GH GambleHub

SOC 2: Criterii de control al siguranței

1) SOC 2 pe scurt

SOC 2 este o evaluare independentă a modului în care o organizație proiectează (Proiectare) și execută controalele (Operare) în conformitate cu criteriile AICPA Trust Services (TSC).
În iGaming, acest lucru crește încrederea autorităților de reglementare/băncilor/PSP/partenerilor și simplifică TPRM.

Tipuri de rapoarte:
  • Tipul I - o stare instantanee (pentru o anumită dată): dacă comenzile sunt proiectate corect.
  • Tipul II - pentru perioada (de obicei 6-12 luni): controalele funcționează stabil în practică (cu eșantioane).

2) Criterii de servicii de încredere (TSC) și cum să le citiți

Domeniul de bază este Securitatea (Criterii comune). Restul sunt adăugate opțional la zona:
CriteriulScopExemple de întrebări ale auditorului
Securitate (CC)Protecție împotriva accesului neautorizatMFA, RBAC/ABAC, SoD, jurnale, managementul vulnerabilității
DisponibilitateDisponibilitate după obiectivDR/BCP, RTO/RPO, monitorizare SLO, managementul incidentelor
ConfidențialitateProtejarea datelor sensibileClasificare, criptare, mascare, comenzi de export
Integritatea procesăriiExhaustivitatea/acuratețea/actualitatea prelucrăriiControlul calității datelor, reconcilieri, teste end-to-end
ConfidențialitateBuclă de confidențialitate PIIMotive legitime, RoPA, DSAR, retenție, CMP

3) Model de control și elemente obligatorii (Securitate - CC)

Guvernanță și risc: politica de securitate a informațiilor, registrul riscurilor, obiective, roluri/RACI, instruire.
Control acces: RBAC/ABAC, SoD, JIT/PAM, parole/MFA, provizionare SCIM/IGA, offboarding ≤ 15 min.
Modificare & SDLC: DevSecOps, SAST/DAST/DS, scanare IaC, CAB, jurnale de epuizare, rollback-uri.
Logare și monitorizare: jurnale centralizate (semnătură WORM +), alerte SIEM/SOAR, KRI.
Vuln & Patch - Identificarea/clasificarea procesului, SLA la mare/critică, confirmarea implementării.
Răspuns la incidente: playbook, RACI, cameră de război, post-mortem și CAPA.
Furnizor/TPRM: due diligence, DPA/SLA, dreptul la audit, monitorizarea furnizorilor.

4) Criterii extinse (A, C, PI, P)

Disponibilitate (A)

SLO/SLA și tablouri de bord; DR/BCP (RTO/RPO), teste anuale; capacitate/regiune transversală; procesul de incidente de disponibilitate.

Confidențialitate (C)

Clasificarea datelor; Criptare în repaus/tranzit (KMS/HSM) tokenizare PI; controlul exportului (semnătură, jurnal); reținere.

Integritatea procesării (PI)

Controlul calității datelor: scheme/validări, deduplicare, reconciliere; monitorizarea demarării sarcinilor; Gestionați modificările aduse conductelor.

Confidențialitate (P)

Politica de confidențialitate; RoPA/temeiuri juridice; CIW/consimțământ; DPIA/DSAR; mascare/retenție; tracker/audit SDK.

5) cartografiere SOC 2 ↔ politicile/controalele dvs

ISO 27001/ISMS → acoperă baza CC (managementul riscurilor, politici, jurnale, vulnerabilități).
ISO 27701/PIMS → închide multe criterii de confidențialitate.
Secţiuni interne: RBAC/Less Privilege, Parola Policy and MFA, Log Policy, Incidents, TPRM, DR/BCP - direct mapable TSC.

💡 Se recomandă crearea unei matrice de corespondență: „TSC item → policy/procedure → control → → evidence metric”.

6) Catalog de controale și exemple de probe

Pentru fiecare control: ID, scop, proprietar, frecvență, metodă (auto/manual), surse de probe.

Exemple (fragment):
  • „SEC-ACCESS-01” - MFA pentru admin accesează → raport IdP, capturi de ecran de setări, selecție de jurnale.
  • „SEC-IGA-02” - Offboarding ≤ 15 min → jurnale SCIM, bilete de concediere, jurnal de blocare.
  • 'SEC-LOG-05' - Busteni imuabili (WORM) → configuratii, lanturi de hash, mostre de export.
  • „AVAIL-DR-01” - Protocolul anual de testare → testare DR, RTO/RPO efectiv.
  • 'CONT-ENC-03' - KMS/HSM key management → rotation policy, KMS audit.
  • „PI-DATA-02” - Reconcilierea plăților → rapoartele de reconciliere, incidente, CAPA.
  • 'PRIV-DSAR-01' - SLA by DSAR → registru de interogări, marcaje de timp, șabloane de răspuns.

7) Proceduri (POS) pentru menţinerea SOC 2

Incidente: detectarea triajul izolarea raport RCA CAPA.
SOP-2 Change Management: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 Vulnerabilități: intake→klassifikatsiya→SLA→verifikatsiya raport fiksa→vypusk.
Accesări SOP-4: JML/IGA, re-certificare trimestrială, blocuri SoD, JIT/PAM.
DR/BCP SOP-5: teste anuale, exerciții parțiale, publicarea faptelor RTO/RPO.
SOP-6 Exporturi/confidențialitate: whitelisting, semnătură/jurnal, retenție/ștergere.

8) Pregătirea pentru audit: Tip I → Tip II

1. Analiza decalajului TSC: matrice de acoperire, lista controalelor lipsă.
2. Politici și proceduri: actualizați, numiți proprietari.
3. Stocarea probelor unificate: jurnale, rapoarte IdP/SIEM, bilete, export de probe (cu semnături).
4. Audit intern de pregătire: chestionar de audit, captură de eșantioane.
5. Tipul I (data X): arată proiectarea controalelor și faptul lansării.
6. Perioada de observare (6-12 luni): colectarea continuă a artefactelor, închiderea descoperirilor.
7. Tipul II: furnizează eșantioane pentru perioada, raportul privind eficiența operațională.

9) Valori (KPI/KRI) pentru SOC 2

KPI:
  • Adoptarea AMF = 100%
  • Offboarding TTR ≤ 15 min
  • Patch SLA ridicat/critic închis ≥ 95% la timp
  • Teste DR: executarea programului = 100%, RTO real/RPO normal
  • Acoperire prin exploatare forestieră (WORM) ≥ 95% din sistemele critice
IRC:
  • Acces PII fără 'scop' = 0
  • Tulburări SoD = 0
  • Incidente notificate mai târziu decât reglementările = 0
  • Re-vulnerabilități mari/critice> 5% - escaladare

10) RACI (mărită)

ActivitateConsiliul/CEOCISO/ISMSSecuritateConfidențialitate/DPOSRE/ITDate/BIProdus/EngLegalitate/ConformitateAudit intern
Zona SOC 2A/RRCCCCCCI
Catalogul comenzilorIA/RRCRRRCI
Stocarea probelorIA/RRRRRRCI
Pregătire/ext. auditIRRRRRRCA/R
Audit externIRRRRRRCI
CAPA/remediereIA/RRRRRRCC

11) Liste de verificare

11. 1 Pregătire (înainte de tipul I)

  • Domeniul de aplicare (TSC și sisteme) blocat
  • Politicile/procedurile sunt actuale și aprobate
  • Proprietarii de control și măsurători atribuite
  • Prototip de stocare dovezi gata (busteni, IdP/SIEM rapoarte, bilete)
  • Incident de masă și DR mini-test efectuate
  • Riscurile și matricea SoD confirmate

11. 2 Perioada de urmărire (între I și II)

  • Eșantionare săptămânală/export de jurnal
  • Raport lunar KPI/KRI
  • SLA Vulnerabilitate de închidere
  • Drepturile trimestriale de re-certificare
  • Testul DR/BCP conform planului

11. 3 Înainte de tipul II

  • Set complet de dovezi pe perioadă (per control)
  • Incident/Vulnerabilitate Registru și CAPA
  • Raportul de evaluare a managementului (Totalurile perioadei)
  • Matrice de cartografiere actualizată TSC↔kontroli

12) Greșeli frecvente și cum să le evitați

„Politici fără practică”: jurnale de spectacol, bilete, protocoale DR/incident - nu numai documente.
Logare slabă: fără WORM/semnături și semantică clară a evenimentelor, auditarea este mai dificilă.
Nu există nici o re-certificare a drepturilor: riscul de „agățat” acces este un minus critic.
Domeniul de aplicare al furnizorului incomplet: SOC 2 vede lanțul - adăugați TPRM, DPA/SLA, drepturile de audit.
Un singur ticălos fără rutină: puneți în aplicare tablourile de bord/JMA și raportarea lunară.

13) Foaie de parcurs (12-16 săptămâni → Tip I, încă 6-12 luni → Tip II)

Săptămânile 1-2: Analiza decalajului TSC, Domeniul de aplicare, proprietarii, planul de lucru.
Săptămânile 3-4: actualizați politicile/procedurile, construiți directorul de control și matricea de cartografiere.
Săptămânile 5-6: configurarea jurnalelor (WORM/semnătură), SIEM/SOAR, SLA vulnerabilități/patch-uri, IdP/MFA, IGA/JML.
Săptămânile 7-8: teste minime DR/BCP, actualizări TPRM (DPA/SLA), repetiții incidente.
Săptămânile 9-10: stocarea probelor, raportarea KPI/KRI, auditul intern de pregătire.
Săptămânile 11-12: modificări finale, rezervări auditor, tip I.
Următoarea: colectarea săptămânală de artefacte, trimestrial → de tip II recenzii la sfârșitul perioadei.

TL; DR

SOC 2 = Scop clar TSC catalogul de control cu proprietarii și măsurători dovezi privind proiectarea și operarea jurnale continue/SIEM/IGA/DR/TPRM Pregătirea tipului I perioada de observație de tip II.

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.