コンプライアンスと監査証明書
1)はじめに: 証明書が必要な理由
iGamingプラットフォームでは、認証はB2B/B2Gの契約と支払いパートナーのためのダニであるだけでなく、インシデントを削減し、販売をスピードアップし、新しい管轄区域へのアクセスを簡素化する体系的な方法でもあります。認証(監査後の公式証明書)、証明/監査レポート(例:)の違いを理解することが重要です。SOC 2)、自己申告および実験室テストレポート(GLI、 iTech Labs、 eCOGRA)。
2)基本的な基準の地図(what、 why、 when)
3)本当に「認定」されているものとそうでないもの
第三者の証明:ISO 27001、27701、22301、37301、42001、 PCI DSS (QSA/ASV)、 CSA STARのレベル2。
監査報告書: SOC 2 Type I/II、 SOC 1 Type I/II (ISAE 3402/SSAE 18)
テスト/ラボ証明書:GLI、 eCOGRA、 iTech Labs(ゲーム、RNG、統合)。
「単一の証明書」なしのコンプライアンス:GDPR/UK GDPR、 ePrivacy-一連のアーティファクト(治療のレジストリ、DPIA、ポリシー、DPA、害虫、ISO 27701、外部評価)によって確認されます。
4)対応行列(制御の簡略化マップ)
(詳細なマップについては、独自の「コントロールマトリックス」を起動してください。xlsx"所有者と証拠と。
5)12ヶ月ロードマップ(iGamingプラットフォーム用)
Q1-ファンデーション
1.ギャップ分析とISO 27001+SOC 2(トラストサービス基準の選択)
2.ISMS鉛、DPO、 BCM所有者、PCI鉛の目的。
3.リスクレジスタ、データ分類、システムマップ(CMDB)、監査境界(スコープ)
4.基本方針:ISMS、アクセス、SDLC、変更、インシデント、ベンダー、暗号/鍵Mgmt、プライバシー、制裁/AML(該当する場合)。
Q2-プラクティスとテクニカルコントロール
5.IAM (RBAC/ABAC)、どこでもMFA、パスワード/秘密の回転、管理者のためのPAM。
6.ロギング/EDR/SIEM、 P0/P1のインシデントのアラート、「保護の連鎖」。
7.安全なSDLC: SAST/DAST/SCA、プルリクエストルール、チェンジボード経由の販売アクセス。
8.DR/BCP: RTO/RPO、バックアップ、リストアのリハーサル(table-top+tech。テスト)。
Q3-証拠基盤と「観察期間」
9.外部境界と主要なサービスのペンテスト(ゲームや支払いを含む)。
10.ベンダー・リスク:DPA、 SLA、監査機関、パートナーのSOC/ISOレポート、制裁審査。
11.証拠工場:チケット、変更ログ、トレーニング、運動プロトコル、DPIA。
12.事前監査(内部監査)および是正措置(CAPA)。
第4四半期-外部評価
13.ISO 27001ステージ1/2→証明書(準備ができたら)。
14.SOC 2 タイプII(観測期間≥ 3-6ヶ月)。
15.PCI DSS 4。0(トークン化/アウトソーシングがスコープを削減する場合はQSAまたはSAQ)。
16.GLI/eCOGRA/iTech Labs-リリースと市場のロードマップ。
6)証拠工場(あなたが監査人を示すもの)
技術的なコントロール:SSO/MFAログ、IAM構成、パスワードポリシー、バックアップ/レスラー、暗号化(KMS/HSM)、ハードニングチェックリスト、SAST/DAST/SCA結果、EDR/SIEMレポート、ペンテストレポートおよび修復。
プロセス: リスクレジスタ、SoA(適用可能性の声明)、変更チケット、インシデントレポート(P0-P2)、死後、BC/DRプロトコル、ベンダーのデューデリジェンス(アンケート、DPA、 SOC/ISOパートナー)、トレーニング(フィッシングシミュレーション、セキュリティ意識)
プライバシー:レジストリの処理、DPIA/PIA、 DSR手順(アクセス/消去/エクスポート)、機能の設計によるプライバシー、クッキー/同意ログ。
iGaming/labs: RNG/Fairly Fairポリシー、テスト/認定結果、数学モデルの説明、RTPレポート、ビルド変更制御。
7) PCI DSS 4。0: 監査ゾーンを縮小する方法
できるだけトークン化し、テスト済みのPSPにPANストレージをもたらします。
ネットワークのセグメント(CDEは分離されています)、「バイパス」統合を禁止します。
Cardholder Data Flowとスコープ内のコンポーネントのリストを承認します。
ASVスキャンおよび浸透テストをセットアップして下さい;カードインシデントに対処するためのサポートを訓練します。
アーキテクチャに応じてSAQ A/A-EP/Dを検討してください。
8) SOC 2 タイプII: 実用的なヒント
ビジネスケースで、関連する信頼サービス基準:セキュリティ、および可用性/機密性/処理の完全性/プライバシーを選択します。
継続的なアーティファクト固定(少なくとも3〜6ヶ月)で「観察期間」を提供します。
コントロールの所有者と毎月の自己評価を入力します。
チケットシステムで「証拠自動化」(スクリーンショット/エクスポートログ)を使用します。
9) ISO 27701およびGDPR: 束
ISMSのアドオンとしてPIMSを構築する:コントローラ/プロセッサの役割、処理の法的根拠、ストレージ目標、DPIA。
DSRプロセス(サブジェクトの要求)とその実行のためのSLAを書き留めます。
27701をControl MatrixのGDPR記事にマッピングして、監査の透明性を確認します。
10) GLI/eCOGRA/iTech Labs: SDLCに適合する方法
バージョンゲーム数学とRTP、ストア不変量;変更制御-リリース規制を通じて。
「provably fair」 descriptions (commit-reveal/VRF)、 public side、 verification instructionsをサポートします。
リリースおよび市場向けに事前にラボテストを計画する。テンプレートと共通の「証拠フォルダ」を保持します。
11)継続的なコンプライアンス
コンプライアンスダッシュボード:オーナー×ステータス×アーティファクト×期限×を制御します。
四半期ごとの内部監査および管理のレビュー。
自動化:資産インベントリ、IAMドリフト、構成ドリフト、脆弱性、変更ログ。
政治家は「生きている」:PRマージのプロセス、バージョン管理、チェンジログ。
12)役割とRACI
13)外部監査準備チェックリスト
1.定義されたスコープ+システム/プロセス境界。
2.ポリシーとプロシージャの完全なセット(現在のバージョン)。
3.過去の調査結果にCAPAが実施したリスクレジスタとSoA。
4.事件とその期間の死後の報告。
5.Pentests/scans+重大な/高い脆弱性の排除。
6.トレーニングと完了の証明。
7.主要サプライヤーとの契約/SLA/DPA+は、SOC/ISO/PCIを報告します。
8.BCP/DR検査の証拠。
9.IAMコントロールの確認(アクセスリビジョン、オフボーディング)。
10.チームやセッションスケジュールのインタビュー用スクリプトを用意しました。
14)頻繁な間違いとそれらを回避する方法
実装せずに「Policies on paper」→Jira/ITSMやメトリクスと統合。
ベンダーのリスクを過小評価→レポートと監査権を要求し、レジストリを維持します。
「エビデントトレイル」→アーティファクトコレクションを自動化しません。
PCI→トークン化と厳密なセグメンテーションでのスコープクリープ。
BCP/DRの遅延→少なくとも1年に1回はエクササイズを行います。
Doneの定義では、→DesignとDPIAによるプライバシーを無視します。
15)アーティファクトテンプレート(リポジトリに保存することを推奨)
コントロールマトリックス。xlsx (ISO/SOC/PCI/ 27701/22301マップ)
適用可能性の声明(SoA)。
リスクレジスタ+評価方法。
ISMSポリシー(アクセス、Crypto、 SDLC、インシデント、ベンダー、ログ、BYOD、リモートワーク.).
プライバシーパック(RoPA/治療レジストリ、DPIA、 DSRプレイブック、クッキー/同意)。
BCP/DR Runbooksとエクササイズプロトコル。
Pentest Reports+修復計画。
ベンダーのデューデリジェンスキット(アンケート、DPA、 SLA)。
監査準備チェックリスト(セクション13から)。
出力
認証は管理されたプロセスを構築するプロジェクトであり、1回限りのチェックではありません。ISO 27001の「スケルトン」を組み立て、SOC 2 Type II(要求の厳しいB2B用)、PCI DSS 4で補完します。0(カードが利用可能な場合)、ISO 27701(プライバシー)、ISO 22301(サステナビリティ)、ISO 37301(一般コンプライアンス)、GLI/eCOGRA/iTech Labs(ゲームの詳細)。「証拠工場」を維持し、アーティファクトの収集を自動化し、定期的な内部監査を実施します。このようにして、外部監査は予測可能になり、驚くことなく通過します。