GH GambleHub

Compliance- und Audit-Zertifikate

1) Einführung: Warum Zertifikate benötigt werden

Für iGaming-Plattformen ist die Zertifizierung nicht nur ein Tick für B2B/B2G-Verträge und Zahlungspartner, sondern auch ein systematischer Weg, um Vorfälle zu reduzieren, den Verkauf zu beschleunigen und den Eintritt in neue Gerichtsbarkeiten zu vereinfachen. Es ist wichtig, den Unterschied zwischen Zertifizierung (offizielles Zertifikat nach Audit), Zertifizierung/Auditbericht (z.B. SOC 2), Selbstdeklarationen und Labortestberichten (GLI, iTech Labs, eCOGRA) zu verstehen.

2) Karte der wichtigsten Standards (was, warum und wann)

RichtungStandard/AnsatzDer TypFür wen und wann
Infobez (ISMS)ISO/IEC 27001:2022Die BescheinigungGrundlegendes „Skelett“ der Sicherheit für das gesamte Unternehmen, obligatorisch für B2B/Enterprise-Transaktionen
PrivatsphäreISO/IEC 27701 (PIMS)Zertifizierung (Add-on zu 27001)Wenn Sie mit PII in großem Maßstab arbeiten; gut „befreundet“ mit der DSGVO
Nachhaltigkeit des GeschäftsISO 22301Die BescheinigungFür Kontinuitätsanforderungen, Regulatoren und wichtige Partner
ÜbereinstimmungISO 37301 (CMS)Die BescheinigungCompliance Management: Sanktionen, Ethik, regulatorische Prozesse
Entwicklung/ProduktISO 27034, Secure SDLCManagement/AuditFür das technische Team/DevSecOps; oft Teil der Beweisgrundlage für 27001/SOC 2
WolkeCSA STAR (Level 1–2)Registrierung/ZertifizierungWenn Sie ein Cloud-Anbieter/Multi-Tenant-Plattform sind
AI-ProzesseISO/IEC 42001Die BescheinigungWenn Sie KI in Risikobereichen einsetzen (KYC/AML/Responsible Play/Scoring)
RisikenISO 31000Die FührungRisikomanagementrahmen (häufig im ISMS enthalten)
Privatsphäre durch DesignISO 31700-1Die FührungUX und „Privacy by Design“ -Prozesse
Fin. BerichtswesenSOC 1 (ISAE 3402/SSAE 18)Bericht des AbschlussprüfersWenn Kunden sich bei Fin-Prozessen auf Ihre Kontrollen verlassen
Sicherheit/DatenschutzSOC 2 Type IIBericht des AbschlussprüfersDer „Goldstandard“ für SaaS/B2B Oft von Partnern gefordert
ZahlungskartenPCI DSS 4. 0Zertifizierung/SAQWenn Sie Kartendaten speichern/verarbeiten/übertragen oder Top-Ups mit Karte machen
PSD2/AuthentizitätSCA/3DSCompliance/VerträgeFür EU/UK-Zahlungen, Betrugsbekämpfungskette
iGaming-LabsGLI-19/GLI-33, eCOGRA, iTech LabsTestberichte/Zertifizierung RNG/SpieleFür RNG, RTP-Tests, Anbieterintegrationen und „provably fair“
kripto-ServicesReiseregel/SanktionsscreeningZertifizierung/RichtlinienFür VASP/Exchange Partnerships, on/off-ramp
Datenschutz (EU u.a.)DSGVO und lokale PDPA/LGPDKonformität (kein einziges „offizielles“ Zertifikat)Bestätigt durch Audits, DPIA, PIA, ISO 27701 und Praktiker
💡 Hinweis: NIST CSF/CIS Controls sind Frameworks/Methoden, die selbst in der Regel nicht „zertifiziert“ sind, aber auf ISO/SOC/PCI perfekt sind.

3) Was wirklich „zertifiziert“ ist und was nicht

Drittanbieter-Zertifikate: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Berichte des Abschlussprüfers: SOC 2 Typ I/II, SOC 1 Typ I/II (ISAE 3402/SSAE 18).
Labortests/Zertifikate: GLI, eCOGRA, iTech Labs (Spiele, RNG, Integrationen).
Compliance ohne „Single Certificate“: DSGVO/UK DSGVO, ePrivacy - bestätigt durch eine Reihe von Artefakten (Behandlungsregister, DPIA, Richtlinien, DPA, Pentests, ISO 27701, externe Bewertungen).

4) Übereinstimmungsmatrix (vereinfachte Kontrollmaske)

ÜberwachungseinheitISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
RisikomanagementA.6/Annex ACC312. 25. 36. 1
Zugang und IAMA.5/A. 8CC67/87. 4
Protokolle/ÜberwachungA.8CC7107. 5
SDLC/ÄnderungenA.8/A. 5CC56
ZwischenfälleA.5/A. 8CC712. 107. 4. 68
LieferantenA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Der gesamte Standard

(Für eine detaillierte Mapa, starten Sie Ihre eigene "Control Matrix. xlsx" mit Besitzern und Beweismitteln.)

5) Roadmap für 12 Monate (für die iGaming-Plattform)

Q1 - Gründung

1. Gap-Analyse gegen ISO 27001 + SOC 2 (Auswahl Trust Services Criteria).
2. Zweck ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Risikoregister, Datenklassifizierung, Systemlandkarte (CMDB), Revisionsgrenzen (Scope).
4. Grundlegende Richtlinien: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (falls zutreffend).

Q2 - Praktiken und technische Kontrollen

5. IAM (RBAC/ABAC), MFA überall, Passwort/Geheimrotation, PAM für Admins.
6. Logging/EDR/SIEM, Alert Incidents P0/P1, „Chain of Custody“.
7. Secure SDLC: SAST/DAST/SCAs, Pull-Request-Regeln, Prod-Zugriffe über Change-Board.
8. DR/BCP: RTO/RPO, Redundanz, Wiederherstellungsprobe (Tischplatte + tech. Test).

Q3 - Evidenzbasis und „Beobachtungszeitraum“

9. Pentest des externen Perimeters und der Schlüsseldienste (einschließlich Spiele und Zahlungen).
10. Vendor-Risk: DPA, SLA, Auditrecht, SOC/ISO-Berichte der Partner, Sanktionsscreening.
11. Evidence factory: Tickets, Change Logs, Trainings, Übungsprotokolle, DPIA.
12. Voraudit (internes Audit) und Korrekturmaßnahmen (CAPA).

Q4 - Externe Bewertungen

13. ISO 27001 Stufe 1/2 → Zertifikat (bei Verfügbarkeit).
14. SOC 2 Typ II (Beobachtungszeitraum ≥ 3-6 Monate).
15. PCI DSS 4. 0 (QSA oder SAQ, wenn Tokenisierung/Outsourcing den Umfang reduzieren).
16. GLI/eCOGRA/iTech Labs - auf der Roadmap für Releases und Märkte.

6) „Beweisfabrik“ (was Sie dem Auditor zeigen werden)

Technische Kontrollen: SSO/MFA-Protokolle, IAM-Configs, Passwortrichtlinien, Backups/Restors, Verschlüsselung (KMS/HSM), Hardening-Checklisten, SAST/DAST/SCA-Ergebnisse, EDR/SIEM-Berichte, Pentest-Berichte und Remediation.
Prozesse: Risk Register, SoA (Statement of Applicability), Change Tickets, Incident Reports (P0-P2), Post Mortems, BC/DR Protokolle, Vendor Due Diligence (Fragebögen, DPA, SOC/ISO Partner), Schulungen (Phishing-Simulationen, Sicherheitsbewusstsein).
Datenschutz: Behandlungsregister, DPIA/PIA, DSR-Verfahren (access/erase/export), Privacy by Design in fiches, Cookie/Consent logs.
iGaming/Labs: RNG/Provably Fair Policy, Test-/Zertifizierungsergebnisse, mathematische Modellbeschreibungen, RTP-Berichte, Kontrolle von Bildänderungen.

7) PCI DSS 4. 0: So verkleinern Sie den Auditbereich

Tokenisieren Sie den PAN-Speicher so weit wie möglich und bringen Sie ihn zu einer geprüften PSP.
Segmentieren Sie das Netzwerk (CDE isoliert), verbieten Sie „Bypass“ -Integrationen.
Genehmigen Sie den Cardholder Data Flow (Diagramme) und die Komponentenliste im Scope.
Konfigurieren Sie ASV-Scans und Pentests; Schulung der Unterstützung für den Umgang mit Kartenvorfällen.
Betrachten Sie SAQ A/A-EP/D je nach Architektur.

8) SOC 2 Typ II: praktische Tipps

Wählen Sie die relevanten Trust Services-Kriterien aus: Sicherheit (→) , plus Availability/Confidentiality/Processing Integrity/Privacy per Business Case.
Sorgen Sie für eine „Beobachtungszeit“ mit kontinuierlicher Fixierung der Artefakte (mindestens 3-6 Monate).
Geben Sie Controls Owner für jede Kontrolle und monatliche Selbstbewertung ein.
Nutzen Sie die „evidence automation“ (Screenshots/Log-Exporte) im Ticketsystem.

9) ISO 27701 und DSGVO: Bündel

Bauen Sie PIMS als Add-on zu ISMS auf: Rollen des Controllers/Prozessors, Rechtsgrundlage der Verarbeitung, Speicherzwecke, DPIA.
Beschreiben Sie die DSR-Prozesse (Subject Requests) und SLAs für ihre Ausführung.
Mapite 27701 auf DSGVO Artikel in Ihrer Controls Matrix für Audit Transparenz.

10) GLI/eCOGRA/iTech Labs: Wie man in SDLC passt

Versionieren Sie Spielmathematik und RTP, speichern Sie Invarianten; Kontrolle der Änderungen - durch Freigabeverordnung.
Pflegen Sie „provably fair“ Beschreibungen (commit-reveal/VRF), öffentliche Sitze, Prüfanweisungen.
Planen Sie Labortests im Voraus für Veröffentlichungen und Märkte; Halten Sie einen gemeinsamen „Evidence-Ordner“ mit den Templates.

11) Kontinuierliche Compliance (kontinuierliche Compliance)

Konformitäts-Dashboards: Kontrollen × Besitzer × Status × Artefakte × Deadlines.
Vierteljährliche interne Audits und Management-Review.
Automatisierung: Inventarisierung von Assets, IAM-Drift, Config-Drift, Schwachstellen, Protokollierung von Änderungen.
Politiker „live“: PR-Merge-Prozesse, Versionierung, Chenjlog.

12) Rollen und RACI

GebietRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Checkliste zur Bereitschaft zur externen Prüfung

1. Definierter Umfang + System-/Prozessgrenzen.
2. Vollständige Sammlung von Richtlinien und Verfahren (aktuelle Versionen).
3. Risikoregister und SoA, die von der CAPA aus vergangenen Erkenntnissen durchgeführt wurden.
4. Protokolle von Vorfällen und Post-Mortems für den Zeitraum.
5. Pentests/Scans + Beseitigung kritischer/hoher Schwachstellen.
6. Schulungen und Bestätigungen.
7. Verträge/SLAs/DPAs mit wichtigen Lieferanten + Berichte ihrer SOC/ISO/PCI.
8. Nachweis von BCP/DR-Tests.
9. Bestätigungen von IAM-Kontrollen (Zugriffsrevisionen, Offboarding).
10. Vorbereitete Interview-Skripte für die Teams und den Zeitplan der Sitzungen.

14) Häufige Fehler und wie man sie vermeidet

„Policies on Paper“ ohne Implementierung → mit Jira/ITSM und Metriken integrieren.
Unterschätzen Sie das Vendor-Risiko → fordern Sie Berichte und Prüfungsrechte, führen Sie ein Register.
Es gibt keinen „evidence trail“ → automatisieren Sie die Sammlung von Artefakten.
Scope Creep in PCI → Tokenisierung und strikte Segmentierung.
BCP/DR verschieben → Mindestens einmal im Jahr üben.
→ Privacy by Design und DPIA in Definition of Done.

15) Artefaktvorlagen (es wird empfohlen, sie im Repository aufzubewahren)

Control Matrix. xlsx (ISO/SOC/PCI/ 27701/22301)

Statement of Applicability (SoA).
Risiko Register + Bewertungsmethode.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/Behandlungsregister, DPIA, DSR-Playbook, Cookie/Consent).
BCP/DR Runbooks und Übungsprotokolle.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (Fragebögen, DPA, SLA).
Audit Readiness Checkliste (aus Abschnitt 13).

Ausgabe

Die Zertifizierung ist ein Projekt zum Aufbau gesteuerter Prozesse und keine einmalige Prüfung. Bauen Sie das „Skelett“ aus ISO 27001 zusammen und ergänzen Sie es mit SOC 2 Typ II (für anspruchsvolle B2B), PCI DSS 4. 0 (wenn es Karten gibt), ISO 27701 (Privatsphäre), ISO 22301 (Nachhaltigkeit), ISO 37301 (allgemeine Compliance) und GLI/eCOGRA/iTech Labs (Spielspezifität). Unterstützen Sie die „Evidence Factory“, automatisieren Sie die Sammlung von Artefakten und führen Sie regelmäßige interne Audits durch - so wird ein externes Audit vorhersehbar und wird ohne Überraschungen ablaufen.

💡 Das Material ist übersichtlicher Natur und stellt keine Rechtsberatung dar. Überprüfen Sie vor der Anwendung in einer bestimmten Gerichtsbarkeit die Anforderungen mit den Aufsichtsbehörden und den Bedingungen der Partner (PSP, Marktplätze, Labore).
Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.