Cum să Treci Verificarea SOC 2 CC6 pentru Controlul Accesului cu Privilegii — Un Ghid Practic
Pregătirea pentru SOC 2 Type II este o cursă de fond. Majoritatea organizațiilor trec prin documentația politicilor, chestionarele de risc pentru furnizori și diagramele de segmentare a rețelei fără prea multă dificultate. Apoi se confruntă cu CC6 — Controluri logice și fizice de acces — și auditul devine dificil.
CC6 este locul în care auditorii petrec cel mai mult timp și unde companiile primesc cel mai des excepții. Acesta acoperă cine are acces la sistemele tale, cum este controlat accesul, cum este monitorizat și cum este revizuit. Dacă răspunsul tău la managementul accesului cu privilegii este „folosim VPN plus RDP cu credențiale admin partajate", nu vei trece.
Iată exact ce necesită CC6, ce întreabă auditorii și cum să produci dovezi.
CC6.1, CC6.2, CC6.3, CC6.6 — Ce Necesită Fiecare în Limba Simplă
CC6.1 — Securitatea Accesului Logic
Cerința: accesul logic la sistemele, infrastructura și datele tale este restricționat la utilizatorii autorizați.
În practică, aceasta înseamnă:
- Fiecare utilizator care accesează un sistem de producție are un motiv documentat pentru acel acces
- Accesul este furnizat printr-un proces definit (nu ad hoc)
- Accesul este eliminat prompt când un utilizator pleacă sau schimbă rol
- Accesul cu privilegii (admin, root, DBA) este urmărit separat și ținut la un standard mai înalt
Dovezi pe care le doresc auditorii: o inventariere completă a cine are acces cu privilegii la ce, cum a fost furnizat și când a fost revizuit ultima dată.
CC6.2 — Identificare și Autentificare
Cerința: utilizatorii sunt autentificați înainte de a accesa sistemele, iar autentificarea este suficient de puternică pentru sensibilitatea resursei.
În practică, aceasta înseamnă:
- MFA este necesar pe toate conturile cu acces privilegiat
- Parolele îndeplinesc cerințele de complexitate și rotație
- Conturile partajate (Administrator partajat, root partajat) sunt eliminate sau strict controlate
- Conturile de serviciu sunt inventariate și accesul este revizuit
Dovezi pe care le doresc auditorii: capturi de ecran ale înscrierii MFA, exporturi din inventarul conturilor, dovezi că conturile admin partajate au fost eliminate sau au controale compensatorii.
CC6.3 — Eliminarea Accesului
Cerința: accesul este eliminat când nu mai este necesar (terminare, schimbare de rol, sfârșitul proiectului).
În practică, aceasta înseamnă:
- Ai un proces de offboarding documentat care include revocarea accesului cu privilegii
- Revocarea accesului se întâmplă într-un interval de timp definit (24-48 de ore pentru accesul la producție)
- Poți demonstra că utilizatorii terminați nu mai au sesiuni active sau credențiale
Dovezi pe care le doresc auditorii: bilete de offboarding care arată pașii de revocară a accesului, capturi de ecran înainte/după ale drepturilor de acces.
CC6.6 — Restricții de Acces Logic
Cerința: transmisia datelor este criptată, iar restricții de acces logic sunt în vigoare pentru a preveni accesul neautorizat.
În practică, aceasta înseamnă:
- Toate conexiunile administrative sunt criptate în tranzit
- Accesul la sistemele sensibile este restricționat la puncte finale sau rețele autorizate
- Activitatea sesiunilor este monitorizată și înregistrată în jurnal
Dovezi pe care le doresc auditorii: diagrame de rețea care arată canale criptate, jurnale de sesiuni care arată activitatea administrativă.
Ce Întreabă de Fapt Auditorii
Când un auditor SOC 2 examinează CC6, solicitează de obicei următoarele dovezi:
Pentru CC6.1 (inventarul accesului):
- Foaie de calcul sau export din sistem care arată toți utilizatorii cu acces privilegiat, sistemele pe care le pot accesa și justificarea de afaceri
- Dovezi că accesul a fost aprobat (e-mail, bilet, captură de ecran a fluxului de aprobare)
- Înregistrări de revizuire a accesului care arată recertificare trimestrială sau anuală
Pentru CC6.2 (autentificare):
- Captură de ecran a înscrierii MFA pentru conturi administrative
- Documentația politicii de parolă și dovezi că este impusă
- Listă de conturi de serviciu și dovezi de inventariere
Pentru CC6.3 (eliminarea accesului):
- Bilete de offboarding eșantion (de obicei 3-5 exemple din perioada de audit)
- Dovezi că accesul cu privilegii a fost revocat în cadrul SLA
- Înregistrări de integrare a sistemului HR sau verificare manuală
Pentru CC6.6 (monitorizarea sesiunilor):
- Jurnale de sesiuni care arată activitatea administrativă (cine s-a conectat, când, la ce sistem, ce a făcut)
- Dovezi că sesiunile sunt înregistrate
- Diagramă de rețea care arată criptarea în tranzit
Dovezile trebuie să acopere întreaga perioadă de audit (de obicei 12 luni pentru un audit Type II). Auditorii vor preleva mostre de evenimente pe acea perioadă — nu poți te baza pe dovezi din ultimele două săptămâni înainte de lucrările de teren ale auditului.
Eșecuri Comune CC6 și Cum să le Eviti
Credențiale admin partajate Constatarea cea mai comună în CC6. „Folosim contul Administrator partajat pentru că unele sisteme nu acceptă conturi individuale" nu este un control acceptabil. VaultPAM rezolvă aceasta: utilizatorii se conectează prin sesiuni brokerate fără a primi credențiala. Seiful deține parola; jurnalele de audit arată exact ce utilizator a inițiat fiecare sesiune.
MFA nu este impus pe toate conturile cu privilegii Organizațiile au adesea MFA pe e-mailul corporativ dar nu pe accesul direct la server (RDP, SSH). Auditorii verifică aceasta în mod specific. Fiecare sesiune privilegiată trebuie să necesite MFA.
Nicio dovadă de revizuire a accesului Multe organizații conduc revizuiri ale accesului în mod informal. Auditorii doresc dovezi documentate: cine a revizuit, ce a fost revizuit, când și ce acțiuni au fost întreprinse. „Am făcut o revizuire în Q3" fără bilet, foaie de calcul sau raport nu este dovadă.
Accesul nu este revocat prompt Decalajul dintre plecarea unui angajat și revocarea accesului lor este o constatare recurentă. Dacă procesul tău de offboarding durează o săptămână și accesul cu privilegii este inclus în aceeași coadă, ai o problemă CC6.3.
Jurnale de sesiuni incomplete sau inaccesibile Reținerea jurnalelor de sesiuni este doar jumătatea răspunsului. Auditorii doresc să vadă că poți recupera evenimente specifice și că jurnalele sunt complete și rezistente la tampon. Jurnalele în silourile disparate (Jurnalul de evenimente Windows pe fiecare server, jurnale de autentificare SSH pe fiecare mașină Linux) fără agregare centralizată sunt dificil de prezentat ca dovadă.
Cum VaultPAM Produce Dovezi CC6 Gata pentru Audit Automat
VaultPAM este proiectat în jurul presupunerii că auditorul tău citește peste umărul tău. Dovezile pe care le produce mapează direct la ceea ce CC6 necesită:
| Control CC6 | Ce Produce VaultPAM |
|---|---|
| CC6.1 — inventarul accesului | Raport complet al tuturor utilizatorilor, sistemelor țintă, politicilor de acces și aprobărilor — exportabil ca CSV sau accesibil prin API |
| CC6.2 — impunerea MFA | TOTP și WebAuthn impuse la nivel de sesiune — fiecare sesiune privilegiată necesită autentificare; starea înscrierii MFA vizibilă în dashboard administrativ |
| CC6.2 — fără credențiale partajate | Session brokering — utilizatorii accesează ținte fără a primi parole; seiful deține credențiala, nu utilizatorul |
| CC6.3 — eliminarea accesului | Revocarea unui utilizator în VaultPAM termină imediat capacitatea acestuia de a iniția sesiuni noi; sesiunile active pot fi forțate să se încheie |
| CC6.6 — monitorizarea sesiunilor | Înregistrare completă a sesiunilor (video + jurnal de activități) pentru fiecare sesiune RDP, SSH, VNC și HTTP; rezistență la tampon prin lanț hash BLAKE3; căutare după utilizator, țintă și interval de timp |
| CC6.6 — criptare în tranzit | Toate sesiunile brokerate peste mTLS; nu există porturi de intrare directă pe sistemele țintă |
Procesul de revizuire a accesului este susținut de exporturile jurnalului de audit ale VaultPAM: poți produce un raport complet al fiecărei sesiuni cu privilegii în ultimul trimestru, sortat după utilizator și țintă, în câteva minute. Prezintă asta auditorului tău alături de configurația politicii de acces și captura de ecran a înscrierii MFA — aceasta este pachetul tău de dovezi CC6.
Construiești către pregătirea SOC 2 Type II? VaultPAM produce dovezi gata pentru audit pentru controlurile CC6 automat — înregistrări de sesiuni, jurnale de acces, impunerea MFA și configurația politicii sunt toate raportabile dintr-un singur dashboard.
Descarcă rezumatul nostru de conformitate SOC 2 pentru o mapare completă a controalelor VaultPAM la Criteriile Serviciilor de Încredere SOC 2.