უსაფრთხოება და შესაბამისობის სერთიფიკატები

რატომ გჭირდებათ ეს

სერთიფიკატები და სერთიფიკატები ადასტურებს უსაფრთხოების სექსუალურ პრაქტიკას და ამცირებს გაყიდვების ციკლს, იხსნება რეგულირებადი ბაზრებისა და პარტნიორების წვდომა. გასაღები არ არის „ერთჯერადი აუდიტის გავლა“, არამედ უწყვეტი კონტროლის სისტემის შექმნა გაზომილი საკონტროლო წერტილებით.

ლანდშაფტის რუკა (რა და როდის უნდა აირჩიოთ)

ISO/IEC 27001 - ინფორმაციის უსაფრთხოების მართვის სისტემა (ISMS). პროცესების უნივერსალური „ჩონჩხი“.

დამატებები: ISO 27017 (ღრუბელი), 27018 (პირადი ღრუბელში), 27701 (PIMS, კონფიდენციალურობა), 22301 (BCMS, სტაბილურობა).
SOC 2 (AICPA): ტიპი I (დიზაინი თარიღისთვის) და Type II (დიზაინი + ოპერაციული ეფექტურობა პერიოდისთვის, ჩვეულებრივ 3-12 თვე). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (ბარათების დამუშავებისთვის): ოპერაციების მოცულობის დონე, ROC/AOC QSA მონაწილეობით, კვარტალური ASV სკანერები, პენტესტები და CHD ზონის სეგმენტი.
CSA STAR (Level 1-3): დეკლარაცია/აუდიტი ღრუბლოვანი პროვაიდერებისა და მომსახურებისთვის.
გარდა დომენებისა: ISO 20000 (ITSM), ISO 31000 (რისკების მენეჯმენტი), ISO 37001 (ანტი-ბრიბერი), TISAX/ISAE 3402 (ფილიალი/ფინანსები).
GDPR/კონფიდენციალურობა: „GDPR სერტიფიკატი“, როგორც ასეთი, არ არსებობს; გამოიყენება ISO 27701 და დამოუკიდებელი შეფასებები/ქცევის კოდექსი.

💡 არჩევანის წესი: B2B SaaS/fintech, ISO 27001 + SOC 2 Type II; გადახდის ნაკადები/ბარათები PCI DSS; მჭიდრო მუშაობა PII-27701; ღრუბლის ფოკუსი 27017/27018/CSA STAR.

სერტიფიკაცია

სერტიფიკაცია (ISO): აკრედიტებული ორგანო გასცემს სერთიფიკატს 3 წლის განმავლობაში, ყოველწლიური სამეთვალყურეო აუდიტის საშუალებით.
სერთიფიკატი (SOC 2): დამოუკიდებელი აუდიტორი გამოსცემს მოხსენებას პერიოდის განმავლობაში; თქვენ აძლევთ დოკუმენტს მომხმარებლებს NDA- ს ქვეშ.
PCI DSS: დადასტურებულია ROC (ანგარიში კომპლექსში) და AOC (კომპლექსის ატესტაცია), ან SAQ უფრო მცირე მოცულობისთვის.

სკოპი: როგორ გავაფართოვოთ საზღვრები

1. აქტივები და პროცესები: პროდუქტები, გარემო (stage/stage), რეგიონები, მონაცემთა კლასები (PII/ფინანსები/ბარათები).
2. ტექნიკური არქიტექტურა: ღრუბელი, VPC/VNet, Kubernetes, CI/CD, საიდუმლო მენეჯმენტი, DWH/ანალიტიკა.
3. ორგანიზაციული ზონები: ოფისები/დისტანცია, კონტრაქტორები, აუთსორსის მხარდაჭერა.
4. მომწოდებლები: PSP, შინაარსის პროვაიდერები, KYC/AML, ღრუბლები ერთობლივი პასუხისმგებლობის მოდელია.
5. გამონაკლისები: შეადგინეთ, რატომ არ არის გადაუდებელი და ანაზღაურებადი ზომები.

საგზაო რუკა „პირველი ბეიჯისთვის“

1. Gap ანალიზი მიზნების საწინააღმდეგოდ (27001/SOC 2/PCI).
2. რისკის მენეჯმენტი: ტექნიკა, რისკების რეესტრი, დამუშავების გეგმა, აპლიკაციის მოწმობა (ISO).
3. პოლიტიკოსები და როლები: IB/კონფიდენციალურობის პოლიტიკა, მონაცემთა კლასიფიკაცია, წვდომა (IAM), ლოჯისტიკა, რეაგირება, BCM/DR.
4. ტექნიკური კონტროლი: დაშიფვრა, ქსელები (WAF/WAAP, DDoS), დაუცველობა/პატჩი, უსაფრთხო SDLC, ზურგჩანთები, მონიტორინგი.
5. მტკიცებულებათა ბაზა: რეგულაციები, ჟურნალები, ეკრანის კადრები, გადმოტვირთვები, თიკეტები - შენახული ვერსიით.
6. შიდა აუდიტი/ანგარიში.
7. გარე აუდიტი: stage 1 (dock-review) - stage 2 (ეფექტურობა/sample). SOC 2 Type II- ისთვის - „დაკვირვების პერიოდი“.
8. ზედამხედველობა/შენარჩუნება: კვარტალური კონტროლის შემოწმება, ყოველწლიური საზედამხედველო აუდიტი (ISO), SOC 2 ყოველწლიური განახლება.

მაკონტროლებელი შედარების მატრიცა (მაგალითის ფრაგმენტი)

დომენები	ISO 27001 Annex A	SOC 2 TSC	PCI DSS	კონტროლის ტიპი/არტეფაქტი
წვდომის მართვა	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, SCIM logs, revue
დაშიფვრა	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, საკვანძო პოლიტიკოსები
დაუცველობა/პატჩი	A.12, A.14	CC7. x	6, 11. 3	სკანერები, MTTP, პენტესტის მოხსენებები, ASV
ლოგიკური/მონიტორინგი	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, retenshne, Alerty და RCA
BCM/DR	A.5, A.17	A1. x	12	22301 გეგმა, DR ტესტის შედეგები

რას აჩვენებს აუდიტორი (ტიპიური მოთხოვნები)

წვდომა: მოხსენებები IDP/IAM- დან, JML ლოგოები, რეპროდუქციული პრივილეგიები.
საიდუმლოებები: KMS/Vault პოლიტიკოსები, როტაციების ისტორია.
დაუცველების სკანირება: უახლესი მოხსენებები, რემედიზაციის თიკეტები, MTTP ვადები.
ჟურნალები/ალერტები: ინციდენტების შემთხვევები, MTTD/MTTR, პოსტ-მორტები.
მომწოდებლები: რეესტრი, DPIA/DTIA (თუ PII), სახელშეკრულებო ზომები, რისკების შეფასება.
ტრენინგი და ტესტები: ფიშინგ სიმულაცია, IB ტრენინგი, დადასტურება.
BC/DR: უახლესი წვრთნების შედეგები, RTO/RPO ფაქტები.

უწყვეტი კონტროლი (Continuous Compliance)

Policy-as-Code: OPA/Gatekeeper/Kyverno გამოსაყენებლად; Enforce კრიტიკულ წესებზე.
Continuous Control Monitoring (CCM): შემოწმება ყოველ N წუთში/საათში (ბაქტერიების დაშიფვრა, ღია პორტები, MFA-coverage).
GRC სისტემა: კონტროლის რეესტრი, მეპატრონეები, დავალებები და ვადები, მეტრიკის დაკავშირება.
ერთი არტეფაქტური კერა: „მტკიცებულებები“ (მტკიცებულებები) ვერსირებულია და აღინიშნება საკონტროლო პუნქტი.
მოხსენების ავტომატური წარმოება: SoA, Risk Register, Control Effectiveness, KPI/SLO კონტროლირებადი.

მეტრიკა და SLO კომპოზიციისთვის

Coverage: კონტროლის% ავტომატური შემოწმებით; აქტივების% არის სწრაფი.
რეაქციის დრო: p95 აუდიტის დახურვა 5 სამუშაო დღე.
საიმედოობა: „კონტროლი არ არის მწვანე ზონაში“ თვეში დროის 1% -ს შეადგენს.
დაუცველობა: MTTP P1 - 48 საათი, P2 - 7 დღე; პენტესტის რემედიაცია - 30 დღე.
IB ტრენინგი: პერსონალის დაფარვა 98%, სიხშირე 12 თვე.

სპეციფიკა ღრუბლისა და კუბერნეტებისთვის

ღრუბელი: რესურსების ინვენტარი (IaC), დაშიფვრა „დისკზე “/“ არხზე“, ჟურნალები (CloudTrail/Activity Logs), მინიმალური როლები. გამოიყენეთ პროვაიდერების სასერთიფიკატო ცნობები (SOC 2, ISO, PCI), როგორც „მემკვიდრეობითი“ დაცვის ნაწილი.
Kubernetes: RBAC namespace, Admission პოლიტიკა (სურათების ხელმოწერები/SBOM, აკრძალვა ': latest'), ქსელის პოლიტიკა, საიდუმლოებები etcd- ის მიღმა (KMS), API სერვერის აუდიტი, სკანის პროფილები გამოსახულებისთვის/მტევებისთვის.
ქსელები და პერიმეტრი: WAF/WAAP, DDoS, სეგმენტი, ZTNA „ფართო“ VPN- ის ნაცვლად.

PCI DSS (განმარტებები გადახდის გარემოსთვის)

CHD ზონის სეგმენტი: მინიმალური სწრაფი სისტემები; MTLS PSP- სთვის; ვებჰუკი - HMAC- ით.
კვარტალური ASV სკანერები და ყოველწლიური პენტესტები (სეგმენტის ჩათვლით).
ლოგოები და მთლიანობა: FIM, უცვლელი ჟურნალები, „ბეჭდვის დრო“ (NTP).
დოკუმენტები: პოლიტიკა, ბარათის მონაცემების ნაკადის დიაგრამები, AOC/ROC, ინციდენტების პროცედურები.

კონფიდენციალურობა (ISO 27701 + GDPR მიდგომა)

როლები: მაკონტროლებელი/პროცესორი, დამუშავების რეესტრი, იურიდიული საფუძვლები.
DPIA/DTIA: კონფიდენციალურობის რისკების შეფასება და ტრანსსასაზღვრო ტრანსმისიები.
სუბიექტების უფლებები: SLA პასუხებზე, ძებნის/მოცილების ტექნიკურ საშუალებებზე.
მინიმიზაცია/ფსევდონიზაცია: არქიტექტურული ნიმუშები და DLP.

არტეფაქტები (მზა შაბლონები - რა უნდა შეინახოთ „ხელით“)

Applicability (SoA) შეტევა Annex A.
Control Matrix (ISO - SOC2 (PCI) მფლობელებითა და მტკიცებულებებით.
Risk Register მეთოდით (impact/likelihood) და დამუშავების გეგმა.
BC/DR გეგმები + ბოლო სავარჯიშოების ოქმები.
Secure SDLC პაკეტი: Check petals, SAST/DAST მოხსენებები, დეპლოკაციის პოლიტიკა.
Supplier Due Diligence: კითხვარები (SIG Lite/CAIC), რისკების შეფასებები, სახელშეკრულებო ზომები.

ხშირი შეცდომები

„აუდიტი აუდიტის გულისთვის“: არ არსებობს ცოცხალი პროცესები, მხოლოდ საქაღალდეები პოლიტიკოსებთან.
ძალიან ფართო ნაგავი: ის უფრო ძვირი და ართულებს შენარჩუნებას; დაიწყეთ „ღირებულების ბირთვით“.
სახელმძღვანელო მტკიცებულებების შეგროვება: მაღალი ოპერაციული დავალიანება; ავტომატიზაცია მოახდინეთ CCM და გადმოტვირთვის შესახებ.
კონტროლდება მეტრიკის გარეშე: შეუძლებელია კონტროლი (არ არსებობს SLO/მფლობელები).
დავიწყებული პოსტ-სასერთიფიკატო რეჟიმი: ზედამხედველობაზე კვარტალური შემოწმება არ არის გასაკვირი.
კონტრაქტორები კონტურის გარეთ: მესამე მხარეები ხდება ინციდენტების წყარო და აუდიტის წითელი ბარათი.

მზადყოფნის სია (შემოკლებით)

განსაზღვრულია სიჩქარე, აქტივები, მეპატრონეები; მონაცემთა და ნაკადების რუკა.
რისკების რეესტრი, SoA (ISO- სთვის), Trust Service Criteria (SOC 2-ისთვის) დალაგებულია კონტროლის შესაბამისად.
პოლიტიკოსები, პროცედურები, პერსონალის ტრენინგი ხორციელდება და აქტუალურია.
ავტომატიზირებული (CCM), დაშბორდები და ალერტები უკავშირდება.
თითოეული კონტროლის მტკიცებულებები შეგროვებულია/ვერსირებულია.
ჩატარდა შიდა აუდიტი/ბედნიერება; აღმოფხვრილი კრიტიკული ხარვეზები.
დაინიშნა აუდიტორი/ორგანო, შეთანხმებულია დაკვირვების პერიოდი (SOC 2) ან Stage 1/2 გეგმა (ISO).
პენტესტის/ASV (PCI) ადგილზე, რემედიაციის გეგმა და ფიქსაციის დადასტურება.

მინი შაბლონები

კონტროლი მეტრიული პოლიტიკა (მაგალითი)

კონტროლი: „ყველა ტანკი PII- ით დაშიფრულია KMS“.
SLI: დაშიფრული ავზების%.
მიზანი: 99 ევრო. 9%.
ალერტი: დაცემისას <99. 9% 15 წუთზე მეტი ხნის განმავლობაში P2, მფლობელი - Platform Head.

მტკიცებულებების ჟურნალი (ფრაგმენტი)

კონტროლი	მტკიცებულება	სიხშირე	შენახვა	პასუხისმგებელი
PII წვდომის ლოგიკა	SIEM ექსპორტი 90 დღეში	ყოველთვიურად	GRC/Evidence Hub	SOC Lead
საიდუმლოების როტაცია	Vault audit log + change ticket	ყოველკვირეული	GRC	DevOps Lead

სპეციფიკა iGaming/fintech

მაღალი რისკის დომენები: გადახდა/გადახდა, ანტიფროდი, ბეკოფისი, პარტნიორობა - პრიორიტეტი სწრაფი და მაკონტროლებელი.
ბიზნესის მეტრიკა: დრო-ვალეტი, რიგის კონვერტაცია და ანაბარი - გაითვალისწინეთ დამცავი ზომებისა და აუდიტების გავლენა.
რეგიონალურობა: ევროკავშირის მოთხოვნები/LATAM/აზია - ტრანსსასაზღვრო ტრანსპორტის აღრიცხვა, ადგილობრივი რეგულატორები.
შინაარსის მომწოდებლები/PSP: სავალდებულო due diligence, mTLS/HMAC, იურიდიული დამატებითი მონაცემების შესახებ.

შედეგი

სერთიფიკატები დისციპლინისა და ავტომატიზაციის შედეგია: რისკის მენეჯმენტი, ცოცხალი პოლიტიკოსები, გაზომილი კონტროლი და მუდმივი მზადყოფნა. შეარჩიეთ სწორი ნაკრები (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), ესკიზი, ავტომატიზაცია (CCM/Policy-as-Code), შეინახეთ არტეფაქტები წესრიგში და გაზომები - ასე რომ შესაბამისობა გახდება პროგნოზირებადი და ხელს შეუწყობს პროდუქტის ზრდას და არა მისთვის მუხრუჭს.