GH GambleHub

შესაბამისობისა და აუდიტის სერთიფიკატები

1) შესავალი: რატომ არის საჭირო სერთიფიკატები

IGaming პლატფორმებისთვის, სერტიფიკაცია არა მხოლოდ B2B/B2G კონტრაქტებისა და გადახდის პარტნიორებისთვის არის „ნიშანი“, არამედ ინციდენტების შემცირების სისტემის გზა, გაყიდვების დაჩქარება და ახალი იურისდიქციების დაშვების გამარტივება. მნიშვნელოვანია გვესმოდეს სერთიფიკატი (ოფიციალური სერთიფიკატი აუდიტის შემდეგ), სერტიფიკატი/აუდიტის ანგარიში (მაგალითად, SOC 2), თვითნაკეთი და ლაბორატორიების ტესტის ანგარიშები (GLI, iTech Labs, eCOGRA).

2) ძირითადი სტანდარტების რუკა (რა, რატომ და როდის)

მიმართულებასტანდარტი/მიდგომატიპივისთვის და როდის
ინფობეზი (ISMS)ISO/IEC 27001:2022სერტიფიკაციაუსაფრთხოების ძირითადი „ჩონჩხი“ მთელი კომპანიისთვის, სავალდებულოა B2B/Enterprise გარიგებისთვის
კონფიდენციალურობაISO/IEC 27701 (PIMS)სერტიფიკაცია (სუპერსტრუქტურა 27001 წლისთვის)თუ PII- სთან მუშაობთ დიდი მასშტაბით; კარგი მეგობრები GDPR- სთან
ბიზნესის სტაბილურობაISO 22301სერტიფიკაციაუწყვეტობის, რეგულატორებისა და ძირითადი პარტნიორების მოთხოვნებისთვის
შესაბამისობაISO 37301 (CMS)სერტიფიკაციაშესაბამისობის მენეჯმენტი: სანქციები, ეთიკა, მარეგულირებელი პროცესები
განვითარება/პროდუქტიISO 27034, Secure SDLCსახელმძღვანელო/აუდიტიTechcomand/DevSecOps; ხშირად მტკიცებულებათა ბაზის ნაწილი 27001/SOC 2
ღრუბელიCSA STAR (Level 1–2)რეგისტრაცია/სერტიფიკაციათუ თქვენ ხართ ღრუბლოვანი პროვაიდერი/მრავალ ტენანტი პლატფორმა
AI პროცესებიISO/IEC 42001სერტიფიკაციათუ იყენებთ AI- ს რისკის ზონებში (KYC/AML/პასუხისმგებლობის თამაში/მორიელი)
რისკებიISO 31000ხელმძღვანელობარისკის მართვის ჩარჩო (ხშირად შედის ISMS- ში)
კონფიდენციალურობაISO 31700-1ხელმძღვანელობაUX და „პირადი დიზაინის“ პროცესები
ტთნ. ანგარიშგებებიSOC 1 (ISAE 3402/SSAE 18)აუდიტის ანგარიშიროდესაც მომხმარებლები ეყრდნობიან თქვენს კონტროლს ფინის პროცესებში
უსაფრთხოება/კონფიდენციალურობაSOC 2 Type IIაუდიტის ანგარიშიოქროს სტანდარტი SaaS/B2B; ხშირად პარტნიორებს სჭირდებათ
გადახდის ბარათებიPCI DSS 4. 0სერტიფიკაცია/SAQთუ შეინახავთ/ამუშავებთ/გადასცემთ ბარათების მონაცემებს ან გახდით ტოპ-აპებს ბარათით
PSD2/ავთენტურიSCA/3DSშესაბამისობა/ხელშეკრულებებიEU/UK- სთვის გადახდები, ანტიფროგრამის ჯაჭვები
iGamingGLI-19/GLI-33, eCOGRA, iTech Labsტესტის ანგარიშები/RNG/თამაშების სერტიფიკაციატესტებისთვის RNG, RTP, პროვაიდერების ინტეგრაცია და „პროვაიდერი სამართლიანი“
კრიპტო სერვისებიTravel Rule/სანქციების სკრინინგისერტიფიკაცია/პოლიტიკაVASP/გაცვლითი პარტნიორობისთვის, on/off-ramp
მონაცემთა დაცვა (ევროკავშირი და სხვ.)GDPR და ადგილობრივი PDPA/LGPDშესაბამისობა (არ არსებობს ერთი „ოფიციალური“ სერტიფიკატი)დადასტურებულია აუდიტები, DPIA, PIA, ISO 27701 და პრაქტიკა
💡 შენიშვნა: NIST CSF/CIS Controls არის ჩარჩო/მეთოდოლოგია, ისინი ჩვეულებრივ არ არიან „დამოწმებული“, მაგრამ მშვენივრად იკვებებიან ISO/SOC/PCI.

3) რა ნამდვილად „დამოწმებულია“ და რა - არა

მესამე მხარის სერთიფიკატები: ISO 27001, 27701, 22301, 37301, 4201, PCI DSS (QSA/ASV), CSA STAR Level 2.
აუდიტის მოხსენებები: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).
ლაბორატორიის ტესტები/სერთიფიკატები: GLI, eCOGRA, iTech Labs (თამაშები, RNG, ინტეგრაცია).
შესაბამისობა „ერთი სერთიფიკატის“ გარეშე: GDPR/UK GDPR, ePrivacy - დასტურდება არტეფაქტების ერთობლიობით (დამუშავების რეესტრი, DPIA, პოლიტიკა, DPA, პენტესტები, ISO 27701, გარე შეფასებები).

4) შესაბამისობის მატრიცა (მაკონტროლებელი გამარტივებული მარყუჟი)

საკონტროლო განყოფილებაISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
რისკების მართვაA.6/Annex ACC312. 25. 36. 1
წვდომა და IAMA.5/A. 8CC67/87. 4
ლოგიკური/მონიტორინგიA.8CC7107. 5
SDLC/ცვლილებებიA.8/A. 5CC56
ინციდენტებიA.5/A. 8CC712. 107. 4. 68
მომწოდებლებიA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5მთელი სტანდარტი

(დეტალური მაპასთვის, მიიღეთ საკუთარი "კონტროლი მატრიქსი. xlsx" მფლობელებითა და მტკიცებულებებით.)

5) გზის რუკა 12 თვის განმავლობაში (iGaming პლატფორმისთვის)

Q1 - საძირკველი

1. Gap ანალიზი ISO 27001 + SOC 2 წინააღმდეგ (Trust Service Criteria არჩევანი).
2. ISMS-Lead, DPO, BCM-Owner, PCI-Lead დანიშვნა.
3. რისკის რეესტრი, მონაცემთა კლასიფიკაცია, სისტემების რუკა (CMDB), აუდიტის საზღვრები (სკოპი).
4. ძირითადი პოლიტიკოსები: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (თუ გამოიყენება).

Q2 - პრაქტიკა და ტექნიკური კონტროლი

5. IAM (RBAC/ABAC), MFA ყველგან, პაროლი/საიდუმლო როტაცია, PAM admins.
6. ლოგიკა/EDR/SIEM, ინციდენტების ალერტები P0/P1, „chain of custody“.
7. Secure SDLC: SAST/DAST/SCAs, pull-request წესები, წინსვლის წვდომა change-board- ის საშუალებით.
8. DR/BCP: RTO/RPO, სარეზერვო, აღდგენის რეპეტიცია (table-top + tech. ტესტი).

Q3 - მტკიცებულება და „დაკვირვების პერიოდი“

9. გარე პერიმეტრისა და საკვანძო სერვისების პენტესტი (თამაშების და გადახდების ჩათვლით).
10. ვენდორის რისკი: DPA, SLA, აუდიტის უფლება, SOC/ISO პარტნიორების მოხსენებები, სანქციების სკრინინგი.
11. Evidence factory: თიკეტები, ცვლილებების ჟურნალები, ტრენინგები, სავარჯიშო ოქმები, DPIA.
12. წინასწარი აუდიტი (შიდა აუდიტი) და მაკორექტირებელი ზომები (CAPA).

Q4 - გარე შეფასებები

13. ISO 27001 Stage 1/2 - სერთიფიკატი (მზადყოფნისას).
14. SOC 2 Type II (სადამკვირვებლო პერიოდი - 3-6 თვე).
15. PCI DSS 4. 0 (QSA ან SAQ, თუ ტოქსიკაცია/აუთსორსინგი ამცირებს სკოპს).
16. GLI/eCOGRA/iTech Labs - განთავისუფლებისა და ბაზრების გზის რუქაზე.

6) „მტკიცებულების ქარხანა“ (რაც აჩვენეთ აუდიტორიას)

ტექნიკური კონტროლი: SSO/MFA ჟურნალები, IAM- ის კონფიგურაციები, პაროლების პოლიტიკოსები, bacaps/restors, დაშიფვრა (KMS/HSM), hardening ჩეკების ფურცლები, SAST/DAST T T T T - ის შედეგები, ESCCCECCCCAAAAAACAAAAAACAAAAAAAAAAAAAAAAAApentest მოხსენებები და remediation.
პროცესები: Risk Register, SoA (Applicability), Change tickets, Incident Reports (P0-P2), Post-mortems, BC/DR ოქმები, VenDenDendounDue Due Due DDDDiliGiGiGige (კითხვები (კითხვები (კითხვები, კითხვები (კითხვები, კითხვები, კითხვები, DiGanDiGige, DiSige, d, SOC/ISO პარტნიორები), ტრენინგი (ფიშინგის სიმულაციები, უსაფრთხოების აურზაური).
კონფიდენციალურობა: დამუშავების რეესტრი, DPIA/PIA, DSR პროცედურები (access/erase/export), პირადი დიზაინი ფიჩებში, Cookie/Consent logs.
iGaming/laba: პოლიტიკა RNG/Provably Fair, ტესტების/სერტიფიკაციის შედეგები, მათემატიკური მოდელების აღწერილობა, RTP მოხსენებები, ბილეთის ცვლილებების კონტროლი.

7) PCI DSS 4. 0: როგორ შევამციროთ აუდიტის ზონა

მაქსიმალურად ტოკენიზირება და PAN- ის შენახვა დადასტურებულ PSP- ზე.
შეამოწმეთ ქსელი (CDE იზოლირებული), აკრძალეთ „შემოვლითი“ ინტეგრაცია.
დაამტკიცეთ Cardholder Data Flow (დიაგრამები) და კომპონენტების სია სკოპში.
ASV სკანებისა და პენტესტის პარამეტრები; ასწავლეთ დახმარება ინციდენტებთან მუშაობისთვის.
განიხილეთ SAQ A/A-EP/D არქიტექტურის მიხედვით.

8) SOC 2 ტიპი II: პრაქტიკული რჩევები

შეარჩიეთ შესაბამისი Trust Service Criteria: Security პლუს Availability/Confidentiality/Confidention Integrity/Privacy ბიზნეს საქმეში.
უზრუნველყეთ „სადამკვირვებლო პერიოდი“ არტეფაქტების უწყვეტი ფიქსაციით (მინიმუმ 3-6 თვე).
შეიყვანეთ Controlls Owner თითოეული კონტროლისა და ყოველთვიური შერჩევის შესახებ.
გამოიყენეთ „evidence automation“ (ეკრანის კადრები/ჟურნალების ექსპორტი) ტიკეტის სისტემაში.

9) ISO 27701 და GDPR: თაიგული

აშენეთ PIMS, როგორც ISMS- ის ზედამხედველობა: მაკონტროლებელი/პროცესორის როლები, დამუშავების სამართლებრივი საფუძვლები, შენახვის მიზნები, DPIA.
დაწერეთ DSR პროცესები (საგნის მოთხოვნები) და SLA მათი შესრულებისთვის.
მაპი 27701 თქვენს მაკონტროლებელ მატრიქსში GDPR სტატიაში აუდიტის გამჭვირვალობისთვის.

10) GLI/eCOGRA/iTech Labs: როგორ დავწეროთ SDLC

შეცვალეთ თამაშის მათემატიკა და RTP, შეინახეთ ინვარიანტები; ცვლილების კონტროლი - გამოშვებული რეგულაციების საშუალებით.
შეინარჩუნეთ „სწრაფი სამართლიანი“ აღწერილობები (commit-reveal/VRF), საზოგადოებრივი ადგილები, აუდიტის ინსტრუქციები.
წინასწარ დაგეგმეთ ლაბორატორიული ტესტები გამოშვებებისა და ბაზრებისთვის; შეინარჩუნეთ საერთო Evidence საქაღალდე Templates.

11) უწყვეტი შესაბამისობა

Dashboard შესაბამისობა: მათ აკონტროლებდნენ × მფლობელები × არტეფაქტები × ვადები.
კვარტალური შიდა აუდიტები და მენეჯმენტის მიმოხილვა.
ავტომატიზაცია: აქტივების ინვენტარიზაცია, IAM დრიფტი, კონფისკაციის დრიფტი, დაუცველობა, ცვლილებების ჟურნალისტიკა.
„ცოცხალი“ პოლიტიკოსები: PR Merge პროცესები, ვერსიები, ჩენჯლოგი.

12) როლები და RACI

რეგიონიRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) გარე აუდიტის მზადყოფნის სია

1. გარკვეული სკოპი + სისტემების/პროცესების საზღვრები.
2. პოლიტიკოსისა და პროცედურების სრული ნაკრები (შესაბამისი ვერსიები).
3. რისკის რეესტრი და CAPA- ს მიერ შესრულებული SoA წარსული აღმოჩენებისთვის.
4. ინციდენტების ოქმები და პოსტმორტემი პერიოდისთვის.
5. პენტესტები/სკანები + კრიტიკული/მაღალი დაუცველების აღმოფხვრა.
6. ტრენინგი და გავლის დადასტურება.
7. ხელშეკრულებები/SLAs/DPA ძირითადი მომწოდებლებთან + მათი SOC/ISO/PCI ანგარიშები.
8. BCP/DR ტესტების მტკიცებულებები.
9. IAM მაკონტროლებლების დადასტურება (წვდომის აუდიტი, წვდომა).
10. მომზადებული ინტერვიუები გუნდებისთვის და სესიების გრაფიკი.

14) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

„პოლიტიკოსები ქაღალდზე“ განხორციელების გარეშე, ინტეგრირება Jira/ITSM და მეტრიკებთან.
vendor risk- ის დაქვეითება - მოითხოვეთ მოხსენებები და აუდიტის უფლებები, შეინარჩუნეთ რეესტრი.
არ არსებობს „evidence trail“ - ავტომატიზაცია მოახდინეთ არტეფაქტების შეგროვებაში.
Scope creep PCI- ში არის ტოქსიკაცია და მკაცრი სეგმენტი.
BCP/DR- ის გადადება წელიწადში ერთხელ მაინც.
კონფიდენციალურობის უგულებელყოფა Privacy by Design და DPIA Definition of Done.

15) არტეფაქტების შაბლონები (რეკომენდებულია საცავებში შენახვა)

Control Matrix. xlsx (ISO/SOC/PCI/27701/22301 mapa).
Statement of Applicability (SoA).
Risk Register + შეფასების ტექნიკა.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/დამუშავების რეესტრი, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks და სავარჯიშო ოქმები.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (კითხვარები, DPA, SLA).
Audit Readiness Checklist (სექციიდან 13).

დასკვნა

სერტიფიკაცია არის კონტროლირებადი პროცესების მშენებლობის პროექტი და არა ერთჯერადი შემოწმება. შეაგროვეთ „ჩონჩხი“ ISO 27001- დან და შეავსეთ იგი SOC 2 Type II (მოთხოვნადი B2B), PCI DSS 4. 0 (თუ არსებობს ბარათები), ISO 27701 (კონფიდენციალურობა), ISO 22301 (სტაბილურობა), ISO 37301 (ზოგადი შესაბამისობა) და GLI/eCOGRA/iTech Labs (თამაშის სპეციფიკა). მხარი დაუჭირეთ „მტკიცებულებების ქარხანას“, ავტომატურად შეაგროვეთ არტეფაქტები და ჩაატარეთ რეგულარული შიდა აუდიტი - ასე რომ, გარე აუდიტი გახდება პროგნოზირებული და გაივლის სიურპრიზების გარეშე.

💡 მასალა მიმოხილულია და არ არის იურიდიული კონსულტაცია. სპეციალურ იურისდიქციაში გამოყენებამდე შეამოწმეთ მოთხოვნები რეგულატორებთან და პარტნიორების პირობებთან (PSP, ბაზრები, ლაბორატორიები).
Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.