GH GambleHub

SOC 2: Kryteria kontroli bezpieczeństwa

1) SOC 2 w skrócie

SOC 2 jest niezależną oceną sposobu, w jaki organizacja projektuje (projektuje) i wykonuje (działa) kontrole zgodnie z kryteriami AICPA Trust Services Criteria (TSC).
W iGaming zwiększa to zaufanie organów regulacyjnych/banków/PSP/partnerów i upraszcza TPRM.

Typy raportów:
  • Typ I - jeden stan natychmiastowy (dla określonej daty): czy sterowniki są prawidłowo zaprojektowane.
  • Typ II - na okres (zwykle 6-12 miesięcy): czy kontrole działają stabilnie w praktyce (z próbkami).

2) Kryteria usług zaufania (TSC) i jak je przeczytać

Domeną bazową jest bezpieczeństwo (wspólne kryteria). Reszta jest dodawana do obszaru opcjonalnie:
KryteriumCelPrzykłady pytań audytora
Bezpieczeństwo (CC)Ochrona przed nieautoryzowanym dostępemMFA, RBAC/ABAC, SoD, logi, zarządzanie lukami
DostępnośćDostępność według celuDR/BCP, RTO/RPO, monitorowanie SLO, zarządzanie incydentami
PoufnośćChroń dane wrażliweKlasyfikacja, szyfrowanie, maskowanie, kontrola eksportu
Integralność przetwarzaniaKompletność/dokładność/terminowość przetwarzaniaKontrola jakości danych, uzgodnienia, testy końcowe
PrywatnośćPętla prywatności PIIUzasadnione podstawy, RoPA, DSAR, retencja, CMP

3) Model sterowania i obowiązkowe elementy (Bezpieczeństwo - CC)

Zarządzanie i ryzyko: polityka bezpieczeństwa informacji, rejestr ryzyka, cele, role/RACI, szkolenia.
Kontrola dostępu: RBAC/ABAC, SoD, JIT/PAM, hasła/MFA, rezerwa SCIM/IGA, offboarding ≤ 15 min.
Zmień & SDLC: DevSecOps, SAST/DAST/DS, skanowanie IaC, CAB, dzienniki wyczerpania, rolki.
Rejestrowanie i monitorowanie: rejestry scentralizowane (podpis WORM +), wpisy SIEM/SOAR, KRI.
Vuln & Patch - Identify/Classify Process, SLA to High/Critical, Confirm Deployment.
Odpowiedź na incydent: playbook, RACI, pokój wojenny, pośmiertne i CAPA.
Sprzedawca/TPRM: należyta staranność, DPA/SLA, prawo do audytu, monitorowanie sprzedawcy.

4) Kryteria rozszerzone (A, C, PI, P)

Dostępność (A)

SLO/SLA i deski rozdzielcze; DR/BCP (RTO/RPO), badania roczne; przepustowość/region poprzeczny; proces incydentu dostępności.

Poufność (C)

klasyfikacja danych; Szyfrowanie podczas odpoczynku/tranzytu (KMS/HSM) tokenizacja PII; kontrola wywozu (podpis, dziennik); zatrzymanie.

Integralność przetwarzania (PI)

Kontrola jakości danych: systemy/walidacje, deduplikowanie, uzgadnianie; monitorowanie uruchamiania zadań; Zarządzanie zmianami w rurociągach.

Prywatność (P)

Polityka prywatności; RoPA/podstawy prawne; CIW/zgoda; DPIA/DSAR; maskowanie/zatrzymywanie; audyt tracker/SDK.

5) Odwzorowanie SOC 2

ISO 27001/ISMS → obejmuje podstawę CC (zarządzanie ryzykiem, polityki, dzienniki, luki).
ISO 27701/PIMS → zamyka wiele kryteriów ochrony prywatności.
Sekcje wewnętrzne: RBAC/Najmniejszy przywilej, Polityka hasła i MFA, Polityka dziennika, Incydenty, TPRM, DR/BCP - bezpośrednio mapowane do TSC.

💡 Zaleca się stworzenie matrycy korespondencyjnej: „Pozycja TSC → polityka/procedura → kontrola → → Metryka dowodów”.

6) Katalog kontroli i przykłady dowodów

Dla każdej kontroli: ID, cel, właściciel, częstotliwość, metoda (auto/instrukcja), źródła dowodów.

Przykłady (fragment):
  • „SEC-ACCESS-01” - MFA dla dostępu administratora → raport IdP, zrzuty ekranu ustawień, wybór dzienników.
  • „SEC-IGA-02” - Offboarding ≤ 15 min → Logi SCIM, bilety zwolnień, dziennik blokowania.
  • 'SEC-LOG-05' - Immutable logs (WORM) → configs, hash chains, export samples.
  • „AVAIL-DR-01” - Roczny test DR → protokół testowy, rzeczywisty RTO/RPO.
  • „CONF-ENC-03” - KMS/HSM key management → polityka rotacji, audyt KMS.
  • „PI-DATA-02” - Uzgodnienie płatności → raporty pojednawcze, incydenty, CAPA.
  • SLA by DSAR → rejestr zapytań, znaczniki czasu, szablony odpowiedzi.

7) Procedury utrzymania SOC 2

SOP-1 Incydenty: wykrywanie → triage → przechowywanie → RCA → CAPA → raport.
Zarządzanie zmianą SOP-2: PR → CI/CD → skany → CAB → wdrożenie → monitorowanie → otkat/fiksy.
SOP-3 Luki: spożycie → klassifikatsiya → SLA → verifikatsiya raport fiksa → vypusk.
SOP-4 Dostęp: JML/IGA, kwartalna ponowna certyfikacja, bloki SoD, JIT/PAM.
DR/BCP SOP-5: roczne testy, ćwiczenia częściowe, publikacja faktów RTO/RPO.
SOP-6 Eksport/prywatność: whitelisting, signature/log, retention/deletion.

8) Przygotowanie do audytu: Typ I → Typ II

1. Analiza szczeliny TSC: matryca powłoki, lista brakujących sterowników.
2. Zasady i procedury: aktualizacja, wyznaczenie właścicieli.
3. Ujednolicone przechowywanie dowodów: dzienniki, raporty IdP/SIEM, bilety, wywóz próbek (z podpisami).
4. Wewnętrzny audyt gotowości: ankieta audytu, pobieranie próbek.
5. Typ I (data X): pokazać projekt sterowania i fakt uruchomienia.
6. Okres obserwacji (6-12 miesięcy): ciągły zbiór artefaktów, zamknięcie znalezisk.
7. Typ II: dostarczyć próbki na dany okres, sprawozdanie z efektywności operacyjnej.

9) Wskaźniki (KPI/KRI) dla SOC 2

KPI:
  • Przyjęcie pomocy makrofinansowej = 100%
  • TTR offboard ≤ 15 min
  • Plaster SLA Wysoki/Krytyczny zamknięty ≥ 95% na czas
  • Badania DR: wykonanie harmonogramu = 100%, rzeczywiste RTO/RPO normalne
  • Pokrycie przez rejestrowanie (WORM) ≥ 95% systemów krytycznych
KRI:
  • Dostęp PII bez „celu” = 0
  • Zaburzenia SoD = 0
  • Incydenty zgłoszone później niż przepisy = 0
  • Wysokie/krytyczne re-vulnerabilities> 5% - eskalacja

10) RACI (powiększony)

DziałalnośćBoard/CEOCISO/ISMSBezpieczeństwoPrywatność/DPOSRE/ITDane/BIProdukt/EngZgodność prawna/ZgodnośćAudyt wewnętrzny
Obszar SOC 2A/RRCCCCCCJA
Katalog kontroliJAA/RRCRRRCJA
Składowanie dowodówJAA/RRRRRRCJA
Gotowość/ext. audytJARRRRRRCA/R
Audyt zewnętrznyJARRRRRRCJA
CAPA/rekultywacjaJAA/RRRRRRCC

11) Listy kontrolne

11. 1 Gotowość (przed typem I)

  • Zakres (TSC i systemy) zablokowane
  • Polityki/procedury są aktualne i zatwierdzone
  • Właściciele kontroli i przypisane mierniki
  • Prototypowe przechowywanie dowodów gotowe (dzienniki, raporty IdP/SIEM, bilety)
  • Incydent tablop i DR mini-test wykonane
  • Potwierdzone ryzyko i matryca SoD

11. 2 Okres następczy (między I a II)

  • Cotygodniowy wywóz próbek/kłód
  • Miesięczne sprawozdanie KPI/KRI
  • Zamknięcie luki w SLA
  • Kwartalna ponowna certyfikacja praw
  • Test DR/BCP zgodnie z planem

11. 3 Przed typem II

  • Kompletny zbiór dowodów na okres (na kontrolę)
  • Rejestr incydentów/podatności na zagrożenia i CAPA
  • Sprawozdanie z przeglądu zarządzania (suma okresowa)
  • Aktualizacja matrycy mapowania TSC

12) Częste błędy i jak ich uniknąć

„Polityka bez praktyki”: pokaż dzienniki, bilety, protokoły DR/incydent - nie tylko dokumenty.
Słabe rejestrowanie: bez WORM/podpisów i jasnych semantyki wydarzeń, audyt jest trudniejszy.
Nie ma ponownej certyfikacji praw: ryzyko „powieszenia” dostępu jest krytyczne minus.
Niekompletny zakres sprzedaży: SOC 2 widzi łańcuch - dodaj TPRM, DPA/SLA, prawa audytu.
Jednorazowy palant bez rutyny: wdrożenie JMA/deski rozdzielcze i miesięczne raportowanie.

13) Plan działania (12-16 tygodni → Typ I, kolejne 6-12 miesięcy → Typ II)

Tygodnie 1-2: Analiza luk TSC, Zakres, właściciele, plan pracy.
Tygodnie 3-4: aktualizacja zasad/procedur, budowa katalogu kontroli i matryca mapowania.
Tygodnie 5-6: skonfigurować dzienniki (WORM/podpis), SIEM/SOAR, luki/plastry SLA, IdP/MFA, IGA/JML.
Tygodnie 7-8: badania minimalne DR/BCP, aktualizacje TPRM (DPA/SLA), próby incydentów.
Tygodnie 9-10: przechowywanie dowodów, raportowanie KPI/KRI, wewnętrzny audyt gotowości.
Tygodnie 11-12: ostateczna edycja, rezerwacja audytora, typ I.
Następny: cotygodniowa kolekcja artefaktów, kwartalnik → Recenzje typu II na koniec okresu.

TL; DR

SOC 2 = jasny Zakres TSC → katalog kontroli z właścicielami i miernikami → dowody na Projekt i działanie → dzienniki ciągłe/SIEM/IGA/DR/TPRM → Gotowość → Typ I → okres obserwacji → Typ II. Zrobić „domyślnie” - i audyt odbędzie się bez niespodzianek.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.