SOC 2: 안전 제어 기준
1) 간단히 말해서 SOC 2
SOC 2는 AICPA Trust Services Criteria (TSC) 에 따라 조직이 설계 (디자인) 및 실행 (운영) 을 제어하는 방법에 대한 독립적 인 평가입니다.
iGaming에서 이는 규제 기관/은행/PSP/파트너의 신뢰를 높이고 TPRM을 단순화합니다.
- 타입 I-하나의 순간 상태 (특정 날짜): 컨트롤이 올바르게 설계되었는지 여부.
- II 형-해당 기간 (일반적으로 6-12 개월): 제어가 실제로 샘플과 함께 안정적으로 작동합니다.
2) TSC (Trust Services Criteria) 및 읽는 방법
기본 도메인은 보안 (공통 기준) 입니다. 나머지는 선택적으로 해당 영역에 추가됩니다
3) 제어 모델 및 필수 요소 (보안-CC)
거버넌스 및 위험: 정보 보안 정책, 위험 등록, 목표, 역할/RACI, 교육.
액세스 제어: RBAC/ABAC, SoD, JIT/PAM, 비밀번호/MFA, SCIM/IGA 프로비저닝, 오프 보드
변경 및 SDLC: DevSecOps, SAST/DAST/DS, IaC 스캔, CAB, 고갈 로그, 롤백.
로깅 및 모니터링: 중앙 집중식 로그 (WORM + 서명), SIEM/SOAR, KRI 경고.
Vuln & Patch-식별/식별 프로세스, SLA to High/Critical, 확인 배포.
사고 대응: 플레이 북, RACI, 전쟁 실, 사후 및 CAPA.
공급 업체/TPRM: 실사, DPA/SLA, 감사 권리, 공급 업체 모니터링.
4) 확장 기준 (A, C, PI, P)
가용성 (A)
SLO/SLA 및 대시 보드; DR/BCP (RTO/RPO), 연례 테스트; 용량/교차 지역; 가용성 발생 프로세스.
기밀 유지 (C)
데이터 분류; 휴식/운송 중 암호화 (KMS/HSM) PII 토큰 화; 내보내기 제어 (서명, 로그); 보존.
무결성 처리 (PI)
데이터 품질 관리: 체계/검증, 중복 제거, 조정; 작업 시작 모니터링; 파이프 라인 변경 사항 관리
개인 정보 보호 (P)
개인 정보 보호 정책 RoPA/법적 근거; CIW/동의; DPIA/DSAR; 마스킹/보존; 추적기/SDK 감사.
5) SOC 2 매핑 정책/제어
ISO 27001/ISMS → 는 CC (위험 관리, 정책, 로그, 취약점) 의 기초를 다룹니다.
ISO 27701/PIMS → 는 많은 개인 정보 보호 기준을 닫습니다.
내부 섹션: RBAC/최소 특권, 비밀번호 정책 및 MFA, 로그 정책, 사건, TPRM, DR/BCP-TSC에 직접 매핑 할 수 있습니다.
6) 통제 카탈로그 및 증거 예
각 제어에 대해: ID, 목적, 소유자, 주파수, 방법 (자동/수동), 증거 소스.
예 (조각):- 'SEC-ACCESS-01' -관리자 액세스 용 MFA → IdP 보고서, 설정 스크린 샷, 로그 선택.
- 'SEC-IGA-02' -오프 보딩, 15 분 → SCIM 로그, 해고 티켓, 로그 차단.
- 'SEC-LOG-05' -불변의 로그 (WORM) → 구성, 해시 체인, 내보내기 샘플.
- 'AVAIL-DR-01' -연간 DR 테스트 → 테스트 프로토콜, 실제 RTO/RPO.
- 'CONF-ENC-03' -KMS/HSM 키 관리 → 교체 정책, KMS 감사.
- 'PI-DATA-02' -지불 조정 → 조정 보고서, 사건, CAPA.
- 'PRIV-DSAR-01' -DSAR → 쿼리 레지스터의 SLA, 타임 스탬프, 응답 템플릿.
7) SOC 2를 유지하기위한 절차 (SOP)
SOP-1 사건: 탐지 → 심사 → 격리 → RCA → CAPA → 보고서.
SOP-2 변경 관리: PR → CI/CD → skany → CAB → 배포 → 모니터링 → otkat/fiksy.
SOP-3 취약성: 섭취 → klassifikatsiya → SLA → verifikatsiya는 fiksa → vypusk를보고합니다.
SOP-4 액세스: JML/IGA, 분기 별 재 인증, SoD 블록, JIT/PAM.
DR/BCP SOP-5: 연례 테스트, 부분 연습, RTO/RPO 사실 게시.
SOP-6 수출/개인 정보 보호: 화이트 리스팅, 서명/로그, 유지/삭제.
8) 감사 준비: 유형 I → 유형 II
1. TSC 갭 분석: 코팅 매트릭스, 누락 된 컨트롤 목록.
2. 정책 및 절차: 업데이트, 소유자 임명.
3. 통합 증거 저장: 로그, IdP/SIEM 보고서, 티켓, 샘플 내보내기 (서명 포함).
4. 내부 준비 감사: 감사 설문지 실행, 샘플 캡처.
5. 유형 I (날짜 X): 컨트롤 디자인과 출시 사실을 보여줍니다.
6. 관찰 기간 (6-12 개월): 유물의 지속적인 수집, 발견의 폐쇄.
7. 유형 II: 운영 효율성 보고서 기간 동안 샘플을 제공합니다.
9) SOC 2 용 메트릭 (KPI/KRI)
KPI:- MFA 채택 = 100%
- 오프 보드 TTR 10 분
- 패치 SLA High/Critical 폐쇄 시간에 95%
- DR 테스트: 일정 실행 = 100%, 실제 RTO/RPO 정상
- 로깅 (WORM) 에 의한 적용 범위 중요 시스템의 95%
- '목적' 이없는 PII 액세스 = 0
- SoD 장애 = 0
- 규정보다 늦게 통보 된 사건 = 0
- 높은/중요한 재취약점> 5% -에스컬레이션
10) RACI (확대)
11) 점검표
11. 1 준비 상태 (유형 I 이전)
- 범위 (TSC 및 시스템) 잠금
- 정책/절차는 최신 및 승인되었습니다
- 지정된 제어 소유자 및 메트릭
- 프로토 타입 증거 저장 준비 (로그, IdP/SIEM 보고서, 티켓)
- 사고 탁상 및 DR 미니 테스트 수행
- 위험 및 SoD 매트릭스 확인
11. 2 후속 기간 (I과 II 사이)
- 주간 샘플링/로그 내보내기
- 월간 KPI/KRI 보고서
- SLA 취약성 폐쇄
- 분기 별 권리 재 인증
- 계획된 DR/BCP 테스트
11. 유형 II 이전 3
- 기간 당 완전한 증거 세트 (제어 당)
- 사고/취약성 등록 및 CAPA
- 관리 검토 보고서 (기간 총계)
- 업데이트 된 매핑 매트릭스 TSC CN kontroli
12) 빈번한 실수와 피하는 방법
"실제없는 정책": 문서뿐만 아니라 로그, 티켓, DR/사건 프로토콜 표시.
약한 로깅: WORM/서명 및 명확한 이벤트 의미가 없으면 감사가 더 어렵습니다.
권리에 대한 재 인증은 없습니다. "매달린" 액세스의 위험은 중요한 마이너스입니다.
불완전한 공급 업체 범위: SOC 2는 체인을 봅니다-TPRM, DPA/SLA, 감사 권한 추가.
일상적인 일회성 저크: JMA/대시 보드 및 월간보고 구현.
13) 로드맵 (12-16 주 → 유형 I, 추가 6-12 개월 → 유형 II)
1-2 주: TSC 갭 분석, 범위, 소유자, 작업 계획.
3-4 주: 정책/절차 업데이트, 제어 디렉토리 구축 및 매핑 매트릭스.
5-6 주: 로그 설정 (WORM/서명), SIEM/SOAR, SLA 취약점/패치, IdP/MFA, IGA/JML.
7-8 주: DR/BCP 최소 테스트, TPRM 업데이트 (DPA/SLA), 사건 리허설.
9-10 주: 증거 저장, KPI/KRI보고, 내부 준비 감사.
11-12 주: 최종 편집, 감사 예약, 유형 I.
다음: 주간 아티팩트 모음, 분기 별 → 유형 II 리뷰 기간 종료.
TL; DR
SOC 2 = 명확한 범위 TSC → 소유자 및 지표에 대한 제어 카탈로그 → 디자인 및 운영 → 연속 로그/SIEM/IGA/DR/TPRM → 유형 → 관찰 기간 → 유형 III- "기본적으로 예측 가능성" -감사는 놀라움없이 진행됩니다.