Hoe u SOC 2 CC6 Privileged Access Controls doorstaat — Een praktische gids
SOC 2 Type II-gereedheid is een marathon. De meeste organisaties komen door de beleidsdocumentatie, de leveranciersrisicoquestionnaires en de netwerksegraatiediagrammen redelijk gemakkelijk heen. Dan treffen zij CC6 — Logische en fysieke toegangscontroles — en wordt de audit moeilijk.
CC6 is waar auditors het meeste tijd besteden en waar bedrijven het vaakst uitzonderingen ontvangen. Het omvat wie toegang heeft tot uw systemen, hoe die toegang wordt gecontroleerd, hoe deze wordt bewaakt en hoe deze wordt beoordeeld. Als uw antwoord op privileged access management "wij gebruiken VPN plus RDP met gedeelde adminreferenties" is, zult u niet slagen.
Hier staat precies wat CC6 vereist, wat auditors vragen en hoe u het bewijs levert.
CC6.1, CC6.2, CC6.3, CC6.6 — Wat elk vereist in duidelijk Nederlands
CC6.1 — Logische toegangsbeveiliging
De vereiste: logische toegang tot uw systemen, infrastructuur en gegevens is beperkt tot gemachtigde gebruikers.
In de praktijk betekent dit:
- Elke gebruiker die toegang heeft tot een productiesysteem, heeft een gedocumenteerde reden voor die toegang
- Toegang wordt provisioned via een gedefinieerd proces (niet ad hoc)
- Toegang wordt onmiddellijk ingetrokken wanneer een gebruiker het bedrijf verlaat of van rol verandert
- Privileged access (admin, root, DBA) wordt afzonderlijk gevolgd en aan een hoger standaard gehouden
Het bewijs dat auditors willen zien: een volledige inventaris van wie welke privileged access heeft, hoe deze is provisioned en wanneer deze voor het laatst is beoordeeld.
CC6.2 — Identificatie en authenticatie
De vereiste: gebruikers worden geverifieerd voordat zij toegang hebben tot systemen, en de verificatie is voldoende sterk voor de gevoeligheid van de resource.
In de praktijk betekent dit:
- MFA is vereist voor alle accounts met privileged access
- Wachtwoorden voldoen aan complexiteits- en rotatievereisten
- Gedeelde accounts (gedeelde
Administrator, gedeelderoot) worden geëlimineerd of nauw beheerd - Serviceaccounts worden geïnventariseerd en de toegang wordt beoordeeld
Het bewijs dat auditors willen zien: MFA-inschrijvingsschermafbeeldingen, accountinventarisexports, bewijs dat gedeelde adminaccounts zijn geëlimineerd of compenserende controles hebben.
CC6.3 — Toegangsinformatie verwijderen
De vereiste: toegang wordt ingetrokken wanneer deze niet meer nodig is (beëindiging, rolverandering, projecteinde).
In de praktijk betekent dit:
- U hebt een gedocumenteerd offboardingproces dat het intrekken van privileged access omvat
- Toegang wordt ingetrokken binnen een gedefinieerde periode (24-48 uur voor productietoegang)
- U kunt aantonen dat beëindigde gebruikers geen actieve sessies of referenties meer hebben
Het bewijs dat auditors willen zien: offboardingtickets met intrekkingsstappen, vóór- en naaafbeeldingen van toegangsrechten.
CC6.6 — Logische toegangsbeperkingen
De vereiste: gegevenstransmissie is versleuteld en logische toegangsbeperkingen zijn ingesteld om ongeautoriseerde toegang te voorkomen.
In de praktijk betekent dit:
- Alle administratieve verbindingen zijn versleuteld in transit
- Toegang tot gevoelige systemen is beperkt tot gemachtigde eindpunten of netwerken
- Sessieactiviteit wordt bewaakt en geregistreerd
Het bewijs dat auditors willen zien: netwerkdiagrammen met versleutelde kanalen, sessielogboeken met administratieve activiteit.
Wat auditors werkelijk vragen
Wanneer een SOC 2-auditor CC6 onderzoekt, vragen zij doorgaans om het volgende bewijs:
Voor CC6.1 (toegangsinventaris):
- Spreadsheet of systeemexport met alle gebruikers met privileged access, de systemen waar zij toegang toe hebben en de zakelijke rechtvaardiging
- Bewijs dat de toegang is goedgekeurd (e-mail, ticket, schermafbeelding van goedkeuringswerkstroom)
- Toegangsbeoordeelingsgegevens met driemaandelijkse of jaarlijkse hercertificering
Voor CC6.2 (authenticatie):
- Schermafbeelding van MFA-inschrijving voor administratieve accounts
- Documentatie van het wachtwoordbeleid en bewijs dat het wordt afgedwongen
- Lijst met serviceaccounts en bewijs van inventaris
Voor CC6.3 (toegang verwijderen):
- Voorbeeldoffboardingtickets (doorgaans 3-5 voorbeelden uit de auditperiode)
- Bewijs dat privileged access binnen SLA is ingetrokken
- Integratie van HR-systemen of handmatige verificatiegegevens
Voor CC6.6 (sessiecontrole):
- Sessielogboeken met administratieve activiteit (wie ingelogd, wanneer, op welk systeem, wat hij/zij deed)
- Bewijs dat sessies worden opgenomen
- Netwerkdiagram met versleuteling in transit
Het bewijs moet de volledige auditperiode dekken (doorgaans 12 maanden voor een Type II-audit). Auditors nemen monsters van gebeurtenissen over die periode — u kunt zich niet verlaten op bewijs van de laatste twee weken voordat de audithandeling plaatsvindt.
Veelvoorkomende CC6-tekortkomingen en hoe deze te voorkomen
Gedeelde adminreferenties
De meest voorkomende CC6-bevinding. "Wij gebruiken de gedeelde Administrator-account omdat sommige systemen geen individuele accounts ondersteunen" is geen aanvaardbare controle. VaultPAM lost dit op: gebruikers verbinden via brokered sessies zonder de referentie te ontvangen. De kluis houdt het wachtwoord; auditlogboeken laten precies zien welke gebruiker elke sessie heeft geïnitieerd.
MFA niet afgedwongen op alle privileged accounts Organisaties hebben MFA vaak op hun bedrijfsmail, maar niet op directe servertoegang (RDP, SSH). Auditors controleren dit specifiek. Elke privileged sessie moet MFA vereisen.
Geen bewijzen van toegangsbeoordeling Veel organisaties voeren toegangsbeoordelingen informeel uit. Auditors willen gedocumenteerd bewijs: wie heeft beoordeeld, wat is beoordeeld, wanneer en welke maatregelen zijn genomen. "Wij hebben in Q3 een beoordeling gedaan" zonder ticket, spreadsheet of rapport is geen bewijs.
Toegang niet onmiddellijk ingetrokken De tijdspanne tussen het vertrek van een werknemer en het intrekken van de toegang is een terugkerend bevinding. Als uw offboardingproces een week duurt en privileged access in dezelfde wachtrij is opgenomen, hebt u een CC6.3-probleem.
Sessielogboeken die onvolledig of niet toegankelijk zijn Het bewaren van sessielogboeken is slechts de helft van het antwoord. Auditors willen zien dat u specifieke gebeurtenissen kunt ophalen en dat de logboeken volledig en fraudebestendig zijn. Logboeken in verschillende silo's (Windows Event Log op elke server, SSH auth-logboeken op elke Linux-computer) zonder centrale aggregatie zijn moeilijk als bewijs voor te leggen.
Hoe VaultPAM automatisch audit-gereed CC6-bewijs produceert
VaultPAM is ontworpen met de aanname dat uw auditor over uw schouder meeleest. Het bewijs dat het produceert, verwijst rechtstreeks naar wat CC6 vereist:
| CC6-controle | Wat VaultPAM produceert |
|---|---|
| CC6.1 — toegangsinventaris | Volledig rapport van alle gebruikers, doelsystemen, toegangsbeleid en goedkeuringen — exporteerbaar als CSV of toegankelijk via API |
| CC6.2 — MFA-afdwinging | TOTP en WebAuthn afgedwongen op sessieniveau — elke privileged sessie vereist authenticatie; MFA-inschrijvingsstatus zichtbaar in admin Dashboard |
| CC6.2 — geen gedeelde referenties | Sessiebemiddeling — gebruikers hebben toegang tot doelen zonder referenties te ontvangen; de kluis houdt de referentie, niet de gebruiker |
| CC6.3 — toegang verwijderen | Het intrekken van een gebruiker in VaultPAM beëindigt onmiddellijk hun vermogen om nieuwe sessies te initiëren; actieve sessies kunnen geforceerd worden beëindigd |
| CC6.6 — sessiecontrole | Volledige sessie-opname (video + activiteitslogboek) voor elke RDP-, SSH-, VNC- en HTTP-sessie; fraudebestendig via BLAKE3-hashketen; doorzoekbaar op gebruiker, doelsysteem en tijdsbereik |
| CC6.6 — versleuteling in transit | Alle sessies bemiddeld via mTLS; geen directe binnenkomende poorten op doelsystemen |
Het toegangsbeoordelingsproces wordt ondersteund door VaultPAM's auditlogboekexports: u kunt in minuten een volledig rapport van elke privileged sessie in het afgelopen kwartaal produceren, gesorteerd op gebruiker en doelsysteem. Presenteer dit aan uw auditor samen met de configuratie van het toegangsbeleid en de schermafbeelding van MFA-inschrijving — dat is uw CC6-bewijspakket.
Werkt u aan SOC 2 Type II-gereedheid? VaultPAM produceert automatisch audit-gereed bewijs voor CC6-controles — sessie-opnamen, toegangslogboeken, MFA-afdwinging en beleidsconfiguratie kunnen allemaal vanuit één Dashboard worden gerapporteerd.
Download onze SOC 2-nalevingsoverzicht voor een volledige toewijzing van VaultPAM-controles aan SOC 2 Trust Service Criteria.