GH GambleHub

گواهینامه های انطباق و حسابرسی

1) مقدمه: چرا گواهینامه ها مورد نیاز است

برای سیستم عامل های iGaming، صدور گواهینامه نه تنها یک تیک برای قراردادهای B2B/B2G و شرکای پرداخت است، بلکه یک روش سیستماتیک برای کاهش حوادث، سرعت بخشیدن به فروش و ساده سازی دسترسی به حوزه های قضایی جدید است. این مهم است که درک تفاوت بین صدور گواهینامه (گواهی رسمی پس از حسابرسی)، گواهی/گزارش حسابرسی (به عنوان مثال،. SOC 2)، خوداظهاری و گزارش تستهای آزمایشگاهی (GLI، iTech Labs، eCOGRA).

2) نقشه استانداردهای پایه (چه، چرا و چه زمانی)

جهت گیریاستاندارد/رویکردتایپ کنیدبرای چه کسی و چه زمانی
پایگاه اطلاع رسانی (ISMS)ISO/IEC 27001:2022صدور گواهینامه«اسکلت» اصلی امنیت برای کل شرکت، اجباری برای معاملات B2B/enterprise
حریم خصوصیISO/IEC 27701 (PIMS)صدور گواهینامه (افزودنی به 27001)اگر با PII در مقیاس بزرگ کار می کنید ؛ دوستان خوب با GDPR
انعطاف پذیری کسب و کارایزو 22301صدور گواهینامهبرای الزامات تداوم، تنظیم کننده ها و شرکای کلیدی
تطابق پذیریISO 37301 (سیستم مدیریت محتوا)صدور گواهینامهمدیریت انطباق: تحریم، اخلاق، فرآیندهای نظارتی
توسعه/محصولISO 27034، SDLC امنمدیریت/حسابرسیبرای تیم فنی/DevSecOps ؛ اغلب بخشی از پایه شواهد برای 27001/SOC 2
فضای ابریCSA STAR (سطح 1-2)ثبت نام/صدور گواهینامهاگر شما یک پلت فرم ارائه دهنده ابر/چند مستاجر هستید
فرآیندهای هوش مصنوعیISO/IEC 42001صدور گواهینامهدر صورت استفاده از هوش مصنوعی در مناطق خطر (KYC/AML/بازی مسئولانه/امتیاز دهی)
خطرات احتمالیایزو 31000رهبری سازمانیچارچوب مدیریت ریسک (اغلب در ISMS گنجانده شده است)
حریم خصوصی بر اساس طراحیایزو 31700-1رهبری سازمانیUX و حفظ حریم خصوصی توسط فرآیندهای طراحی
گزارش نهاییSOC 1 (ISAE 3402/SSAE 18)گزارش حسابرسهنگامی که مشتریان به کنترل های شما برای فرآیندهای فین تکیه می کنند
امنیت/حریم خصوصیSOC 2 نوع دومگزارش حسابرساستاندارد طلا برای SaaS/B2B ؛ اغلب توسط همکاران مورد نیاز است
کارت های پرداختPCI DSS 4. 0صدور گواهینامه/SAQاگر شما ذخیره/پردازش/انتقال داده های کارت و یا بالا یو پی اس با یک کارت
PSD2/AuthenticationSCA/3DSانطباق/قراردادبرای پرداخت اتحادیه اروپا/انگلستان، زنجیره ضد تقلب
آزمایشگاه های iGamingGLI-19/GLI-33، eCOGRA، آزمایشگاه های iTechگزارش های تست/صدور گواهینامه RNG/بازی هابرای RNG، RTP، ادغام ISP، و آزمون «اثبات عادلانه»
خدمات رمزنگاریقانون سفر/تحریم غربالگریگواهی/سیاست هابرای VASP/مشارکت ارز، روشن/خارج از سطح شیب دار
حفاظت از داده ها (EU، و غیره)GDPR و PDPA/LGPD محلیپذیرش (هیچ گواهی «رسمی»)تایید شده توسط ممیزی، DPIA، PIA، ISO 27701 و شیوه ها
💡 توجه: NIST CSF/CIS کنترل چارچوب/روش، معمولا «گواهی» توسط خود، اما نقشه کاملا به ISO/SOC/PCI.

3) چه چیزی واقعا «تایید شده» و چه چیزی نیست

گواهینامه های شخص ثالث: ISO 27001، 27701، 22301، 37301، 42001، PCI DSS (QSA/ASV)، CSA STAR سطح 2.
گزارش حسابرس: SOC 2 نوع I/II، SOC 1 نوع I/II (ISAE 3402/SSAE 18).
تست ها/گواهینامه های آزمایشگاهی: GLI، eCOGRA، آزمایشگاه های iTech (بازی ها، RNG، ادغام).
انطباق بدون «گواهی واحد»: GDPR/UK GDPR، ePrivacy - تایید شده توسط مجموعه ای از مصنوعات (رجیستری درمان، DPIA، سیاست ها، DPA، pentests، ISO 27701، ارزیابی های خارجی).

4) ماتریس مکاتبات (نقشه ساده کنترل)

واحد کنترلایزو 27001SOC 2 (CC)PCI DSS 4. 0ایزو 27701ایزو 22301
مدیریت ریسکA.6/Annex ACC312. 25. 36. 1
دسترسی و IAMA.5/A است. 8CC67/87. 4
سیاهههای مربوط/نظارتA.8CC7107. 5
SDLC/تغییراتA.8/A است. 5CC56
حوادث و رخدادهاA.5/A است. 8CC712. 107. 4. 68
تامین کنندگانA.5/A است. 15CC912. 887. 4
BCP/DRA.5CC7 است. 412. 10. 4/5کل استاندارد

(برای یک نقشه دقیق، شروع خود را "ماتریس کنترل. xlsx" با صاحبان و شواهد.)

5) 12 ماه نقشه راه (برای پلت فرم iGaming)

Q1 - بنیاد

1. تجزیه و تحلیل شکاف در مقابل ISO 27001 + SOC 2 (انتخاب معیارهای خدمات اعتماد).
2. هدف از ISMS-سرب، DPO، BCM-مالک، PCI-سرب.
3. ثبت ریسک، طبقه بندی داده ها، نقشه سیستم (CMDB)، مرزهای حسابرسی (دامنه).
4. سیاست های اساسی: ISMS، دسترسی، SDLC، تغییر، حادثه، فروشنده، رمزنگاری/کلید Mgmt، حریم خصوصی، تحریم/AML (در صورت وجود).

Q2 - شیوه ها و کنترل های فنی

5. IAM (RBAC/ABAC)، MFA در همه جا، چرخش رمز عبور/مخفی، PAM برای مدیران.
6. ورود به سیستم/EDR/SIEM، هشدار از حوادث P0/P1، «زنجیره بازداشت».
7. SDLC امن: SAST/DAST/SCAs، قوانین کشش درخواست، دسترسی به فروش از طریق تغییر هیئت مدیره.
8. DR/BCP: RTO/RPO، پشتیبان گیری، بازیابی تمرین (جدول بالا + تکنولوژی. تست کنید).

Q3 - پایه شواهد و «دوره مشاهده»

9. Pentest از محیط خارجی و خدمات کلیدی (از جمله بازی ها و پرداخت ها).
10. فروشنده خطر: DPA، SLA، سازمان حسابرسی، گزارش SOC/ISO شریک، غربالگری تحریم.
11. کارخانه شواهد: بلیط، سیاهههای مربوط تغییر، آموزش، پروتکل های ورزشی، DPIA.

12. پیش حسابرسی (حسابرسی داخلی) و اقدامات اصلاحی (CAPA)

Q4 - ارزیابی های خارجی

13. ISO 27001 مرحله 1/2 → گواهی (زمانی که آماده).
14. SOC 2 نوع II (دوره مشاهده ≥ 3-6 ماه).
15. PCI DSS 4. 0 (QSA یا SAQ اگر نشانه گذاری/برون سپاری دامنه را کاهش دهد).
16. GLI/eCOGRA/iTech Labs - در نقشه راه انتشارات و بازارها.

6) کارخانه شواهد (آنچه شما به حسابرس نشان می دهید)

کنترل فنی: SSO/MFA سیاهههای مربوط، پیکربندی IAM، سیاست های رمز عبور، پشتیبان گیری/کشتی گیران، رمزگذاری (KMS/HSM)، چک لیست سخت، نتایج SAST/DAST/SCA، گزارش EDR/SIEM، گزارش pentest و اصلاح.
فرآیندها: ثبت ریسک, SoA (بیانیه کاربرد), بلیط تغییر, گزارش حادثه (P0-P2), پس از مرگ, پروتکل های BC/DR, فروشنده علت سعی و کوشش (پرسشنامه, DPA, SOC/شرکای ISO), آموزش (شبیه سازی فیشینگ, آگاهی امنیتی).
حریم خصوصی: پردازش رجیستری، DPIA/PIA، روش DSR (دسترسی/پاک کردن/صادرات)، حریم خصوصی توسط طراحی در ویژگی ها، کوکی/رضایت سیاهههای مربوط.
iGaming/labs: سیاست RNG/Fair Fair، نتایج آزمون/صدور گواهینامه، توصیف مدل ریاضی، گزارش RTP، کنترل تغییر ساخت.

7) PCI DSS 4. 0: چگونه منطقه حسابرسی را کاهش دهیم

تا آنجا که ممکن است توکنیزه کنید و ذخیره سازی PAN را به PSP آزمایش کنید.
بخش شبکه (CDE جدا شده است)، ممنوعیت ادغام «دور زدن».
جریان داده های دارنده کارت و لیست اجزای موجود در دامنه را تأیید کنید.
تنظیم اسکن ASV و تست نفوذ ؛ پشتیبانی قطار برای مقابله با حوادث کارت.
SAQ A/A-EP/D را بسته به معماری در نظر بگیرید.

8) SOC 2 نوع دوم: نکات عملی

معیارهای مربوط به خدمات اعتماد را انتخاب کنید: امنیت، به علاوه دسترسی/محرمانه بودن/پردازش یکپارچگی/حریم خصوصی توسط مورد کسب و کار.
ارائه یک «دوره مشاهده» با تثبیت مداوم مصنوعات (حداقل 3-6 ماه).
کنترل مالک برای هر کنترل و خود ارزیابی ماهانه را وارد کنید.
استفاده از «اتوماسیون شواهد» (تصاویر/سیاهههای مربوط صادرات) در سیستم بلیط.

9) ISO 27701 و GDPR: بسته نرم افزاری

PIMS را به عنوان یک افزودنی به ISMS بسازید: نقش های کنترل کننده/پردازنده، مبنای قانونی برای پردازش، اهداف ذخیره سازی، DPIA.
فرآیندهای DSR (درخواست های موضوع) و SLA را برای اجرای آنها بنویسید.
نقشه 27701 را به مقالات GDPR در ماتریس کنترل خود برای شفافیت حسابرسی.

10) GLI/eCOGRA/iTech آزمایشگاه: چگونه به SDLC جا

نسخه ریاضیات بازی و RTP، ثابت فروشگاه ؛ کنترل تغییر - از طریق مقررات انتشار.
پشتیبانی «اثبات عادلانه» توصیف (مرتکب آشکار/VRF)، طرف های عمومی، دستورالعمل تایید.
برنامه ریزی تست های آزمایشگاهی در پیش برای انتشار و بازار ؛ نگه داشتن «پوشه شواهد» مشترک با قالب.

11) انطباق مداوم

داشبورد انطباق: صاحبان وضعیت مصنوعات مهلت ها را کنترل می کند.
ممیزی داخلی سه ماهه و بررسی مدیریت.
اتوماسیون: موجودی دارایی، رانش IAM، رانش پیکربندی، آسیب پذیری، تغییر ورود به سیستم.
سیاستمداران «زنده» هستند: فرآیندهای ادغام روابط عمومی، نسخه، تغییرات.

12) نقش ها و RACI

منطقه مورد نظرتحقیق و توسعهیک نفرسی شارپمن و تو
ISMS/ISO 27001رهبری SecOpsCISOحقوقی، فناوری اطلاعاتمدیر اجرایی، تیم ها
SOC 2سرب GRCCISOحسابرس، برنامه نویسفروش محصولات
PCI DSSسرب PCICTO هاPSP/QSA، SecOpsپشتیبانی از سایت
Privacy/27701دی پی اومدیر عاملحقوقی, محصولاتبازاریابی و فروش
GLI/eCOGRAسرب QAسی پی تواستودیو، ریاضیتطابق پذیری
BCP/22301مالک BCMمدیر عاملفناوری اطلاعات، SecOpsهمه چیز

13) چک لیست آمادگی حسابرسی خارجی

1. محدوده تعریف شده + مرزهای سیستم/فرآیند.
2. مجموعه ای کامل از سیاست ها و رویه ها (نسخه های فعلی).

3. ثبت ریسک و SoA انجام شده توسط CAPA بر روی یافته های گذشته

4. گزارش حادثه و پس از مرگ برای دوره.
5. Pentests/اسکن + حذف آسیب پذیری های بحرانی/بالا.

6. آموزش و اثبات تکمیل

7. قرارداد/SLA/DPA با تامین کنندگان کلیدی + SOC/ISO/PCI خود را گزارش می دهد.

8. شواهد آزمایش های BCP/DR

9. تأییدیههای کنترلهای IAM (بازبینی دسترسی، خروج از سیستم).
10. آماده اسکریپت مصاحبه برای تیم ها و برنامه جلسه.

14) اشتباهات مکرر و چگونگی اجتناب از آنها

«سیاست های روی کاغذ» بدون پیاده سازی → ادغام با جیرا/ITSM و معیارها.
دست کم گرفتن ریسک فروشنده → گزارش تقاضا و حقوق حسابرسی, نگه داشتن یک رجیستری.
No «evidence trail» → جمع آوری خودکار مصنوعات.
خزش دامنه در PCI → توکن سازی و تقسیم بندی دقیق.

تاخیر در انجام تمرینات BCP/DR حداقل یک بار در سال

حریم خصوصی را با → حریم خصوصی توسط طراحی و DPIA در تعریف انجام شده نادیده بگیرید.

15) قالب های مصنوعی (توصیه می شود در مخزن نگه دارید)

ماتریکس کنترل xlsx (نقشه ISO/SOC/PCI/ 27701/22301).
بیانیه کاربرد (SoA).

ثبت ریسک + روش ارزیابی

سیاست های ISMS (دسترسی، رمزنگاری، SDLC، حادثه، فروشنده، ورود به سیستم، BYOD، کار از راه دور и др.) .
بسته حریم خصوصی (RoPA/درمان رجیستری، DPIA، دفترچه DSR، کوکی/رضایت).

BCP/DR Runbooks و پروتکل های ورزشی

گزارش پنتست + طرح بازسازی.
فروشنده علت سعی و کوشش کیت (پرسشنامه, DPA, SLA).
چک لیست آمادگی حسابرسی (از بخش 13).

خروجی

صدور گواهینامه یک پروژه برای ایجاد فرآیندهای مدیریت شده است، نه یک بار بررسی. یک «اسکلت» را از ISO 27001 جمع آوری کنید و آن را با SOC 2 Type II (برای درخواست B2B)، PCI DSS 4 تکمیل کنید. 0 (اگر کارت در دسترس هستند)، ISO 27701 (حفظ حریم خصوصی)، ISO 22301 (پایداری)، ISO 37301 (انطباق عمومی) و GLI/eCOGRA/آزمایشگاه iTech (ویژگی های بازی). «کارخانه شواهد» را حفظ کنید، مجموعه ای از مصنوعات را خودکار کنید و ممیزی های منظم داخلی را انجام دهید - به این ترتیب ممیزی های خارجی قابل پیش بینی می شوند و بدون شگفتی منتقل می شوند.

💡 مواد از طبیعت کلی است و مشاوره حقوقی نیست. قبل از درخواست در یک حوزه قضایی خاص، الزامات را با تنظیم کننده ها و شرایط شریک (PSP، بازارها، آزمایشگاه ها) بررسی کنید.
Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.