GH GambleHub

شهادات الامتثال ومراجعة الحسابات

1) مقدمة: سبب الحاجة إلى الشهادات

بالنسبة لمنصات iGaming، فإن الشهادة ليست فقط علامة على العقود B2B/B2G وشركاء الدفع، ولكنها أيضًا طريقة منهجية لتقليل الحوادث وتسريع المبيعات وتبسيط الوصول إلى الولايات القضائية الجديدة. من المهم فهم الفرق بين التصديق (الشهادة الرسمية بعد مراجعة الحسابات)، وتقرير التصديق/مراجعة الحسابات (على سبيل المثال) SOC 2)، الإعلانات الذاتية وتقارير الاختبارات المعملية (GLI، iTech Labs، eCOGRA).

2) خريطة المعايير الأساسية (ماذا ولماذا ومتى)

اتجاهالمعيار/النهجنوعلمن ومتى
قاعدة المعلوماتISO/IEC 27001:2022شهادة«الهيكل العظمي» الأساسي للضمان للشركة بأكملها، إلزامي للمعاملات B2B/enterprise
الخصوصيةISO/IEC 27701 (PIMS)شهادة (إضافة إلى 27001)إذا كنت تعمل مع PII على نطاق واسع ؛ «أصدقاء جيدون» مع اللائحة العامة لحماية البيانات
مرونة الأعمالISO 22301شهادةلمتطلبات الاستمرارية والجهات التنظيمية والشركاء الرئيسيين
الامتثالISO 37301 (CMS)شهادةإدارة الامتثال: الجزاءات، والأخلاقيات، والعمليات التنظيمية
التطوير/المنتجISO 27034، Secure SDLCالإدارة/مراجعة الحساباتللفريق التقني/DevSecOps ؛ غالبا ما يكون جزءا من قاعدة الأدلة 27001/SOC 2
سحابةCSA STAR (المستوى 1-2)التسجيل/التصديقإذا كنت مزودًا للسحابة/منصة متعددة المستأجرين
عمليات الذكاء الاصطناعيISO/IEC 42001شهادةفي حالة استخدام الذكاء الاصطناعي في مناطق الخطر (KYC/AML/اللعب/التسجيل المسؤول)
المخاطرISO 31000القيادةإطار إدارة المخاطر (كثيراً ما يُدرج في المعايير الدولية لإدارة المخاطر)
الخصوصية حسب التصميمISO 31700-1القيادةUX والخصوصية حسب عمليات التصميم
Fin. الإبلاغSOC 1 (ISAE 3402/SSAE 18)تقرير مراجع الحساباتعندما يعتمد العملاء على عناصر التحكم الخاصة بك في عمليات الزعانف
الأمن/الخصوصيةSOC 2 النوع الثانيتقرير مراجع الحساباتالمعيار الذهبي SaaS/B2B ؛ غالبًا ما يطلبه الشركاء
بطاقات الدفعPCI DSS 4. 0شهادة/SAQإذا قمت بتخزين/معالجة/تحويل بيانات بطاقة أو قمت بإجراء عمليات تعبئة باستخدام بطاقة
PSD2/AuthenticationSCA/3DSالامتثال/العقودبالنسبة لمدفوعات الاتحاد الأوروبي/المملكة المتحدة، سلسلة مكافحة الاحتيال
مختبرات iGamingGLI-19/GLI-33، eCOGRA، iTech Labsتقارير الاختبار/شهادة RNG/الألعاببالنسبة لدمج RNG و RTP و ISP والاختبارات «العادلة بشكل مثبت»
خدمات التشفيرقاعدة السفر/فحص العقوباتالشهادة/السياساتمن أجل الشراكات بين نظام VASP/التبادل، داخل/خارج المنحدر
حماية البيانات (الاتحاد الأوروبي، إلخ)GDPR والمحلية PDPA/LGPDالامتثال (لا توجد شهادة «رسمية» واحدة)تم تأكيدها من خلال عمليات التدقيق، إدارة شؤون الإعلام، تقييم التقييمات الدولية، ISO 27701 والممارسات
💡 ملاحظة: ضوابط NIST CSF/CIS هي أطر/منهجيات، لا تكون عادة «معتمدة» من تلقاء نفسها، ولكنها تخطط تمامًا للمنظمة الدولية للتوحيد القياسي/SOC/PCI.

3) ما هو حقًا «معتمد» وما هو غير معتمد

شهادات الطرف الثالث: ISO 27001، 27701، 22301، 37301، 42001، PCI DSS (QSA/ASV)، CSA STAR Level 2.
تقارير مراجع الحسابات: SOC 2 النوع الأول/الثاني، SOC 1 النوع الأول/الثاني (ISAE 3402/SSAE 18).
الاختبارات/شهادات المختبر: GLI، eCOGRA، iTech Labs (ألعاب، RNG، تكامل).
الامتثال بدون «شهادة واحدة»: اللائحة العامة لحماية البيانات/اللائحة العامة لحماية البيانات في المملكة المتحدة، الخصوصية الإلكترونية - تؤكدها مجموعة من القطع الأثرية (سجل المعالجات، DPIA، السياسات، DPA، الخماسيات، ISO 27701، التقييمات الخارجية).

4) مصفوفة المراسلات (خريطة مبسطة للضوابط)

وحدة مراقبةISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
إدارة المخاطرA.6/Annex أCC312. 25. 36. 1
الوصول و IAMA.5/A. 8CC67/87. 4
جذوع الأشجار/الرصدA.8CC7107. 5
SDLC/التغييراتA.8/A. 5CC56
الحوادثA.5/A. 8CC712. 107. 4. 68
المورِّدونA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5المعيار بأكمله

(للحصول على خريطة مفصلة، ابدأ "مصفوفة التحكم الخاصة بك. xlsx" مع المالكين والأدلة.)

5) خارطة طريق لمدة 12 شهرًا (لمنصة iGaming)

الربع الأول - المؤسسة

1. تحليل الثغرات مقابل ISO 27001 + SOC 2 (اختيار معايير خدمات الثقة).
2. الغرض من ISMS-Lead، DPO، BCM-Owner، PCI-Lead.
3. سجل المخاطر، وتصنيف البيانات، وخريطة النظام، وحدود مراجعة الحسابات (النطاق).
4. السياسات الأساسية: ISMS، Access، SDLC، التغيير، الحادث، البائع، التشفير/Key Mgmt، الخصوصية، العقوبات/AML (إذا انطبق).

س 2 - الممارسات والضوابط الفنية

5. IAM (RBAC/ABAC)، MFA في كل مكان، كلمة المرور/التناوب السري، PAM للمسؤولين.
6. قطع الأخشاب/تسوية المنازعات الإلكترونية/وحدة التفتيش المشتركة، تنبيهات عن حوادث P0/P1، «سلسلة الاحتجاز».
7. تأمين SDLC: SAST/DAST/SCAs، وقواعد سحب الطلب، ووصول المبيعات عبر لوحة التغيير.
8. DR/BCP: RTO/RPO، النسخ الاحتياطي، استعادة البروفة (table-top + tech. (.

الربع الثالث - قاعدة الأدلة و «فترة المراقبة»

9. خماسي المحيط الخارجي والخدمات الرئيسية (بما في ذلك الألعاب والمدفوعات).
10. مخاطر البائعين: إدارة الشؤون السياسية، وجيش تحرير السودان، وسلطة مراجعة الحسابات، وتقارير شريكها في شركة نفط الجنوب/المنظمة الدولية للتوحيد القياسي، وفحص الجزاءات.
11. مصنع الأدلة: التذاكر، سجلات التغيير، التدريبات، بروتوكولات التمارين، DPIA.
12. المراجعة المسبقة للحسابات (المراجعة الداخلية للحسابات) والإجراءات التصحيحية.

الربع الرابع - التقييمات الخارجية

13. ISO 27001 المرحلة 1/2 شهادة → (عندما تكون جاهزة).
14. SOC 2 النوع الثاني (فترة المراقبة ≥ 3-6 أشهر).
15. PCI DSS 4. 0 (QSA أو SAQ إذا أدى الترميز/الاستعانة بمصادر خارجية إلى تقليل النطاق).
16. GLI/eCOGRA/iTech Labs - على خارطة طريق الإصدارات والأسواق.

6) مصنع الأدلة (ما تظهره للمدقق)

الضوابط التقنية: سجلات SSO/MFA، تكوينات IAM، سياسات كلمات المرور، النسخ الاحتياطية/المصارعين، التشفير (KMS/HSM)، قوائم التحقق المتصلبة، نتائج SAST/DAST/SCA، تقارير EDR/S، تقارير الخمسة والإصلاح.
العمليات: سجل المخاطر، SoA (بيان قابلية التطبيق)، تذاكر التغيير، تقارير الحوادث (P0-P2)، ما بعد الوفاة، بروتوكولات BC/DR، العناية الواجبة للبائع (الاستبيانات، إدارة الشؤون السياسية، شركاء SOC/ISO)، التدريبات (محاكاة التصيد الاحتيالي، الوعي الأمني).
الخصوصية: سجل المعالجة، DPIA/PIA، إجراءات DSR (الوصول/المحو/التصدير)، الخصوصية حسب التصميم في الميزات، سجلات ملفات تعريف الارتباط/الموافقة.
iGaming/labs: سياسة RNG/Fairly Fair، نتائج الاختبار/الاعتماد، أوصاف النماذج الرياضية، تقارير RTP، بناء التحكم في التغيير.

7) PCI DSS 4. 0: كيفية تقليص منطقة مراجعة الحسابات

قم بترميز أكبر قدر ممكن وإحضار تخزين PAN إلى PSP المختبر.
قسم الشبكة (CDE معزول)، يحظر التكامل «الالتفافي».
الموافقة على تدفق بيانات حامل البطاقة وقائمة المكونات في النطاق.
إجراء فحوصات لاختراق المركبات المضادة للفيروسات الرجعية ؛ دعم التدريب للتعامل مع حوادث البطاقات.
ضع في اعتبارك SAQ A/A-EP/D اعتمادًا على الهندسة المعمارية.

8) SOC 2 النوع الثاني: نصائح عملية

اختر معايير خدمات الثقة ذات الصلة: الأمان، بالإضافة إلى التوافر/السرية/معالجة النزاهة/الخصوصية حسب حالة العمل.
توفير «فترة مراقبة» مع تثبيت القطع الأثرية المستمر (3-6 أشهر على الأقل).
أدخل مالك التحكم لكل تحكم وتقييم ذاتي شهري.
استخدم «أتمتة الأدلة» (لقطات الشاشة/سجلات التصدير) في نظام التذاكر.

9) ISO 27701 و GDPR: حزمة

بناء نظام الرصد الدولي كإضافة إلى نظام إدارة المعلومات: أدوار وحدة التحكم/المعالج، والأساس القانوني للمعالجة، وأهداف التخزين، وإدارة شؤون الإعلام.
تدوين عمليات إصلاح قطاع الأمن (طلبات الموضوع) وجيش تحرير السودان لتنفيذهما.
خريطة 27701 لمقالات اللائحة العامة لحماية البيانات في مصفوفة التحكم الخاصة بك لشفافية التدقيق.

10) GLI/eCOGRA/iTech Labs: كيفية التوافق مع SDLC

نسخة لعبة رياضيات و RTP، مخزن ثابت ؛ التحكم في التغيير - من خلال لوائح الإفراج.
دعم الأوصاف «العادلة بشكل يمكن إثباته» (الالتزام بالكشف/التردد اللاحق)، الجوانب العامة، تعليمات التحقق.
تخطيط الفحوص المختبرية مسبقاً للإطلاقات والأسواق ؛ احتفظ بـ «مجلد أدلة» مشترك مع قوالب.

11) الامتثال المستمر

لوحة متابعة الامتثال: ضوابط × المالكين × الحالة × القطع الأثرية × المواعيد النهائية.
مراجعة الحسابات الداخلية الفصلية والاستعراض الإداري.
الأتمتة: مخزون الأصول، انجراف IAM، انجراف التهيئة، نقاط الضعف، تغيير تسجيل الأشجار.
السياسيون «على قيد الحياة»: عمليات دمج العلاقات العامة، الإصدار، التغيير.

12) الأدوار و RACI

المنطقةRأجيمأنا
ISMS/ISO 27001SecOps LeadCISOقانوني، تكنولوجيا المعلوماتExec، Teams
SOC 2قيادة GRCCISOمدقق الحسابات، ديفالمبيعات
PCI DSSقيادة PCIمنظمة التعاون والتنمية في الميدان الاقتصاديPSP/QSA، SecOpsالدعم
Privacy/27701DPOمدير العملياتقانوني، منتجالتسويق
GLI/eCOGRAQA الرصاصCPTOاستوديو، الرياضياتالامتثال
BCP/22301مالك BCMمدير العملياتتكنولوجيا المعلومات، SecOpsكل

13) قائمة مراجعة جاهزية المراجع الخارجي

1. النطاق المحدد + النظام/حدود العملية.
2. مجموعة كاملة من السياسات والإجراءات (النسخ الحالية).
3. سجل المخاطر و SoA الذي أجرته CAPA على النتائج السابقة.
4. تقارير الحوادث وبعد الوفاة للفترة.
5. Pentests/scans + القضاء على نقاط الضعف الحرجة/العالية.
6. التدريب وإثبات الإنجاز.
7. وتبلغ العقود/اتفاقات جنوب السودان/إدارة الشؤون السياسية مع الموردين الرئيسيين + عن عقودهم/المنظمة الدولية لتوحيد المقاييس/إدارة عمليات حفظ السلام.
8. دليل على اختبارات BCP/DR.
9. تأكيدات ضوابط الإدارة المتكاملة المتكاملة (تنقيحات الدخول، الإقلاع).
10. إعداد نصوص مقابلات للأفرقة والجدول الزمني للجلسات.

14) الأخطاء المتكررة وكيفية تجنبها

«السياسات على الورق» بدون تنفيذ → تتكامل مع Jira/ITSM والمقاييس.
التقليل من شأن مخاطر البائعين → والطلب على التقارير وحقوق مراجعة الحسابات، والاحتفاظ بسجل.
لا يوجد «أثر أدلة» → أتمتة جمع القطع الأثرية.
زحف النطاق في PCI → الترميز والتجزئة الصارمة.
تأخير BCP/DR → ممارسة التمارين مرة واحدة على الأقل في السنة.
تجاهل الخصوصية مع الخصوصية → عن طريق التصميم و DPIA في تعريف Done.

15) نماذج القطع الأثرية (يوصى بالاحتفاظ بها في المستودع)

مصفوفة التحكم. xlsx (ISO/SOC/PCI/ 27701/22301 map).
بيان قابلية التطبيق (SoA).
سجل المخاطر + منهجية التقييم.
سياسات ISMS (الوصول، التشفير، SDLC، الحادث، البائع، قطع الأشجار، BYOD، العمل عن بعد и др.) .
Privacy Pack (RoPA/Treatment Registry، DPIA، DSR playbook، Cookie/Access).
BCP/DR Runbook وبروتوكولات التمرين.
تقارير الخمسة + خطة الإصلاح.
مجموعة مواد العناية الواجبة للبائعين (استبيانات، إدارة الشؤون السياسية، جيش تحرير السودان).
قائمة التحقق من الاستعداد لمراجعة الحسابات (من الباب 13).

الناتج

التصديق هو مشروع لبناء عمليات مُدارة، وليس فحصًا لمرة واحدة. قم بتجميع «هيكل عظمي» من ISO 27001 واستكماله بـ SOC 2 Type II (للمطالبة B2Bs)، PCI DSS 4. 0 (إذا كانت البطاقات متاحة)، ISO 27701 (الخصوصية)، ISO 22301 (الاستدامة)، ISO 37301 (الامتثال العام) و GLI/eCOGRA/iTech Labs (تفاصيل الألعاب). الحفاظ على «مصنع الأدلة»، وأتمتة جمع القطع الأثرية وإجراء عمليات تدقيق داخلية منتظمة - بهذه الطريقة ستصبح عمليات التدقيق الخارجية قابلة للتنبؤ وتمر دون مفاجآت.

💡 المادة ذات طبيعة نظرة عامة وليست مشورة قانونية. قبل التقدم في ولاية قضائية معينة، تحقق من المتطلبات مع المنظمين وظروف الشريك (PSP والأسواق والمختبرات).
Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.