GH GambleHub

Certificados de cumplimiento y auditoría

1) Introducción: por qué se necesitan certificados

Para las plataformas iGaming, la certificación no solo es una «marca de verificación» para los contratos B2B/B2G y los socios de pago, sino también una forma sistémica de reducir incidentes, acelerar las ventas y simplificar el acceso a nuevas jurisdicciones. Es importante comprender la diferencia entre la certificación (certificado oficial después de la auditoría), la certificación/informe de auditoría (por ejemplo, SOC 2), las autodeclaraciones y los informes de prueba de los laboratorios (GLI, iTech Labs, eCOGRA).

2) Mapa de normas básicas (qué, por qué y cuándo)

DirecciónEstándar/EnfoqueTipoPara quién y cuándo
Infobesis (ISMS)ISO/IEC 27001:2022CertificaciónEl «esqueleto» básico de la seguridad para toda la compañía, es obligatorio para las transacciones B2V/Enterprise
PrivacidadISO/IEC 27701 (PIMS)Certificación (complemento hasta 27001)Si se trabaja con PII a gran escala; buena «amistad» con el GDPR
Sostenibilidad del negocioISO 22301CertificaciónPara requisitos de continuidad, reguladores y socios clave
ConformidadISO 37301 (CMS)CertificaciónGestión de cumplimiento: sanciones, ética, procesos regulatorios
Desarrollo/ProductoISO 27034, Secure SDLCAdministración/auditoríaPara el equipo técnico/DevSecOps; a menudo parte de la base probatoria de la 27001/SOC 2
NubeCSA STAR (Level 1–2)Registro/certificaciónSi usted es un proveedor en la nube/plataforma multi-tenant
Procesos de AIISO/IEC 42001CertificaciónSi utiliza IA en zonas de riesgo (KYC/AML/juego responsable/puntuación)
RiesgosISO 31000GuíaMarco de gestión de riesgos (a menudo incluido en el ISMS)
Privacidad by designISO 31700-1GuíaUX y procesos "privacy by design'
Fin. presentación de informesSOC 1 (ISAE 3402/SSAE 18)Informe de auditoríaCuando los clientes confían en sus controles en los procesos finales
Seguridad/PrivacidadSOC 2 Type IIInforme de auditoría«Golden Standard» para SaaS/B2B; a menudo requieren socios
Tarjetas de pagoPCI DSS 4. 0Certificación/SAQSi almacena/procesa/transmite datos de tarjetas o hace top aps con una tarjeta
PSD2/AuthenticSCA/3DSConformidad/TratadosPara pagos de la UE/Reino Unido, cadenas antifraude
Labs iGamingGLI-19/GLI-33, eCOGRA, iTech LabsInformes de prueba/certificación de RNG/juegosPara pruebas de RNG, RTP, integraciones de proveedores y «provably fair»
Servicios de cifradoTravel Rule/cribado de sancionesCertificación/políticasPara VASP/asociaciones de intercambio, on/off-ramp
Protección de datos (UE, etc.)GDPR y PDPA/LGPD localesConformidad (no hay un único certificado «oficial»)Confirmado por auditorías, DPIA, PIA, ISO 27701 y practicantes
💡 Nota: Los controles NIST CSF/CIS son marcos/metodologías, por sí mismos no suelen «certificarse», pero se mapean perfectamente en ISO/SOC/PCI.

3) ¿Qué es realmente «certificable» y qué - no

Certificados de terceros: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Nivel 2.
Informes de auditoría: SOC 2 Tipo I/II, SOC 1 Tipo I/II (ISAE 3402/SSAE 18).
Pruebas/certificados de laboratorio: GLI, eCOGRA, iTech Labs (juegos, RNG, integraciones).
Cumplimiento sin «certificado único»: GDPR/UK GDPR, ePrivacy - confirmado por un conjunto de artefactos (registro de tratamientos, DPIA, políticas, DPA, pentestas, ISO 27701, evaluaciones externas).

4) Matriz de cumplimiento (Map de control simplificado)

Unidad de controlISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Gestión de riesgosA.6/Annex ACC312. 25. 36. 1
Acceso y IAMA.5/A. 8CC67/87. 4
Registros/monitoreoA.8CC7107. 5
SDLC/cambiosA.8/A. 5CC56
IncidentesA.5/A. 8CC712. 107. 4. 68
ProveedoresA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Todo el estándar

(Para una mapa detallada, establezca su propio "Control Matrix. xlsx" con propietarios y pruebas.)

5) Hoja de ruta para 12 meses (para la plataforma iGaming)

Q1 - Fundación

1. Análisis gap vs ISO 27001 + SOC 2 (selección de Trust Services Criteria).
2. Asignación ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Registro de riesgos, clasificación de datos, mapa de sistemas (CMDB), límites de auditoría (scope).
4. Políticas básicas: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (si corresponde).

Q2 - Prácticas y técnicas

5. IAM (RBAC/ABAC), MFA en todas partes, contraseña/rotación secreta, PAM para administradores.
6. Lógica/EDR/SIEM, alertas de incidentes de P0/P1, «cadena de custodia».
7. SDLC seguro: SAST/DAST/SCAs, reglas de solicitud de pulso, accesos prod a través de change-board.
8. DR/BCP: RTO/RPO, redundancia, ensayo de recuperación (table-top + tech. prueba).

Q3 - Base de pruebas y «período de observación»

9. Pentest de perímetro externo y servicios clave (incluyendo juegos y pagos).
10. Riesgo de vendedores: DPA, SLA, derecho de auditoría, informes de socios SOC/ISO, cribado sancionador.
11. Evidence factory: tickets, registros de cambios, capacitaciones, protocolos de ejercicios, DPIA.
12. Pre-auditoría (auditoría interna) y medidas correctoras (CAPA).

Q4 - Evaluaciones externas

13. ISO 27001 Stage 1/2 → certificado (si está listo).
14. SOC 2 Tipo II (período de observación ≥ 3-6 meses).
15. PCI DSS 4. 0 (QSA o SAQ si la tokenización/subcontratación acorta el scope).
16. GLI/eCOGRA/iTech Labs - sobre la hoja de ruta de lanzamientos y mercados.

6) «Fábrica de pruebas» (que mostrará al auditor)

Controles: registros SSO/MFA, configuraciones IAM, políticas de contraseña, backups/restores, cifrado (KMS/HSM), hojas de comprobación hardening, resultados SAST/DAST/SCA, informes EDTA R/SIEM, informes pentestes y remediación.
Procesos: Risk Register, SoA (Statement of Applicability), Change tickets, Informes de incidentes (P0-P2), Post-mortem, Protocolos BC/DR, Vendor due diligence (encuestadores, DPA, socios SOC/ISO), Entrenamientos (simulaciones de phishing, seguridad awareness).
Privacidad: Registro de Tratamientos, DPIA/PIA, Procedimientos DSR (acceso/erase/exportación), Privacidad por Diseño en Fichas, Cookies/Registros de Consentimiento.
iGaming/Labs: RNG/Provably Fair Policy, resultados de pruebas/certificaciones, descripciones de modelos matemáticos, informes RTP, control de cambios de build.

7) PCI DSS 4. 0: cómo reducir la zona de auditoría

Maximice la tokenización y lleve el almacenamiento PAN a un PSP validado.
Segmenta la red (el CDE está aislado), prohíbe las integraciones «bypass».
Apruebe Cardholder Data Flow (diagramas) y una lista de componentes en scope.
Configure los escáneres ASV y los pentests; capacite al soporte para el manejo de incidentes de tarjetas.
Considere SAQ A/A-EP/D en función de la arquitectura.

8) SOC 2 Tipo II: consejos prácticos

Escojan relevante Trust Services Criteria: Security (obyaz.) , El más Availability/Confidentiality/Processing Integrity/Privacy por el maletín de negocios.
Proporcione un «período de observación» con fijación continua de artefactos (al menos 3-6 meses).
Introduzca Controls Owner en cada control y evaluación mensual.
Utilice «evidence automation» (capturas de pantalla/exportaciones de registros) en el sistema de tickets.

9) ISO 27701 y GDPR: ligamento

Construya PIMS como complemento al ISMS: funciones de controlador/procesador, bases legales de procesamiento, objetivos de almacenamiento, DPIA.
Propague los procesos DSR (solicitudes del sujeto) y SLA para su ejecución.
Mapee 27701 en los artículos GDPR en su Matriz de Control para la Transparencia de Auditoría.

10) GLI/eCOGRA/iTech Labs: cómo encajar en SDLC

Versionar las matemáticas del juego y RTP, almacenar invariantes; control de cambios - a través del reglamento de lanzamiento.
Admita descripciones «provably fair» (commit-reveal/VRF), asientos públicos, instrucciones de validación.
Planifique las pruebas de laboratorio con antelación a los lanzamientos y mercados; Mantenga una «carpeta de Evidence» compartida con templates.

11) Cumplimiento continuo (compliance continuo)

Cumplimiento de Dashboard: Controlados por × propietarios × estado × artefactos × dedline.
Auditorías internas trimestrales y revisión de gestión.
Automatización: inventario de activos, deriva IAM, configuración de deriva, vulnerabilidades, registro de cambios.
Políticas «vivas»: procesos de PR-merge, versioning, chenjlog.

12) Roles y RACI

ÁmbitoRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Lista de verificación de preparación para auditoría externa

1. Scope específico + límites de sistemas/procesos.
2. Conjunto completo de políticas y procedimientos (versiones actualizadas).
3. Registro de riesgos y SoA realizados por CAPA sobre hallazgos pasados.
4. Protocolos de incidentes y post-mortem durante el período.
5. Pentests/escáneres + eliminación de vulnerabilidades críticas/altas.
6. Entrenamientos y confirmaciones de paso.
7. Contratos/SLA/DPA con proveedores clave + informes de sus SOC/ISO/PCI.
8. Pruebas de pruebas BCP/DR.
9. Confirmaciones de controles IAM (revisiones de accesos, offboarding).
10. Guiones de entrevistas preparados para equipos y programación de sesiones.

14) Errores frecuentes y cómo evitarlos

«Políticas en papel» sin implementación → integrarse con Jira/ITSM y métricas.
Infravalorar vendor risk → requerir informes y derechos de auditoría, mantener el registro.
No hay «evidence trail» → automatizar la recogida de artefactos.
Scope creep en PCI → tokenización y segmentación estricta.
Posponer BCP/DR → hacer ejercicios al menos una vez al año.
Ignora la privacidad en las fichas → Privacy by Design y DPIA en Definition of Done.

15) Patrones de artefactos (se recomienda guardar en el repositorio)

Control Matrix. xlsx (mapa ISO/SOC/PCI/ 27701/22301).
Statement of Applicability (SoA).
Risk Register + técnica de evaluación.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Paquete de privacidad (RoPA/Registro de tratamientos, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks y protocolos de ejercicios.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (cuestionarios, DPA, SLA).
Audit Readiness Checklist (de la sección 13).

La certificación es un proyecto para construir procesos administrados, no una verificación única. Recoger el «esqueleto» de la ISO 27001 y complementarlo con el SOC 2 Tipo II (para los exigentes B2B), PCI DSS 4. 0 (si hay mapas), ISO 27701 (privacidad), ISO 22301 (sostenibilidad), ISO 37301 (cumplimiento general) y GLI/eCOGRA/iTech Labs (especificación del juego). Apoye la «fábrica de pruebas», automatice la recolección de artefactos y realice auditorías internas regulares, por lo que la auditoría externa será predecible y se llevará a cabo sin sorpresas.

💡 El material es de carácter general y no es un asesoramiento jurídico. Antes de aplicar en una jurisdicción específica, consulte los requisitos con los reguladores y las condiciones de los socios (PSP, mercados, laboratorios).
Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.