GH GambleHub

SOC 2: critérios de segurança

1) SOC 2 em duas palavras

O SOC 2 é uma avaliação independente de como a organização projeta (Design) e executa (Operating) os controles de acordo com a Trust Services Criteria (TSC) AICPA.
Em iGaming, isso aumenta a confiança dos reguladores/bancos/PSP/parceiros e simplifica a TPRM.

Tipos de relatórios:
  • O Tipo I é um estado instantâneo (em uma data específica): se os controladores estão corretamente projetados.
  • Tipo II - durante o período (normalmente 6-12 m): se os controladores funcionam de forma estável (com amostras).

2) Trust Services Criteria (TSC) e como lê-los

O domínio básico é Security (Common Criteria). Os outros são adicionados opcionalmente à área:
CritérioAlvoExemplos de questões do auditor
Security (CC)Proteção contra acesso não autorizadoMFA, RBAC/ABAC, SoD, revistas, gerenciamento de vulnerabilidades
AvailabilityDisponibilidade por objetivosDR./BCP, RTO/RPO, monitoramento SLO, gestão de incidentes
ConfidentialityProteção de dados confidenciaisClassificação, criptografia, camuflagem, exportação-controle
Processing IntegrityAbrangência/precisão/tempo de processamentoControle de qualidade de dados, verificação, testes de passagem
PrivacyCiclo de privacidade para PIIFundamentos legítimos, RoPA, DSAR, Retainha, CMP

3) Modelo de controle e itens obrigatórios (Security - CC)

Governance & Risk: política de IB, registro de risco, metas, papéis/RACI, treinamento.

Access Control: RBAC/ABAC, SoD, JIT/PAM, senhas/MFA, mantimentos SCIM/IGA, off ≤ 15 min

Mudança & SDLC: DevSecOps, SAST/DAST/DS, Digitalização IaC, FAB, registros de deploes, reversões.
Logging & Monitoring: logs centralizados (WORM + assinatura), SIEM/SOAR, alertas KRI.
Vuln & Patch: processo de identificação/classificação, SLA para High/Critical, confirmação de implantação.
Invident Response: playbook, RACI, war-room, pós-mar e CAPA.
Vendor/TPRM: due diligence, DPA/SLA, direito de auditoria, monitoramento de vendedores.

4) Critérios ampliados (A, C, PI, P)

Availability (A)

SLO/SLA e dashboards; DR./BCP (RTO/RPO), testes anuais; capacidade/região cross; O processo de incidentes de disponibilidade.

Confidentiality (C)

Classificação de dados; criptografia at rest/in transit (KMS/HSM); toquenização PII; Controle de exportação (assinatura, registro); Retensem.

Processing Integrity (PI)

Controle de qualidade de dados: circuitos/validações, dedução, reconciliação; Controle de execução de tarefas; gerenciamento de alterações nas pipinas.

Privacy (P)

Política de privacidade; RoPA/fundamentos legítimos; O CMR/consentimento; DPIA/DSAR; camuflar/retensar; auditoria de rastreadores/SDK.

5) Mapping SOC 2 ↔ suas políticas/controles

O ISO 27001/ISMS cobre a base CC (gerenciamento de riscos, políticas, logs, vulnerabilidades).
O ISO 27701/PIMS → fecha muitos critérios de privacidade.
Seções internas: RBAC/Least Privilege, Política de Senhas e MFA, Política de Logs, Incidentes, TPRM, DR./BCP - diretamente em TSC.

💡 A matriz de conformidade recomendada é «TC parágrafo → política/procedimento → controle → métrica → evidence».

6) Catálogo de controladores e exemplos de evidances

Para cada controle: ID, alvo, proprietário, frequência, método (auto/manual), fontes de prova.

Exemplos (fatias):
  • 'SEC-ACCESS-01' - MFA para Admin → relatório IDP, tabelas de configuração, amostra de logs.
  • 'SEC-IGA-02' - Offboarding ≤ 15 min → logs SCIM, tíquetes de demissão, registro de bloqueios.
  • 'SEC-JONG-05' - Revistas inalteradas (WORM) → configs, cadeias de hash, exportação de amostras.
  • 'AVAIL-DR-01' - Teste DR. anual → protocolo de teste, RTO/RPO real.
  • 'SE-ENC-03' - KMS/HSM gerenciamento de chaves → políticas de rotação, auditoria do KMS.
  • 'PI-DATA-02' - Recepção de pagamentos → relatórios de verificação, incidentes, CAPA.
  • 'VIP-DSAR-01' - SLA por DSAR → registro de solicitação, temporizadores, modelos de resposta.

7) Procedimentos (SOP) para manter o SOC 2

SOP-1 Incidentes: detecção → triage → containment → RCA → CAPA → relatório.
SOP-2 Gerenciamento de alterações: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 Vulnerabilidade: intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk do relatório.
SOP-4 Acessíveis: JML/IGA, certificação de ré, blocos SoD, JIT/PAM.
SOP-5 DR./BCP: testes anuais, exercícios parciais, publicação de factos RTO/RPO.
SOP-6 Exportação/Privacidade: listas brancas, assinatura/registro, retenção/remoção.

8) Preparação para a auditoria: Tipo I → Tipo II

1. Análise GAP, matriz de revestimentos, lista de controladores que faltam.
2. Políticas e procedimentos: atualizar, designar proprietários.
3. Um único armazenamento de evidence: logs, relatórios de IdP/SIEM, tíquetes, exportação de amostras (assinaturas).
4. Auditório Internacional Readiness: Verificação de questionário do auditor, fixação de amostras.
5. Tipo I (data X): mostra o design dos controladores e o fato de iniciar.
6. Período de observação (6-12 m): recolha contínua de artefatos, encerramento de descobertas.
7. Tipo II: fornecer amostras por período, relatório de eficiência operacional.

9) Métricas (KPI/KRI) para SOC 2

KPI:
  • MFA adopção (adins/papéis críticos) = 100%
  • Offboarding TTR ≤ 15 min
  • Patch SLA High/Critical fechado ≥ 95% dentro do prazo
  • Testes DR.: execução do plano-gráfico = 100%, RTO/RPO real normal
  • Logagem de Coverage (WORM) ≥ 95% dos sistemas críticos
KRI:
  • Acesso ao PII sem 'purpose' = 0
  • Violações SoD = 0
  • Incidentes notificados depois dos regulamentos = 0
  • Vulnerabilidades repetidas High/Critical> 5% - Escalação

10) RASI (acentuado)

AtividadeBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
Área SOC 2A/RRCCCCCCI
Diretório de controleIA/RRCRRRCI
Armazenamento EvidenceIA/RRRRRRCI
Readiness/interior. auditoriaIRRRRRRCA/R
Auditoria externaIRRRRRRCI
SARAH/RemunçãoIA/RRRRRRCC

11) Folhas de cheque

11. 1 Readiness (antes do Tipo I)

  • Scope (TSC e sistemas) está registrado
  • As políticas/procedimentos são válidas e aprovadas
  • Os donos dos controles e métricas foram designados
  • Protótipo de armazenamento evidence pronto (logs, relatórios IdP/SIEM, tíquetes)
  • O tabletop sobre o incidente e o mini-teste Dr
  • Riscos e matriz SoD confirmados

11. 2 Período de observação (entre I e II)

  • Coleta semanal de amostras/exportações de logs
  • Relatório mensal do KPI/KRI
  • Encerramento de vulnerabilidades na SLA
  • Certificação de Direitos Trimestral
  • Dr./BCP teste de acordo com o plano

11. 3 Antes do Tipo II

  • Conjunto completo de evidence por período (por cada controle)
  • Registro de incidentes/vulnerabilidades e CAPA
  • Relatório de gestão da revisão (resultado do período)
  • Matriz de mapping atualizada TSC↔kontroli

12) Erros frequentes e como evitá-los

«Políticas sem prática»: mostre logs, tíquetes, protocolos de DR./incidentes - não só documentos.
Logs fracos: Sem WORM/assinaturas e semântica clara de eventos, a auditoria é mais difícil.
Não há certificação de direitos, o risco de acesso pendente é menos crítico.
Incompleto Scope vendedores: SOC 2 vê cadeia - adicione TPRM, DPA/SLA, direitos de auditoria.
Um passo sem rotina: implemente RCM/dashboards e relatórios mensais.

13) Mapa de trânsito (12-16 semanas) Tipo I, mais 6-12 m

Semanas 1-2, análise gap da TSC, Scope, proprietários, planos de trabalho.
Semanas 3-4: atualizar políticas/procedimentos, montar diretório de controle e matriz de mapping.
Semanas 5-6: personalizar logs (WORM/assinatura), SIEM/SOAR, vulnerabilidades/patches SLA, IdP/MFA, IGA/JML.
Semanas 7-8: DR./BCP testes mínimos, upgrade TPRM (DPA/SLA), ensaio incidente.
Semanas 9-10: armazenamento evidence, relatórios KPI/KRI, auditoria interna readiness.
Semanas 11-12: edição final, reserva do auditor, Tipo I.
Seguinte: Coleta semanal de artefatos, revezamento trimestral → Tipo II após o fim do período.

TL; DR

SOC 2 = Scope TSC claro diretório de controladores com proprietários e métricas evidence pelo Design & Operating logs contínuos/SIEM/IGA/DR./TPRM Readiness Tipo I durante o período de observação Tipo II. Faça a «prova padrão» E a auditoria não terá surpresas.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.