GH GambleHub

Uyğunluq və audit sertifikatları

1) Giriş: niyə sertifikatlar lazımdır

iGaming platformaları üçün sertifikatlaşdırma yalnız B2B/B2G müqavilələri və ödəniş tərəfdaşları üçün bir işarə deyil, həm də hadisələri azaltmaq, satışları sürətləndirmək və yeni yurisdiksiyalara çıxışı asanlaşdırmaq üçün sistemli bir yoldur. Laboratoriyaların sertifikatlaşdırma (auditdən sonra rəsmi sertifikat), sertifikatlaşdırma/audit hesabatı (məsələn, SOC 2), öz-özünü elan etmələri və test hesabatları (GLI, iTech Labs, eCOGRA) arasındakı fərqi anlamaq vacibdir.

2) Əsas standartların xəritəsi (nə, nə üçün və nə vaxt)

istiqamətStandart/yanaşmaTipKim və nə vaxt
İnfobez (ISMS)ISO/IEC 27001:2022SertifikatlaşdırmaB2B/enterprise sövdələşmələri üçün məcburi olan bütün şirkət üçün əsas təhlükəsizlik «skeleti»
GizlilikISO/IEC 27701 (PIMS)Sertifikatlaşdırma (27001-ə əlavə)PII ilə böyük miqyasda işləyirsinizsə; GDPR ilə yaxşı «dost»
Biznes sabitliyiISO 22301SertifikatlaşdırmaDavamlılıq tələbləri, tənzimləyicilər və əsas tərəfdaşlar üçün
UyğunluqISO 37301 (CMS)SertifikatlaşdırmaKomplayens-menecment: sanksiyalar, etika, tənzimləyici proseslər
İnkişaf/MəhsulISO 27034, Secure SDLCTəlimat/auditTexniki komanda üçün/DevSecOps; tez-tez sübut bazasının bir hissəsi 27001/SOC 2
BuludCSA STAR (Level 1–2)Qeydiyyat/SertifikatlaşdırmaSiz bulud provayderi/multi-tenant platforma varsa
AI prosesləriISO/IEC 42001SertifikatlaşdırmaRisk zonalarında AI istifadə edirsinizsə (KYC/AML/məsul oyun/skor)
RisklərISO 31000TəlimatRisk menecmenti çərçivəsi (tez-tez ISMS-ə daxil edilir)
Gizlilik by designISO 31700-1TəlimatUX və «privacy by design» prosesləri
Fin. HesabatSOC 1 (ISAE 3402/SSAE 18)Auditor hesabatıMüştərilər maliyyə proseslərində sizin nəzarətinizə güvənəndə
Təhlükəsizlik/MəxfilikSOC 2 Type IIAuditor hesabatıSaaS/B2B üçün «Qızıl standart»; tez-tez tərəfdaşlar tələb
Ödəniş kartlarıPCI DSS 4. 0Sertifikatlaşdırma/SAQKart məlumatlarını saxlayırsınızsa/emal edirsinizsə/ötürürsünüzsə və ya kart ilə top-aplar edirsinizsə
PSD2/AutenticsSCA/3DSUyğunluq/müqavilələrEU/UK ödənişlər üçün, antifrod zənciri
Lab iGamingGLI-19/GLI-33, eCOGRA, iTech LabsTest Hesabatları/Sertifikatlaşdırma RNG/OyunlarRNG, RTP, provayder inteqrasiyası və «provably fair» testləri üçün
Kriptovalyuta xidmətləriTravel Rule/sanksiya skrininqiAttestasiya/SiyasətVASP/birja tərəfdaşlığı üçün, on/off-ramp
Məlumatların qorunması (AB və s.)GDPR və yerli PDPA/LGPDUyğunluq (vahid «rəsmi» sertifikat yoxdur)Auditlərlə, DPIA, PIA, ISO 27701 və təcrübələrlə təsdiqlənir
💡 Qeyd: NIST CSF/CIS Controls çərçivə/metodologiyadır, özləri adətən «sertifikatlaşdırılmır», lakin ISO/SOC/PCI-də mükəmməl tapmacadır.

3) Həqiqətən nə «sertifikatlaşdırılır» və nə deyil

Üçüncü tərəf sertifikatları: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Auditor hesabatları: SOC 2 Tip I/II, SOC 1 Tip I/II (ISAE 3402/SSAE 18).
Laboratoriya testləri/sertifikatları: GLI, eCOGRA, iTech Labs (oyunlar, RNG, inteqrasiya).
«Vahid sertifikat» olmadan uyğunluq: GDPR/UK GDPR, ePrivacy - artefaktların dəsti ilə təsdiqlənir (emal reyestri, DPIA, siyasət, DPA, pentestlər, ISO 27701, xarici qiymətləndirmələr).

4) Uyğunluq matrisi (sadələşdirilmiş mapa nəzarət)

Nəzarət blokuISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Risklərin idarə edilməsiA.6/Annex ACC312. 25. 36. 1
Giriş və IAMA.5/A. 8CC67/87. 4
Qeydlər/monitorinqA.8CC7107. 5
SDLC/dəyişikliklərA.8/A. 5CC56
HadisələrA.5/A. 8CC712. 107. 4. 68
TəchizatçılarA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Bütün standart

(Ətraflı map üçün öz "Control Matrix. xlsx" sahibləri və dəlilləri ilə.)

5) 12 aylıq yol xəritəsi (iGaming platforması üçün)

Q1 - Təməl

1. ISO 27001 + SOC 2 qarşı gap-analiz (Trust Services Criteria seçimi).
2. Təyinatı ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Risk reyestri, məlumatların təsnifatı, sistem xəritəsi (CMDB), audit sərhədləri (scope).
4. Əsas siyasətlər: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (mümkünsə).

Q2 - Təcrübələr və texniki nəzarət

5. IAM (RBAC/ABAC), MFA hər yerdə, parol/gizli-rotasiya, administratorlar üçün PAM.
6. Loging/EDR/SIEM, hadisələrin P0/P1, «chain of custody».
7. Secure SDLC: SAST/DAST/SCAs, pull-request qaydaları, change-board vasitəsilə prod-access.
8. DR/BCP: RTO/RPO, rezervasiya, bərpa məşqi (table-top + tech. test).

Q3 - Sübut bazası və «müşahidə dövrü»

9. Pentest xarici perimetri və əsas xidmətlər (oyunlar və ödənişlər daxil olmaqla).
10. Risk satıcısı: DPA, SLA, audit hüququ, SOC/ISO tərəfdaşlarının hesabatları, sanksiya skrininqi.
11. Evidence factory: biletlər, dəyişiklik jurnalları, təlimlər, təlim protokolları, DPIA.
12. Pre-audit (internal audit) və düzəliş tədbirləri (CAPA).

Q4 - Xarici qiymətləndirmələr

13. ISO 27001 Stage 1/2 → sertifikat (hazır olduqda).
14. SOC 2 Tip II (müşahidə müddəti ≥ 3-6 ay).
15. PCI DSS 4. 0 (QSA və ya SAQ, tokenizasiya/autsorsing scope azaldılırsa).
16. GLI/eCOGRA/iTech Labs - buraxılış və bazarların yol xəritəsi üzrə.

6) «Sübut fabriki» (auditora nə göstərəcəksiniz)

Texniki nəzarət: SSO/MFA jurnalları, IAM konfiqləri, şifrə siyasəti, backup/restors, şifrələmə (KMS/HSM), hardening çek vərəqləri, SAST/DAST/SCA nəticələri, EDR/SIEM hesabatları, pentest hesabatları və remediation.
Proseslər: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Post-mortemlər, BC/DR protokolları, Vendor due diligence (anket, DPA, SOC/ISO partnyorları), Təlimlər (fişinq simulyasiyaları, təhlükəsizlik awareness).
Privacy: Emal reyestri, DPIA/PIA, DSR prosedurları (access/erase/export), Fich Privacy by Design, Cookie/Consent log.
iGaming/Lobs: RNG/Provably Fair siyasəti, test/sertifikatlaşdırma nəticələri, riyazi modellərin təsviri, RTP hesabatları, bild dəyişikliyinə nəzarət.

7) PCI DSS 4. 0: audit sahəsini necə azaltmaq olar

PAN-ı maksimum tokenləşdirin və yoxlanılmış PSP-yə saxlayın.
Şəbəkəni seqmentləşdirin (CDE təcrid olunmuş), «yan» inteqrasiyaları qadağan edin.
Cardholder Data Flow (diaqramlar) və scope komponentlərinin siyahısını təsdiq edin.
ASV skanları və pentestləri konfiqurasiya edin; kart hadisələri ilə işləmək üçün dəstək öyrədin.
Arxitekturadan asılı olaraq SAQ A/A-EP/D hesab edin.

8) SOC 2 Tip II: praktik məsləhətlər

Müvafiq Trust Services Criteria: Security seçin , plus Availability/Confidentiality/Processing Integrity/Privacy biznes case.
Artefaktların davamlı fiksasiyası ilə «müşahidə dövrü» təmin edin (ən azı 3-6 ay).
Hər bir nəzarət və aylıq self-assessment üçün Controls Owner daxil edin.
Bilet sistemində «evidence automation» (ekran görüntüləri/jurnalların ixracı) istifadə edin.

9) ISO 27701 və GDPR: bağlama

PIMS-i ISMS-ə əlavə olaraq qurun: nəzarətçi/prosessor rolları, hüquqi emal əsasları, saxlama məqsədləri, DPIA.
Onların icrası üçün DSR proseslərini (subyektin sorğularını) və SLA-ları təyin edin.
Audit şəffaflığı üçün Nəzarət Matrisinizdəki GDPR məqalələrinə 27701 Mape.

10) GLI/eCOGRA/iTech Labs: SDLC-yə necə yazmaq olar

Oyun riyaziyyatı və RTP versiyasını verin, invariantları saxlayın; dəyişikliklərə nəzarət - buraxılış qaydaları vasitəsilə.
«provably fair» təsvirlərini (commit-reveal/VRF), ictimai sidləri, yoxlama təlimatlarını dəstəkləyin.
Buraxılışlar və bazarlar üçün əvvəlcədən laboratoriya testlərini planlaşdırın; temperatur ilə ümumi «Evidence-qovluq» saxlayın.

11) Davamlı komplayens (continuous compliance)

Daşbord uyğunluğu: nəzarət × sahibləri × status × artefaktlar × son tarixlər.
Rüblük internal audits və management review.
Avtomatlaşdırma: aktivlərin inventarlaşdırılması, IAM drift, drift, zəifliklər, dəyişikliklərin qeydiyyatı.
«Canlı» siyasətçilər: PR-merj prosesləri, versiyalaşdırma, çenqloq.

12) Rollar və RACI

RegionRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Xarici auditə hazırlıq yoxlama siyahısı

1. Müəyyən scope + sistem/proseslərin sərhədləri.
2. Siyasət və prosedurların tam dəsti (aktual versiyalar).
3. Keçmiş tapıntılar üzrə CAPA tərəfindən həyata keçirilən Risk Reyestri və SoA.
4. Hadisə protokolları və post-mortemlər.
5. Pentestas/skan + kritik/yüksək zəifliklərin aradan qaldırılması.
6. Təlimlər və keçidin təsdiqi.
7. Əsas təchizatçılarla/SLAs/DPA müqavilələri + SOC/ISO/PCI hesabatları.
8. BCP/DR testlərinin sübutları.
9. IAM nəzarət təsdiqləri (giriş yoxlamaları, offboarding).
10. Komandalar üçün hazırlanmış müsahibə-skriptlər və sessiya cədvəli.

14) Tez-tez səhvlər və onlardan necə qaçmaq olar

Tətbiq edilmədən «Kağız Siyasəti» → Jira/ITSM və metriklərlə inteqrasiya edin.
Vendor risk → hesabat və audit hüquqları tələb, reyestr.
No «evidence trail» → artefaktların toplanmasını avtomatlaşdırın.
PCI → tokenizasiya və ciddi seqmentasiya Scope creep.
BCP/DR → ildə ən azı bir dəfə təxirə salın.
Phich Privacy Ignor → Privacy by Design və DPIA-da Definition of Done.

15) Artefaktların şablonları (anbarda saxlanılması tövsiyə olunur)

Control Matrix. xlsx (ISO/SOC/PCI/ 27701/22301 map).
Statement of Applicability (SoA).
Risk Register + qiymətləndirmə metodikası.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/emal reyestri, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks və təlim protokolları.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (anket, DPA, SLA).
Audit Readiness Checklist (13-cü bölmədən).

Çıxış

Sertifikatlaşdırma bir dəfəlik yoxlama deyil, idarə olunan proseslərin qurulması layihəsidir. ISO 27001-dən "skelet 'i toplayın və onu SOC 2 Type II (tələbkar B2B üçün), PCI DSS 4 ilə tamamlayın. 0 (kartlar varsa), ISO 27701 (məxfilik), ISO 22301 (sabitlik), ISO 37301 (ümumi uyğunluq) və GLI/eCOGRA/iTech Labs (oyun xüsusiyyətləri). "Sübut fabriki 'ni dəstəkləyin, artefaktların toplanmasını avtomatlaşdırın və müntəzəm daxili auditlər aparın - beləliklə xarici audit proqnozlaşdırıla bilər və sürprizsiz keçəcəkdir.

💡 Material icmal xarakterlidir və hüquqi məsləhət deyil. Xüsusi yurisdiksiyada tətbiq etməzdən əvvəl tələbləri tənzimləyicilərlə və tərəfdaşların şərtləri ilə (PSP, bazarlar, laboratoriyalar) müqayisə edin.
Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.