SOC 2: معیارهای کنترل ایمنی

1) SOC 2 به طور خلاصه

SOC 2 یک ارزیابی مستقل از نحوه طراحی یک سازمان (طراحی) و اجرای (عملیات) کنترل با توجه به معیارهای خدمات اعتماد AICPA (TSC) است.
در iGaming، این اعتماد به نفس تنظیم کننده ها/بانک ها/PSP/شرکا را افزایش می دهد و TPRM را ساده می کند.

• نوع I - یک حالت لحظه ای (برای یک تاریخ خاص): آیا کنترل ها به درستی طراحی شده اند.
• نوع دوم - برای دوره (معمولا 6-12 ماه): انجام کار کنترل پایدار در عمل (با نمونه).

2) معیارهای خدمات اعتماد (TSC) و نحوه خواندن آنها

3) مدل کنترل و عناصر اجباری (امنیت - CC)

حکومتداری و ریسک: سیاست امنیت اطلاعات، ثبت ریسک، اهداف، نقش ها/RACI، آموزش.
کنترل دسترسی: RBAC/ABAC، SoD، JIT/PAM، کلمات عبور/MFA، ارائه SCIM/IGA، خروج ≤ 15 دقیقه.
تغییر و SDLC: DevSecOps، SAST/DAST/DS، اسکن IaC، CAB، سیاهههای مربوط به تخلیه، عقب نشینی.
ورود و نظارت: سیاهههای مربوط متمرکز (WORM + امضا)، SIEM/SOAR، هشدار KRI.
Vuln & Patch - شناسایی/طبقه بندی فرآیند، SLA به بالا/بحرانی، تایید استقرار.
پاسخ حادثه: playbook، RACI، اتاق جنگ، پس از مرگ و CAPA.
فروشنده/TPRM: علت سعی و کوشش, DPA/SLA, حق ممیزی, نظارت بر فروشنده.

4) معیارهای توسعه یافته (A، C، PI، P)

در دسترس بودن (A)

SLO/SLA و داشبورد ؛ DR/BCP (RTO/RPO)، آزمایشات سالانه ؛ ظرفیت/منطقه متقابل ؛ فرآیند حادثه در دسترس بودن

محرمانه بودن (C)

طبقه بندی داده ها ؛ رمزگذاری در حالت استراحت/حمل و نقل (KMS/HSM) نشانه گذاری PII ؛ کنترل صادرات (امضا، ورود به سیستم) ؛ حفظ و نگهداری

یکپارچگی پردازش (PI)

کنترل کیفیت داده ها: طرح/اعتبار سنجی، deduplication، آشتی ؛ نظارت بر شروع کار ؛ تغییرات در خطوط لوله را مدیریت کنید.

حریم خصوصی (P)

سیاست حفظ حریم خصوصی ؛ RoPA/دلایل قانونی ؛ CIW/رضایت ؛ DPIA/DSAR ؛ ماسک کردن/نگهداری ؛ ردیاب/SDK حسابرسی.

5) نقشه برداری SOC 2 ↔ سیاست ها/کنترل های خود را

ISO 27001/ISMS → اساس CC (مدیریت ریسک، سیاست ها، گزارش ها، آسیب پذیری ها) را پوشش می دهد.
ISO 27701/PIMS → بسیاری از معیارهای حریم خصوصی را بسته است.
بخش های داخلی: RBAC/حداقل امتیاز، سیاست رمز عبور و MFA، سیاست ورود به سیستم، حوادث، TPRM، DR/BCP - به طور مستقیم قابل برنامه ریزی به TSC.

6) کاتالوگ کنترل ها و نمونه هایی از شواهد

برای هر کنترل: شناسه، هدف، مالک، فرکانس، روش (خودکار/دستی)، منابع شواهد.

• 'SEC-ACCESS-01' - MFA برای دسترسی به مدیر → گزارش IdP، تصاویری از تنظیمات، انتخاب سیاهههای مربوط.
• 'SEC-IGA-02' - Offboarding ≤ 15 دقیقه → سیاهههای مربوط SCIM، بلیط اخراج، ورود به سیستم مسدود کردن.
• «SEC-LOG-05» - سیاهههای مربوط تغییر ناپذیر (WORM) → پیکربندی, زنجیره هش, نمونه صادرات.
• 'AVAIL-DR-01' - تست DR سالانه → پروتکل تست، RTO واقعی/RPO.
• 'CONF-ENC-03' - مدیریت کلید KMS/HSM → سیاست چرخش، حسابرسی KMS.
• 'PI-DATA-02' - آشتی پرداخت → گزارش های آشتی، حوادث، CAPAs.
• 'PRIV-DSAR-01' - SLA توسط DSAR → ثبت نام پرس و جو، برچسب زمان، قالب پاسخ.

7) روش ها (SOPs) برای حفظ SOC 2

حوادث SOP-1: تشخیص → تریاژ → مهار → RCA → گزارش CAPA →

مدیریت تغییر SOP-2: PR → CI/CD → skany → CAB → deploy → monitoring → otkat/fiksy.
آسیب پذیری های SOP-3 → klassifikatsiya → SLA → گزارش verifikatsiya fiksa → vypusk.
دسترسی های SOP-4: JML/IGA، صدور گواهینامه مجدد سه ماهه، بلوک های SoD، JIT/PAM.
SOP-5 DR/BCP: آزمایشات سالانه، تمرینات جزئی، انتشار حقایق RTO/RPO.
SOP-6 صادرات/حفظ حریم خصوصی: لیست سفید، امضا/ورود، حفظ/حذف.

8) آماده سازی برای ممیزی: نوع I → نوع II

1. تجزیه و تحلیل شکاف TSC: ماتریس پوشش، لیست کنترل های از دست رفته.
2. سیاست ها و روش ها: به روز رسانی، تعیین صاحبان.
3. ذخیره سازی شواهد یکپارچه: سیاهههای مربوط، گزارش IdP/SIEM، بلیط، صادرات نمونه (با امضا).
4. حسابرسی آمادگی داخلی: اجرای پرسشنامه حسابرسی، ضبط نمونه.
5. نوع I (تاریخ X): طراحی کنترل ها و واقعیت راه اندازی را نشان می دهد.
6. دوره مشاهده (6-12 ماه): جمع آوری مداوم مصنوعات، بسته شدن یافته ها.
7. نوع دوم: ارائه نمونه برای دوره، گزارش بهره وری عملیاتی.

9) معیارهای (KPI/KRI) برای SOC 2

• پذیرش MFA = 100٪
• TTR خروج ≤ 15 دقیقه
• پچ SLA بالا/بحرانی بسته ≥ 95٪ در زمان
• تست DR: اجرای برنامه = 100٪، واقعی RTO/RPO طبیعی است
• پوشش با ورود به سیستم (WORM) ≥ 95٪ از سیستم های بحرانی

• دسترسی PII بدون «هدف» = 0
• اختلالات SoD = 0
• حوادثی که دیرتر از مقررات گزارش شده اند = 0
• بالا/بحرانی دوباره آسیب پذیری> 5% - تشدید

10) RACI (بزرگ شده)

11) چک لیست

11. 1 آمادگی (قبل از نوع I)

• محدوده (TSC و سیستم ها) قفل شده است
• سیاست ها/روش ها در حال حاضر و تایید شده است
• صاحبان کنترل و معیارهای اختصاص داده شده
• نمونه اولیه ذخیره سازی شواهد آماده (سیاهههای مربوط، گزارش IdP/SIEM، بلیط)
• تبلت حادثه و DR مینی تست انجام شده است
• خطرات و ماتریس SoD تایید شده است

11. 2 دوره پیگیری (بین I و II)

• نمونه برداری هفتگی/صادرات ورود به سیستم
• گزارش ماهانه KPI/KRI
• بسته شدن آسیب پذیری SLA
• سه ماهه حقوق دوباره صدور گواهینامه
• آزمون DR/BCP به عنوان برنامه ریزی شده

11. 3 قبل از نوع دوم

• مجموعه کامل شواهد در هر دوره (در هر کنترل)
• حادثه/آسیب پذیری ثبت نام و کاپا
• گزارش بررسی مدیریت (مجموع دوره)
• ماتریس نقشه برداری به روز شده TSC↔kontroli

12) اشتباهات مکرر و چگونگی اجتناب از آنها

«سیاست بدون عمل»: نشان می دهد سیاهههای مربوط، بلیط، پروتکل DR/حادثه - نه تنها اسناد.
ورود به سیستم ضعیف: بدون WORM/signatures و معانی رویداد روشن، حسابرسی مشکل تر است.
هیچ تأیید مجددی از حقوق وجود ندارد: خطر دسترسی «حلق آویز» منفی است.
محدوده فروشنده ناقص: SOC 2 زنجیره را می بیند - TPRM، DPA/SLA، حقوق حسابرسی را اضافه کنید.
پرش یک بار بدون روال: پیاده سازی JMA/داشبورد و گزارش ماهانه.

13) نقشه راه (12-16 هفته → نوع I، 6-12 ماه دیگر → نوع II)

هفته 1-2: تجزیه و تحلیل شکاف TSC، دامنه، صاحبان، طرح کار.
هفته 3-4: به روز رسانی سیاست ها/روش ها، ساخت دایرکتوری کنترل و ماتریس نقشه برداری.
هفته 5-6: راه اندازی سیاهههای مربوط (WORM/امضا)، SIEM/SOAR، آسیب پذیری SLA/تکه، IdP/MFA، IGA/JML.
هفته 7-8: حداقل تست DR/BCP، به روز رسانی TPRM (DPA/SLA)، تمرین حادثه.
هفته 9-10: شواهد ذخیره سازی، گزارش KPI/KRI، آمادگی داخلی حسابرسی.

هفته 11-12: ویرایش نهایی، رزرو حسابرس، نوع I

بعدی: جمع آوری هفتگی مصنوعات، بررسی سه ماهه → نوع دوم در پایان دوره.

TL ؛ دکتر متخصص

SOC 2 = clear Scope TSC → the catalog of control with owners and metrics → evidence on Design & operating → continuous logs/SIEM/IGA/DR/TPRM → Readiness → Type I → the observation period → Type I. انجام «قابلیت اثبات به طور پیش فرض» - و ممیزی بدون شگفتی انجام خواهد شد.