Dokümanlar · Uyumluluk

Uyumluluk eşlemesi

İç ve dış denetçilerin test ettiği somut gereksinimlerin Mergen tespitlerine ve kontrollerine eşlenmesi — PCI-DSS v4.0, HIPAA, GDPR, KVKK (6698), BDDK, SOX/ISACA ve ISO 27001:2022. Her Mergen tespiti, regülatörlerin istediği denetim-izi alanlarını taşır: kaynak host, olay zamanı, kural, ifade, oturum kullanıcısı ve istemci IP.

Kapsam: yerleşiközel kuralconsoleroadmap

PCI-DSS v4.0

Kaynak: PCI SSC — official standard + testing procedures
Req 10.2.1.2 — log all admin/DBA actions DBA aktivite izi (user_in) + her tespit user/time/host taşır; login_audit. Config değil, per-action wire yakalama. özel kuralyerleşik
Req 8.2.2 — shared/generic accounts attributable Bilinen paylaşılan hesaplar için generic_account_usage reçetesi; atıf = wire'da görülen oturum kullanıcısı. özel kural
Req 7 — least privilege role_privilege_escalation, dangerous_grant, ddl_by_non_admin, app-dışı-erişim reçetesi. yerleşiközel kural
Req 10.4.1 — daily review workflow Console alarm politikaları + teslim geçmişi. "Gözden geçirildi" imzası console takip işi. consoleroadmap
Req 10.2.1.3 / 10.3.2 — audit-log tamper audit_tamper (ALTER SYSTEM loglama), system_catalog_recon; olay deposu append-only ve host-dışı. yerleşik

HIPAA (45 CFR)

Kaynak: HHS OCR — Audit Protocol
164.312(b) — audit controls over ePHI Tüm DB aktivite yakalama; PII/PHI kuralları (pii_content) ePHI erişiminde tetiklenir. yerleşik
Logging enabled & generating? Fail-loud yakalama sağlığı: capture_stalled, framer_desync_burst, /metrics — yakalamanın canlı olduğunu kanıtlar. yerleşikconsole
164.308(a)(1)(ii)(D) — activity review, certified Console alarmları + raporlar. Onaylı gözden-geçirme imzası console takip işi. consoleroadmap

GDPR

Kaynak: EDPB Guidelines 09/2022; Regulation (EU) 2016/679
Art. 32 — detection capability Mergen tespit katmanıdır — canlı DB trafiği üzerinde 53 kural + UEBA. Tespit yokluğu başlı başına açık. yerleşik
EDPB — log correlation into alerts SIEM sink'leri (Kafka/OTLP/syslog/CEF/LEEF) + console korelasyon + politikalar. yerleşikconsole
Art. 33(5) — document all breaches ClickHouse'daki tespitler = sorgulanabilir zaman-çizelgesi; kayıt için console raporları. yerleşikconsole

KVKK (Kanun 6698)

Kaynak: KVKK Kişisel Veri Güvenliği Rehberi + Kurul 2019/10
§3.2 — log all users of personal-data systems Kişisel veri sistemlerinin tüm kullanıcı işlem logları; her tespit user/time/host taşır. yerleşik
§3.1 — privileged use + dormant accounts DBA-aktivite reçetesi; rol-değişim kuralları. Dormant/işten-ayrılan = roadmap. özel kuralroadmap
Erişim yetki matrisi + least-privilege ddl_by_non_admin, app-dışı-erişim reçetesi; console kural-hedefleme (host/grup/global). özel kuralconsole
Tablo 4.1 — logs · masking · IDS/IPS · DLP Erişim/log kayıtları ✅ · IDS/IPS = tespit motoru · veri maskeleme = önizlemelerde PII maskeleme · DLP = exfil kuralları. yerleşik
Kurul 2019/10 — 72h breach notice Gerçek-zamanlı tespit + sorgulanabilir zaman-çizelgesi → hızlı tespit/bildirim. yerleşik

BDDK (Turkish banking)

Kaynak: Resmî Gazete 15.03.2020; BDDK denetim tebliği
Art. 13/1 — audit-trail record fields Her tespit: host + event_time (UTC/tz) + kural + ifade + user + src_ip — zorunlu alanlarla birebir eşleşir. yerleşik
Art. 24/5 — external-audit minimum set SoD reçetesi, erişim/rol kuralları, gizlilik (PII) kuralları, append-only depo + retention. özel kuralyerleşikconsole

SOX ITGC / ISACA

Kaynak: ISACA — Access Controls, IAM/DB Audit Programs, PAM Framework
Change management SoD dangerous_ddl, ddl_by_non_admin + app-dışı-yazma reçetesi (şemayı kim değiştirdi). yerleşiközel kural
Privileged access + removal re-test Rol-değişim kuralları GRANT/REVOKE loglar; kaldırma doğrulaması IAM kontrolü (Mergen kanıtı üretir). yerleşikroadmap
Privileged session monitoring + recertification Ayrıcalıklı-aktivite tespiti + SIEM sink. Recertification = IAM/GRC, DAM dışı. yerleşikroadmap

ISO 27001:2022 Annex A

Kaynak: ISO/IEC 27001:2022
A.8.15 Logging Tüm DB aktivite yakalama + append-only depo. yerleşik
A.8.16 Monitoring activities UEBA (ueba_anomaly, ueba_peer_anomaly) + 53 kural. yerleşik
A.8.2 Privileged access Rol/priv kuralları + DBA reçetesi. yerleşiközel kural

Reçete: paylaşılan/jenerik hesap kullanımı (PCI 8.2.2)

{
  "id": "generic_account_usage",
  "severity": "warning",
  "match": { "user_in": ["sa", "admin", "root", "postgres", "svc_shared"] },
  "message_template": "shared/generic account used: {kind} on {tables} by {user}"
}

Dürüst boşluklar

  • Gözden-geçirme imzası — alarmlarda "X tarafından tarih Y'de gözden geçirildi/onaylandı" kaydı (PCI 10.4.1, HIPAA). Alarm + teslim geçmişi var; birinci-sınıf imza console takip işi.
  • Erişim recertification — ayrıcalıklı kullanıcıların periyodik yeniden-onayı (SOX/ISACA). IAM/GRC işlevi; Mergen kanıt üretir, iş akışını değil.
  • Stateful kimlik anomalileri — new_source_host, dormant_reactivation, account_sharing ve impossible_travel (fiziksel imkânsız hızda hareket; yalnız public IP) kapsandı (gelişmiş/UEBA, opt-in). Kalan: kullanıcının tüm veritabanları arası filo-geneli korelasyonu (console v2).

Bu eşleme bir kılavuzdur, sertifikasyon değil; kontrollerinizi denetçinizle kapsamlayın. Kaynaklar ağırlıkla birincil/resmî (PCI SSC, HHS OCR, EDPB, KVKK Kurumu, Resmî Gazete, ISACA).