SOC 2:安全基準標準
1) SOC 2簡而言之
SOC 2是根據AICPA信托服務標準(TSC)對組織設計(設計)和執行(運營)控制方式的獨立評估。
在iGaming中,這增加了監管機構/銀行/PSP/合作夥伴的信心,並簡化了TPRM。
- I型是一種即時狀態(特定日期):控制是否正確設計。
- II型-一段時間(通常為6-12個月):控制在實踐中是否穩定(帶有樣本)。
2)Trust Services Criteria(TSC)及其閱讀方式
基本域是安全性(Common Criteria)。其余部分可選地添加到區域中:3)管理模式和強制性要素(安全-CC)
政府與風險:IB政策,風險註冊表,目標,角色/RACI,培訓。
訪問控制:RBAC/ABAC,SoD,JIT/PAM,密碼/MFA,SCIM/IGA provigening,離岸≤ 15分鐘。
更改和SDLC:DevSecOps,SAST/DAST/DS,IaC掃描,CAB,降級日誌,回滾。
記錄與監控:集中式識別(WORM+簽名),SIEM/SOAR, KRI等級。
Vuln&Patch:識別/分類過程,High/Critical上的SLA,部署確認。
事件反應:劇本,RACI,戰爭室,驗屍和CAPA。
Vendor/TPRM:盡職調查,DPA/SLA,審計權,供應商監控。
4)高級標準(A, C, PI, P)
Availability (A)
SLO/SLA和dashbords;DR/BCP(RTO/RPO),年度測試;容量/跨區域;無障礙事件過程。
Confidentiality (C)
數據分類;在rest/in transit加密(KMS/HSM);PII令牌化;出口管制(簽名,日誌);重建。
Processing Integrity (PI)
數據質量控制:電路/驗證、重復數據消除、恢復;控制任務啟動;管理管線變更。
Privacy (P)
隱私政策;RoPA/合法理由;SMR/同意;DPIA/DSAR;偽裝/重建;跟蹤器/SDK審核。
5) Mapping SOC 2 ↔您的策略/控制
ISO 27001/ISMS →涵蓋了CC(風險管理,政策,邏輯,漏洞)的基礎。
ISO 27701/PIMS →關閉許多隱私標準。
內部部分:RBAC/Least Privilege,密碼政策和MFA,博客政策,事件,TPRM,DR/BCP-直接在TSC上繪制。
6)控制目錄和示例evidences
對於每個控制:ID,目標,所有者,頻率,方法(自動/手動),證據來源。
示例(片段):- 「SEC-ACCESS-01」-Admin Access的MFA → IdP報告,設置屏幕和日誌樣本。
- 「SEC-IGA-02」-離開≤ 15分鐘→ SCIM標誌,裁員提要,鎖定日誌。
- 「SEC-LOG-05」-不變期刊(WORM)→ configa,哈希鏈,樣本導出。
- 'AVAIL-DR-01'-年度DR測試→測試協議,實際RTO/RPO。
- 「CONF-ENC-03」-KMS/HSM密鑰管理→輪換策略,KMS審核。
- 「PI-DATA-02」-付款重新分配→對賬報告,事件,CAPA。
- 「PRIV-DSAR-01」-DSAR的SLA →查詢註冊表,時間戳和響應模式。
7)維持SOC 2的程序(SOP)
事件:triage containment RCA CAPA 報告。
SOP-2變更管理:PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy。
漏洞SOP-3:intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk報告。
SOP-4訪問:JML/IGA,季度再認證,SoD塊,JIT/PAM。
SOP-5 DR/BCP:年度測試,部分演習,RTO/RPO事實發布。
SOP-6出口/保密:白名單、簽名/日誌、轉發/刪除。
8)審核準備: Type I → Type II
1.TSC的蓋子分析:塗層矩陣,缺失控制列表。
2.政策和程序:更新,指定所有者。
3.單一事件存儲:logs, IdP/SIEM報告,tickets,樣本導出(帶簽名)。
4.內部準備審計:審計員問卷的運行,樣本的固定。
5.I型 (X日期):顯示控制設計和啟動事實。
6.觀察期(6-12個月):不斷收集文物,關閉發現。
7.Type II:提供期內樣本,操作效率報告。
9)SOC 2的度量(KPI/KRI)
KPI:
MFA adoption (admins/關鍵角色)=100%
Offboarding TTR ≤ 15分鐘
Patch SLA High/Critical按時關閉≥ 95%
DR測試: 執行計劃圖=100%,實際RTO/RPO正常
Coverage Loging (WORM) ≥ 95%的關鍵系統
KRI:
訪問沒有「purpose」=0的PII
SoD=0違規行為
事件在法規之後通知=0
重復漏洞High/Critical> 5%-升級
10)RACI(集合)
11)支票單
11.1 Readiness(在Type I之前)
- Scope (TSC和系統)固定
- 政策/程序是相關的,並得到批準
- 指定了控制和指標的所有者
- 原型evidence存儲已準備就緒(日誌、IdP/SIEM報告、字幕)
- 事件藥丸和DR迷你測試進行
- 風險和SoD矩陣得到確認
11.2觀察期(第一至二)
- 每周收集標本/出口
- KPI/KRI月度報告
- 關閉SLA中的漏洞
- 季度權利重新認證
- DR/BCP測試符合計劃
11.3 Type II之前
- 期間(每項控制)的全套事件)
- 事件/漏洞註冊表和CAPA
- 管理審查報告(期內結果)
- 更新的mapping矩陣TSC↔kontroli
12)頻繁的錯誤以及如何避免錯誤
「沒有實踐的政策」:顯示徽章,字幕,DR/事件協議-不僅僅是文檔。
弱邏輯:沒有WORM/簽名和明確的事件語義,審計就更加困難。
沒有權利重新認證:「懸掛」出入的風險是一個關鍵的負數。
供應商不完整的Scope:SOC 2看到一個鏈條-添加TPRM,DPA/SLA,審計權限。
一次性跳躍無例程:引入SSM/dashbords和每月報告。
13)路線圖(12至16周→ I型,另外6至12個月。→ II型)
第1周至第2周:TSC,Scope,所有者,工作計劃的差距分析。
3-4周:更新策略/程序,收集控制目錄和映射矩陣。
第5至第6周:設置邏輯(WORM/簽名),SIEM/SOAR,SLA漏洞/補丁,IdP/MFA,IGA/JML。
第7周至第8周:DR/BCP最低測試,TPRM更新(DPA/SLA),事件排練。
第9-10周:事件存儲,KPI/KRI報告,內部就緒審核。
第11-12周:最終編輯,審計員裝甲,I型。
接下來: 每周收集文物,季度咆哮→ Type II.
TL;DR
SOC 2=清晰的Scope TSC 具有所有者和指標的控制目錄 設計和運營 連續邏輯/SIEM/IGA/DR/TPRM Readiness Type I Type II驚喜。