许可证续签和审计
1)为什么这很重要
许可证不是静态文档,而是维护RG/AML,安全性,数据和报告标准的义务。成功的扩展和审核支持风险管理、流程成熟和规模准备。
关键原理是:事实第一,无人类,政策即代码,可行性。
2)扩展和审核类型
许可证续签(renewal):按日历(通常每年/每年N年一次)-提交表格、费用和一揽子证明书。
变化/变化(variation):更改受益人、添加垂直位置、托管位置、关键人物-需要单独匹配。
监管审计:审查政策/报告,营销/附属机构,RG/AML,事件日志。
技术人员/实验室:RNG/RTP,SDLC/版本,漏洞/pentest,DR/BCP,托管和日志。
财务审计:GGR/税收/准备金,奖金注销的正确性,付款登记册。
GDPR/DPA审计:DPIA,处理注册表,对受试者的回应,泄漏/通知。
PCI DSS(如果使用PAN):分段、令牌化、访问日志、ASV扫描。
3)延期日历: 指示性量表
T-90...60天-gap分析,策略更新,实验室/审计师预订。
T-60...30-收集文物(logs,SBOM,扫描/五旬节报告,DR行为),确认Key Persons。
T-30...14是包裹的结尾,内部证据采样(采样),为采访做准备。
T-14...0-提交更新套餐,支付费用,SLA窗口以响应监管机构。
T+0……+30-问答/查询,重整,续约确认。
4) Evidence Packs: 预先准备什么
组织/权利:所有权结构,SoF/SoW(更改后),CV和Key Persons帮助,委托注册表。
政策:当前AML/CTF,RG,广告/附属机构,数据保护(DPIA),事件,DR/BCP;修订和培训日志。
- 带有SBOM和工件签名的发行日志;
- SAST/SCA/DAST报告,重建计划,没有"临界/高"而没有主动例外;
- 观察性:SLO/SLI dashboard,合成的"存款/KUS/输出"检查;
- 构造:结构化逻辑没有PII/PAN,重建和搜索;
- DR/BCP:恢复测试行为,RTO/RPO,紧急演习协议。
- RG/AML:干预和结果登记册,自我释放(本地/国家),可疑交易报告(STR/SAR),制裁/RER记录。
- 营销/附属机构:白色频道列表,带有应用程序的创意样本,违规和措施日志。
- 财务/税收:GGR垂直报告,奖金/头奖调整,与PSP/银行的对账。
5)格式和可跟踪性
每个策略↔控制↔证据(截图,上载,哈希和日期报告)。
单个"事件地图"索引:控制→负责→更新日期存储→位置。
软件包验证(Git/存储库)+访问控制,以便审核员可以选择性地查看工件。
6)IT/数据要求(最常看)
SDLC/发行版:staging pipline,手动/自动质量门,回滚政策,禁止直接销售变更。
供应链:工件签名、SBOM、管理验证、漏洞策略。
秘密和访问:SSO/MFA/PAM,短寿命令牌,特权会话日志。
网络:细分,WAF/机器人管理,DDoS,mTLS/egress控制。
可观察性:实验中的OTel跟踪、SLO仪表板、Alerta error-budget、SRM支票。
数据:DPIA,最小化,按地区分列的数据(驻地),PII/PAN访问日志。
DR/BCP:备份,定期恢复协议,转换练习。
7)通过审计: 战术
1.Kickoff和scope:协调周长,样本列表,证明格式。
2.数据室:准备对Evidence Map的结构化访问。
3.Dry-run访谈:MLRO/DPO/RG-Lead/CTO/SRE-问答和演示。
4.实时会议:我们显示日志、SLO码、发布文物、DR脚本。
5.重新调整:我们商定优先事项和时间表,我们记录在跟踪器中。
6.Closure:审计报告、课程、策略/控制更新、复古。
8)重建计划(模板)
9)RACI(示例: 扩展计划)
10)支票单
10.1定义就绪(截止日期前60-90天)
- 更新AML/RG/广告/数据/事件政策;进行了培训。
- 由Key Persons确认,SoF/SoW是最新的(如果需要)。
- 收集了SAST/SCA/DAST报告和pentest,关闭critical/high,没有逾期例外。
- 带有SBOM/签名的发行日志可用;处于enforce状态的admission-policy。
- 可使用SLO/SLI行车记录仪和"存款/KUS/提取"合成检查报告。
- RTO/RPO SLA内的DR/恢复测试行为。
- RG/AML登记册:干预,SAR/STR,自我释放;制裁/复员方桉报告。
- 营销/附属机构:白色频道列表,带有应用程序的创意样本。
- GGR财务报表/税收已与PSP/银行核对。
10.2 Done的定义(确认续订/审核后)
- 已收到信函/续签证书,登记册/网站/文件已更新。
- 已关闭重整计划、更新政策和Evidence Map。
- 复古:经验教训、流程变更、更新日历。
- 已向提供商/PSP发送通知(如有必要)。
11)在审计期间处理附属机构和广告
准备渠道注册表、创意样本、18+/21+目标证明、审批日志。
违规伙伴的"停止列表"程序,RG/AML合约中的条款。
显示频率/限制和挡板的差速器。
12)风险管理(注册)
13)迷你模板
Evidence Map(CSV)帽:
Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m- Scope/目标
- 样本列表和证据格式
- 会议/访谈日历
- 角色和联系
- 问答频道和SLA回应
14)常见问题
你是否需要立即提交所有文物?不:提供基础,让我们按需抽样--但要做好准备。
是否可以弥补缺少部分日志?仅具有可解释的原因和修复计划(和时间表)。
对监管机构来说更重要的是政策还是证据?始终有证据支持该政策有效。
15)30天简短计划(加速轨道)
第一周:最终差距分析,政策更新,SLO/logs测度,审计员装甲。
第2周:收集SBOM/签名/发布日志,漏洞报告/pentest,DR行为。
第3周:合并RG/AML/营销,合并行车,干运行访谈。
第4周:提交、问答、快速恢复和续约确认。
简短的结论
扩展和审核不是一次性的"报告提交",而是定期证明流程成熟度。建立日历,运行Evidence Map,自动控制为代码,保持可观察性和DR音调。然后,延期将从风险转变为常规,审计将成为监管机构,合作伙伴和参与者改进和信任的来源。