GH GambleHub

SOC 2: Gözegçilik howpsuzlyk ölçegleri

1) SOC 2 gysgaça

SOC 2 - guramanyň Trust Services Criteria (TSC) AICPA laýyklykda (Design) we (Operating) gözegçiliklerini nädip dizaýn edýändigine garaşsyz baha bermekdir.
iGaming-de bu, düzgünleşdirijileriň/banklaryň/PSP/hyzmatdaşlaryň ynamyny artdyrýar we TPRM-ni ýönekeýleşdirýär.

Hasabat görnüşleri:
  • Type I - bir pursat ýagdaýy (belli bir senede): gözegçilikleriň dogry dizaýn edilendigi.
  • Type II - döwür üçin (adatça 6-12 aý): gözegçilikler iş ýüzünde durnukly işleýärmi (nusgalar bilen).

2) Trust Services Criteria (TSC) we olary nädip okamaly

Esasy domen - Security (Common Criteria). Galanlary sebite goşmaça goşulýar:
KriterMaksatAuditoryň soraglarynyň mysallary
Security (CC)Rugsatsyz girmekden goramakMFA, RBAC/ABAC, SoD, magazinesurnallar, gowşaklygy dolandyrmak
AvailabilityMaksatlar boýunça elýeterlilikDR/BCP, RTO/RPO, SLO gözegçiligi, waka-dolandyryş
ConfidentialityGizlin maglumatlary goramakKlassifikasiýa, şifrlemek, gizlemek, eksport-gözegçilik
Processing IntegrityGaýtadan işlemegiň dolulygy/takyklygy/wagtyndaMaglumatlaryň hiline gözegçilik, barlyşyklar, synaglar
PrivacyPII üçin gizlinlik aýlawyKanuny esaslar, RoPA, DSAR, retenşn, CMP

3) Dolandyryş modeli we hökmany elementler (Howpsuzlyk - CC)

Governance & Risk: IB syýasaty, töwekgelçilik sanawy, maksatlary, rollary/RACI, okuw.
Access Control: RBAC/ABAC, SoD, JIT/PAM, parollar/MFA, üpjün SCIM/IGA, offbording ≤ 15 minut.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-skaner, CAB, deploew magazinesurnallary, gaýdyşlar.
Logging & Monitoring: merkezleşdirilen loglar (WORM + gol), SIEM/SOAR, KRI boýunça alertler.
Vuln & Patch: kesgitlemek/klassifikasiýa prosesi, High/Critical-da SLA, ýerleşdirilmegini tassyklamak.
Incident Response: playbook, RACI, war-room, postmortemalar we CAPA.
Vendor/TPRM: due diligence, DPA/SLA, audit hukugy, wendorlara gözegçilik.

4) Ösen ölçegler (A, C, PI, P)

Availability (A)

SLO/SLA we daşbordlar; DR/BCP (RTO/RPO), ýyllyk synaglar; kuwwat/kross-sebit; elýeterlilik boýunça hadysalaryň prosesi.

Confidentiality (C)

Maglumatlaryň klassifikasiýasy; şifrlemek at rest/in transit (KMS/HSM); PII tokenizasiýasy; eksporta gözegçilik (gol, magazineurnal); retenşn.

Processing Integrity (PI)

Maglumatlaryň hiline gözegçilik etmek: shema/tassyklama, de-duplikasiýa, reconciliation; wezipeleriň başlanmagyna gözegçilik etmek; paýlaýynlardaky üýtgeşmeleri dolandyrmak.

Privacy (P)

Gizlinlik syýasaty; RoPA/kanuny esaslar; SMR/razylyk; DPIA/DSAR; gizlemek/retenşn; yzarlaýjylaryň barlagy/SDK.

5) Mapping SOC 2 syýasatlaryňyz/gözegçilikleriňiz

ISO 27001/ISMS → CC (töwekgelçilikleri dolandyrmak, syýasatlar, tölegler, gowşaklyklar) esaslaryny öz içine alýar.
ISO 27701/PIMS → Privacy kriteriýalarynyň köpüsini ýapýar.
Içerki bölümler: RBAC/Least Privilege, Parol syýasaty we MFA, Bloglar syýasaty, Hadysalar, TPRM, DR/BCP - gönüden-göni TSC-e iberilýär.

💡 Laýyklyk matrisini düzmek maslahat berilýär: "TSC nokat → syýasat/prosedura → gözegçilik → metrika → evidence".

6) Gözegçilik katalogy we evidences mysallary

Her bir gözegçilik üçin: ID, maksady, eýesi, ýygylygy, usuly (awto/el bilen), subutnama çeşmeleri.

Mysallar (bölek):
  • 'SEC-ACCESS-01' - MFA admin-access → IdP-hasabat, sazlama skrinshotlary, loglary saýlamak.
  • 'SEC-IGA-02' - Offboarding ≤ 15 min → SCIM-log, işden çykaryş barlaglary, gulplama magazineurnaly.
  • 'SEC-LOG-05' - Üýtgemeýän magazinesurnallar (WORM) → konfigiler, heş-zynjyrlar, eksporty saýlama.
  • 'AVAIL-DR-01' - Her ýyl geçirilýän DR-synag → synag teswirnamasy, hakyky RTO/RPO.
  • 'CONF-ENC-03' - KMS/HSM açar dolandyryşy → aýlaw syýasaty, KMS auditi.
  • 'PI-DATA-02' - Tölegler boýunça Reconciliation → Deňeşdirme hasabatlary, hadysalar, CAPA.
  • 'PRIV-DSAR-01' - DSAR boýunça SLA → haýyşlaryň sanawy, taýtstamplar, jogap şablonlary.

7) SOC saklamak üçin amallar (SOP) 2

SOP-1 Wakalar: detekt → triage → containment → RCA → CAPA → hasabat.
SOP-2 Üýtgeşmeleri dolandyrmak: PR → CI/CD → skanerler → CAB → deploy → gözegçilik → yza gaýdyş/fiks.
SOP-3 Gowşaklyklar: intake → klassifikasiýa → SLA → fiks barlagy → hasabat çykyşy.
SOP-4 Elýeterliligi: JML/IGA, çärýekleýin gaýtadan sertifikatlaşdyrmak, SoD-bloklar, JIT/PAM.
DR/BCP SOP-5: ýyllyk synaglar, bölekleýin maşklar, RTO/RPO faktlaryny çap etmek.
SOP-6 Eksportlar/gizlinlik: ak sanawlar, gol/žurnal, retenşn/aýyrmalar.

8) Audit üçin taýýarlyk: Type I → Type II

1. TSC-iň gep-derňewi: örtükleriň matrisi, ýetmezçilik edýän gözegçilikleriň sanawy.
2. Syýasatlar we amallar: eýelerini täzelemek, bellemek.
3. "Evidence" -iň ýeke-täk ammary: ýazgylar, IdP/SIEM hasabatlary, biletler, saýlama eksport (gollar bilen).
4. Internal Readiness Audit: auditor soragnamasynyň geçmegi, seçimleri düzetmek.
5. Type I (X senesi): gözegçilikleriň dizaýnyny we işe girizilendigini görkezmek.
6. Gözegçilik döwri (6-12 aý): artefaktlary yzygiderli ýygnamak, tapyndylary ýapmak.
7. Type II: iş netijeliligi barada hasabat bermek.

9) SOC üçin metrikler (KPI/KRI) 2

KPI:
  • MFA adoption (dolandyryjylar/möhüm rollar) = 100%
  • Offboarding TTR ≤ 15 min
  • Patch SLA High/Critical öz wagtynda 95% ≥ ýapyldy
  • DR-synaglary: meýilnama-grafikanyň ýerine ýetirilmegi = 100%, hakyky RTO/RPO kadaly
  • Logirowka Coverage (WORM) ≥ 95% möhüm ulgamlar
KRI:
  • PII 'purpose' = 0
  • SoD bozulma = 0
  • Hadysalara düzgünlerden soň habar berildi = 0
  • Gaýtalanýan gowşaklyklar High/Critical> 5% - ýokarlanmak

10) RACI (ulaldylan)

IşjeňlikBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
SOC sebiti 2A/RRCCCCCCI
Gözegçilik katalogyIA/RRCRRRCI
"Evidence"IA/RRRRRRCI
Readiness/içki. auditIRRRRRRCA/R
Daşarky auditIRRRRRRCI
SARA/remediasiýaIA/RRRRRRCC

11) Çek-listler

11. 1 Readiness (Type I-den öň)

  • Skope (TSC we ulgamlar) hasaba alyndy
  • Syýasatlar/amallar aktual we tassyklandy
  • Gözegçilik we metrika eýeleri bellendi
  • evidence-ammar prototipi taýýar (ýazgylar, IdP/SIEM hasabatlary, biletler)
  • Waka tabletkasy we DR-mini-synag geçirildi
  • Töwekgelçilikler we SoD-matrisa tassyklandy

11. 2 Gözegçilik döwri (I we II aralygynda)

  • Sahypalaryň hepdelik ýygnamak/eksport
  • KPI/KRI boýunça aýlyk hasabat
  • SLA-da gowşak ýerleri ýapmak
  • Çärýekleýin gaýtadan sertifikatlaşdyrmak
  • DR/BCP synagy

11. 3 Type II

  • Döwür üçin doly evidence toplumy (her gözegçilik boýunça)
  • Hadysalaryň/gowşaklyklaryň sanawy we CAPA
  • Dolandyryş barlagy hasabaty (döwrüň netijeleri)
  • Täzelenen TSC mapping matrisi

12) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

"Tejribesiz syýasatlar": ýazgylary, biletleri, DR/hadysalaryň teswirnamalaryny görkeziň - diňe resminamalar däl.
Gowşak logirleme: WORM/gollar we wakalaryň aç-açan semantikasyz audit has çylşyrymly.
Hukuklaryň gaýtadan sertifikatlaşdyrylmagy ýok: "asylan" giriş töwekgelçiligi möhüm minusdyr.
Doly däl satyjylar: SOC 2 zynjyry görýär - TPRM, DPA/SLA, audit hukuklaryny goşuň.
Rutinsiz bir gezeklik öňe gidişlik: SSM/daşbordlary we aýlyk hasabatlary giriziň.

13) Ýol kartasy (12-16 hepde → Type I, ýene 6-12 aý → Type II)

Hepdeler 1-2: TSC, Skope, eýeler, iş meýilnamasy.
3-4 hepdeler: syýasatlary/amallary täzelemek, gözegçilik katalogyny we mapping matrisini ýygnamak.
Hepdeler 5-6: Logy sazlamak (WORM/gol), SIEM/SOAR, gowşaklyk/SLA, IdP/MFA, IGA/JML patches.
Hepdeler 7-8: DR/BCP minimal synaglar, TPRM-täzelenmeler (DPA/SLA), wakanyň repetisiýasy.
Hepdeler 9-10: evidence-ammar, KPI/KRI hasabatlylygy, içerki readiness-audit.
Hepdeler 11-12: Soňky düzedişler, auditor bronlary, Type I.
Indiki: Artefaktlary hepdelik ýygnamak, çärýekleýin gykylyk → Döwür gutarandan soň Type II.

TL; DR

SOC 2 = açyk Skope TSC → eýeler we metrikler bilen gözegçilik katalogy → Design & Operating → üznüksiz girelgeler/SIEM/IGA/DR/TPRM → Readiness → Type I → gözegçilik döwri → Type II. "standart subut etmek" ediň - we audit garaşylmadyk ýagdaýda geçiriler.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.