GH GambleHub

SOC 2: criteri di sicurezza

1) SOC 2 in due parole

SOC2 è una valutazione indipendente del modo in cui l'organizzazione progetta (Design) e esegue (Operating) i controlli in base a Trust Services Criteria (TSC) AICPA.
Nel iGaming, aumenta la fiducia dei regolatori/banche/PSP/partner e semplifica il TPRM.

Tipi di report:
  • Type I - Uno stato immediato (data specifica): se i controlli sono stati progettati correttamente.
  • Type II - Durante il periodo (di solito 6-12 ms) se i controlli funzionano stabilmente (con campionamenti).

2) Trust Services Criteria (TSC) e come leggerli

Dominio di base - Sicurezza (Common Criteria). Gli altri vengono aggiunti opzionalmente all'area:
CriteriObiettivoEsempi di domande del revisore
Security (CC)Protezione dagli accessi non autorizzatiMFA, RBAC/ABAC, SoD, registri, gestione delle vulnerabilità
AvailabilityDisponibilità per obiettiviDR/BCP, RTO/RPO, monitoraggio SLO, gestione incidenti
ConfidentialityProtezione dei dati sensibiliClassificazione, crittografia, occultamento, esportazione-controllo
Processing IntegrityCompletezza/precisione/tempestivitàControllo della qualità dei dati, riconciliazione, test completi
PrivacyCiclo di privacy per PIIBasi legittime, RoPA, DSAR, Ritocco, CMP

3) Modello di controllo e elementi obbligatori (Security - CC)

Governance & Risk: IB, registro dei rischi, obiettivi, ruoli/RACI, formazione.

Access Control: RBAC/ABAC, , JIT/PAM, password/MFA, provider SCIM/IGA, off-board da 15 minuti

Change & SDLC: DevSecOps, SAST/DAST/DS, scansione IaC, AB, registri di deploy, rimborsi.
Logging & Monitoring: Logging centralizzato (WORM + Firma), SIEM/SOAR, alert KRI.
Vuln & Patch: processo di identificazione/classificazione, SLA su High/Critical, conferma di installazione.
Incorporante Response: playbook, RACI, war-room, postmortem e CAPE.
Vendor/TPRM: due diligence, DPA/SLA, diritto di controllo, monitoraggio dei venditori.

4) Criteri avanzati (A, C, PI, P)

Availability (A)

SLO/SLA e dashboard; DR/BCP (RTO/RPO), test annuali; Capacità/regione cross il processo degli incidenti di disponibilità.

Confidentiality (C)

Classificazione dei dati crittografia at rest/in transit (KMS/HSM); Tornizzazione PII Controllo dell'esportazione (firma, registro) Ritensh.

Processing Integrity (PI)

Controllo della qualità dei dati: schemi/validazioni, deduplicazione, reconciazione Controllo dell'esecuzione delle attività Gestione delle modifiche ai pipeline.

Privacy (P)

Politica di privacy; RoPA/legittimi motivi; CMR/consenso; DPIA/DSAR; occultamento/ritensh Controllo dei tracker/SDK.

5) Mapping SOC 2 per i tuoi criteri/controlli

ISO 27001/ISMS copre la base CC (gestione dei rischi, politiche, logi, vulnerabilità).
ISO 27701/PIMS chiude molti criteri Privacy.
Le sezioni interne: RBAC/Least Privilege, Paraplegica e MFA, Login policy, Incidenti, TPRM, DR/BCP sono direttamente applicate al TSC.

💡 Si consiglia di creare una matrice di conformità: «TSC Criterio/Procedura di controllo del di evidence».

6) Catalogo dei controlli e esempi di evidences

Per ogni controllo: ID, obiettivo, proprietario, frequenza, metodo (auto/manuale), fonti di prova.

Esempi (sezione):
  • 'SEC-ACCESS-01 '- MFA per l'accesso admin del report IdP, schermate di configurazione, campionamento dei fogli.
  • SEC-IGA-02 - Offboarding 15 min di logi SCIM, ticket di licenziamento, registro dei blocchi.
  • SEC-LOG-05 - Registri invariati (WORM), confighi, catene hash, esportazioni di campionamenti.
  • «AVAIL-DR-01» - Test DR annuale del protocollo di prova, RTO/RPO effettivo.
  • «DEF-ENC-03» - KMS/HSM Gestione chiavi → Criteri di rotazione, Controllo KMS.
  • «PI-DATA-02» - Ricomposizione dei pagamenti, report di verifica, incidenti, CAPE.
  • «AVE-DSAR-01» - SLA per DSAR: registro delle richieste, timestamp, modelli di risposta.

7) Procedure (SOP) per il mantenimento di SOC 2

SOP-1 Incidenti: → triage → containment → RCA → CAPA → report.
SOP-2 Gestione delle modifiche: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 Vulnerabilità: del rapporto.
SOP-4 Disponibili: JML/IGA, certificazione a tre posti, blocchi SoD, JIT/PAM.
SOP-5 DR/BCP: test annuali, esercitazioni parziali, pubblicazione di dati RTO/RPO.
SOP-6 Esporti/Privacy - White List, Firma/Registro, Ritocco/Rimozione.

8) Preparazione del controllo: Type I → Type II

1. Analisi gap TSC: matrice dei rivestimenti, elenco dei controlli mancanti.
2. Criteri e procedure: aggiornare, assegnare i proprietari.
3. Unico archivio evidence: logi, report di IdP/SIEM, ticket, esportazione di campionamenti (con firme).
4. Interruzione del questionario del revisore, fissazione delle selezioni.
5. Type I (data X) - Mostra la progettazione dei controlli e il dato di avvio.
6. Periodo di osservazione (6-12 ms): raccolta continua di manufatti, chiusura dei ritrovamenti.
7. Type II - Fornisce un campione di periodo, un report di efficienza operativa.

9) Metriche (KPI/KRI) per SOC2

KPI:
  • MFA adoption (admini/ruoli critici) = 100%
  • Offboarding TTR da 15 min
  • Patch SLA High/Critical è chiuso al 95% in tempo
  • Test DR: esecuzione del piano-grafico = 100%, RTO/RPO effettivo nella norma
  • Loging di Coverage (WORM) per il 95% dei sistemi critici
KRI:
  • Accesso al PII senza «purpose» = 0
  • Violazioni SoD = 0
  • Incidenti notificati dopo i regolamenti = 0
  • Vulnerabilità ripetute High/Critical> 5% - Escalation

10) RACI (ingrandito)

AttivitàBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
Area SOC 2A/RRCCCCCCI
Catalogo controlliIA/RRCRRRCI
Archivio EvidenceIA/RRRRRRCI
Readover/intravedere. revisioneIRRRRRRCA/R
Controllo esternoIRRRRRRCI
SARA/RemediazioneIA/RRRRRRCC

11) Assegno fogli

11. 1 Readava( prima di Type I)

  • Scope (TSC e sistemi) rilevato
  • I criteri/procedure sono aggiornati e approvati
  • Assegnazione di controllori e metriche
  • Il prototipo di storage evidence è pronto (loghi, rapporti di IdP/SIEM, tickets)
  • La pillola dell'incidente e il mini-test DR sono stati effettuati
  • Rischi e matrice SoD confermati

11. 2 Periodo di osservazione (tra I e II)

  • Raccolta settimanale di campionamenti/espedienti
  • Rapporto mensile KPI/KRI
  • Chiusura delle vulnerabilità in SLA
  • Certificazione dei diritti trimestrale
  • DR./BCP test secondo il piano

11. 3 Prima di Type II

  • Set completo di evidence per periodo (per ogni controllo)
  • Registro degli incidenti/vulnerabilità e CAPA
  • Report di gestione della revisione (riepilogo del periodo)
  • Matrice di mapping aggiornata

12) Errori frequenti e come evitarli

«Politici senza prassi»: mostra i fogli, i ticket, i protocolli DR/incidenti non sono solo documenti.
Logica debole: senza firma WORM e una semantica chiara degli eventi, l'ispezione è più complessa.
Nessun diritto di e-certificazione: il rischio di accessi sospesi è un negativo critico.
Parte Scope dei venditori: SOC2 vede la catena - aggiungi TPRM, DPA/SLA, diritti di controllo.
Uno slittamento senza routine: implementare il sistema CMI/dashboard e i rapporti mensili.

13) Road map (12-16 settimane) → Type I, altri 6-12 m. → Type II)

Settimana 1-2: analisi gap TSC, Scope, proprietari, piano di lavoro.
Settimane 3-4: aggiorna regole/procedure, assembla la directory di controllo e la matrice di mapping.
Settimane 5-6: configura i loghi (WORM/firma), SIEM/SOAR, vulnerabilità/patch SLA, IdP/MFA, IGA/JML.
Settimane 7-8: DR/BCP test minimi, aggiornamento TPRM (DPA/SLA), prove di incidente.
Settimane 9-10: archivio evidence, report KPI/KRI, controllo interno readava.
Settimane 11-12: modifiche finali, prenotazione del revisore, Type I.
La raccolta settimanale di manufatti, la ringhiera trimestrale del Tipo II al termine del periodo.

TL; DR

SOCC 2 = Scope TSC chiaro il catalogo dei controlli con i proprietari e le metriche evidence di Design & Operating IEM/DR/DR/TPRM- II. E non ci saranno sorprese.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.