קריטריון בקרת בטיחות 2 SOC:

1) SOC 2 על קצה המזלג

SOC 2 הוא הערכה בלתי תלויה של אופן תכנון הארגון (Design) וביצועו (Operating) על פי קריטריון שירותי הנאמנות של AICPA (Trust Services Criteria).
ב-iGaming, זה מגביר את הביטחון של הרגולטורים/בנקים/PSP/שותפים ומפשט את TPRM.

• סוג I - מצב מיידי אחד (לתאריך מסוים): האם הפקדים מתוכננים נכון.
• Type II - לתקופה (בדרך כלל 6-12 חודשים): האם הפקדים עובדים באופן קבוע (עם דגימות).

2) קריטריון שירותי אמון (TSC) וכיצד לקרוא אותם

3) מודל בקרה ואלמנטים מחייבים (ביטחון - CC)

סיכון ממשלתי: מדיניות אבטחת מידע, רישום סיכונים, מטרות, תפקידים/RACI, הכשרה.
בקרת גישה: RBAC/ABAC, SOD, JIT/PAM, סיסמאות/MFA, SCIM/IGA provisioning, offforming 15 min.
שינוי & SDLC: DevSecOps, SAST/DAST/DS, סריקת IAC, CAB, רישומי דלדול, רולבקים.
רישום וניטור: רישומים מרכזיים (תולעת + חתימה), SIEM/SOAR, התראות KRI.
Vuln & Patch - זהה/Classify Process, SLA ל- High/Critical Procession.
תגובת אירוע: ספר משחקים, RACI, חדר מלחמה, פוסט-מורטם וקאפ "א.
ספק/TPRM: בדיקת נאותות, DPA/SLA, זכות לביקורת, ניטור ספק.

4) קריטריונים מורחבים (A, C, PI, P)

זמינות (א)

SLO/SLA ולוחות מחוונים; DR/BCP (RTO/RPO), בדיקות שנתיות; קיבולת/אזור חוצה; תהליך תקרית זמינות.

סודיות (ג)

סיווג נתונים; הצפנה במנוחה/במעבר (KMS/HSM) PII tokenization; בקרת ייצוא (חתימה, יומן); שימור.

שלמות עיבוד (PI)

בקרת איכות נתונים: תוכניות/אימות, שכפול, פיוס; ניטור של סטארט-אפ משימה; לנהל שינויים לקווי צינורות.

פרטיות (P)

מדיניות פרטיות; ROPA/עילה חוקית; CIW/הסכמה; DPIA/DSAR; מיסוך/שימור; ביקורת גששים/SDK.

5) מיפוי SOC 2 ↔ המדיניות/בקרה שלך

ISO 27001/ISMS IS מכסה את הבסיס של CC (ניהול סיכונים, מדיניות, יומנים, נקודות תורפה).
ISO 27701/PIMS # סוגר קריטריונים רבים של פרטיות.
קטעים פנימיים: RBAC/Lest Privility, Password Policy ו-MFA, מדיניות יומן, תקריות, TPRM, DR/BCP - ישירות למיפוי TSC.

6) קטלוג פקדים ודוגמאות של ראיות

לכל בקרה: זיהוי, מטרה, בעלים, תדר, שיטה (אוטומטי/ידני), מקורות ראיות.

• 'SEC-ACCESS-01' - MFA עבור גישה לניהול access IDP # דו "ח, הקרנות של הגדרות, בחירת בולי עץ.
• 'SEC-IGA-02' - Offointing 15 דקות = יומני SCIM, כרטיסי פיטורים, חסימת יומן.
• 'SEC-LoG-05' - יומני Immutable (תולעת) = = תצורות, שרשראות חשיש, דגימות יצוא.
• 'Avail-DR-01' - פרוטוקול מבחן ד "ר.
• 'CONF-ENC-03' - KMS/HSM ניהול מפתח = מדיניות סיבוב, ביקורת KMS.
• פיוס תשלומים. דו ”חות פיוס, תקריות, קאפ” א.
• 'PRIV-DSAR-01' - SLA על ידי DSAR lash רישום שאילתה, תווי זמן, תבניות תגובה.

7) נהלים (SOPs) לשמור SOC 2

SOP-1 תקריות: זיהוי = מיון = מיון = בלימה = RCA # Ac.CAPA # דו "ח.
SOP-2 Change Management: PR # CI/CD # skany # CAB # pression # ניטור = אוטקט/פיקסי.
SOP-3 נקודות תורפה: intake # classifikatsiya # SLA # veriapikatsiya מדווח fiksa # vypusk.
גישה SOP-4: JML/IGA, הסמכה מחודשת רבעונית, חסימות SOD, JIT/PAM.
DR/BCP SOP-5: בדיקות שנתיות, תרגילים חלקיים, פרסום עובדות RTO/RPO.
SOP-6 יצוא/פרטיות: הלבנה, חתימה/רישום, שימור/מחיקה.

8) הכנה לביקורת: סוג I # Type II

1. ניתוח פערים: מטריצת ציפוי, רשימת פקדים חסרים.
2. מדיניות ונהלים: עדכון, מינוי בעלים.
3. אחסון ראיות אחיד: יומנים, דו "חות IDP/SIEM, כרטיסים, ייצוא דגימות (עם חתימות).
4. ביקורת מוכנות פנימית: ריצת שאלון ביקורת, לכידת דגימה.
5. סוג I (תאריך X): הצג את עיצוב הבקרה ואת עובדת ההשקה.
6. תקופת תצפית (6-12 חודשים): אוסף מתמשך של חפצים, סגירת ממצאים.
7. סוג II: לספק דגימות לתקופה, דו "ח יעילות תפעולית.

9) מטריצות (KPI/KRI) עבור SOC 2

• אימוץ MFA = 100%
• העלאה במטוס טי-אר, 15 דקות
• תיקון SLA גבוה/קריטי סגור 95% בזמן
• בדיקות DR: ביצוע של לוח זמנים = 100%, בפועל RTO/RPO נורמלי
• כיסוי באמצעות רישום (תולעת) - 95% מהמערכות הקריטיות

• גישת PII ללא ”מטרה” = 0
• הפרעות SoD = 0
• תקריות הודיעו מאוחר יותר מהתקנות = 0
• נקודות תורפה גבוהות/ביקורתיות> 5% - הסלמה

10) RACI (מוגדל)

11) רשימות בדיקה

11. 1 מוכנות (לפני סוג I)

היקף [ ] (TSC ומערכות) נעול

[ מדיניות/נהלים ] נוכחיים ומאושרים

[ ] בעלי בקרה ומדדים שהוקצו

[ אחסון ראיות ] אב טיפוס מוכן (יומנים, דוחות IDP/SIEM, כרטיסים)

[ ] לוח תקרית וד "ר מיני-מבחן שבוצע

[ סיכונים ] ומטריצת SoD אישרה

11. 2 תקופת מעקב (בין I ל II)

[ ] דגימה שבועית/יומן יצוא

[ ] הדו "ח החודשי של KPI/KRI

[ ] סגר פגיעות SLA

[ ] זכויות הרבעון מחדש

[ ] מבחן DR/BCP כמתוכנן

11. 3 לפני סוג II

[ ] שלמות של ראיות לתקופה (לכל בקרה)

[ ] רשומות תקריות/פגיעות ו ־ CAPA

דו "ח ביקורת ניהול [ ] (סיכומים תקופתיים)

[ ] מטריצת מיפוי מעודכנת TSC↔kontroli

12) טעויות תכופות וכיצד להימנע מהן

”מדיניות ללא אימון”: רישומי הופעות, כרטיסים, פרוטוקולי תקרית/DR - לא רק מסמכים.
רישום חלש: ללא חתימות של תולעת וסמנטיקה של אירועים ברורים, ביקורת קשה יותר.
אין אישור מחדש של זכויות: הסיכון של ”תלייה” גישה הוא מינוס קריטי.
SOC 2 רואה את השרשרת - הוספת TPRM, DPA/SLA, זכויות ביקורת.
אידיוט חד פעמי ללא שגרה: יישום לוחות JMA/Dashboard ודיווח חודשי.

13) מפת דרכים (12-16 שבועות # סוג I, 6-12 חודשים נוספים # Type II)

שבועות 1-2: ניתוח פער TSC, היקף, בעלים, תכנית עבודה.
שבועות 3-4: מדיניות עדכון/הליכים, לבנות ספריית בקרה ומטריצת מיפוי.
שבועות 5-6: הגדרת יומנים (תולעת/חתימה), SIEM/SOAR, SLA פגיעות/טלאים, IDP/MFA, IGA/JML.
שבועות 7-8: DR/BCP מינימום בדיקות, עדכוני TPRM (DPA/SLA), חזרות אירוע.
שבועות 9-10: אחסון ראיות, דיווח KPI/KRI, ביקורת מוכנות פנימית.

שבועות 11-12: עריכה סופית, הסתייגויות מבקר, סוג I

בהמשך: אוסף שבועי של חפצים, ביקורות רבעוניות של Type II בסוף התקופה.

TL; DR

SOC 2 = Squape TSC ברור = = הקטלוג של שליטה עם בעלים ומדידות = ראיות על Design & Operting Logs/SIEM/IGA/DR/TPRM _ Schiness # Type II הפתעות