GH GambleHub

SOC 2: Меъёрҳои назорати бехатарӣ

1) SOC 2 дар шакли нутқ

SOC 2 баҳодиҳии мустақилест, ки чӣ гуна созмон (Дизайн) -ро таҳия ва иҷро мекунад (Амалиёт) мувофиқи меъёрҳои AICPA Trust Services (TSC) назорат мекунад.
Дар IGaming, ин эътимоди танзимгарон/бонкҳо/PSP/шариконро афзоиш медиҳад ва TPRM-ро содда мекунад.

Намудҳои гузориш:
  • Навъи I - як ҳолати фаврӣ (барои санаи муайян): оё идоракунӣ дуруст тарҳрезӣ шудааст.
  • Навъи II - барои давра (одатан 6-12 моҳ): назоратро дар амал устувор иҷро кунед (бо намунаҳо).

2) Меъёрҳои хидматрасонии эътимоднок (TSC) ва чӣ гуна онҳоро хондан

Домени асосӣ Амният (Меъёрҳои умумӣ) мебошад. Боқимонда ба минтақа ихтиёрӣ илова карда мешаванд:
МеъёриМақсадНамунаҳои саволҳои аудитор
Амният (CC)Муҳофизат аз дастрасии беиҷозатВКХ, RBAC/ABAC, So-D, гузоришҳо, идоракунии осебпазирӣ
МавҷудиятДастрасӣ аз рӯи ҳадафDR/BCP, RTO/RPO, мониторинги SLO, идоракунии ҳодисаҳо
МахфиятМуҳофизат кардани маълумоти ҳассосТаснифот, рамзгузорӣ, ниқоб, назорати содирот
Коркарди якпорчагӣПуррагӣ/дақиқӣ/саривақтии коркардНазорати сифати маълумот, мусолиҳа, санҷишҳои ниҳоӣ
МахфиятДоираи махфияти PIIАсосҳои қонунӣ, ROPA, DSAR, нигоҳдорӣ, CMP

3) Модели назорат ва унсурҳои ҳатмӣ (Амният - CC)

Идоракунӣ ва хатар: сиёсати амнияти иттилоотӣ, бақайдгирии хатарҳо, ҳадафҳо, нақшҳо/RACI, омӯзиш.
Назорати дастрасӣ: RBAC/ABAC, SO, JIT/PAM, паролҳо/ВКХ, таъмини SCIM/IGA, offboard ≤ 15 дақиқа.

Тағйир ва SDLC: Dev

Воридшавӣ ва мониторинг: гузоришҳои мутамарказ (имзои WORM +), SIEM/SOAR, KRI.
Vuln & Patch - Муайян/Тасниф кардани раванд, SLA ба баланд/интиқодӣ, тасдиқи ҷойгиркунӣ.
Вокуниш ба ҳодисаҳо: дафтарчаи бозӣ, RACI, ҳуҷраи ҷанг, пас аз қатл ва CAPA.
Фурӯшанда/TPRM: санҷиши лозимӣ, DPA/SLA, ҳуқуқ ба аудит, мониторинги фурӯшанда.

4) Меъёрҳои васеъ (A, C, PI, P)

Мавҷудият (A)

SLO/SLA ва панели панелҳо; DR/BCP (RTO/RPO), санҷишҳои солона; иқтидор/салиб; раванди мавҷудияти ҳодиса.

Махфият (C)

Таснифи маълумот; Рамзгузорӣ ҳангоми истироҳат/транзит (KMS/HSM) токенизатсияи PII; назорати содирот (имзо, сабти ном); нигоҳ доштан.

Коркарди якпорчагӣ (PI)

Назорати сифати маълумот: схемаҳо/тасдиқҳо, такрорӣ, мусолиҳа; мониторинги оғози супоришҳо; Идоракунии тағирот дар қубурҳо.

Махфият (P)

Сиёсати махфият; РОПА/асосҳои ҳуқуқӣ; CIW/розигӣ; DPIA/DSAR; ниқоб/нигоҳ доштан; аудити tracker/SDK.

5) Харитаи SOC 2 ↔ сиёсатҳо/идоракунии шумо

ISO 27001/ISMS → асоси CC-ро фаро мегирад (идоракунии хавфҳо, сиёсатҳо, гузоришҳо, осебҳо).
ISO 27701/PIMS → бисёр меъёрҳои махфиятро пӯшидааст.
Қисматҳои дохилӣ: RBAC/Имтиёзи камтарин, Сиёсати парол ва ВКХ, Сиёсати сабти ном, Ҳодисаҳо, TPRM, DR/BCP - бевосита ба TSC харида мешаванд.

💡 Тавсия дода мешавад, ки матритсаи мукотиба эҷод карда шавад: "банди TSC → сиёсат/расмиёт → назорат → → метрикаи далелҳо".

6) Феҳристи назорат ва намунаҳои далелҳо

Барои ҳар як назорат: ID, мақсад, соҳиб, басомад, усул (худкор/дастӣ), манбаъҳои далелҳо.

Намунаҳо (порча):
  • 'SEC-ACCESS-01' - ВКХ барои дастрасӣ ба маъмурон → гузориши ID, скриншотҳои танзимот, интихоби гузоришҳо.
  • 'SEC-IGA-02' - Offboard ≤ 15 дақиқа → гузоришҳои SCIM, чиптаҳои аз кор озод кардан, сабти блок.
  • 'SEC-LOG-05' - Гузоришҳои тағирнопазир (WORM) → конфигуратсияҳо, занҷирҳои ҳаш, намунаҳои содирот.
  • 'AVAIL-DR-01' - Санҷиши солонаи DR → протоколи санҷишӣ, RTO/RPO воқеӣ.
  • 'CONF-ENC-03' - Идоракунии калидҳои KMS/HSM → сиёсати гардиш, аудити KMS.
  • 'PI-DATA-02' - Муқоисаи пардохтҳо → ҳисобот дар бораи оштӣ, ҳодисаҳо, CAPA.
  • 'DSAR-01' - SLA аз ҷониби DSAR → феҳристи дархостҳо, мӯҳлатҳо, қолабҳои посух.

7) Тартиби (SOP) нигоҳдории SOC 2

SOP-1 Ҳодисаҳо: муайянкунӣ → triage → containment § RCA → CAPA → ҳисобот.
SOP-2 Идоракунии Тағирот: PR → CI/CD → skany → CAB → ҷойгиркунии → мониторинг → otkat/fiksy.
Осебпазирии SOP-3: истеъмоли → klassifikatsiya → SLA → verifikatsiya гузориши фикса → vypusk.
SOP-4 Дастрасӣ: JML/IGA, сертификатсияи семоҳа, блокҳои So-D, JIT/PAM.
DR/BCP SOP-5: санҷишҳои солона, машқҳои қисман, нашри далелҳои RTO/RPO.
SOP-6 Содирот/махфият: сафедкунӣ, имзо/сабти ном, нигоҳдорӣ/несткунӣ.

8) Омодагӣ ба аудит: Намуди I → Намуди II

1. Таҳлили холигии TSC: матритсаи рӯйпӯш, рӯйхати идоракунии нопурра.
2. Сиёсатҳо ва тартибот: навсозӣ, таъин кардани соҳибон.
3. Нигаҳдории ягонаи далелҳо: гузоришҳо, гузоришҳои IDP/SIEM, чиптаҳо, содироти намунаҳо (бо имзоҳо).
4. Аудити омодагии дохилӣ: саволномаи аудит, сабти намуна.
5. Навъи I (санаи X): тарҳи назорат ва далели роҳандозиро нишон диҳед.
6. Давраи мушоҳида (6-12 моҳ): ҷамъоварии доимии артефактҳо, бастани бозёфтҳо.
7. Навъи II: намунаҳоро барои давра, ҳисоботи самаранокии амалиётӣ пешниҳод кунед.

9) Метрика (KPI/KRI) барои SOC 2

KPI:
  • Қабули ВКХ = 100%
  • Offboard TTR ≤ 15 дақиқа
  • Patch SLA High/Critical саривақт баста ≥ 95%
  • Санҷишҳои DR: иҷрои ҷадвал = 100%, воқеии RTO/RPO муқаррарӣ
  • Фарогирӣ тавассути воридшавӣ (WORM) ≥ 95% системаҳои интиқодӣ
KRI:
  • Дастрасии PII бе 'мақсад' = 0
  • Ихтилоли СО = 0
  • Ҳодисаҳо дертар аз қоидаҳои = 0 огоҳ карда шуданд
  • Осебҳои баланд/критикӣ> 5% - афзоиш

10) RACI (васеъшуда)

ФаъолиятРаёсат/CEOCISO/ISMSАмниятМахфият/DPOSRE/ITМаълумот/BIМаҳсулот/EngҲуқуқӣ/МутобиқатАудити дохилӣ
Минтақаи SOC 2A/RРCCCCCCМАН
Каталоги идоракунӣМАНA/RРCРРРCМАН
Нигоҳдории далелҳоМАНA/RРРРРРCМАН
Омодагӣ/ext. аудитМАНРРРРРРCA/R
Аудити берунаМАНРРРРРРCМАН
CAPA/барқарорсозӣМАНA/RРРРРРCC

11) Рӯйхати санҷишҳо

11. 1 Омодагӣ (пеш аз намуди I)

  • Доираи (TSC ва Системаҳо) қулф карда шудааст
  • Сиёсатҳо/тартибот ҷорӣ ва тасдиқ карда мешаванд
  • Соҳибони назорат ва ченакҳои таъиншуда
  • Прототипи нигаҳдории далелҳо омода аст (гузоришҳо, гузоришҳои IDP/SIEM, чиптаҳо)
  • Планшети ҳодиса ва санҷиши мини DR гузаронида шуд
  • Хатарҳо ва матритсаи So-D тасдиқ карда шуданд

11. 2 Давраи пайгирӣ (байни I ва II)

  • Содироти ҳарҳафтаинаи интихоб/журнал
  • Ҳисоботи ҳармоҳаи KPI/KRI
  • Пӯшидани осебпазирии SLA
  • Сертификатсияи дубораи ҳуқуқи семоҳа
  • Санҷиши DR/BCP тибқи нақша

11. 3 Пеш аз намуди II

  • Маҷмӯи пурраи далелҳо дар як давра (барои назорат)
  • Феҳристи ҳодисаҳо/осебпазирӣ ва CAPA
  • Ҳисоботи баррасии идоракунӣ (Ҷамъбасти давра)
  • Матритсаи харитасозии навсозишуда TSC↔kontroli

12) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

"Сиёсатҳои бидуни амал": гузоришҳо, чиптаҳо, протоколҳои DR/ҳодисаҳо - на танҳо ҳуҷҷатҳо.
Сабти заиф: бидуни WORM/имзоҳо ва семантикаи возеҳи рӯйдодҳо, аудит мушкилтар аст.
Сертификатсияи дубораи ҳуқуқҳо вуҷуд надорад: хатари дастрасии "овезон" минуси муҳим аст.
Ҳаҷми нопурраи фурӯшанда: SOC 2 занҷирро мебинад - TPRM, DPA/SLA, ҳуқуқҳои аудиториро илова кунед.
Як маротиба бидуни реҷа: JMA/панели панелҳо ва ҳисоботи ҳармоҳаро амалӣ кунед.

13) Харитаи роҳ (12-16 ҳафта → Навъи I, 6-12 моҳи дигар → Навъи II)

Ҳафтаҳои 1-2: таҳлили холигии TSC, Соҳа, соҳибон, нақшаи корӣ.
Ҳафтаҳои 3-4: сиёсатҳо/тартиботро навсозӣ кунед, феҳристи идоракунӣ ва матритсаи харитасозиро созед.
Ҳафтаҳои 5-6: гузоришҳоро (WORM/имзо), SIEM/SOAR, осебпазирӣ/часпакҳои SLA, IDP/MFA, IGA/JML насб кунед.
Ҳафтаҳои 7-8: Санҷишҳои ҳадди аққали DR/BCP, навсозиҳои TPRM (DPA/SLA), репетсияи ҳодисаҳо.
Ҳафтаҳои 9-10: нигоҳдории далелҳо, ҳисоботи KPI/KRI, омодагии дохилӣ-аудит.
Ҳафтаҳои 11-12: таҳрирҳои ниҳоӣ, фармоишҳои аудиторӣ, намуди I.
Оянда: ҷамъоварии ҳарҳафтаинаи артефактҳо, ҳар семоҳа → Шарҳи навъи II дар охири давра.

TL; ДР

SOC 2 = Clear Scope TSC → Феҳристи назорат бо соҳибон ва ченакҳо → далелҳо оид ба тарроҳӣ ва амалиёт → гузоришҳои доимӣ/SIEM/IGA/DR/TPRM → Омодагирӣ → Намуди I. Оё "исбот бо нобаёнӣ" - ва аудит бидуни ногаҳонӣ сурат мегирад.

Contact

Тамос гиред

Барои саволҳо ё дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram ё WhatsApp — ихтиёрӣ.

Номи шумо ихтиёрӣ
Email ихтиёрӣ
Мавзӯъ ихтиёрӣ
Паём ихтиёрӣ
Telegram ихтиёрӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиёрӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.