GH GambleHub

एसओसी 2: सुरक्षा नियंत्रण मानदंड

1) संक्षेप में SOC 2

एसओसी 2 एआईसीपीए ट्रस्ट सर्विसेज मानदंड (टीएससी) के अनुसार एक संगठन डिजाइन (डिजाइन) और निष्पादित (ऑपरेटिंग) नियंत्रण कैसे करता है, इसका एक स्वतंत्र मूल्यांकन है।

आईगेमिंग में, इससे नियामकों/बैंकों/पीएसपी/भागीदारों का विश्वास बढ़ ता है और टीपीआरएम को सरल बनाता है।

रिपोर्ट प्रकार:
  • टाइप I - एक तात्कालिक अवस्था (एक विशिष्ट तिथि के लिए): क्या नियंत्रण सही ढंग से डिजाइन किए गए हैं।
  • टाइप II - अवधि के लिए (आमतौर पर 6-12 महीने): नियंत्रण व्यवहार में (नमूनों के साथ) स्थिर रूप से काम करते हैं।

2) ट्रस्ट सर्विसेज मानदंड (टीएससी) और उन्हें कैसे पढ़ा जाए

आधार डोमेन सुरक्षा (सामान्य मानदंड) है। बाकी को वैकल्पिक रूप से क्षेत्र में जोड़ा जाता है:
मापदंडउद्देश्यलेखा परीक्षक के प्रश्नों के उदाहरण
सुरक्षा (सीसी)अनधिकृत पहुंच के खिलाफ सुरक्षाएमएफए, आरबीएसी/एबीएसी, एसओडी, लॉग, भेद्यता प्रबंधन
उपलब्धतालक्ष्य द्वारा उपलब्धडीआर/बीसीपी, आरटीओ/आरपीओ, एसएलओ निगरानी, घटना प्रबंधन
गोपनीयतासंवेदनशील डाटा सुरक्षिवर्गीकरण, एन्क्रिप्शन, मास्किंग, निर्यात नियंत्रण
प्रोसेसिंग इंटीग्रिटीप्रसंस्करण की पूर्णता/सटीकता/समयबद्धताडेटा गुणवत्ता नियंत्रण, सामंजस्य, अंत से अंत परीक्षण
गोपनीयतापीआईआई गोपनीयता लूपवैध आधार, RoPA, DSAR, प्रतिधारण, CMP

3) नियंत्रण मॉडल और अनिवार्य तत्व (सुरक्षा - सीसी)

शासन और जोखिम: सूचना सुरक्षा नीति, जोखिम रजिस्टर, लक्ष्य, भूमिकाएं/आरएसीआई, प्रशिक्षण।

एक्सेस कंट्रोल: RBAC/ABAC, SoD, JIT/PAM, पासवर्ड/MFA, SCIM/IGA प्रावधान, ऑफबोर्डिंग ≤ 15 मिनट।

परिवर्तन और SDLC: DevSecOps, SAST/DAST/DS, IaC स्कैनिंग, CAB, कमी लॉग, रोलबैक।

लॉगिंग और मॉनिटरिंग: केंद्रीकृत लॉग (WORM + हस्ताक्षर), SIEM/SOAR, KRI अलर्ट।

Vuln & Patch - पहचान/वर्गीकृत प्रक्रिया, SLA से उच्च/महत्वपूर्ण, पुष्टि परिनियोजन।

हादसा प्रतिक्रिया: प्लेबुक, आरएसीआई, युद्ध-कक्ष, पोस्टमार्टम और सीएपीए।

विक्रेता/टीपीआरएम: उचित परिश्रम, डीपीए/एसएलए, ऑडिट का अधिकार, विक्रेता निगरानी।

4) विस्तारित मानदंड (ए, सी, पीआई, पी)

उपलब्धता (ए)

एसएलओ/एसएलए और डैशबोर्ड; डीआर/बीसीपी (आरटीओ/आरपीओ), वार्षिक परीक्षण; क्षमता/क्रॉस-क्षेत्र; उपलब्धता घटना प्रक्रिया।

गोपनीयता (C)

डेटा वर्गीकरण; विश्राम/पारगमन में एन्क्रिप्शन (केएमएस/एचएसएम) पीआईआई टोकन; निर्यात नियंत्रण (हस्ताक्षर, लॉग); प्रतिधारण।

प्रोसेसिंग इंटीग्रिटी (पीआई)

डेटा गुणवत्ता नियंत्रण: योजनाएं/सत्यापन, कमी, सामंजस्य; कार्य स्टार्ट-अप की निगरानी; पाइपलाइनों में परिवर्तन प्रबंधित क

गोपनीयता (पी)

गोपनीयता नीति; RoPA/कानूनी आधार; CIW/सहमति; DPIA/DSAR; मास्किंग/प्रतिधारण; ट्रैकर/एसडीके ऑडिट।

5) एसओसी 2 मैपिंग - आपकी नीतियां/नियंत्रण

आईएसओ CC (जोखिम प्रबंधन, नीतियां, लॉग, कमजोरियां) के आधार को कवर करता है।

आईएसओ 27701/PIMS → कई गोपनीयता मानदंडों को बंद कर देता है।

आंतरिक अनुभाग: आरबीएसी/कम से कम विशेषाधिकार, पासवर्ड नीति और एमएफए, लॉग पॉलिसी, घटनाएं, टीपीआरएम, डीआर/बीसीपी - सीधे टीएससी के लिए मैपेबल।

💡 एक पत्राचार मैट्रिक्स बनाने की सिफारिश की जाती है: "टीएससी आइटम → नीति/प्रक्रिया → नियंत्रण → → साक्ष्य मीट्रिक"।

6) नियंत्रण की सूची और साक्ष्य के उदाहरण

प्रत्येक नियंत्रण के लिए: आईडी, उद्देश्य, मालिक, आवृत्ति, विधि (ऑटो/मैनुअल), साक्ष्य के स्रोत।

उदाहरण (टुकड़ा):
  • 'एसईसी-एक्सेस -01' - व्यवस्थापक के लिए एमएफए - आईडीपी रिपोर्ट, सेटिंग्स के स्क्रीनशॉट, लॉग का चयन।
  • 'एसईसी-आईजीए -02' - ऑफबोर्डिंग ≤ 15 मिनट → एससीआईएम लॉग, बर्खास्तगी टिकट, लॉग को अवरुद्ध करना।
  • 'SEC-LOG-05' - अपरिवर्तनीय लॉग (WORM) → कॉन्फ़िग, हैश चेन, निर्यात नमूने।
  • 'AVAIL-DR-01' - वार्षिक DR परीक्षण → परीक्षण प्रोटोकॉल, वास्तविक आरटीओ/RPO।
  • 'CONF-ENC-03' - KMS/HSM कुंजी प्रबंधन → रोटेशन नीति, KMS ऑडिट।
  • 'PI-DATA-02' - भुगतानों का सामंजस्य - सुलह रिपोर्ट, घटनाएं, CAPAs।
  • ' -DSAR-01' - DSAR query रजिस्टर, टाइमस्टैम्प, रिस्पांस टेम्पलेट द्वारा SLA।

7) एसओसी 2 को बनाए रखने के लिए प्रक्रियाएं (एसओपी)

SOP-1 घटनाएं: पता लगाना → ट्राइएज → रोकथाम → आरसीए → सीएपीए → रिपोर्ट।

SOP-2 परिवर्तन प्रबंधन: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy।

SOP-3 कमजोरियां: intake→klassifikatsiya→SLA→verifikatsiya रिपोर्ट fiksa→vypusk।

SOP-4 एक्सेस: JML/IGA, त्रैमासिक पुन: प्रमाणीकरण, SoD ब्लॉक, JIT/PAM।

डीआर/बीसीपी SOP-5: वार्षिक परीक्षण, आंशिक अभ्यास, आरटीओ/आरपीओ तथ्यों का प्रकाशन।

SOP-6 निर्यात/गोपनीयता: सफेदी, हस्ताक्षर/लॉग, प्रतिधारण/विलोपन।

8) ऑडिट के लिए तैयारी: टाइप I → Type II

1. टीएससी गैप विश्लेषण: कोटिंग मैट्रिक्स, लापता नियंत्रणों की सूची।

2. नीतियां और प्रक्रियाएं: अद्यतन, मालिक नियुक्त करें।

3. एकीकृत साक्ष्य भंडारण: लॉग, आईडीपी/एसआईईएम रिपोर्ट, टिकट, नमूनों का निर्यात (हस्ताक्षर के साथ)।

4. आंतरिक तैयारी लेखा परीक्षा: ऑडिट प्रश्नावली रन, नमूना कैप्चर।

5. टाइप I (तारीख X): नियंत्रण के डिजाइन और लॉन्च के तथ्य को दिखाएं।

6. अवलोकन अवधि (6-12 महीने): कलाकृतियों का निरंतर संग्रह, खोजों को बंद करना।

7. टाइप II: अवधि के लिए नमूने प्रदान करें, परिचालन दक्षता रिपोर्ट।

9) एसओसी 2 के लिए मेट्रिक्स (केपीआई/केआरआई)

केपीआई:
  • एमएफए गोद लेने = 100%
  • ऑफबोर्डिंग TTR ≤ 15 मिनट
  • पैच SLA हाई/क्रिटिकल समय पर ≥ 95% बंद हो गया
  • डीआर परीक्षण: अनुसूची = 100%, वास्तविक आरटीओ/आरपीओ का निष्पादन सामान्य
  • लॉगिंग (WORM) द्वारा कवरेज ≥ क्रिटिकल सिस्टम का 95%
केआरआई:
  • पीआईआई 'उद्देश्य' = 0 के बिना पहुंच
  • SoD विकार = 0
  • नियमों = 0 की तुलना में बाद में अधिसूचित घटनाएं
  • उच्च/महत्वपूर्ण री-कमजोरियां> 5% - वृद्धि

10) आरएसीआई (बढ़ाहुआ)

गतिविधिबोर्ड/सीईओCISO/ISMSसुरक्षागोपनीयता/डीपीओSRE/ITडेटा/द्विउत्पाद/Engकानूनी/अनुपालनआंतरिक लेखा परीक्षा
एसओसी क्षेत्र 2A/Rआरसीसीसीसीसीसीमैं
नियंत्रण की सूचीमैंA/Rआरसीआरआरआरसीमैं
साक्ष्य-भंडारणमैंA/Rआरआरआरआरआरसीमैं
तत्परता/एक्सटी। लेखा परीक्षामैंआरआरआरआरआरआरसीA/R
बाहरी लेखा परीक्षामैंआरआरआरआरआरआरसीमैं
CAPA/उपचारात्मकमैंA/Rआरआरआरआरआरसीसी

11) चेकलिस्ट

11. 1 तत्परता (टाइप I से पहले)

  • स्कोप (टीएससी और सिस्टम) लॉक
  • नीतियां/प्रक्रियाएं वर्तमान और अनुमोदित हैं
  • नियंत्रण मालिकों और मैट्रिक्स को सौंपा गया
  • प्रोटोटाइप साक्ष्य भंडारण तैयार (लॉग, आईडीपी/एसआईईएम रिपोर्ट, टिकट)
  • हादसा टेबलटॉप और डीआर मिनी-टेस्ट किया गया
  • जोखिम और SoD मैट्रिक्स की पुष्टि

11. 2 अनुवर्ती अवधि (I और II के बीच)

  • साप्ताहिक नमूना/लॉग निर्यात
  • मासिक केपीआई/केआरआई रिपोर्ट
  • एसएलए भेद्यता बंद
  • त्रैमासिक अधिकार पुन: प्रमाणन
  • डीआर/बीसीपी परीक्षण योजना के अनुसार

11. 3 टाइप II से पहले

  • प्रति अवधि साक्ष्य का पूरा सेट (प्रति नियंत्रण)
  • हादसा/भेद्यता रजिस्टर और CAPA
  • प्रबंधन समीक्षा रिपोर्ट (अवधि कुल)
  • अद्यतन मैपिंग मैट्रिक्स TSC↔kontroli

12) बार-बार गलतियाँ और उनसे कैसे बचें

"अभ्यास के बिना नीतियां": लॉग, टिकट, डीआर/घटना प्रोटोकॉल दिखाएं - न केवल दस्तावेज।

कमजोर लॉगिंग: WORM/हस्ताक्षर और स्पष्ट घटना शब्दार्थ के बिना, ऑडिटिंग अधिक कठिन है।

अधिकारों का पुन: प्रमाणीकरण नहीं है: "हैंगिंग" एक्सेस का जोखिम एक महत्वपूर्ण माइनस है।

अधूरा विक्रेता स्कोप: एसओसी 2 श्रृंखला देखता है - टीपीआरएम, डीपीए/एसएलए, ऑडिट अधिकार जोड़ें।

दिनचर्या के बिना एक बार का झटका: JMA/डैशबोर्ड और मासिक रिपोर्टिंग को लागू करें।

13) रोडमैप (12-16 सप्ताह → टाइप I, एक और 6-12 महीने → टाइप II)

सप्ताह 1-2: टीएससी गैप विश्लेषण, स्कोप, मालिक, कार्य योजना।

सप्ताह 3-4: नीतियों/प्रक्रियाओं को अपडेट करें, नियंत्रण निर्देशिका और मैपिंग मैट्रिक्स का नि

सप्ताह 5-6: लॉग सेट अप (WORM/SOAR), SLA कमजोरियां/पैच, IdP/MFA, IGA/JML।

सप्ताह 7-8: डीआर/बीसीपी न्यूनतम परीक्षण, टीपीआरएम अपडेट (डीपीए/एसएलए), घटना पूर्वाभ्यास।

सप्ताह 9-10: साक्ष्य-भंडारण, केपीआई/केआरआई रिपोर्टिंग, आंतरिक तत्परता-ऑडिट।

सप्ताह 11-12: अंतिम संपादन, ऑडिटर आरक्षण, प्रकार I।

अगला: कलाकृतियों का साप्ताहिक संग्रह, अवधि के अंत में त्रैमासिक → टाइप II समीक्षा।

टीएल; डीआर

SOC 2 = स्पष्ट स्कोप TSC - डिजाइन और मैट्रिक्स के साथ नियंत्रण की सूची निरंतर लॉग/SIEM/IGA/DR/TPRM टाइप I अवलोकन अवधि टाइप I" डिफ़ॉल आश्चर्य।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।