GH GambleHub

SOC 2: контрольні критерії безпеки

1) SOC 2 в двох словах

SOC 2 - незалежна оцінка того, як організація проектує (Design) і виконує (Operating) контролі відповідно до Trust Services Criteria (TSC) AICPA.
У iGaming це підвищує довіру регуляторів/банків/PSP/партнерів і спрощує TPRM.

Типи звітів:
  • Type I - один миттєвий стан (на конкретну дату): чи коректно спроектовані контролі.
  • Type II - за період (зазвичай 6-12 міс.): чи працюють контролі на практиці стабільно (з вибірками).

2) Trust Services Criteria (TSC) і як їх читати

Базовий домен - Security (Common Criteria). Інші опціонально додаються в область:
КритерійМетаПриклади питань аудитора
Security (CC)Захист від несанкціонованого доступуMFA, RBAC/ABAC, SoD, журнали, управління вразливостями
AvailabilityДоступність по цілямDR/BCP, RTO/RPO, моніторинг SLO, інцидент-менеджмент
ConfidentialityЗахист конфіденційних данихКласифікація, шифрування, маскування, експорт-контролі
Processing IntegrityПовнота/точність/своєчасність обробкиКонтроль якості даних, звірки, наскрізні тести
PrivacyЦикл приватності для PIIЗаконні підстави, RoPA, DSAR, ретеншн, CMP

3) Модель управління та обов'язкові елементи (Security - CC)

Governance & Risk: політика ІБ, ризик-реєстр, цілі, ролі/RACI, навчання.
Access Control: RBAC/ABAC, SoD, JIT/PAM, паролі/МFA, провиженінг SCIM/IGA, оффбординг ≤ 15 хв.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-сканування, CAB, журнали деплоїв, відкати.
Logging & Monitoring: централізовані логи (WORM + підпис), SIEM/SOAR, алерти по KRI.
Vuln & Patch: процес виявлення/класифікації, SLA на High/Critical, підтвердження розгортання.
Incident Response: playbook, RACI, war-room, постмортеми і CAPA.
Vendor/TPRM: due diligence, DPA/SLA, право аудиту, моніторинг вендорів.

4) Розширені критерії (A, C, PI, P)

Availability (A)

SLO/SLA і дашборди; DR/BCP (RTO/RPO), щорічні тести; ємність/кроss-регіон; процес інцидентів за доступністю.

Confidentiality (C)

Класифікація даних; шифрування at rest/in transit (KMS/HSM); токенізація PII; контроль експортів (підпис, журнал); ретеншн.

Processing Integrity (PI)

Контроль якості даних: схеми/валідації, дедуплікація, reconciliation; контроль запуску завдань; управління змінами в пайплайнах.

Privacy (P)

Політика приватності; RoPA/законні підстави; СМР/згоди; DPIA/DSAR; маскування/ретеншн; аудит трекерів/SDK.

5) Маппінг SOC 2 ↔ ваші політики/контролі

ISO 27001/ISMS → покриває основу CC (управління ризиками, політики, логи, вразливості).
ISO 27701/PIMS → закриває безліч Privacy-критеріїв.
Внутрішні розділи: RBAC/Least Privilege, Парольна політика і MFA, Політика логів, Інциденти, TPRM, DR/BCP - безпосередньо маппяться на TSC.

💡 Рекомендується скласти матрицю відповідності: «TSC пункт → політика/процедура → контроль → метрика → evidence».

6) Каталог контролів і приклади evidences

Для кожного контролю: ID, мета, власник, частота, метод (авто/ручний), джерела доказів.

Приклади (фрагмент):
  • «SEC-ACCESS-01» - MFA на адмін-доступи → IdP-звіт, скріни налаштувань, вибірка логів.
  • «SEC-IGA-02» - Offboarding ≤ 15 хв → SCIM-логи, тікети звільнень, журнал блокувань.
  • SEC-LOG-05 - незмінні журнали (WORM) → конфіги, хеш-ланцюжки, експорт вибірок.
  • «AVAIL-DR-01» - Щорічний DR-тест → протокол тесту, фактичні RTO/RPO.
  • «CONF-ENC-03» - KMS/HSM управління ключами → політики ротації, аудит KMS.
  • 'PI-DATA-02'- Reconciliation по платежах → звіти звірки, інциденти, CAPA.
  • 'PRIV-DSAR-01'- SLA по DSAR → реєстр запитів, таймштампи, шаблони відповідей.

7) Процедури (SOP) для підтримки SOC 2

SOP-1 Інциденти: детект → triage → containment → RCA → CAPA → звіт.
SOP-2 Управління змінами: PR→CI/CD→skany→CAB→deploy→monitoring→otkat/fiksy.
SOP-3 уразливості: intake→klassifikatsiya→SLA→verifikatsiya fiksa→vypusk звіту.
SOP-4 Доступи: JML/IGA, квартальна ре-сертифікація, SoD-блоки, JIT/PAM.
SOP-5 DR/BCP: щорічні тести, часткові навчання, публікація RTO/RPO фактів.
SOP-6 Експорти/конфіденційність: білі списки, підпис/журнал, ретеншн/видалення.

8) Підготовка до аудиту: Type I → Type II

1. Геп-аналіз TSC: матриця покриттів, список відсутніх контролів.
2. Політики та процедури: актуалізувати, призначити власників.
3. Єдине сховище evidence: логи, звіти IdP/SIEM, тікети, експорт вибірок (з підписами).
4. Internal Readiness Audit: прогін запитальника аудитора, фіксація вибірок.
5. Type I (дата X): показати дизайн контролів і факт запуску.
6. Період спостереження (6-12 міс.): безперервний збір артефактів, закриття знахідок.
7. Type II: надати вибірки за період, звіт про операційну ефективність.

9) Метрики (KPI/KRI) для SOC 2

KPI:
  • MFA adoption (адміни/критичні ролі) = 100%
  • Offboarding TTR ≤ 15 хв
  • Patch SLA High/Critical закрито ≥ 95% вчасно
  • DR-тести: виконання план-графіка = 100%, фактичні RTO/RPO в нормі
  • Coverage логуванням (WORM) ≥ 95% критичних систем
KRI:
  • Доступ до PII без'purpose'= 0
  • Порушення SoD = 0
  • Інциденти повідомлені пізніше регламентів = 0
  • Повторні вразливості High/Critical> 5% - ескалація

10) RACI (укрупнено)

АктивністьBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
Область SOC 2A/RRCCCCCCI
Каталог контролівIA/RRCRRRCI
Evidence-сховищеIA/RRRRRRCI
Readiness/внутр. аудитIRRRRRRCA/R
Зовнішній аудитIRRRRRRCI
САРА/ремедіаціяIA/RRRRRRCC

11) Чек-листи

11. 1 Readiness (перед Type I)

  • Scope (TSC і системи) зафіксований
  • Політики/процедури актуальні і схвалені
  • Призначені власники контролів і метрики
  • Прототип evidence-сховища готовий (логи, звіти IdP/SIEM, тікети)
  • Таблетоп по інциденту і DR-міні-тест проведені
  • Ризики і SoD-матриця підтверджені

11. 2 Період спостереження (між I і II)

  • Щотижневий збір вибірок/експортів логів
  • Щомісячний звіт по KPI/KRI
  • Закриття вразливостей в SLA
  • Квартальна ре-сертифікація прав
  • DR/BCP тест відповідно до плану

11. 3 Перед Type II

  • Повний набір evidence за період (по кожному контролю)
  • Реєстр інцидентів/вразливостей і CAPA
  • Звіт Management Review (підсумки періоду)
  • Оновлена матриця маппінгу TSC↔kontroli

12) Часті помилки і як їх уникнути

«Політики без практики»: показуйте логи, тікети, протоколи DR/інцидентів - не тільки документи.
Слабке логування: без WORM/підписів і чіткої семантики подій аудит складніше.
Немає ре-сертифікації прав: ризик «висячих» доступів - критичний мінус.
Неповний Scope вендорів: SOC 2 бачить ланцюжок - додайте TPRM, DPA/SLA, права аудиту.
Разовий ривок без рутини: впроваджуйте ССМ/дашборди та щомісячну звітність.

13) Дорожня карта (12-16 тижнів → Type I, ще 6-12 міс. → Type II)

Тижні 1-2: геп-аналіз TSC, Scope, власники, план робіт.
Тижні 3-4: оновити політики/процедури, зібрати каталог контролів і матрицю маппінгу.
Тижні 5-6: налаштувати логи (WORM/підпис), SIEM/SOAR, уразливості/патчі SLA, IdP/MFA, IGA/JML.
Тижні 7-8: DR/BCP мінімальні тести, TPRM-оновлення (DPA/SLA), репетиція інциденту.
Тижні 9-10: evidence-сховище, звітність KPI/KRI, внутрішній readiness-аудит.
Тижні 11-12: фінальні правки, бронь аудитора, Type I.
Далі: щотижневий збір артефактів, квартальні рев'ю → Type II по завершенні періоду.

TL; DR

SOC 2 = ясний Scope TSC → каталог контролів з власниками і метриками → evidence по Design & Operating → безперервні логи/SIEM/IGA/DR/TPRM → Readiness → Type I → період спостереження → Type II. робіть «доказовість за замовчуванням» - і аудит пройде без сюрпризів.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.