GH GambleHub

Howpsuzlyk we laýyklyk şahadatnamalary

Näme üçin gerek?

Şahadatnamalar we şahadatnamalar kämillik ýaşyna ýeten howpsuzlyk tejribesini tassyklaýar we düzgünleşdirilýän bazarlara we hyzmatdaşlara elýeterliligi açyp, satuw siklini (due diligence) gysgaldýar. Açar - "bir gezeklik auditden geçmek" däl-de, ölçenen gözegçilik nokatlary bilen üznüksiz dolandyryş ulgamyny gurmak.

Landşaft kartasy (näme we haçan saýlamaly)

ISO/IEC 27001 - Maglumat howpsuzlygy dolandyryş ulgamy (ISMS). Prosesleriň ähliumumy "skeleti".

Goşmaçalar: ISO 27017 (bulut), 27018 (bulutda gizlinlik), 27701 (PIMS, gizlinlik), 22301 (BCMS, durnuklylyk).
SOC 2 (AICPA): Type I (senä dizaýn) we Type II (dizaýn + iş netijeliligi, adatça 3-12 aý). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (kartlary gaýtadan işlemek üçin): amallaryň göwrümi boýunça derejeler, QSA-nyň gatnaşmagynda ROC/AOC, çärýekleýin ASV skanerleri, pentestalar we CHD zonasynyň segmentasiýasy.
CSA STAR (1-3-nji dereje): bulut üpjün edijileri we hyzmatlary üçin deklarasiýa/audit.
Goşmaça domenler boýunça: ISO 20000 (ITSM), ISO 31000 (töwekgelçilik-dolandyryş), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (senagat/maliýe).
GDPR/Gizlinlik: "GDPR şahadatnamasy" ýok; ISO 27701 we garaşsyz baha bermegi/özüni alyp barş kodekslerini ulanýarlar.

💡 Saýlamak düzgüni: B2B SaaS/fintech → ISO 27001 + SOC 2 Type II; töleg akymlary/kartlary → PCI DSS; PII → 27701 bilen berk iş; bulut-fokus → 27017/27018/CSA STAR.

Sertifikat vs sertifikat

Sertifikatlaşdyrmak (ISO): akkreditlenen edara her ýyl gözegçilik barlaglary bilen 3 ýyl üçin şahadatnama berýär.
Attestasiýa (SOC 2): garaşsyz auditor hasabat (opinion) berýär; NDA laýyklykda müşderileriňize resminama berýärsiňiz.
PCI DSS: has kiçi göwrümler üçin ROC (Report on Compliance) we AOC (Attestation of Compliance) ýa-da SAQ tarapyndan tassyklanýar.

Skope: serhetleri nädip çyzmaly

1. Aktiwler we prosesler: önümler, gurşaw (prod/stage), sebitler, data-synplar (PII/maliýe/kartlar).
2. Tehniki arhitektura: bulut, VPC/VNet, Kubernetes, CI/CD, gizlin dolandyryş, DWH/analitika.
3. Guramaçylyk zolaklary: ofisler/uzakdan işlemek, potratçylar, autsors-goldaw.
4. Üpjün edijiler (üçünji taraplar): PSP, mazmun üpjün edijileri, KYC/AML, bulutlar - bilelikdäki jogapkärçilik modeli.
5. Kadadan çykmalar: näme üçin satyn alynmaýandygyny we öwezini dolmak çärelerini ýazyň.

"Birinji nyşana" ýol kartasy

1. Maksatlara garşy gap-analiz (27001/SOC 2/PCI).
2. Töwekgelçilik-dolandyryş: usulyýet, töwekgelçilikleriň sanawy, gaýtadan işlemek meýilnamasy, Statement of Applicability (ISO).
3. Syýasatlar we rollar: IB/gizlinlik syýasaty, maglumatlaryň klassifikasiýasy, elýeterlilik (IAM), logirleme, jogap bermek, BCM/DR.
4. Tehniki gözegçilikler: şifrlemek, torlar (WAF/WAAP, DDoS), gowşaklyk/ýamalar, howpsuz SDLC, yzlar, gözegçilik.
5. Subutnama binýady: reglamentler, žurnallar, skrinshotlar, düşürmeler, biletler - wersiýalaşdyrylyp saklanylýar.
6. Içerki audit/Readiness-baha bermek.
7. Daşarky audit: stage 1 (doc-revew) → stage 2 (netijelilik/samples). SOC 2 Type II üçin - "gözegçilik döwri".
8. Gözegçilik/saklamak: gözegçilikleriň çärýekleýin barlaglary, her ýyl gözegçilik barlaglary (ISO), SOC-iň her ýyl täzelenmegi 2.

Gözegçilikleri deňeşdirmek üçin matrisa (mysal bölegi)

DomenlerISO 27001 Annex ASOC 2 TSCPCI DSSGözegçiligiň görnüşi/artefakt
Giriş dolandyryşyA.5, A.9CC6. x7, 8RBAC/ABAC, JML, SCIM-log, revue dogry
ŞifrlemekA.8CC6. 1, CC6. 73KMS/HSM, TLS 1. 2 +/mTLS, esasy syýasatlar
Gowşaklyk/ýamalarA.12, A.14CC7. x6, 11. 3Skanlar, MTTP, pentest-hasabatlar, ASV
Giriş/gözegçilikA.5, A.8, A.12CC7. x10SIEM/SOC, retenşn, alertler we RCA
BCM/DRA.5, A.17A1. x1222301-meýilnamalar, DR synag netijeleri

Auditor näme görkezer (adaty soraglar)

Elýeterlilik: IdP/IAM hasabatlary, JML ýazgylary, artykmaçlyklar.
Syrlar: KMS/Vault syýasaty, aýlanyş taryhy.
Gowşaklygy gözden geçirmek: iň soňky hasabatlar, remediasiýa barlaglary, MTTP möhletleri.
Magazinesurnallar/alertler: hadysalaryň ýagdaýlary, MTTD/MTTR, post-mortlar.
Üpjün edijiler: reýestr, DPIA/DTIA (eger PII bolsa), şertnamalaýyn çäreler, töwekgelçiliklere baha bermek.
Okuw we synaglar: fişing simulýasiýalary, IB okuwlary, tassyklamalar.
BC/DR: soňky maşklaryň netijeleri, RTO/RPO faktlary.

Üznüksiz gözegçilik (Continuous Compliance)

Policy-as-Code: Deploylar üçin OPA/Gatekeeper/Kyverno; "Enforce" kritiki düzgünlere esaslanýar.
Continuous Control Monitoring (CCM): her N minut/sagatda barlamak (baketleri şifrlemek, açyk portlar, MFA-coverage).
GRC-ulgamy: gözegçilikleriň sanawy, eýeleri, wezipeleri we möhletleri, metrikleri baglanyşdyrmak.
Ýeke-täk artefakt-hub: "subutnamalar" (evidence) wersiýa edilýär we gözegçilik nokady bilen bellik edilýär.
Hasabatyň awtogenerasiýasy: SoA, Risk Register, Control Effectiveness, KPI/SLO.

Laýyklyk üçin metrikler we SLO

Coverage:% awtomatiki barlanylýan gözegçilikler;% satyn alnan aktiwler.
Jogap wagty: p95 Auditorçylyk haýyşlarynyň ýapylmagy ≤ 5 iş güni.
Ygtybarlylygy: "gözegçilik ýaşyl zolakda däl" ≤ aýda 1% wagt.
Gowşaklyk: MTTP P1 ≤ 48 s, P2 ≤ 7 gün; pentest-remediasiýa ≤ 30 gün.
IB-ni taýýarlamak: işgärleri ýapmak ≥ 98%, ýygylygy 12 aý.

Bulut we Kubernetes üçin aýratynlyklar

Bulut: çeşmeleriň sanawy (IaC), "diskde "/" kanalda" şifrlemek, journalizasiýa (CloudTrail/Activity Logs), iň az rollar. "Miras" goragynyň bir bölegi hökmünde üpjün edijileriň şahadatnamalaryny (SOC 2, ISO, PCI) ulanyň.
Kubernetes: namespace boýunça RBAC, Admission-syýasatlar (gollar/SBOM, gadaganlyk ': latest'), tor syýasatlary, etcd-den daşary syrlar (KMS), API serweriniň barlagy, şekiller/klaster üçin skan profilleri.
Torlar we perimetri: WAF/WAAP, DDoS, segmentasiýa, "giň" VPN-iň ýerine ZTNA.

PCI DSS (töleg gurşawy üçin düşündirişler)

CHD zonasynyň segmentasiýasy: az mukdarda ulgamlar; mTLS PSP; webhukki - HMAC bilen.
Çärýekleýin ASV-skanlar we ýyllyk pentestalar (segmentasiýany goşmak bilen).
Giriş we bitewilik: FIM, üýtgemeýän magazinesurnallar, "çap edilen wagt" (NTP).
Resminamalar: Syýasatlar, Kart-maglumatlar akymynyň diagrammalary, AOC/ROC, hadysalaryň tertibi.

Gizlinlik (ISO 27701 + GDPR-çemeleşme)

Rollar: gözegçi/prosessor, gaýtadan işlemegiň sanawy, hukuk esaslary.
DPIA/DTIA: gizlinlik we serhetaşa geçiriş töwekgelçiliklerine baha bermek.
Subýektleriň hukuklary: Jogaplara SLA, gözlegiň/aýyrmagyň tehniki serişdeleri.
Minimallaşdyrmak/lakamlaşdyrmak: binagärlik nusgalary we DLP.

Artefaktlar (taýýar şablonlar - "elinde" saklamak üçin näme)

Statement of Applicability (SoA) Annex A.
Eýeleri we subutnamalary bilen Control Matrix (ISO, SOC2, PCI).
Töwekgelçilik Register usuly (impact/likelihood) we gaýtadan işlemek meýilnamasy bilen.
BC/DR-meýilnamalar + soňky maşklaryň teswirnamalary.
Secure SDLC bukjasy: rewyu çek sahypalary, SAST/DAST hasabatlary, deploi syýasaty.
Supplier Due Diligence: anketalar (SIG Lite/CAIQ), töwekgelçiliklere baha bermek, şertnamalaýyn çäreler.

Ýygy-ýygydan ýalňyşlyklar

"Audit üçin audit": janly prosesler ýok, diňe syýasatçylar bilen bukjalar.
Örän giň gysyş: gymmatlaýar we saklamagy kynlaşdyrýar; "gymmatlygyň özeni" bilen başlaň.
Subutnamalary el bilen ýygnamak: ýokary amal borjy; CCM we düşürmegi awtomatlaşdyryň.
Metrsiz gözegçilikler: dolandyryp bolmaýar (SLO/eýeleri ýok).
Unudylan post-sertifikatlaşdyryş düzgüni: çärýekleýin barlaglar ýok → gözegçilikde garaşylmadyk ýagdaýlar.
Daşarky potratçylar: üçünji taraplar auditde hadysalaryň çeşmesine we "gyzyl kartasyna" öwrülýärler.

Taýynlyk çek-sanawy (gysgaça)

  • Satyn almak, aktiwler, eýeler kesgitlenildi; maglumat we akym kartasy.
  • Töwekgelçilikleriň sanawy, SoA (ISO üçin), Trust Services Criteria (SOC 2 üçin) gözegçilik boýunça ýerleşdirildi.
  • Syýasatlar, amallar, işgärleri taýýarlamak ýerine ýetirildi we möhümdir.
  • Gözegçilikler awtomatlaşdyryldy (CCM), daşbordlar we aladalar birikdirildi.
  • Her bir gözegçilik boýunça subutnamalar ýygnalýar/wersiýa edilýär.
  • Içerki audit geçirildi/Readiness; möhüm boşluklar ýok edildi.
  • Auditor/organ bellendi, gözegçilik döwri ylalaşyldy (SOC 2) ýa-da 1/2 basgançak meýilnamasy (ISO).
  • Pentest/ASV (PCI), remediasiýa meýilnamasy we fiksleri tassyklamak.

Kiçi şablonlar

Gözegçilik üçin metrika syýasaty (mysal)

Gözegçilik: "PII-li ähli bagetler KMS tarapyndan şifrlenendir".
SLI: Şifrlenen% baketler.
Maksat: ≥ 99. 9%.
Alert: ýykylanda <99. 9% 15 minutdan gowrak → P2, eýesi - Head of Platform.

Subutnamalar žurnaly (bölek)

GözegçilikSubutnamaÝygylykAmmarJogapkär
PII girişiSIEM-i 90 günde eksport etmekAýdaGRC/Evidence HubSOC Lead
Syrlary aýlamakVault audit log + change ticketHer hepdeGRCDevOps Lead

iGaming/fintech üçin aýratynlyklar

Ýokary töwekgelçilikli domenler: tölegler/tölegler, antifrod, bekofis, hyzmatdaş integrasiýalary - satyn almakda we gözegçilikde ileri tutulýan ugur.
Iş ölçegleri: Time-to-Wallet, reg → depozit öwrülişigi - gorag çäreleriniň we auditleriň täsirini göz öňünde tutuň.
Sebitliligi: EUB/LATAM/Aziýa talaplary - serhetaşa geçirimleriň hasaba alynmagy, ýerli düzgünleşdirijiler.
Mazmun üpjün edijiler/PSP: hökmany due diligence, mTLS/HMAC, maglumatlar boýunça hukuk goşmaça ylalaşyklar.

Jemi

Şahadatnamalar - bu düzgün-nyzam we awtomatlaşdyrmagyň netijesidir: töwekgelçilik-dolandyryş, janly syýasatlar, ölçelip bolýan gözegçilikler we hemişe taýýarlyk. Dogry toplumy saýlaň (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), gysgaça çyzyň, barlaglary awtomatlaşdyryň (CCM/Syýasat kody), artefaktlary tertipli saklaň we SLO-ny ölçäň - şonuň üçin laýyklyk öňünden aýdyp bolar we önümiň ösüşini goldaýar, onuň üçin tormoz däl.

Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.