Uyumluluğun kapı bekçileri: SOC 2 ve GDPR kapsamında kimlik doğrulamasını analiz etmek
SOC 2 ve GDPR'ın kimlik doğrulamasını, MFA'yı, erişim kontrollerini ve denetim kayıtlarını nasıl yasal olarak zorunlu kıldığını, resmi standartlara doğrudan referanslarla birlikte öğrenin.
Product & Design
Modern düzenleyici ortamda Kimlik ve Erişim Yönetimi (IAM) artık yalnızca bir BT operasyonel görevi değil; yasal ve uyumluluk açısından bir zorunluluktur. Bu alanı yöneten en kritik iki çerçeve SOC 2 (Sistem ve Organizasyon Kontrolleri 2) ve GDPR (Genel Veri Koruma Yönetmeliği)'dir.
SOC 2 hizmet sunumunda güven esasına odaklanırken, GDPR bireylerin gizlilik haklarına odaklanır, ancak her ikisi de tek bir gerçekte birleşir: Kimin eriştiğini doğrulayamazsan veriyi güvence altına alamazsın.
Aşağıda, güçlü kimlik doğrulamayı zorunlu kılan her iki çerçevedeki belirli maddelerin ve kriterlerin sıkı bir analizi yapılmıştır, resmi standartlara doğrudan linkler dahildir.
Bölüm 1: SOC 2 gereksinimleri (Güven hizmetleri kriterleri)
SOC 2 denetimleri, AICPA’nın 2017 Güven Hizmetleri Kriterleri (TSC) temel alınarak yapılır. Kimlik Doğrulaması için, kesin otorite Ortak Kriterler (CC) 6.0 Serisi'dir (Mantıksal ve Fiziksel Erişim Kontrolleri).
- Resmi Kaynak: AICPA 2017 Trust Services Criteria (PDF)
1. Mantıksal erişimin temeli (CC6.1)
Kriter:
"Kuruluş, korunan bilgi varlıklarını kuruluşun hedeflerini karşılamak üzere güvenlik olaylarından korumak için mantıksal erişim güvenlik yazılımı, altyapısı ve mimarileri uygular."
Analiz:
Bu, bir IAM sistemi için genel bir zorunluluktur. CC6.1'i karşılamak için, bir kuruluşun kimlikleri yönetmek için merkezi bir mekanizmaya (örneğin, Kimlik Sağlayıcı - IdP) sahip olduğunu kanıtlaması gerekir. Gelişigüzel veya paylaşılan hesaplar burada genellikle başarısızlıkla sonuçlanır çünkü "mantıksal erişim güvenliği" denetlenemez hâle gelir.
2. Kimlik doğrulama ve yaşam döngüsü (CC6.2)
Kriter:
"Sistem kimlik bilgileri sağlanmadan ve sistem erişimi verilmeden önce, kuruluş erişimi tarafından yönetilen yeni iç ve dış kullanıcıları kaydeder ve yetkilendirir."
Analiz:
Bu, sıkı bir Katılımcı/Hareket Eden/Ayrılan (JML - Joiner/Mover/Leaver) süreci gerektirir.
- Kimlik Doğrulama Gereksinimi: Kullanıcıya bir kullanıcı adı/parola vermeden önce kimliğini doğrulaman gerekir.
- İptal: Bir çalışan ayrıldığında, erişimi derhal iptal edilmelidir (genellikle 24 saat içinde).
- Gerekli Kanıt: Denetçiler, işten çıkarılan çalışanların bir "popülasyon listesini" isteyip sistem günlükleriyle karşılaştırarak kimlik doğrulama belirteçlerinin zamanında devre dışı bırakılıp bırakılmadığını doğrular.
3. MFA zorunluluğu (CC6.3)
Kriter:
"Kuruluş, roller, sorumluluklar veya sistem tasarımına göre veri, yazılım, fonksiyonlar ve diğer korunan bilgi varlıklarına erişimi yetkilendirir, değiştirir veya kaldırır..."
Analiz:
Metin açıkça "roller"den (RBAC) bahsederken, AICPA'nın CC6.3 için "Odak Noktaları" çok faktörlü kimlik doğrulamanın (MFA) gerekliliğini özellikle vurgular.
- Sıkı Yorum: Modern SOC 2 Tip II raporlarında, yönetimsel erişim, kaynak kod depoları veya üretim verileri için yalnızca tek faktörlü kimlik doğrulamaya (parola) güvenmek neredeyse her zaman "önemli bir eksiklik" veya istisna olarak kabul edilir.
- Gereksinim: Üretim ortamına veya müşteri verisine erişim MFA ile korunmalıdır.
4. Yeniden doğrulama (CC6.4)
Kriter:
"Kuruluş, kuruluşun hedeflerini karşılamak üzere, tesislere ve korunan bilgi varlıklarına fiziksel erişimi yetkili personelle sınırlar."
Analiz:
Bağlama bağlı olarak mantıksal erişime uygulandığında bu, Kullanıcı Erişim Gözdenirmelerini (UAR) zorunlu kılar. Bir kullanıcıyı sadece bir kez doğrulamak yetmez; kimliğin hâlâ geçerli olup olmadığını ve doğru ayrıcalıkları koruyup korumadığını periyodik olarak (genellikle üç ayda bir) yeniden doğrulaman gerekir.
Bölüm 2: GDPR gereksinimleri (Risk temelli yaklaşım)
SOC 2'nin aksine GDPR, bir AB yasasıdır. Belirli teknolojileri (ör. "OTP uygulamaları kullan") listelemez, ancak güçlü doğrulamayı yasal olarak gerekli kılan sonuçları zorunlu kılar.
1. Bütünlük ve gizlilik (Madde 5)
Madde: Madde 5(1)(f)
"Kişisel veriler, kişisel verilerin uygun güvenliğinin sağlanacağı bir şekilde işlenmelidir; bu, izinsiz veya hukuka aykırı işlemeye karşı korunmayı da içerir..."
Analiz:
"İzinsiz işleme" anahtar ifadedir. Bir saldırgan zayıf bir parolayı tahmin edip kişisel verilere ulaşırsa, kuruluş Madde 5'i yerine getirememiş olur.
- Kimlik Doğrulama Gereksinimi: Kimlik doğrulama yöntemi yaygın saldırılara (Brute Force veya Kimlik Bilgisi Doldurma gibi) karşı yeterince güçlü olmalıdır. Bu, sıkı parola karmaşıklık politikalarını ve hız sınırlama önlemlerini zorunlu kılar.
2. İşlemenin güvenliği (Madde 32)
- Resmi Link: GDPR Madde 32 (İşlemenin güvenliği)
Madde: Madde 32(1)
"Teknolojinin geldiği aşama, uygulamanın maliyeti ve işlemenin niteliği, kapsamı, bağlamı ve amaçları dikkate alınarak... veri sorumlusu ve veri işleyen, uygun teknik ve organizasyonel önlemleri uygular..."
Analiz:
Bu, "Güncel Teknik Seviyesi" maddesidir.
- Sıkı Yorum: 2024/2025 yıllarında hassas verilere erişim için MFA "güncel teknik seviyesi" olarak kabul edilir. Bir ihlal olursa ve kuruluşun sadece parola kullandığı (yüksek riskli veriler için modası geçmiş bir güvenlik duruşu) ortaya çıkarsa, düzenleyiciler (ör. ICO veya CNIL) tedbirleri Madde 32.1 kapsamında "uygunsuz" olarak kabul edecektir.
- Şifreleme: Madde 32, şifrelemeyi de açıkça belirtir. Kimlik sistemleri kimlik bilgilerini aktarım ve saklama sırasında (hash/salt) şifrelemelidir.
3. Tasarımla veri koruma (Madde 25)
Madde: Madde 25(2)
"Veri sorumlusu, işlemenin her özel amacına göre yalnızca gerekli kişisel verilerin işlenmesini sağlamak için, uygun teknik ve organizasyonel önlemleri uygular."
Analiz:
Bu, en az ayrıcalık zorunluluğudur.
- Kimlik Doğrulama Gereksinimi: Yalnızca "Kullanıcı A, Kullanıcı A'dır" doğrulaması yeterli değildir. Sistem, Kullanıcı A'nın yalnızca gerekli olanı görebilmesini sağlamalıdır.
- Kimlik etkisi: Bu, doğrulanmış kimliğe doğrudan bağlanan ayrıntılı Rol Tabanlı Erişim Kontrolünü (RBAC) zorunlu kılar.
Bölüm 3: Karşılaştırmalı analiz & özet
Aşağıdaki tablo, her iki standardı aynı anda nasıl karşılayacağınızı özetler:
| Özellik | SOC 2 Gereksinimi (Kriter) | GDPR Gereksinimi (Madde) | Sıkı Uygulama Standardı |
|---|---|---|---|
| Giriş Güvenliği | CC6.3 (Erişim Kontrolü) | Madde 32 (İşlemenin Güvenliği) | MFA zorunludur müşteri verilerine veya üretim ortamına erişimi olan tüm personel için. |
| Erişim Kapsamı | CC6.2 (Yetkilendirme) | Madde 25 (Tasarımda Gizlilik) | RBAC (Rol Tabanlı Erişim Kontrolü). Varsayılan olarak reddet; açık izin, iş fonksiyonuna göre verilir. |
| Ayrılış | CC6.2 (Kaldırma) | Madde 5 (Bütünlük) | Otomatik erişim iptali. Sözleşme feshiyle birlikte erişim derhal kaldırılmalıdır. |
| Denetim | CC6.1 (Güvenlik Mimarisi) | Madde 30 (İşleme Kayıtları) | Merkezi Günlükleme. Kim ne zaman ve nereden (IP adresiyle) giriş yaptı? |
Karar
Her iki standardın en katı analizini karşılamak için:
- SOC 2, kimliği belgelendirilen bir süreç olarak ele alır. Kimliklerin oluşturulması, doğrulanması ve kaldırılması için bir sürece sahip olduğunu kanıtlaman gerekir.
- GDPR, kimliği koruyucu bir kalkan olarak ele alır. Kimlik önlemlerinin mevcut teknoloji standartlarına göre bir ihlali önleyecek kadar güçlü olduğunu kanıtlaman gerekir.
SOC 2 ve GDPR uyumluluğu, yalnızca basit parola yönetimini aşmayı gerektirir. Kuruluşlar, Çok Faktörlü Kimlik Doğrulama (MFA), sıkı Rol Tabanlı Erişim Kontrolü (RBAC) ve otomatik günlük kaydı uygulayan merkezi bir Kimlik Sağlayıcı (IdP) kurmalıdır. Bunlar yapılmazsa, SOC 2 denetiminden geçilemez (CC6.x'te istisna) ve "uygun teknik önlem alınmadığı" gerekçesiyle GDPR para cezasına maruz kalınabilir (Madde 32).