सुरक्षा और अनुपालन प्रमाणपत्र
आपको इसकी आवश्यकता क्यों है?
प्रमाणपत्र और प्रमाणपत्र परिपक्व सुरक्षा प्रथाओं की पुष्टि करते हैं और नियत परिश्रम चक्र को छोटा करते हैं, विनियमित बाजारों और भागीदारों तक पहुंच खोलते हैं। कुंजी "एक बार ऑडिट पास करने" के लिए नहीं है, बल्कि औसत दर्जे का नियंत्रण बिंदुओं के साथ एक निरंतर नियंत्रण प्रणाली का निर्माण
लैंडस्केप मैप (क्या चुनना है और कब)
आईएसओ/आईईसी 27001 - सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस)। प्रक्रियाओं का सार्वभौमिक "कंकाल"।
परिवर्धन: आईएसओ 27017 (बादल), 27018 (बादल में गोपनीयता), 27701 (पीआईएमएस, गोपनीयता), 22301 (बीसीएमएस, स्थिरता)।
एसओसी 2 (एआईसीपीए): टाइप I (तारीख के लिए डिज़ाइन) और टाइप II (अवधि के लिए डिज़ाइन + परिचालन दक्षता, आमतौर पर 3-12 महीने)। ट्रस्ट सेवा मानदंड: सुरक्षा, उपलब्धता, प्रसंस्करण अखंडता, गोपनीयता, गोपनीयता।
पीसीआई डीएसएस (कार्ड प्रोसेसिंग के लिए): लेनदेन की मात्रा द्वारा स्तर, आरओसी/एओसी जिसमें क्यूएसए, त्रैमासिक एएसवी स्कैन, पेंटेस्ट और सीएचडी ज़ोन विभाजन शामिल हैं।
सीएसए स्टार (स्तर 1-3): क्लाउड प्रदाताओं और सेवाओं के लिए घोषणा/ऑडिट।
इसके अतिरिक्त डोमेन द्वारा: आईएसओ 20000 (आईटीएसएम), आईएसओ 31000 (जोखिम प्रबंधन), आईएसओ 37001 (रिश्वत विरोधी), टीआईएसएएक्स/आईएसएई 3402 (उद्योग/वित्त)।
GDPR/गोपनीयता: इस तरह कोई "GDPR प्रमाणपत्र" नहीं है; आईएसओ 27701 और स्वतंत्र मूल्यांकन/आचरण कोड लागू करें।
प्रमाणन बनाम प्रमाणन
प्रमाणन (आईएसओ): एक मान्यता प्राप्त निकाय वार्षिक पर्यवेक्षी ऑडिट के साथ 3 साल का प्रमाण पत्र जारी करता है।
मूल्यांकन (एसओसी 2): स्वतंत्र लेखा परीक्षक अवधि के लिए एक रिपोर्ट (राय) जारी करता है; आप एनडीए के तहत ग्राहकों को दस्तावेज़ प्रदान करते हैं।
पीसीआई डीएसएस: आरओसी (अनुपालन पर रिपोर्ट) और एओसी (अनुपालन का अनुप्रमाण), या छोटे संस्करणों के लिए एसएक्यू द्वारा पुष्टि की गई।
स्कोप: सीमाओं को कैसे रेखांकित करें
1. संपत्ति और प्रक्रियाएं: उत्पाद, वातावरण (प्रोड/स्टेज), क्षेत्र, डेटा कक्षाएं (पीआईआई/वित्त/मानचित्र)।
2. तकनीकी वास्तुकला: क्लाउड, वीपीसी/वीएनईटी, कुबर्नेट्स, सीआई/सीडी, गुप्त प्रबंधन, डीडब्ल्यूएच/एनालिटिक्स।
3. संगठनात्मक क्षेत्र: कार्यालय/दूरस्थ, ठेकेदार, आउटसोर्सिंग समर्थन।
4. तीसरा पक्ष: पीएसपी, सामग्री प्रदाता, केवाईसी/एएमएल, बादल - साझा जिम्मेदारी मॉडल।
5. अपवाद: क्यों दायरे के बाहर, और प्रतिपूरक उपायों को ठीक करें।
"पहले बैज" के लिए रोडमैप
1. गैप विश्लेषण बनाम लक्ष्य (27001/SOC 2/पीसीआई)।
2. जोखिम प्रबंधन: पद्धति, जोखिम रजिस्टर, प्रसंस्करण योजना, प्रयोज्यता का विवरण (आईएसओ)।
3. नीतियां और भूमिकाएँ: सूचना सुरक्षा/गोपनीयता नीति, डेटा वर्गीकरण, पहुंच (आईएएम), लॉगिंग, प्रतिक्रिया, बीसीएम/डीआर।
4. तकनीकी नियंत्रण: एन्क्रिप्शन, नेटवर्क (WAF/WAAP, DDoS), कमजोरियां/पैच, सुरक्षित SDLC, बैकअप, निगरानी।
5. साक्ष्य आधार: नियम, पत्रिकाएं, स्क्रीनशॉट, अपलोड, टिकट - हम वर्शन स्टोर करते हैं।
6. आंतरिक लेखा परीक्षा/तैयारी-मूल्यांकन।
7. बाहरी ऑडिट: चरण 1 (डॉकिंग रिव्यू) → चरण 2 (दक्षता/नमूने)। एसओसी 2 प्रकार II के लिए - "अवलोकन अवधि"।
8. ओवरसाइट/रखरखाव: त्रैमासिक नियंत्रण समीक्षा, वार्षिक ओवरसाइट ऑडिट (ISO), वार्षिक SOC अद्यतन 2।
नियंत्रण मिलान मैट्रिक्स (उदाहरण खंड)
लेखा परीक्षक क्या दिखाएगा (विशिष्ट प्रश्न)
पहुंच: IdP/IAM, JML लॉग, विशेषाधिकार समीक्षा से रिपोर्ट।
रहस्य: केएमएस/वॉल्ट नीतियाँ, रोटेशन इतिहास।
भेद्यता स्कैनिंग: नवीनतम रिपोर्ट, उपचारात्मक टिकट, एमटीटीपी समय सीमा।
लॉग/अलर्ट: घटना के मामले, MTTD/MTTR, पोस्टमार्टम।
आपूर्तिकर्ता: रजिस्टर, डीपीआईए/डीटीआईए (यदि पीआईआई), संविदात्मक उपाय, जोखिम आकलन।
प्रशिक्षण और परीक्षण: फ़िशिंग सिमुलेशन, सूचना सुरक्षा प्रशिक्षण, पुष्टि।
बीसी/डीआर: नवीनतम अभ्यास, आरटीओ/आरपीओ तथ्यों के परिणाम।
सतत अनुपालन
पॉलिसी-ए-कोड: ओपीए/गेटकीपर/डिप्लेस के लिए किवर्नो; महत्वपूर्ण नियमों पर "लागू करें"।
निरंतर नियंत्रण निगरानी (CCM): हर N मिनट/घंटे (बाल्टी का एन्क्रिप्शन, खुले बंदरगाह, MFA-कवरेज) की जांच करता है।
जीआरसी प्रणाली: नियंत्रण, मालिकों, कार्यों और समय सीमा, बाध्यकारी मैट्रिक्स का पंजीकरण।
एकल कलाकृति केंद्र: "सबूत" को एक चौकी के साथ चिह्नित और चिह्नित किया गया है।
रिपोर्टों की ऑटो-पीढ़ी: SoA, जोखिम रजिस्टर, नियंत्रण प्रभावशीलता, KPI/SLO नियंत्रण द्वारा।
अनुपालन मेट्रिक्स और एसएलओ
कवरेज: स्वचालित सत्यापन के साथ नियंत्रण का%; दायरे में परिसंपत्तियों का%।
प्रतिक्रिया समय: ऑडिट का p95 बंद होना ≤ 5 व्यावसायिक दिनों का अनुरोध करता है।
विश्वसनीयता: "ग्रीन ज़ोन में नियंत्रण नहीं" ≤ प्रति माह समय का 1%।
कमजोरियां: MTTP P1 ≤ 48 घंटे, P2 ≤ 7 दिन; पेन्टेस्ट रिमेडिएशन ≤ 30 दिन।
सूचना सुरक्षा प्रशिक्षण: कार्मिक कवरेज ≥ 98%, आवृत्ति 12 म
बादल और कुबेरनेट्स के लिए विशिष्ट
क्लाउड: रिसोर्स इन्वेंट्री (IaC), डिस्क/चैनल एन्क्रिप्शन, लॉगिंग (CloudTrail/Activity Logs), न्यूनतम भूमिकाएँ। अपनी "विरासत" सुरक्षा के हिस्से के रूप में प्रदाता प्रमाणन रिपोर्ट (एसओसी 2, आईएसओ, पीसीआई) का उपयोग करें।
Kubernetes: नामस्थान, प्रवेश नीतियों (छवि हस्ताक्षर/SBOM, निषेध ': नवीनतम'), नेटवर्क नीतियां, रहस्य आदि (KMS), API सर्वर ऑडिट, छवियों/समूहों के लिए स्कैन प्रोफाइल।
नेटवर्क और परिधि: WAF/WAAP, DDoS, विभाजन, ZTNA के बजाय "वाइड" VPN।
पीसीआई डीएसएस (भुगतान मीडिया परिशोधन)
सीएचडी ज़ोन विभाजन: एक क्लस्टर में न्यूनतम प्रणाली; mTLS से PSP; वेबहुक - HMAC के साथ।
त्रैमासिक एएसवी स्कैन और वार्षिक पेंटेस्ट (विभाजन सहित)।
लॉग और इंटीग्रिटी: एफआईएम, अपरिवर्तनीय लॉग, सील (एनटीपी) के तहत समय।
दस्तावेज़: नीतियां, चार्ट प्रवाह चार्ट, एओसी/आरओसी, घटना प्रक्रियाएं।
गोपनीयता (आईएसओ 27701 + जीडीपीआर दृष्टिकोण)
भूमिकाएँ: नियंत्रक/प्रोसेसर, प्रसंस्करण रजिस्ट्री, कानूनी आ
DPIA/DTIA: गोपनीयता और सीमा पार संचरण जोखिम मूल्यांकन।
विषयों के अधिकार: उत्तर के लिए एसएलए, खोज/विलोपन के तकनीकी साधन।
मिनिमाइजेशन/छद्म नाम: वास्तुशिल्प पैटर्न और डीएलपी।
कलाकृतियाँ (तैयार किए गए टेम्पलेट - क्या हाथ में रखना है)
अनुबंध ए समावेश/बहिष्करण प्रेरणा के साथ प्रयोज्यता (SoA) का विवरण।
मालिकों और सबूतों के साथ नियंत्रण मैट्रिक्स (ISO↔SOC2↔PCI)।
कार्यप्रणाली (प्रभाव/संभावना) और प्रसंस्करण योजना के साथ जोखिम रजिस्टर।
बीसी/डीआर योजना + हाल के अभ्यासों के प्रोटोकॉल।
सुरक्षित SDLC पैकेज: समीक्षा चेकलिस्ट, SAST/DAST रिपोर्ट, नीति तैनात करें।
आपूर्तिकर्ता ड्यू डिलिजेंस: प्रश्नावली (एसआईजी लाइट/सीएआईक्यू), जोखिम आकलन, संविदात्मक उपाय।
सामान्य त्रुटियाँ
ऑडिट के लिए ऑडिट: कोई लाइव प्रक्रियाएं नहीं, केवल नीति फ़ोल्डर।
बहुत व्यापक गुंजाइश: अधिक महंगा हो जाता है और रखरखाव को जटिल बनाता है; "मूल्य के मूल्य" के साथ शुरू करें।
मैनुअल साक्ष्य एकत्र करना: उच्च परिचालन ऋण; CCM स्वचालित करें और अपलोड करें।
मैट्रिक्स के बिना नियंत्रण: प्रबंधित नहीं किया जा सकता (कोई एसएलओ/मालिक नहीं)।
भूल गए पोस्ट-सर्टिफिकेशन व्यवस्था: कोई त्रैमासिक जाँच नहीं - पर्यवेक्षण पर आश्चर्य।
लूप के बाहर ठेकेदार: तीसरे पक्ष घटनाओं का स्रोत और ऑडिट में "लाल कार्ड" बन जाते हैं।
तत्परता जाँच सूची (संक्षिप्त)
- स्कोप, संपत्ति, मालिक परिभाषित; डेटा और प्रवाह मानचित्र।
- जोखिम रजिस्टर, एसओए (आईएसओ के लिए), ट्रस्ट सेवा मानदंड (एसओसी 2 के लिए) नियंत्रण में विघटित।
- नीतियां, प्रक्रियाएं, कर्मचारी प्रशिक्षण आज तक लागू हैं।
- नियंत्रण स्वचालित (CCM) हैं, डैशबोर्ड और अलर्ट जुड़े हुए हैं।
- प्रत्येक नियंत्रण के लिए साक्ष्य एकत्र/वर्गीकृत है
- आंतरिक लेखा परीक्षा आयोजित/तत्परता; महत्वपूर्ण ब्रेक समाप्त हो जाते हैं
- लेखा परीक्षक/प्राधिकरण नियुक्त, अवलोकन अवधि (एसओसी 2) या चरण 1/2 योजना (आईएसओ) सहमत थे।
- ऑन-साइट पेन्टेस्ट/एएसवी (पीसीआई), सुधार योजना और फिक्स की पुष्टि।
मिनी टेम्पलेट्स
नियंत्रण के लिए मेट्रिक्स नीति (उदाहरण)
नियंत्रण: "सभी पीआईआई बाल्टी केएमएस एन्क्रिप्टेड हैं।"
SLI: एन्क्रिप्शन सक्षम के साथ% बाल्टी।
उद्देश्य: ≥ 99। 9%.
अलर्ट: जब गिर रहा हो <99। 9% से अधिक 15 मिनट → P2, मालिक - प्लेटफ़ॉर्म के प्रमुख।
साक्ष्य लॉग (टुकड़ा)
iGaming/fintech विशिष्ट
उच्च जोखिम वाले डोमेन: भुगतान/भुगतान, धोखाधड़ी-विरोधी, बैकहो, साझेदार एकीकरण - सामना और नियंत्रण में प्राथमिकता।
बिजनेस मैट्रिक्स: टाइम-टू-वॉलेट, reg→depozit रूपांतरण - सुरक्षा उपायों और ऑडिट के प्रभाव पर विचार करें।
क्षेत्रीयता: यूरोपीय संघ/एलटीएएम/एशिया आवश्यकताएं - सीमा पार प्रसारण, स्थानीय नियामकों के लिए लेखांकन।
सामग्री प्रदाता/पीएसपी: अनिवार्य कारण परिश्रम, एमटीएलएस/एचएमएसी, डेटा पर कानूनी एडेंडा।
कुल
प्रमाणपत्र अनुशासन और स्वचालन का एक परिणाम है: जोखिम प्रबंधन, जीवित नीतियां, औसत दर्जे का नियंत्रण और चल रही तत्परता। सही सेट (आईएसओ 27001/27701/22301, एसओसी 2 प्रकार II, पीसीआई डीएसएस, सीएसए स्टार) चुनें, एक गुंजाइश, स्वचालित जांच (सीसीएम/नीति-जैसे कोड) की रूपरेखा तैयार करें, कलाकृतियों को क्रम में रखें और एसएलओ को मापें - इस तरह से अनुपालन योग्य और उत्य विकार्य विकार्य होगा उस पर ब्रेक लगाओ।