Compliance: SOC2, ISO27001 ve FedRAMP
Compliance: SOC2, ISO27001 & FedRAMP
Bu derste neler öğreneceksin
- GitHub Enterprise'ın hangi compliance framework'lerini desteklediğini listelemek
- GHEC vs GHES vs GitHub AE'nin compliance kapsamını karşılaştırmak
- Audit log ve policy'nin compliance kanıtlamasındaki rolünü anlamak
Kurumsal ortamlarda GitHub Enterprise’ı kullanırken uyumluluk gereksinimleri genellikle deployment modelini belirler. GH-100, bu framework’lerin temelini ve GitHub’ın nasıl destek verdiğini sınar.
GitHub’ın Compliance Sertifikaları
GitHub Enterprise Cloud için geçerli sertifikalar:
- SOC 1 Type II — Finansal kontroller
- SOC 2 Type II — Güvenlik, gizlilik, availability
- ISO 27001 — Bilgi güvenliği yönetim sistemi
- ISO 27018 — Buluttaki kişisel verilerin korunması
- CSA STAR Level 2 — Cloud Security Alliance
- GDPR — AB veri koruma yönetmeliği uyumu
GitHub AE ek olarak:
- FedRAMP High — ABD federal sistemler için
GHES için: Müşteri kendi altyapısını yönettiğinden, compliance sertifikaları cloud provider ve müşterinin kendi denetimlerine bağlıdır. GitHub, GHES’in kendi altyapısını sertifikalandırmaz.
SOC2 ve GitHub Audit Log İlişkisi
SOC2 Type II denetiminde denetçiler erişim kontrollerinin kanıtını ister. GitHub audit log şu kanıtları sağlar:
- Kullanıcı erişim değişiklikleri (
org.add_member,org.remove_member) - Permission değişiklikleri
- Repository oluşturma/silme
- SSO ve 2FA enforcement olayları
GDPR Gereksinimleri
GDPR kapsamında önemli GitHub konfigürasyonları:
- Data Residency (EU): Veriyi AB sınırlarında tut
- Audit log: Kişisel veri erişimlerini izle
- SCIM deprovision: Ayrılan çalışanın verilerinin silinmesi süreci
Compliance Raporlaması
Enterprise → Settings → Compliance
→ SOC2 report, penetration test sonuçları için GitHub Trust Center'a yönlendirilirsin
→ https://trust.github.com/
GitHub Trust Center, güncel güvenlik raporlarına ve sertifikalara erişim sağlar. Compliance denetçileri için bu kaynak birincil referanstır.
2FA Zorunluluğu
SOC2 ve ISO27001 için genellikle çok faktörlü kimlik doğrulama (MFA/2FA) zorunludur:
Organization → Settings → Authentication security
→ "Require two-factor authentication for everyone in the organization"
Bu ayar etkinleştirildiğinde 2FA’sı olmayan kullanıcılar otomatik olarak org’dan çıkarılır.