Certificate de siguranță și conformitate

De ce ai nevoie de ea?

Certificările și certificările confirmă practicile mature de siguranță și scurtează ciclul de due diligence, deschizând accesul la piețele reglementate și la parteneri. Cheia nu este de a „trece auditul o dată”, ci de a construi un sistem de control continuu cu puncte de control măsurabile.

Harta peisajului (ce să alegeți și când)

ISO/IEC 27001 - Sistemul de Management al Securitatii Informatiei (ISMS). „Scheletul” universal al proceselor.

Completări: ISO 27017 (cloud), 27018 (confidențialitate în cloud), 27701 (PIMS, confidențialitate), 22301 (BCMS, sustenabilitate).
SOC 2 (AICPA): Tipul I (proiectarea pentru dată) și tipul II (proiectarea + eficiența operațională pentru perioada, de obicei 3-12 luni). Criterii de servicii de încredere: securitate, disponibilitate, integritatea procesării, confidențialitate, confidențialitate.
PCI DSS (pentru procesarea cardurilor): niveluri după volumul tranzacției, ROC/AOC care implică QSA, scanări trimestriale ASV, pentests și segmentarea zonei CHD.
CSA STAR (Nivelul 1-3): declarație/audit pentru furnizorii și serviciile cloud.
În plus, pe domenii: ISO 20000 (ITSM), ISO 31000 (managementul riscului), ISO 37001 (anti-mită), TISAX/ISAE 3402 (industrie/finanțe).
GDPR/confidențialitate: nu există „certificat GDPR” ca atare; aplică ISO 27701 și evaluări/coduri de conduită independente.

💡 Regula de selecție: B2B SaaS/fintech → ISO 27001 + SOC 2 tip II; Fluxuri de plată/carduri → PCI DSS Lucrul îndeaproape cu PII → 27701 cloud focus → 27017/27018/CSA STAR.

Certificare vs certificare

Certificare (ISO): un organism acreditat eliberează un certificat de 3 ani cu audituri anuale de supraveghere.
Evaluare (SOC 2): auditorul independent emite un raport (aviz) pentru perioada respectivă; furnizați documentul clienților în conformitate cu NDA.
PCI DSS: confirmat de ROC (Raport privind conformitatea) și AOC (Atestarea conformității), sau SAQ pentru volume mai mici.

Domeniul de aplicare: cum se conturează limitele

1. Active și procese: produse, medii (prod/stage), regiuni, clase de date (PII/finance/maps).
2. Arhitectură tehnică: cloud, VPC/VNet, Kubernetes, CI/CD, management secret, DWH/analytics.
3. Zone organizatorice: birouri/remote, contractori, suport outsourcing.
4. Terțe părți: PSP, furnizori de conținut, KYC/AML, nori - model de responsabilitate partajată.
5. Excepții: stabiliți de ce în afara domeniului de aplicare și măsurile compensatorii.

Foaie de parcurs la „prima insignă”

1. Analiza decalajului față de obiective (27001/SOC 2/PCI).
2. Managementul riscurilor: metodologie, registru de risc, plan de procesare, Declarație de aplicabilitate (ISO).
3. Politici și roluri: securitatea informațiilor/politica de confidențialitate, clasificarea datelor, acces (IAM), logare, răspuns, BCM/DR.
4. Controale tehnice: criptare, rețele (WAF/WAAP, DDoS), vulnerabilități/patch-uri, SDLC securizat, backup-uri, monitorizare.
5. Baza de probe: reglementări, reviste, capturi de ecran, încărcări, bilete - stocăm versionat.
6. Audit intern/Readiness-assessment.
7. Audit extern: etapa 1 (revizuire andocare) → etapa 2 (eficiență/eșantioane). Pentru SOC 2 Tip II - „perioada de observare”.
8. Supravegherea/întreținerea: evaluări trimestriale ale controlului, audituri anuale de supraveghere (ISO), actualizare anuală SOC 2.

Matrice de potrivire a controlului (fragment de exemplu)

Domenii	ISO 27001 anexa A	SOC 2 TSC	PCI DSS	Tipul de inspecție/artefact
Managementul accesului	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, busteni SCIM, drepturi de revocare
Încifrare	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, politici cheie
Vulnerabilități/Patch-uri	A.12, A.14	CC7. x	6, 11. 3	Scanează, MTTP, Rapoarte Pentest, ASV
Busteni/Monitorizare	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, Retenție, Alerte și RCA
BCM/DR	A.5, A.17	A1. x	12	22301-planuri, rezultatele testelor DR

Ce va arăta auditorul (interogări tipice)

Accesări: rapoarte din IdP/IAM, jurnale JML, revizuire privilegiu.
Secretele: politicile KMS/Vault, istoria rotației.
Scanare vulnerabilitate: ultimele rapoarte, bilete de remediere, termene limită MTTP.
Jurnale/alerte: cazuri incidente, MTTD/MTTR, post-mortems.
Furnizori: registru, DPIA/DTIA (dacă PII), măsuri contractuale, evaluări ale riscurilor.
Training și teste: simulări de phishing, training-uri de securitate a informațiilor, confirmări.
BC/DR: Rezultatele ultimului exercițiu, fapte RTO/RPO.

Respectarea continuă

Codul de politică: OPA/Gatekeeper/Kyverno pentru Depleys; „Aplicarea” regulilor critice.
Monitorizarea controlului continuu (CCM): verifică la fiecare N minute/ore (criptarea găleților, porturi deschise, acoperire MFA).
Sistem GRC: registru de comenzi, proprietari, sarcini și termene limită, valori obligatorii.
Butuc unic artefact: „dovezi” este versionat și marcat cu un punct de control.
Generarea automată a rapoartelor: SoA, Registrul riscurilor, Eficacitatea controlului, KPI/SLO prin controale.

Măsurători de conformitate și SLOs

Acoperire:% din comenzi cu verificare automată,% din active în domeniu.
Timp de răspuns: p95 închiderea cererilor de audit ≤ 5 zile lucrătoare.
Fiabilitate: „controlul nu în zona verde” ≤ 1% din timp pe lună.
Vulnerabilități: MTTP P1 ≤ 48 de ore, P2 ≤ 7 zile; remediere pentest ≤ 30 de zile.

Instruire in domeniul securitatii informatiei: acoperire personal ≥ 98%, frecventa 12 luni

Specific pentru nor și Kubernetes

Cloud: inventarul resurselor (IaC), criptarea discului/canalului, logarea (CloudTrail/Activity Logs), roluri minime. Utilizați rapoartele de certificare ale furnizorilor (SOC 2, ISO, PCI) ca parte a protecției „moștenite”.
Kubernetes: RBAC prin namespace, Politici de admitere (semnături imagine/SBOM, interdicție „: cele mai recente”), politici de rețea, secrete în afara etcd (KMS), audit server API, profiluri de scanare pentru imagini/clustere.
Rețele și perimetru: WAF/WAAP, DDoS, segmentare, ZTNA în loc de VPN „wide”.

PCI DSS (rafinamente media de plată)

Segmentarea zonei CHD: sisteme minime într-un cluster; mTLS la PSP; webhooks - cu HMAC.
Scanări ASV trimestriale și pentest-uri anuale (inclusiv segmentarea).
Busteni si integritate: FIM, busteni imuabili, timp sub sigiliu (NTP).
Documente: Politici, Grafice de flux, AOC/ROC, proceduri incidente.

Confidențialitate (ISO 27701 + abordare GDPR)

Roluri: controler/procesor, registru de procesare, temeiuri legale.
DPIA/DTIA: evaluarea riscurilor de confidențialitate și de transmitere transfrontalieră.
Drepturile subiecților: SLA pentru răspunsuri, mijloace tehnice de căutare/ștergere.
Minimizare/pseudonimizare: modele arhitecturale și DLP.

Artefacte (șabloane gata făcute - ce să păstreze la îndemână)

Declarația de aplicabilitate (SoA) cu motivația de includere/excludere din anexa A.
Control Matrix (ISO↔SOC2↔PCI) cu proprietarii și dovezi.
Registru de risc cu metodologie (impact/probabilitate) și plan de prelucrare.
BC/DR planuri + protocoale de exerciții recente.
Pachetul SDLC securizat: liste de verificare de revizuire, rapoarte SAST/DAST, politica de implementare.
Furnizor Due Diligence: chestionare (MG Lite/CAIQ), evaluări ale riscurilor, măsuri contractuale.

Erori comune

Audit de dragul auditului: fără procese live, doar dosare de politici.
Domeniul de aplicare prea larg: devine mai scump și complică întreținerea; începe cu „miezul valorii”.
Colectarea manuală a probelor: datorie operațională ridicată; automatizarea CCM și încărcări.
Controale fără valori: nu pot fi gestionate (fără SLO/proprietari).
Regim de post-certificare uitat: nu există controale trimestriale → surprize privind supravegherea.
Contractori în afara buclei: terții devin sursa incidentelor și un „cartonaș roșu” în audit.

Lista de verificare a pregătirii (abreviat)

Domeniul de aplicare, active, proprietari definite; harta datelor și a fluxurilor.
Registrul riscurilor, SoA (pentru ISO), Criteriile serviciilor de încredere (pentru SOC 2) descompuse în controale.
Politicile, procedurile, formarea personalului sunt implementate și actualizate.
Comenzile sunt automate (CCM), sunt conectate tablouri de bord și alerte.
Dovezile pentru fiecare control sunt colectate/versionate.
Audit intern efectuat/Pregătire; pauzele critice sunt eliminate.
Auditorul/autoritatea desemnată, perioada de observație (SOC 2) sau planul etapei 1/2 (ISO) a fost de acord.
La fața locului pentest/ASV (PCI), planul de remediere și confirmarea remedierilor.

Mini șabloane

Politica de măsurare pentru controale (exemplu)

Control: „Toate gălețile PII sunt criptate KMS”.
SLI:% din găleți cu criptare activată.
Scop: ≥ 99. 9%.
Alertă: atunci când se încadrează <99. 9% mai mult de 15 minute → P2, proprietar - șef de platformă.

Jurnal de evidență (fragment)

Control	Dovada	Frecvenţă	Depozitare	Responsabil
Acces logare la PII	Export SIEM în 90 de zile	Lunar	GRC/Dovezi Hub	Plumb SOC
Rotația secretelor	Jurnal de audit al seifului + bilet de schimbare	Săptămânal	GRC	Plumb DevOps

iGaming/fintech specific

Domenii cu risc ridicat: plăți/plăți, antifraudă, backhoe, integrări partenere - prioritate în combaterea și controlul.
Indicatori de afaceri: Timp-la-portofel, conversie reg→depozit - ia în considerare impactul garanțiilor și auditurilor.
Regionalitate: cerințe UE/LATAM/Asia - contabilizarea transmisiilor transfrontaliere, autorități locale de reglementare.
Furnizori de conținut/PSP-uri: due diligence obligatoriu, mTLS/HMAC, addenda legală privind datele.

Total

Certificările sunt o consecință a disciplinei și automatizării: managementul riscurilor, politicile de viață, controalele măsurabile și disponibilitatea continuă. Alegeți setul potrivit (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), conturați un domeniu de aplicare, verificați automat (CCM/Policy-as-Code), păstrați artefactele în ordine și măsurați SLO - în acest fel conformitatea va deveni previzibilă și va sprijini creșterea produsului, nu frâna acestuia