GH GambleHub

Güvenlik ve uyumluluk sertifikaları

Neden buna ihtiyacın var?

Sertifikalar ve sertifikalar olgun güvenlik uygulamalarını doğrular ve durum tespiti döngüsünü kısaltır, düzenlenmiş pazarlara ve ortaklara erişimi açar. Anahtar, "denetimi bir kez geçmek'değil, ölçülebilir kontrol noktalarına sahip sürekli bir kontrol sistemi oluşturmaktır.

Peyzaj haritası (ne seçileceği ve ne zaman seçileceği)

ISO/IEC 27001 - Bilgi Güvenliği Yönetim Sistemi (ISMS) Süreçlerin evrensel "iskeleti".

Eklemeler: ISO 27017 (bulut), 27018 (bulutta gizlilik), 27701 (PIMS, gizlilik), 22301 (BCMS, sürdürülebilirlik).
SOC 2 (AICPA): Tip I (tarih için tasarım) ve Tip II (dönem için tasarım + operasyonel verimlilik, genellikle 3-12 ay). Güven Hizmetleri Kriterleri: Güvenlik, Kullanılabilirlik, İşleme Bütünlüğü, Gizlilik, Gizlilik.
PCI DSS (kart işleme için): işlem hacmine göre seviyeler, QSA'yı içeren ROC/AOC, üç aylık ASV taramaları, pentestler ve CHD bölgesi segmentasyonu.
CSA STAR (Seviye 1-3): Bulut sağlayıcıları ve hizmetleri için bildirim/denetim.
Ayrıca etki alanlarına göre: ISO 20000 (ITSM), ISO 31000 (risk yönetimi), ISO 37001 (rüşvetle mücadele), TISAX/ISAE 3402 (endüstri/finans).
GDPR/gizlilik: "GDPR sertifikası" yoktur; ISO 27701 ve bağımsız değerlendirmeler/davranış kurallarını uygulayın.

💡 Seçim kuralı: B2B SaaS/fintech> ISO 27001 + SOC 2 Tip II; Ödeme akışları/kartlar - PCI DSS PII ile yakından çalışmak - 27701 bulut odağı - 27017/27018/CSA STAR.

Sertifikasyon vs sertifikasyon

Belgelendirme (ISO): Akredite bir kuruluş, yıllık denetim denetimleri ile 3 yıllık bir sertifika verir.
Değerlendirme (SOC 2): Bağımsız denetçi dönem için bir rapor (görüş) yayınlar; Belgeyi NDA kapsamında müşterilere sağlarsınız.
PCI DSS: daha küçük hacimler için ROC (Uyumluluk Raporu) ve AOC (Uyumluluk Onayı) veya SAQ tarafından onaylanmıştır.

Kapsam: sınırların nasıl çizileceği

1. Varlıklar ve süreçler: ürünler, ortamlar (prod/stage), bölgeler, veri sınıfları (PII/finans/haritalar).
2. Teknik mimari: bulut, VPC/VNet, Kubernetes, CI/CD, gizli yönetim, DWH/analitik.
3. Organizasyon bölgeleri: ofisler/uzak, yükleniciler, dış kaynak desteği.
4. Üçüncü taraflar: PSP, içerik sağlayıcılar, KYC/AML, bulutlar - paylaşılan sorumluluk modeli.
5. İstisnalar: Neden kapsam dışında olduğunu ve telafi edici önlemleri düzeltin.

"İlk rozet" için yol haritası

1. Hedeflere karşı boşluk analizi (27001/SOC 2/PCI).
2. Risk yönetimi: metodoloji, risk kaydı, işleme planı, Uygulanabilirlik Beyanı (ISO).

3. Politikalar ve roller: bilgi güvenliği/gizlilik politikası, veri sınıflandırması, erişim (IAM), kayıt, yanıt, BCM/DR

4. Teknik kontroller: şifreleme, ağlar (WAF/WAAP, DDoS), güvenlik açıkları/yamalar, güvenli SDLC, yedeklemeler, izleme.
5. Kanıt tabanı: düzenlemeler, dergiler, ekran görüntüleri, yüklemeler, biletler - sürümleri saklıyoruz.
6. İç denetim/Hazırlık değerlendirmesi.
7. Dış denetim: aşama 1 (yerleştirme incelemesi) - aşama 2 (verimlilik/örnekler). SOC 2 Tip II için - "gözlem süresi".
8. Gözetim/Bakım: Üç Aylık Kontrol İncelemeleri, Yıllık Gözetim Denetimleri (ISO), Yıllık SOC Güncellemesi 2.

Kontrol Eşleştirme Matrisi (Örnek Parça)

Etki alanlarıISO 27001 Ek ASOC 2 TSCPCI DSSMuayene tipi/artefakt
Erişim Yönetimi,CC6. x7, 8RBAC/ABAC, JML, SCIM günlükleri, revü hakları
ŞifrelemeA.8CC6. 1, CC6. 73KMS/HSM, TLS 1. 2 +/mTLS, temel politikalar
Güvenlik açıkları/Yamalar,CC7. x6, 11. 3Taramalar, MTTP, Pentest Raporları, ASV
Günlükler/İzleme, ,CC7. x10SIEM/SOC, Tutma, Uyarılar ve RCA
BCM/DR,A1. x1222301-planları, DR test sonuçları

Denetçinin göstereceği şey (tipik sorgular)

Erişimler: IdP/IAM raporları, JML günlükleri, ayrıcalık incelemesi.
Sırlar: KMS/Vault politikaları, rotasyon geçmişi.
Güvenlik açığı taraması: en son raporlar, iyileştirme biletleri, MTTP son tarihleri.
Günlükler/uyarılar: olay vakaları, MTTD/MTTR, post-mortemler.
Tedarikçiler: kayıt, DPIA/DTIA (eğer PII ise), sözleşme önlemleri, risk değerlendirmeleri.
Eğitim ve testler: kimlik avı simülasyonları, bilgi güvenliği eğitimleri, onaylar.
BC/DR: En son alıştırmanın sonuçları, RTO/RPO gerçekleri.

Sürekli Uyumluluk

Kod Olarak Politika: OPA/Gatekeeper/Kyverno for Depleys; Kritik kurallara "uygulayın".
Sürekli Kontrol İzleme (CCM): her N dakika/saatte bir kontrol eder (kovaların şifrelenmesi, açık portlar, MFA kapsamı).
GRC sistemi: kontrollerin, sahiplerin, görevlerin ve son tarihlerin kaydı, bağlayıcı metrikler.
Tek eser merkezi: "kanıt" sürümü ve bir kontrol noktası ile işaretlenmiştir.
Raporların otomatik oluşturulması: SoA, Risk Kaydı, Kontrol Etkinliği, kontrollerle KPI/SLO.

Uyumluluk Metrikleri ve SLO'lar

Kapsam: Otomatik doğrulama ile denetimlerin %'si; kapsamdaki varlıkların %'si.
Yanıt süresi: p95 5 iş günü ≤ denetim taleplerinin kapatılması.
Güvenilirlik:'yeşil bölgede olmayan kontrol "≤ ayda zamanın %1'i.
Güvenlik açıkları: MTTP P1 ≤ 48 saat, P2 ≤ 7 gün; Pentest iyileştirme 30 gün ≤.

Bilgi güvenliği eğitimi: Personel kapsamı ≥ %98, sıklık 12 ay

Bulut ve Kubernetes'e özgü

Bulut: kaynak envanteri (IaC), disk/kanal şifrelemesi, günlük kaydı (CloudTrail/Etkinlik Günlükleri), minimum roller. "Eski" korumanızın bir parçası olarak sağlayıcı sertifikasyon raporlarını (SOC 2, ISO, PCI) kullanın.
Kubernetes: RBAC ad alanına göre, Kabul politikaları (görüntü imzaları/SBOM, yasak ': en son'), ağ politikaları, etcd (KMS) dışındaki sırlar, API sunucu denetimi, görüntüler/kümeler için tarama profilleri.
Ağlar ve çevre: WAF/WAAP, DDoS, segmentasyon, "geniş" VPN yerine ZTNA.

PCI DSS (Ödeme Ortamı İyileştirmeleri)

CHD bölge segmentasyonu: Bir kümedeki minimum sistemler; PSP'ye mTLS; Webhooks - HMAC ile.
Üç aylık ASV taramaları ve yıllık pentestler (segmentasyon dahil).
Günlükleri ve bütünlüğü: FIM, değişmez günlükleri, mühür altında zaman (NTP).
Belgeler: Politikalar, Grafik akış çizelgeleri, AOC/ROC, olay prosedürleri.

Gizlilik (ISO 27701 + GDPR yaklaşımı)

Roller: denetleyici/işlemci, işlem kaydı, yasal gerekçeler.
DPIA/DTIA: gizlilik ve sınır ötesi iletim risk değerlendirmesi.
Öznelerin hakları: Cevaplar için SLA, teknik arama/silme araçları.
Minimizasyon/takma ad: mimari desenler ve DLP.

Eserler (hazır şablonlar - el altında tutulması gerekenler)

Ek A içerme/dışlama motivasyonu ile Uygulanabilirlik Beyanı (SoA).
Kontrol Matrisi (ISO↔SOC2↔PCI) sahipleri ve kanıtları ile.
Metodoloji (etki/olasılık) ve işleme planı ile Risk Kaydı.
BC/DR planları + son egzersizlerin protokolleri.
Güvenli SDLC paketi: denetim listelerini, SAST/DAST raporlarını gözden geçirin, ilkeyi dağıtın.
Tedarikçi Durum Tespiti: anketler (SIG Lite/CAIQ), risk değerlendirmeleri, sözleşme önlemleri.

Yaygın hatalar

Audit'in iyiliği için denetim: canlı süreçler yok, sadece politika klasörleri.
Çok geniş kapsam: daha pahalı hale gelir ve bakımı zorlaştırır; "Değer çekirdeği'ile başlayın.
Manuel kanıt toplama: yüksek operasyonel borç; CCM ve yüklemeleri otomatikleştirin.
Metriksiz denetimler: yönetilemez (SLO/sahipler yok).
Forgotten post-certification regime: no quarterly checks - surprises on supervision.
Döngünün dışındaki yükleniciler: Üçüncü taraflar olayların kaynağı ve denetimde "kırmızı kart" haline gelir.

Hazır olma kontrol listesi (kısaltılmış)

  • Kapsam, varlıklar, tanımlanan sahipler; Veri ve akış haritası.
  • Risk Kaydı, SoA (ISO için), Güven Hizmetleri Kriterleri (SOC 2 için) kontrollere ayrıştırılmıştır.
  • Politikalar, prosedürler, personel eğitimi uygulanmaktadır ve günceldir.
  • Kontroller otomatiktir (CCM), panolar ve uyarılar bağlanır.
  • Her kontrol için kanıt toplanır/sürüm yapılır.
  • Yapılan iç denetim/Hazırlık; Kritik kırılmalar ortadan kaldırılır.
  • Denetçi/otorite atandı, gözlem süresi (SOC 2) veya Aşama 1/2 planı (ISO) kabul edildi.
  • Yerinde pentest/ASV (PCI), iyileştirme planı ve düzeltmelerin onaylanması.

Mini Şablonlar

Kontroller için metrik politikası (örnek)

Kontrol: "Tüm PII kovaları KMS şifrelidir".
SLI: Şifreleme etkin olan kovaların yüzdesi.
Amaç: ≥ 99. 9%.
Uyarı: düşerken <99. 9 %15 dakikadan fazla - P2, sahibi - Platform Başkanı.

Kanıt günlüğü (parça)

KontrolKanıtFrekansDepolamaSorumlu
PII'ye giriş erişimi90 günde SIEM ihracatıAylıkGRC/Kanıt MerkeziSOC Kurşun
Sırların rotasyonuKasa denetim günlüğü + değişim biletiHaftalıkGRCDevOps Kurşun

iGaming/fintech'e özel

Yüksek riskli alanlar: ödemeler/ödemeler, dolandırıcılıkla mücadele, kazıcı, ortak entegrasyonları - baş ve kontrollerde öncelik.
İş metrikleri: Time-to-Wallet, reg - depozit dönüşümü - koruma ve denetimlerin etkisini göz önünde bulundurun.
Bölgesellik: AB/LATAM/Asya gereklilikleri - sınır ötesi iletimlerin muhasebeleştirilmesi, yerel düzenleyiciler.
İçerik sağlayıcılar/PSP'ler: zorunlu durum tespiti, mTLS/HMAC, veriler üzerinde yasal ek.

Toplam

Sertifikalar disiplin ve otomasyonun bir sonucudur: risk yönetimi, yaşam politikaları, ölçülebilir kontroller ve sürekli hazırlık. Doğru seti seçin (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), bir kapsamın ana hatlarını belirleyin, kontrolleri otomatikleştirin (CCM/Policy-as-Code), artifaktları düzenli tutun ve SLO'yu ölçün - bu şekilde uyumluluk öngörülebilir hale gelir ve ürün büyümesini destekler, üzerinde bir fren olmaz.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.