अनुपालन और लेखा परीक्षा प्रमाणपत्र

1) परिचय: प्रमाणपत्र की आवश्यकता क्यों है

आईगेमिंग प्लेटफार्मों के लिए, प्रमाणन न केवल B2B/B2G अनुबंधों और भुगतान भागीदारों के लिए एक टिक है, बल्कि घटनाओं को कम करने, बिक्री को गति देने और नए न्यायालयों तक पहुंच को सरल बनाने का एक व्यवस्थित तरीका भी है। प्रमाणन (ऑडिट के बाद आधिकारिक प्रमाणपत्र), सत्यापन/लेखा परीक्षा रिपोर्ट (उदा। एसओसी 2), स्व-घोषणाएं और प्रयोगशाला परीक्षण रिपोर्ट (जीएलआई, आईटेक लैब्स, ईसीओजीआरए)।

2) बुनियादी मानक मानचित्र (क्या, क्यों और कब)

3) वास्तव में "प्रमाणित" क्या है और क्या नहीं है

तृतीय पक्ष प्रमाणपत्र: आईएसओ 27001, 27701, 22301, 37301, 42001, पीसीआई डीएसएस (क्यूएसए/एएसवी), सीएसए स्टार स्तर 2।

ऑडिटर की रिपोर्ट: एसओसी 2 प्रकार I/II, एसओसी 1 प्रकार I/II (ISAE 3402/SSAE 18)।

टेस्ट/प्रयोगशाला प्रमाणपत्र: GLI, eCOGRA, iTech Labs (गेम, RNG, एकीकरण)।

"एकल प्रमाणपत्र" के बिना अनुपालन: जीडीपीआर/यूके जीडीपीआर, ईप्रोफाइल - कलाकृतियों के एक सेट द्वारा पुष्टि की गई (उपचार की रजिस्ट्री, डीपीआईए, नीतियां, डीपीए, कीट, आईएसओ 27701, बाहरी आकलन)।

4) पत्राचार मैट्रिक्स (नियंत्रण का सरलीकृत नक्शा)

(एक विस्तृत नक्शे के लिए, अपना खुद का "नियंत्रण मैट्रिक्स शुरू करें। xlsx" मालिकों और सबूतों के साथ।)

5) 12 महीने का रोडमैप (आईगेमिंग प्लेटफॉर्म के लिए)

Q1 - फाउंडेशन

1. गैप विश्लेषण बनाम आईएसओ 27001 + एसओसी 2 (ट्रस्ट सेवा मानदंड चयन)।

2. आईएसएमएस-लीड, डीपीओ, बीसीएम-ओनर, पीसीआई-लीड का उद्देश्य।

3. जोखिम रजिस्टर, डेटा वर्गीकरण, सिस्टम मैप (CMDB), ऑडिट सीमाएं (गुंजाइश)।

4. मूल नीतियां: आईएसएमएस, एक्सेस, एसडीएलसी, चेंज, हादसा, वेंडर, क्रिप्टो/की एमजीएमटी, गोपनीयता, प्रतिबंध/एएमएल (यदि लागू हो)।

Q2 - अभ्यास और तकनीकी नियंत्रण

5. आईएएम (आरबीएसी/एबीएसी), एमएफए हर जगह, पासवर्ड/गुप्त रोटेशन, प्रशासन के लिए पीएएम।

6. लॉगिंग/ईडीआर/एसआईईएम, P0/P1 घटनाओं के अलर्ट, "हिरासत की श्रृंखला"।

7. सुरक्षित SDLC: SAST/DAST/SCAs, पुल-अनुरोध नियम, बिक्री पहुंच परिवर्तन-बोर्ड के माध्यम से।

8. DR/BCP: RTO/RPO, बैकअप, रिहर्सल (टेबल-टॉप + टेक) बहाल करें। परीक्षण)।

Q3 - साक्ष्य आधार और "अवलोकन अवधि"

9. बाहरी परिधि और प्रमुख सेवाओं (खेल और भुगतान सहित) का पेंटेस्ट।

10. विक्रेता-जोखिम: डीपीए, एसएलए, ऑडिट प्राधिकरण, पार्टनर एसओसी/आईएसओ रिपोर्ट, स्वीकृति स्क्रीनिंग।

11. साक्ष्य कारखाना: टिकट, लॉग बदलें, प्रशिक्षण, व्यायाम प्रोटोकॉल, डीपीआईए।

12. प्री-ऑडिट (आंतरिक ऑडिट) और सुधारात्मक कार्रवाई (CAPA)।

Q4 - बाहरी आकलन

13. आईएसओ 27001 स्टेज 1/2 → प्रमाणपत्र (जब तैयार हो)।

14. एसओसी 2 प्रकार II (अवलोकन अवधि ≥ 3-6 महीने)।

15. पीसीआई डीएसएस 4। 0 (यदि टोकन/आउटसोर्सिंग गुंजाइश को कम करता है तो QSA या SAQ)।

16. GLI/eCOGRA/iTech Labs - रिलीज़ और बाजारों के रोडमैप पर।

6) साक्ष्य कारखाना (आप ऑडिटर को क्या दिखाते हैं)

तकनीकी नियंत्रण: एसएसओ/एमएफए लॉग, आईएएम कॉन्फ़िग, पासवर्ड नीतियां, बैकअप/पहलवान, एन्क्रिप्शन (केएमएस/एचएसएम), सख्त चेकलिस्ट, एसएएसटी/डीएएसटी/एससीए परिणाम, ईडीआर/एसआईएम रिपोर्ट, पेंटेस उपचारात्मक।

प्रक्रियाएं: जोखिम रजिस्टर, एसओए (प्रयोज्यता का विवरण), टिकट बदलें, हादसा रिपोर्ट (पी0-पी 2), पोस्टमार्टम, बीसी/डीआर प्रोटोकॉल, वेंडर कारण परिश्रम (प्रश्नावली, डीपीए, एसओसी/आईएसओ पार्स), ट्टिंग सिमुलेशन, सुरक्षा जागरूकता)।

गोपनीयता: प्रसंस्करण रजिस्ट्री, डीपीआईए/पीआईए, डीएसआर प्रक्रियाएं (एक्सेस/इरेज ़/एक्सपोर्ट), सुविधाओं में डिज़ाइन द्वारा गोपनीयता, कुकी/सहमति लॉग।

आईगेमिंग/लैब: आरएनजी/फेयरली फेयर पॉलिसी, टेस्ट/सर्टिफिकेशन परिणाम, गणितीय मॉडल विवरण, आरटीपी रिपोर्ट, परिवर्तन नियंत्रण का निर्माण।

7) पीसीआई डीएसएस 4। 0: ऑडिट क्षेत्र को कैसे कम करें

जितना संभव हो उतना टोकनाइज करें और परीक्षण किए गए पीएसपी में पैन भंडारण लाएं।

नेटवर्क को खंड (सीडीई अलग-थलग है), "बाईपास" एकीकरण को प्रतिबंधित करें।

कार्डधारक डेटा फ्लो और दायरे में घटकों की सूची को मंजूरी दें।

एएसवी स्कैन और प्रवेश परीक्षण सेट करना; कार्ड की घटनाओं से निपटने के लिए ट्रेन स

वास्तुकला के आधार पर SAQ A/A-EP/D पर विचार करें।

8) एसओसी 2 प्रकार II: व्यावहारिक युक्तियाँ

व्यापार मामलों द्वारा सुरक्षा, प्लस उपलब्धता/गोपनीयता/प्रसंस्करण अखंडता/गोपनीयता संबंधी न्यास सेवा मानदंडों का चयन करें।

निरंतर कृत्रिम निर्धारण (कम से कम 3-6 महीने) के साथ एक "अवलोकन अवधि" प्रदान करें।

प्रत्येक नियंत्रण के लिए नियंत्रण स्वामी और एक मासिक आत्म-मूल्यांकन दर्ज करें।

टिकट प्रणाली में "साक्ष्य स्वचालन" (स्क्रीनशॉट/निर्यात लॉग) का उपयोग करें।

9) आईएसओ 27701 और जीडीपीआर: बंडल

ISMS में ऐड-ऑन के रूप में PIMS का निर्माण: नियंत्रक/प्रोसेसर भूमिकाएं, प्रसंस्करण के लिए कानूनी आधार, भंडारण उद्देश्य, DPIA।

उनके निष्पादन के लिए DSR प्रक्रियाओं (विषय के अनुरोध) और SLA को लिखें।

लेखा परीक्षा पारदर्शिता के लिए अपने नियंत्रण मैट्रिक्स में जीडीपीआर लेखों के लिए 27701 का नक्शा।

10) GLI/eCOGRA/iTech Labs: SDLC में कैसे फिट हों

संस्करण खेल गणित और आरटीपी, स्टोर अपरिवर्तनीय; नियंत्रण बदलें - रिलीज नियमों के माध्यम से

"उचित रूप से उचित" विवरण (प्रतिबद्ध-प्रकट/वीआरएफ), सार्वजनिक पक्ष, सत्यापन निर्देश का समर्थन करें।

रिलीज और बाजारों के लिए अग्रिम में योजना प्रयोगशाला परीक्षण; टेम्पलेट के साथ एक सामान्य "साक्ष्य फ़ोल्डर" रखें।

11) निरंतर अनुपालन

अनुपालन डैशबोर्ड: × मालिकों × स्थिति × कलाकृतियों × समय सीमा को नियंत्रित करता है।

त्रैमासिक आंतरिक लेखा परीक्षा और प्रबंधन समीक्षा।

स्वचालन: परिसंपत्ति सूची, आईएएम बहाव, कॉन्फिग बहाव, कमजोरियां, लॉगिंग बदलें।

राजनेता "जीवित" हैं: पीआर-मर्ज प्रक्रियाएं, वर्शनिंग, चेंजलॉग।

12) भूमिकाएँ और आरएसीआई

13) बाहरी लेखा परीक्षा तत्परता जाँच

1. पारिभाषित स्कोप + सिस्टम/प्रक्रिया सीमाएँ।

2. नीतियों और प्रक्रियाओं का पूरा सेट (वर्तमान संस्करण)।

3. पिछले निष्कर्षों पर CAPA द्वारा किया गया जोखिम रजिस्टर और SoA।

4. अवधि के लिए हादसा और पोस्टमार्टम रिपोर्ट।

5. पेंटेस्ट/स्कैन + महत्वपूर्ण/उच्च कमजोरियों का उन्मूलन।

6. प्रशिक्षण और पूरा होने का प्रमाण।

7. प्रमुख आपूर्तिकर्ताओं के साथ अनुबंध/एसएलए/डीपीए + उनके एसओसी/आईएसओ/पीसीआई की रिपोर्ट करता है।

8. बीसीपी/डीआर परीक्षणों के साक्ष्य।

9. आईएएम नियंत्रण की पुष्टि (पहुंच संशोधन, ऑफबोर्डिंग)।

10. टीमों और सत्र अनुसूची के लिए साक्षात्कार स्क्रिप्ट तै

14) बार-बार गलतियाँ और उनसे कैसे बचें

कार्यान्वयन के बिना "कागज पर नीतियां" - जीरा/आईटीएसएम और मैट्रिक्स के साथ एकीकृत।

विक्रेता जोखिम को कम करने के लिए - रिपोर्ट और ऑडिट अधिकारों की मांग, एक रजिस्ट्री रखें।

कोई "सबूत निशान" - स्वचालित कलाकृति संग्रह।

पीसीआई में स्कोप रेंगना → टोकन और सख्त विभाजन।

बीसीपी/डीआर में देरी → वर्ष में कम से कम एक बार अभ्यास करते हैं।

परिभाषा की परिभाषा में डिजाइन और डीपीआईए द्वारा → गोपनीयता के साथ गोपनीयता की अनदेखी करें।

15) कलाकृतियाँ टेम्पलेट (भंडार में रखने की सिफारिश)

नियंत्रण मैट्रिक्स। xlsx (आईएसओ/एसओसी/पीसीआई/ 27701/22301 मैप)।

प्रयोज्यता का विवरण (SoA)।

जोखिम रजिस्टर + मूल्यांकन पद्धति।

आईएसएमएस नीतियां (एक्सेस, क्रिप्टो, एसडीएलसी, हादसा, विक्रेता, लॉगिंग, बीवाईओडी, रिमोट वर्क и др।) .

गोपनीयता पैक (RoPA/उपचार रजिस्ट्री, DPIA, DSR प्लेबुक, कुकी/सहमति)।

बीसीपी/डीआर रनबुक और व्यायाम प्रोटोकॉल।

पेंटेस्ट रिपोर्ट + हटाने की योजना।

वेंडर ड्यू डिलिजेंस किट (प्रश्नावली, डीपीए, एसएलए)।

ऑडिट रेडीनेस चेकलिस्ट (धारा 13 से)।

आउटपुट

प्रमाणन प्रबंधित प्रक्रियाओं के निर्माण के लिए एक परियोजना है, न कि एक बा आईएसओ 27001 से एक "कंकाल" इकट्ठा करें और इसे एसओसी 2 प्रकार II (बी 2 बी की मांग के लिए), पीसीआई डीएसएस 4 के साथ पूरक करें। 0 (यदि कार्ड उपलब्ध हैं), आईएसओ 27701 (गोपनीयता), आईएसओ 22301 (स्थिरता), आईएसओ 37301 (सामान्य अनुपालन) और जीएलआई/ईसीओजीआरए/आईटेक लैब्स (गेमिंग स्पेसिफिकेशन)। "सबूत कारखाने" को बनाए रखें, कलाकृतियों के संग्रह को स्वचालित करें और नियमित आंतरिक ऑडिट करें - इस तरह बाहरी ऑडिट अनुमानित हो जाएंगे और बिना आश्चर्य के पास हो जाएंगे।