβάντων - όχι μόνο εγγράφων.
Αδύνατη καταγραφή: χωρίς WORM/υπογραφές και σαφή σημασιολογία γεγονότων, ο έλεγχος είναι πιο δύσκολος.
Δεν υπάρχει εκ νέου πιστοποίηση των δικαιωμάτων: ο κίνδυνος «κρεμασμένης» πρόσβασης είναι κρίσιμος μείον.
Ελλιπές πεδίο εφαρμογής του προμηθευτή: το SOC 2 βλέπει την αλυσίδα - προσθήκη TPRM, DPA/SLA, δικαιωμάτων ελέγχου.
Εφάπαξ κόπανος χωρίς ρουτίνα: εφαρμογή JMA/ταμπλό και μηνιαία υποβολή εκθέσεων.

13) Χάρτης πορείας (12-16 εβδομάδες → Τύπος Ι, άλλοι 6-12 μήνες → Τύπος ΙΙ)

Εβδομάδες 1-2: Ανάλυση διαφορών TSC, πεδίο εφαρμογής, ιδιοκτήτες, πρόγραμμα εργασίας.
Εβδομάδες 3-4: επικαιροποίηση πολιτικών/διαδικασιών, δημιουργία καταλόγου ελέγχου και χαρτογράφηση πίνακα.
Εβδομάδες 5-6: δημιουργία αρχείων καταγραφής (WORM/υπογραφή), SIEM/SOAR, ευπάθειες/έμπλαστρα SLA, IdP/MFA, IGA/JML.
Εβδομάδες 7-8: Ελάχιστες δοκιμές DR/BCP, επικαιροποιήσεις TPRM (DPA/SLA), πρόβα περιστατικών.
Εβδομάδες 9-10: αποθήκευση αποδεικτικών στοιχείων, υποβολή εκθέσεων KPI/KRI, εσωτερικός έλεγχος ετοιμότητας.
Εβδομάδες 11-12: τελικές επεξεργασίες, κρατήσεις ελεγκτών, Τύπος Ι.
Επόμενος: εβδομαδιαία συλλογή αντικειμένων, τριμηνιαία ανασκόπηση τύπου ΙΙ στο τέλος της περιόδου.

TL· DR

SOC 2 = σαφές πεδίο εφαρμογής TSC τον κατάλογο ελέγχου με ιδιοκτήτες και μετρήσεις αποδεικτικά στοιχεία σχετικά με το σχεδιασμό και τη λειτουργία συνεχών αρχείων καταγραφής/SIEM/IGA/DR/TPRM Ετοιμότητα τύπου I η περίοδος παρατήρησης Τύπος II χωρίς εκπλήξεις.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.