תעודות בטיחות וציות

למה אתה צריך את זה?

תעודות ותעודות מאשרות פרקטיקות בטיחות בוגרות ומקצרות את מחזור בדיקת הנאותות, ופותחות גישה לשווקים ושותפים מפוקחים. המפתח הוא לא ”לעבור את הביקורת פעם אחת”, אלא לבנות מערכת בקרה רציפה עם נקודות בקרה ניתנות למדידה.

מפת נוף (מה לבחור ומתי)

ISO/IEC 27001 - מערכת ניהול אבטחת מידע (ISMS). ”שלד” אוניברסלי של תהליכים.

תוספות: ISO 27017 (ענן), 27018 (פרטיות בענן), 27701 (PIMS, פרטיות), 22301 (BCMS, קיימות).
SOC 2 (AICPA): סוג I (עיצוב לתאריך) ו-Type II (עיצוב + יעילות תפעולית לתקופה, בדרך כלל 3-12 חודשים). קריטריון שירותי אמון: ביטחון, זמינות, אמינות עיבוד, סודיות, פרטיות.
PCI DSS (לעיבוד קלפים): רמות לפי נפח העסקה, ROC/AOC הכולל את QSA, סריקות ASV רבעוניות, פנטסטים וסגמנט אזור CHD.
CSA STAR (רמה 1-3): הכרזה/ביקורת לספקי ענן ושירותים.
בנוסף על ידי תחומים: ISO 20000 (ITSM), ISO 31000 (ניהול סיכונים), ISO 37001 (אנטי שוחד), TISAX/ISAE 3402 (תעשייה/מימון).
GDPR/פרטיות: אין ”תעודת GDPR” ככזו; יישום ISO 27701 והערכות/קודי התנהגות בלתי תלויים.

💡 כלל בחירה: B2B SaaS/fintech # ISO 27001 + SOC 2 Type II; PCI DSS עובד בצמוד ל PII # 27701 ענן פוקוס = 27017/27018/CSA STAR.

הסמכה נגד הסמכה

גוף מוסמך נושא תעודה של 3 שנים עם ביקורת פיקוח שנתית.
הערכה (SOC 2): המבקר העצמאי מוציא דו "ח (חוות דעת) לתקופה; אתה מספק את המסמך ללקוחות תחת הסכם הסודיות.
PCI DSS: אושר על ידי ROC (Report on Complication) ו-AOC (Attestation of Complication).

היקף: כיצד להגדיר גבולות

1. נכסים ותהליכים: מוצרים, סביבות (prod/stage), אזורים, כיתות מידע (PII/finance/maps).
2. ארכיטקטורה טכנית: ענן, VPC/VNet, קוברנטס, CI/CD, ניהול סודי, DWH/Analytics.
3. אזורים ארגוניים: משרדים/מרוחקים, קבלנים, תמיכה במיקור חוץ.
4. צדדים שלישיים: PSP, ספקי תוכן, KYC/AML - מודל אחריות משותף.
5. יוצאים מן הכלל: לתקן מדוע מחוץ להיקף, ואמצעי פיצוי.

מפת דרכים ל ”תג ראשון”

1. ניתוח פערים מול מטרות (27001/SOC 2/PCI).
2. ניהול סיכונים: מתודולוגיה, רישום סיכונים, תוכנית עיבוד, הצהרת יישום (ISO).

3. מדיניות ותפקידים: מדיניות אבטחת מידע/פרטיות, סיווג נתונים, גישה (IAM), רישום, תגובה, BCM/DR

4. בקרות טכניות: הצפנה, רשתות (WAF/WAAP, DDOS), פגיעות/טלאים, SDLC מאובטח, גיבויים, ניטור.
5. בסיס ראיות: תקנות, מגזינים, צילומי מסך, העלאות, כרטיסים - אנחנו מאחסנים בגרסאות.
6. ביקורת פנימית/הערכת מוכנות.
7. ביקורת חיצונית: שלב 1 (סקירת עגינה) # שלב 2 (יעילות/דגימות). עבור SOC 2 סוג II - ”תקופת תצפית”.
8. ביקורת בקרה רבעונית, ביקורת פיקוח שנתית (ISO), עדכון SOC שנתי 2.

בקרת התאמת מטריצות (שבר לדוגמה)

תחומים	ISO 27001 נספח א '	SOC 2 TSC	PCI DSS	סוג ביקורת/חפץ
ניהול גישה	A.5, A.9.	CC6. X	7, 8	RBAC/ABAC, JML, רישומי SCIM, זכויות חידוש
הצפנה	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, מדיניות מפתח
נקודות תורפה/מדבקות	A.12, A.14	CC7. X	6, 11. 3	סריקות, MTTP, דוחות פנטסט, ASV
יומנים/ניטור	A.5, A.8, A.12	CC7. X	10	SIEM/SOC, שימור, התראות ו ־ RCA
BCM/DR	A.5, A.17	איי-1. X	12	22301-תוכניות, תוצאות בדיקת ד "ר

מה יבקר יראה (שאילתות טיפוסיות)

גישות: דיווחים מ-IDP/IAM, יומני JML, סקירת חיסיון.
סודות: מדיניות KMS/כספת, היסטוריית סיבוב.
סריקת פגיעות: דיווחים עדכניים, כרטיסי תיקון, תאריכי יעד של MTTP.
יומנים/התראות: מקרי תקרית, MTTD/MTTR, לאחר המוות.
ספקים: רישום, DPIA/DTIA (אם PII), אמצעים חוזיים, הערכות סיכונים.
אימונים ומבחנים: סימולציות דיג, אימוני אבטחת מידע, אישורים.
תוצאות התרגיל האחרון, עובדות RTO/RPO.

ציות מתמשך

מדיניות: OPA/Gatekeeper/Kyverno for Depleys; ”לאכוף” על כללים קריטיים.
ניטור בקרה רציף (CCM): בדיקת כל N דקות/שעות (הצפנת דליים, יציאה פתוחה, כיסוי MFA).
מערכת GRC: רישום של פקדים, בעלים, משימות ומועדים, מדדים מחייבים.
מרכז חפצים אחד: ”ראיות” מסומן בנקודת ביקורת.
דור אוטומטי של דיווחים: SoA, Register, Control Appective, KPI/SLO באמצעות בקרות.

ציות מטריצות ו SLOs

כיסוי:% מהבקרים עם אימות אוטומטי,% מהנכסים בהיקפם.
זמן תגובה: p95 סגירה של בקשות ביקורת 5 ימי עסקים.
אמינות: ”בקרה לא באזור הירוק” רשומה על 1% מהזמן לחודש.
נקודות תורפה: MTTP P1 48 שעות, P2 7 ימים; המרפאה הפנטסטית מציינת 30 יום.

אימוני אבטחת מידע: כיסוי כוח אדם 98%, תדירות 12 חודשים

ספציפי לענן וקוברנטס

ענן: מלאי משאבים (IC), הצפנת דיסק/ערוץ, רישום (CloudTrail/Activity Logs), תפקידים מינימליים. השתמש בדוחות הסמכת ספק (SOC 2, ISO, PCI) כחלק מההגנה ”המורשת” שלך.
קוברנטס: RBAC לפי שם, מדיניות קבלה (חתימות תמונה/SBOM, איסור ': האחרון'), מדיניות רשת, סודות מחוץ ל-etcd (KMS), ביקורת שרת API, פרופילים של תמונות/אשכולות.
רשתות והיקף: WAF/WAAP, DDOS, קטמנטציה, ZTNA במקום VPN רחב.

PCI DSS (שידורי תקשורת תשלום)

פיצול אזור CHD: מערכות מינימום באשכול; MTLS עד PSP; עם HMAC.
סריקות רבעוניות של ASV וחומש שנתי (כולל קטעים).
יומנים ויושרה: FIM, יומנים בלתי ניתנים לשינוי, זמן תחת חותם (NTP).
מסמכים: מדיניות, תרשימי זרימת תרשימים, AOC/ROC, נהלי אירוע.

פרטיות (גישת ISO 27701 + GDPR)

תפקידים: בקר/מעבד, רישום עיבוד, עילה חוקית.
DPIA/DTIA: פרטיות והערכת סיכון שידור חוצה גבולות.
זכויות הנושאים: SLA לתשובות, אמצעים טכניים לחיפוש/מחיקה.
מזעור/פסאודונימיזציה: תבניות ארכיטקטוניות ו-DLP.

חפצים (תבניות מוכנות - מה לשמור בהישג יד)

Advision of Applicability (SoA) עם נספח מוטיבציה להכללה/הדרה.
מטריקס בקרה (ISO↔SOC2↔PCI) עם בעלים וראיות.
רישום סיכונים בעזרת מתודולוגיה (השפעה/סבירות) ותוכנית עיבוד.
BC/DR תוכניות + פרוטוקולים של תרגילים אחרונים.
חבילת SDLC מאובטחת: רשימות ביקורת, דו "חות SAST/DAST, מדיניות פריסה.
ספקית נאותות: שאלונים (SIG Lite/CAIQ), הערכות סיכונים, אמצעים חוזיים.

שגיאות נפוצות

ביקורת למען Audit: אין תהליכים חיים, רק תיקיות מדיניות.
היקף רחב מדי: הופך יקר יותר ומסבך את התחזוקה; נתחיל עם ”ליבת הערך”.
איסוף ראיות ידני: חוב תפעולי גבוה; תאכל אוטומטי CCM ומעלה.
בקרות ללא מדדים: לא ניתן לנהל (ללא SLO/בעלים).
משטר נשכח לאחר אישור: אין בדיקות רבעוניות * הפתעות על פיקוח.
קבלנים מחוץ ללולאה: צדדים שלישיים הופכים למקור של תקריות ו ”כרטיס אדום” בביקורת.

רשימת מוכנות (מקוצר)

[ היקף ], נכסים, בעלים מוגדרים; נתונים ומפת זרימה.

Risk Register, SOA (ISO), Criteria Services Services (עבור SOC 2).

[ מדיניות ], נהלים, אימוני צוות מיושמים ומעודכנים.

[ בקרי ] הם אוטומטיים (CCM), לוחות מחוונים והתראות מחוברים.

[ ] ראיות לכל שליטה נאספות/מוגשות.

[ ] ביקורת פנימית/מוכנות; הפסקות קריטיות נפסלות.

[ ] מינויה של ביקורת/סמכות, תקופת הבחנה (SOC 2) או תוכנית שלב 1/2 (ISO).

[ ] באתר החומש/ASV (PCI), תוכנית תיקון ואישור תיקונים.

תבניות מיני

מדיניות מטריצה לבקרות (דוגמה)

מוקד: "כל דליי המח" ש מוצפנים ".
% מהדליים עם הצפנה הופעלו.
מטרה: קו 99. 9%.
התראה: בעת נפילה <99. 9% יותר מ15 דקות * P2, הבעלים - ראש פלטפורמה.

יומן ראיות (שבר)

בקרה	הוכחה	תדר	אחסון	אחראי
גישת רישום ל ־ PII	יצוא SIEM בעוד 90 יום	חודשי	מרכז הראיות GRC/	עופרת SOC
סיבוב של סודות	יומן ביקורת בכספת + כרטיס שינוי	שבועי	GRC	עופרת DevOps

iGaming/fintech ספציפי

תחומים בסיכון גבוה: תשלומים/תשלומים, אנטי-הונאה, מחפרון, שילוב שותפים - עדיפות בהתמודדות ובבקרה.
מדדים עסקיים: Time to-Wallet, reg ac dpozit conservation - לשקול את ההשפעה של אמצעי הגנה וביקורת.
דרישות האיחוד האירופי/לטאם/אסיה - חשבונאות לשידורים חוצי גבולות, רגולטורים מקומיים.
ספקי תוכן/PSPs: בדיקת נאותות חובה, mTLS/HMAC, אדפנדה משפטית על נתונים.

סך הכל

תעודות הן תוצאה של משמעת ואוטומציה: ניהול סיכונים, מדיניות חיים, בקרה מדידה ומוכנות מתמשכת. בחר את הסט הנכון (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), תתאר היקף, בדיקות אוטומטיות (CCM/Policy-as-Code), תשמור על חפצים לפי סדר ומדידה של SLO - כך הציות תהפוך צפויה ותתמך בצמיוצר, לא בלם עליו.