گواهینامه های ایمنی و انطباق

چرا به آن نیاز دارید ؟

گواهینامه ها و گواهینامه ها تایید شیوه های ایمنی بالغ و کوتاه شدن چرخه علت سعی و کوشش، باز کردن دسترسی به بازارهای تنظیم شده و شرکای. نکته اصلی این نیست که «یک بار حسابرسی را منتقل کنید»، بلکه ایجاد یک سیستم کنترل مداوم با نقاط کنترل قابل اندازه گیری است.

نقشه چشم انداز (چه چیزی را انتخاب کنید و چه زمانی)

ISO/IEC 27001 - سیستم مدیریت امنیت اطلاعات (ISMS) «اسکلت» جهانی فرآیندها.

اضافات: ISO 27017 (ابر)، 27018 (حریم خصوصی در ابر)، 27701 (PIMS، حریم خصوصی)، 22301 (BCMS، پایداری).
SOC 2 (AICPA): نوع I (طراحی برای تاریخ) و نوع II (طراحی + بهره وری عملیاتی برای دوره، معمولا 3-12 ماه). معیارهای خدمات اعتماد: امنیت، در دسترس بودن، یکپارچگی پردازش، محرمانه بودن، حریم خصوصی.
PCI DSS (برای پردازش کارت): سطوح با حجم معامله، ROC/AOC شامل QSA، اسکن ASV سه ماهه، pentests و تقسیم منطقه CHD.
CSA STAR (سطح 1-3): اعلامیه/حسابرسی برای ارائه دهندگان ابر و خدمات.
علاوه بر این توسط حوزه: ISO 20000 (ITSM)، ISO 31000 (مدیریت ریسک)، ISO 37001 (ضد رشوه)، TISAX/ISAE 3402 (صنعت/امور مالی).
GDPR/حریم خصوصی: هیچ «گواهی GDPR» وجود ندارد ؛ اعمال ISO 27701 و ارزیابی های مستقل/کدهای رفتاری.

💡 قانون انتخاب: B2B SaaS/fintech → ISO 27001 + SOC 2 نوع II ؛ جریان پرداخت/کارت → PCI DSS همکاری نزدیک با PII → 27701 cloud focus → 27017/27018/CSA STAR.

صدور گواهینامه در مقابل صدور گواهینامه

صدور گواهینامه (ISO): یک سازمان معتبر یک گواهینامه 3 ساله با ممیزی نظارت سالانه صادر می کند.
ارزیابی (SOC 2): حسابرس مستقل گزارش (نظر) برای دوره صادر می کند ؛ شما سند را به مشتریان تحت NDA ارائه می دهید.
PCI DSS: تایید شده توسط ROC (گزارش انطباق) و AOC (گواهی انطباق)، یا SAQ برای حجم های کوچکتر.

موضوع: چگونه مرزها را مشخص کنیم

1. دارایی ها و فرایندها: محصولات، محیط ها (prod/stage)، مناطق، کلاس های داده (PII/finance/maps).
2. معماری فنی: ابر، VPC/VNet، Kubernetes، CI/CD، مدیریت مخفی، DWH/تجزیه و تحلیل.
3. مناطق سازمانی: دفاتر/از راه دور، پیمانکاران، پشتیبانی برون سپاری.
4. اشخاص ثالث: PSP، ارائه دهندگان محتوا، KYC/AML، ابر - مدل مسئولیت مشترک.
5. استثنائات: رفع چرا خارج از محدوده، و اقدامات جبرانی.

نقشه راه برای «نشان اول»

1. تجزیه و تحلیل شکاف در مقابل اهداف (27001/SOC 2/PCI).
2. مدیریت ریسک: روش شناسی، ثبت ریسک، برنامه پردازش، بیانیه کاربرد (ISO).

3. سیاست ها و نقش ها: امنیت اطلاعات/سیاست حفظ حریم خصوصی، طبقه بندی داده ها، دسترسی (IAM)، ورود به سیستم، پاسخ، BCM/DR

4. کنترل های فنی: رمزگذاری، شبکه ها (WAF/WAAP، DDoS)، آسیب پذیری ها/تکه ها، SDLC امن، پشتیبان گیری، نظارت.
5. پایه شواهد: مقررات، مجلات، تصاویر، آپلود، بلیط - ما ذخیره نسخه.

6. حسابرسی داخلی/ارزیابی آمادگی

7. ممیزی خارجی: مرحله 1 (بررسی اتصال) → مرحله 2 (کارایی/نمونه). برای SOC 2 نوع II - «دوره مشاهده».
8. نظارت/نگهداری: بررسی کنترل سه ماهه، حسابرسی نظارت سالانه (ISOs)، سالانه SOC به روز رسانی 2.

ماتریس تطبیق کنترل (قطعه مثال)

دامنه ها	ISO 27001 ضمیمه A	SOC 2 TSC	PCI DSS	نوع بازرسی/مصنوعات
مدیریت دسترسی	A.5، A.9	CC6 است. X	7, 8	RBAC/ABAC، JML، سیاهههای مربوط SCIM، حقوق بازنگری
رمزگذاری کردن	A.8	CC6 است. 1، CC6. 7	3	KMS/HSM، TLS 1. 2 +/mTLS، سیاست های کلیدی
آسیب پذیری ها/تکه	A.12، A.14	CC7 است. X	6, 11. 3	اسکن، MTTP، گزارش پنتست، ASV
سیاهههای مربوط/نظارت	A.5، A.8، A.12	CC7 است. X	10	SIEM/SOC، نگهداری، هشدارها و RCA
BCM/دکتر	A.5، A.17	A1. X	12	22301 برنامه، نتایج آزمون DR

آنچه حسابرس نشان می دهد (پرسش های معمول)

دسترسی: گزارش از IdP/IAM، سیاهههای مربوط JML، بررسی امتیاز.
اسرار: سیاست های KMS/Vault، تاریخ چرخش.
اسکن آسیب پذیری: آخرین گزارش ها، بلیط های اصلاح، مهلت های MTTP.
سیاهههای مربوط/هشدار: موارد حادثه، MTTD/MTTR، پس از مرگ.
تامین کنندگان: ثبت نام، DPIA/DTIA (اگر PII)، اقدامات قراردادی، ارزیابی ریسک.
آموزش و تست: شبیه سازی فیشینگ، آموزش امنیت اطلاعات، تایید.
BC/DR: نتایج آخرین تمرین، حقایق RTO/RPO.

پیروی مداوم

سیاست به عنوان کد: OPA/دروازه بان/Kyverno برای تخلیه ؛ «اجرای» در قوانین مهم.
نظارت بر کنترل مداوم (CCM): هر N دقیقه/ساعت (رمزگذاری سطل ها، پورت های باز، پوشش MFA) را بررسی می کند.
سیستم GRC: ثبت کنترل ها، صاحبان، وظایف و مهلت ها، معیارهای اتصال.
Single artifact hub: «شواهد» نسخه بندی شده و با یک ایست بازرسی مشخص شده است.
تولید خودکار گزارش ها: SoA، ثبت ریسک، اثربخشی کنترل، KPI/SLO توسط کنترل ها.

معیارهای انطباق و SLO

پوشش:٪ از کنترل ها با تأیید خودکار ؛٪ از دارایی ها در محدوده.
زمان پاسخ: بسته شدن درخواست حسابرسی p95 ≤ 5 روز کاری.
قابلیت اطمینان: «کنترل در منطقه سبز نیست» ≤ 1٪ از زمان در هر ماه.
آسیب پذیری ها: MTTP P1 ≤ 48 ساعت، P2 ≤ 7 روز ؛ pentest اصلاح ≤ 30 روز.

آموزش امنیت اطلاعات: پوشش پرسنل ≥ 98٪، فرکانس 12 ماه

مخصوص ابر و کوبرنتیز

ابر: موجودی منابع (IaC)، رمزگذاری دیسک/کانال، ورود به سیستم (CloudTrail/Activity Logs)، نقش های حداقل. از گزارش های صدور گواهینامه ارائه دهنده (SOC 2، ISO، PCI) به عنوان بخشی از حفاظت «میراث» خود استفاده کنید.
Kubernetes: RBAC توسط فضای نام, سیاست پذیرش (امضای تصویر/SBOM, ممنوعیت ': آخرین'), سیاست های شبکه, اسرار خارج etcd (KMS), API حسابرسی سرور, اسکن پروفایل برای تصاویر/خوشه.
شبکه ها و محیط: WAF/WAAP، DDoS، تقسیم بندی، ZTNA به جای VPN «گسترده».

PCI DSS (پالایش رسانه های پرداخت)

تقسیم بندی منطقه CHD: حداقل سیستم در یک خوشه ؛ mTLS به PSP ؛ وب سایت ها - با HMAC.
اسکن ASV سه ماهه و pentests سالانه (از جمله تقسیم بندی).
سیاهههای مربوط و یکپارچگی: FIM، سیاهههای غیر قابل تغییر، زمان تحت مهر و موم (NTP).
اسناد: سیاست ها، نمودار جریان نمودار، AOC/ROC، روش های حادثه.

💡 > حریم خصوصی (ISO 27701 + GDPR)

نقش ها: کنترل کننده/پردازنده، رجیستری پردازش، زمینه های قانونی.

DPIA/DTIA: حریم خصوصی و ارزیابی خطر انتقال مرزی

حقوق افراد: SLA برای پاسخ، ابزار فنی جستجو/حذف.
به حداقل رساندن/pseudonymization: الگوهای معماری و DLP.

مصنوعات (قالب های آماده - چه چیزی را در دست نگه دارید)

بیانیه کاربرد (SoA) با ضمیمه انگیزه ورود/خروج.
ماتریس کنترل (ISO↔SOC2↔PCI) با صاحبان و شواهد.
ثبت ریسک با روش (تاثیر/احتمال) و برنامه پردازش.
برنامه های BC/DR + پروتکل های تمرینات اخیر.
بسته SDLC امن: چک لیست بررسی، گزارش SAST/DAST، سیاست استقرار.
Due Diligence: پرسشنامه (SIG Lite/CAIQ)، ارزیابی ریسک، اقدامات قراردادی.

خطاهای رایج

حسابرسی به خاطر حسابرسی: هیچ فرآیند زنده، فقط پوشه های سیاست.
دامنه بیش از حد گسترده: گران تر می شود و تعمیر و نگهداری را پیچیده می کند. با «هسته ارزش» شروع کنید.
جمع آوری شواهد دستی: بدهی عملیاتی بالا ؛ خودکار CCM و آپلود.
کنترل بدون معیار: نمی تواند مدیریت شود (بدون SLO/صاحبان).

رژیم فراموش شده پس از صدور گواهینامه: چک های سه ماهه → شگفتی در نظارت

پیمانکاران خارج از حلقه: اشخاص ثالث منبع حوادث و «کارت قرمز» در حسابرسی می شوند.

چک لیست آمادگی (به اختصار)

دامنه، دارایی ها، صاحبان تعریف شده ؛ داده ها و نقشه جریان.
ثبت ریسک، SoA (برای ISO)، معیارهای خدمات اعتماد (برای SOC 2) به کنترل ها تجزیه می شوند.
سیاست ها، رویه ها، آموزش کارکنان اجرا می شود و به روز می شود.
کنترل خودکار (CCM)، داشبورد و هشدار متصل می شوند.
شواهد برای هر کنترل جمع آوری شده/نسخه.
حسابرسی داخلی انجام/آمادگی; شکافهای بحرانی حذف میشوند.
حسابرس/مقام منصوب، دوره مشاهده (SOC 2) یا مرحله 1/2 برنامه (ISO) موافقت کرد.
در محل پنتست/ASV (PCI)، طرح اصلاح و تایید رفع.

قالب های کوتاه

سیاست متریک برای کنترل (به عنوان مثال)

کنترل: «همه سطل PII KMS رمزگذاری شده است».
SLI:% سطل ها با قابلیت رمزگذاری.
هدف: ≥ 99 9%.
هشدار: هنگام سقوط <99. 9٪ بیش از 15 دقیقه → P2، مالک - رئیس پلت فرم.

ورود به سیستم شواهد (قطعه)

کنترل کردن	اثبات کردن	فرکانس ها	ذخیره سازی	مسئول
دسترسی به PII	صادرات SIEM در 90 روز	ماهانه	GRC/مرکز شواهد	رهبری SOC
چرخش اسرار	ورود به سیستم حسابرسی خرک + بلیط تغییر	هفتگی	جی آر سی	رهبری دوآپس

iGaming/fintech خاص

دامنه های با خطر بالا: پرداخت/پرداخت، ضد تقلب، backhoe، ادغام شریک - اولویت در مقابله و کنترل.
معیارهای کسب و کار: Time-to-Wallet, reg → deposit conversion - تأثیر حفاظت و حسابرسی را در نظر بگیرید.
منطقه ای بودن: الزامات اتحادیه اروپا/LATAM/آسیا - حسابداری برای انتقال مرزی، تنظیم کننده های محلی.
ارائه دهندگان محتوا/PSPs: علت سعی و کوشش اجباری, mTLS/HMAC, addenda حقوقی در داده ها.

مجموع

گواهینامه ها نتیجه نظم و انضباط و اتوماسیون هستند: مدیریت ریسک، سیاست های زندگی، کنترل های قابل اندازه گیری و آمادگی مداوم. مجموعه مناسب را انتخاب کنید (ISO 27001/27701/22301، SOC 2 Type II، PCI DSS، CSA STAR)، یک محدوده را مشخص کنید، چک های خودکار (CCM/Policy-as-Code)، مصنوعات را به ترتیب و اندازه گیری SLO - به این ترتیب انطباق قابل پیش بینی خواهد شد و از رشد محصول پشتیبانی می کند، نه ترمز بر روی آن.