GH GambleHub

SOC 2: Güvenlik Kontrol Kriterleri

1) Özetle SOC 2

SOC 2, bir kuruluşun AICPA Güven Hizmetleri Kriterlerine (TSC) göre kontrolleri nasıl tasarladığı (Tasarım) ve yürüttüğü (İşletim) bağımsız bir değerlendirmedir.
Bu, iGaming'de düzenleyicilerin/bankaların/PSP/ortakların güvenini arttırır ve TPRM'yi basitleştirir.

Rapor türleri:
  • Tip I - bir anlık durum (belirli bir tarih için): Kontrollerin doğru şekilde tasarlanıp tasarlanmadığı.
  • Tip II - dönem için (genellikle 6-12 ay): kontroller pratikte istikrarlı bir şekilde çalışır (örneklerle).

2) Güven Hizmetleri Kriterleri (TSC) ve nasıl okunacağı

Temel alan adı Güvenlik'tir (Ortak Kriterler). Geri kalanlar isteğe bağlı olarak alana eklenir:
KriterAmaçDenetçinin sorularına örnekler
Güvenlik (CC)Yetkisiz erişime karşı korumaMFA, RBAC/ABAC, SoD, günlükler, güvenlik açığı yönetimi
KullanılabilirlikHedefe göre kullanılabilirlikDR/BCP, RTO/RPO, SLO izleme, olay yönetimi
GizlilikHassas verileri koruyunSınıflandırma, şifreleme, maskeleme, dışa aktarma denetimleri
İşleme Bütünlüğüİşlemenin bütünlüğü/doğruluğu/zamanlamasıVeri kalitesi kontrolü, mutabakatlar, uçtan uca testler
GizlilikPII Gizlilik DöngüsüMeşru gerekçeler, RoPA, DSAR, tutma, CMP

3) Kontrol modeli ve zorunlu unsurlar (Güvenlik - CC)

Yönetişim ve Risk: bilgi güvenliği politikası, risk kaydı, hedefler, roller/RACI, eğitim.
Erişim Kontrolü: RBAC/ABAC, SoD, JIT/PAM, şifreler/MFA, SCIM/IGA sağlama, offboarding ≤ 15 dk.
Değişim ve SDLC: DevSecOps, SAST/DAST/DS, IaC tarama, CAB, tükenme günlükleri, geri dönüşler.
Günlük Kaydı ve İzleme: merkezi günlükler (WORM + imzası), SIEM/SOAR, KRI uyarıları.
Vuln & Patch - Tanımlama/Sınıflandırma Süreci, SLA'dan Yüksek/Kritik'e, Dağıtımı Onayla.
Olay Yanıtı: oyun kitabı, RACI, savaş odası, post-mortemler ve CAPA'lar.
Satıcı/TPRM: durum tespiti, DPA/SLA, denetim hakkı, satıcı izleme.

4) Genişletilmiş kriterler (A, C, PI, P)

Kullanılabilirlik (A)

SLO/SLA ve gösterge panoları; DR/BCP (RTO/RPO), yıllık testler; Kapasite/çapraz bölge; kullanılabilirlik olay süreci.

Gizlilik (C)

Veri sınıflandırması; Dinlenme/transit (KMS/HSM) PII tokenizasyonunda şifreleme; Dışa aktarma kontrolü (imza, günlük); Alıkoyma.

İşleme Bütünlüğü (PI)

Veri kalitesi kontrolü: şemalar/doğrulamalar, veri tekilleştirme, mutabakat; Görev başlangıcının izlenmesi; Boru hatlarındaki değişiklikleri yönetin.

Gizlilik (P)

Gizlilik politikası; RoPA/yasal dayanaklar; CIW/rıza; DPIA/DSAR; maskeleme/tutma; İzleyici/SDK denetimi.

5) Politikalarınız/kontrolleriniz ↔ SOC 2 haritalama

ISO 27001/ISMS CC'nin temelini (risk yönetimi, politikalar, günlükler, güvenlik açıkları) kapsar.
ISO 27701/PIMS birçok Gizlilik kriterini kapatır.
Dahili bölümler: RBAC/En Az Ayrıcalık, Şifre Politikası ve MFA, Log Politikası, Olaylar, TPRM, DR/BCP - doğrudan TSC'ye bağlanabilir.

💡 Bir yazışma matrisi oluşturmanız önerilir: "TSC ögesi - politika/prosedür - kontrol - kanıt metriği".

6) Kontrollerin kataloğu ve kanıt örnekleri

Her kontrol için: Kimlik, amaç, sahip, sıklık, yöntem (otomatik/manuel), kanıt kaynakları.

Örnekler (fragman):
  • 'SEC-ACCESS-01' - yönetici erişimleri için MFA - IdP raporu, ayarların ekran görüntüleri, günlüklerin seçimi.
  • 'SEC-IGA-02' - Offboarding ≤ 15 dakika SCIM günlükleri, işten çıkarma biletleri, günlüğü engelleme.
  • 'SEC-LOG-05' - Değişmez günlükler (WORM) - yapılandırmalar, hash zincirleri, ihracat örnekleri.
  • 'AVAIL-DR-01' - Yıllık DR testi - test protokolü, gerçek RTO/RPO.
  • 'CONF-ENC-03' - KMS/HSM anahtar yönetimi - rotasyon politikası, KMS denetimi.
  • 'PI-DATA-02' - Ödemelerin uzlaştırılması - uzlaşma raporları, olaylar, CAPA'lar.
  • 'PRIV-DSAR-01' - DSAR tarafından SLA - sorgu kaydı, zaman damgaları, yanıt şablonları.

7) SOC 2'yi korumak için prosedürler (SOP'lar)

SOP-1 Olaylar: Tespit - triyaj - çevreleme - RCA - CAPA - rapor.
SOP-2 Değişim Yönetimi: Halkla İlişkiler, CI/CD, skany, CAB, dağıtım, izleme, otkat, fiksy.
SOP-3 Güvenlik açıkları: Alım? Klassifikatsiya? SLA? Verifikatsiya raporu fiksa? Vypusk.
SOP-4 Erişimler: JML/IGA, üç aylık yeniden belgelendirme, SoD blokları, JIT/PAM.
DR/BCP SOP-5: yıllık testler, kısmi egzersizler, RTO/RPO gerçeklerinin yayınlanması.
SOP-6 Dışa aktarma/gizlilik: beyaz liste oluşturma, imza/log, saklama/silme.

8) Denetim için hazırlık: Tip I - Tip II

1. TSC boşluk analizi: kaplama matrisi, eksik kontrollerin listesi.
2. Politikalar ve prosedürler: güncelleme, sahipleri atama.
3. Birleştirilmiş kanıt depolama: günlükler, IdP/SIEM raporları, biletler, örneklerin ihracatı (imzalarla).
4. İç Hazırlık Denetimi: denetim anketi çalışması, örnek yakalama.
5. Tip I (tarih X): Kontrollerin tasarımını ve başlatma gerçeğini gösterir.
6. Gözlem süresi (6-12 ay): Eserlerin sürekli toplanması, buluntuların kapatılması.
7. Tip II: Dönem, operasyonel verimlilik raporu için örnekler sağlayın.

9) SOC 2 için metrikler (KPI/KRI)

KPI:
  • MFA benimsenmesi = %100
  • Offboarding TTR ≤ 15 dakika
  • Yama SLA Yüksek/Kritik kapalı ≥ %95 zamanında
  • DR testleri: programın yürütülmesi = %100, gerçek RTO/RPO normal
  • Günlüğe kaydetme ile kapsama (WORM) ≥ Kritik sistemlerin %95'i
KRI:
  • 'Amaç' olmadan PII erişimi = 0
  • SoD bozuklukları = 0
  • Yönetmeliklerden daha sonra bildirilen olaylar = 0
  • Yüksek/Kritik yeniden güvenlik açıkları> %5 - tırmanma

10) RACI (büyütülmüş)

AktiviteYönetim Kurulu/CEOCISO/ISMSGüvenlikGizlilik/DPOSRE/ITVeri/BIÜrün/EngYasal/Uyumlulukİç denetim
SOC Alanı 2A/RRCCCCCCBEN
Kontroller kataloğuBENA/RRCRRRCBEN
Kanıt-depolamaBENA/RRRRRRCBEN
Hazırlık/ext. denetimBENRRRRRRCA/R
Dış denetimBENRRRRRRCBEN
CAPA/iyileştirmeBENA/RRRRRRCC

11) Kontrol listeleri

11. 1 Hazırlık (Tip I'den önce)

  • Kapsam (TSC ve Sistemler) kilitli
  • Politikalar/prosedürler güncel ve onaylanmıştır
  • Atanan kontrol sahipleri ve metrikler
  • Prototip kanıt depolama hazır (günlükler, IdP/SIEM raporları, biletler)
  • Olay masa üstü ve DR mini testi gerçekleştirildi
  • Riskler ve SoD matrisi onaylandı

11. 2 Takip süresi (I ve II arasında)

  • Haftalık örnekleme/günlük dışa aktarma
  • Aylık KPI/KRI Raporu
  • SLA Güvenlik Açığı Kapatma
  • Üç Aylık Haklar Yeniden Belgelendirme
  • DR/BCP testi planlandığı gibi

11. Tip II'den önce 3

  • Dönem başına tam kanıt seti (kontrol başına)
  • Olay/Güvenlik Açığı Kaydı ve CAPA
  • Yönetim Gözden Geçirme Raporu (Dönem Toplamları)
  • Güncellenmiş eşleme matrisi TSC↔kontroli

12) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

"Uygulamasız politikalar": gösteri günlükleri, biletler, DR/olay protokolleri - sadece belgeler değil.
Zayıf günlük kaydı: WORM/imzalar ve açık olay semantiği olmadan denetim daha zordur.
Hakların yeniden belgelendirilmesi yoktur: "asılı" erişim riski kritik bir eksidir.
Eksik Satıcı Kapsamı: SOC 2 zinciri görür - TPRM, DPA/SLA, denetim haklarını ekleyin.
Rutin olmadan bir kerelik pislik: JMA/gösterge tabloları ve aylık raporlama uygulayın.

13) Yol haritası (12-16 hafta, Tip I, 6-12 ay, Tip II)

1-2. Haftalar: TSC boşluk analizi, Kapsam, sahipler, iş planı.
3-4. Haftalar: politikaları/prosedürleri güncelleyin, kontrol dizini ve eşleme matrisi oluşturun.
Hafta 5-6: kurulum günlükleri (WORM/imza), SIEM/SOAR, SLA güvenlik açıkları/yamalar, IdP/MFA, IGA/JML.
7-8. Haftalar: DR/BCP minimum testleri, TPRM güncellemeleri (DPA/SLA), olay provası.
Hafta 9-10: kanıt depolama, KPI/KRI raporlama, iç hazırlık-denetim.
11-12. Haftalar: son düzenlemeler, denetçi rezervasyonları, Tip I.
Sonraki: eserlerin haftalık koleksiyonu, üç ayda bir dönem sonunda Tip II incelemeleri.

TL; DR

SOC 2 = clear Scope TSC - Sahipler ve metriklerle kontrol kataloğu - Tasarım ve İşletme ile ilgili kanıtlar - Sürekli günlükler/SIEM/IGA/DR/TPRM - Hazırlık - Tip I - Gözlem süresi - Tip II. "Varsayılan olarak kanıtlanabilirlik" yapın - ve denetim sürprizler olmadan gerçekleşecektir.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.