GH GambleHub

Комплаенс жана аудит сертификаттары

1) Кирүү: эмне үчүн сертификаттар керек

iGaming платформалары үчүн сертификациялоо B2B/B2G келишимдери жана төлөм өнөктөштөрү үчүн "белги" гана эмес, ошондой эле инциденттерди азайтуунун, сатууну тездетүүнүн жана жаңы юрисдикцияларга кирүүнү жөнөкөйлөтүүнүн системалуу жолу болуп саналат. Сертификация (аудиттен кийинки расмий сертификат), аттестация/аудитордук отчет (мисалы, SOC 2), өзүн-өзү жарыялоо жана лабораториялардын тесттик отчетторунун (GLI, iTech Labs, eCOGRA) ортосундагы айырманы түшүнүү маанилүү.

2) Негизги стандарттардын картасы (эмне, эмне үчүн жана качан)

БагытСтандарт/мамилеТүрүКим үчүн жана качан
Инфобез (ISMS)ISO/IEC 27001:2022СертификацияНегизги "скелет" бүт компания үчүн коопсуздук, B2B/enterprise бүтүмдөр үчүн милдеттүү
КупуялыкISO/IEC 27701 (PIMS)Тастыктоо (27001 үчүн кошумча)Эгерде сиз PII менен чоң масштабда иштесеңиз; GDPR менен жакшы "дос"
Бизнестин туруктуулугуISO 22301СертификацияҮзгүлтүксүз талаптар, жөнгө салуучу жана негизги өнөктөштөр үчүн
ШайкештикISO 37301 (CMS)СертификацияКомплаенс-менеджмент: санкциялар, этика, жөнгө салуучу процесстер
Иштеп чыгуу/продуктISO 27034, Secure SDLCКолдонмо/аудиттехникалык командасы үчүн/DevSecOps; көп учурда далил базасынын бир бөлүгү 27001/SOC 2
БулутCSA STAR (Level 1–2)Каттоо/күбөлүкЭгер булут провайдери/көп тенант платформа
AI процесстериISO/IEC 42001СертификацияЭгерде сиз тобокелдик зоналарында AI колдонсоңуз (KYC/AML/жоопкерчиликтүү оюн/скоринг)
ТобокелдиктерISO 31000КолдонмоТобокелдик-менеджмент алкагы (көбүнчө ISMS киргизилген)
Купуялык by designISO 31700-1КолдонмоUX жана процесстер "privacy by design"
Фин. отчеттуулукSOC 1 (ISAE 3402/SSAE 18)Аудитордун отчетуКардарлар Finnish жараяндарга сиздин көзөмөлгө таянат
Коопсуздук/купуялыкSOC 2 Type IIАудитордун отчетуSaaS/B2B үчүн "Алтын стандарт"; көп учурда өнөктөштөр талап
Төлөм карталарыPCI DSS 4. 0Сертификация/SAQКартанын маалыматтарын сактасаңыз/иштетсеңиз/өткөрүп берсеңиз же карта менен топ-аптарды жасасаңыз
PSD2/аутентикаSCA/3DSШайкештик/келишимдерEU/UK төлөмдөр үчүн, антифрод чынжыр
iGaming LabGLI-19/GLI-33, eCOGRA, iTech LabsТесттик отчеттор/күбөлүк RNG/оюндарRNG, RTP, провайдерлердин интеграциясы жана "provably fair" тесттери үчүн
Крипто-кызматтарTravel Руль/санкция скринингАттестация/саясатVASP/биржалык өнөктөштүк үчүн, on/off-ramp
Маалыматтарды коргоо (ЕБ ж.б.)GDPR жана жергиликтүү PDPA/LGPDШайкештик (бир "расмий" күбөлүк жок)Аудиттер, DPIA, PIA, ISO 27701 жана практикалар менен тастыкталган
💡 Эскертүү: NIST CSF/CIS Controls - бул рамкалар/методологиялар, алар өздөрү адатта "күбөлөндүрүлбөйт", бирок ISO/SOC/PCI боюнча эң сонун.

3) чыныгы "тастыкталган" жана эмне - жок

Үчүнчү тараптын сертификаттары: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Аудитордун отчеттору: SOC 2 түрү I/II, SOC 1 түрү I/II (ISAE 3402/SSAE 18).
Лабораториялык тесттер/сертификаттар: GLI, eCOGRA, iTech Labs (оюндар, RNG, интеграция).
"Бирдиктүү күбөлүк" жок шайкештик: GDPR/UK GDPR, ePrivacy - артефакттардын топтому менен тастыкталат (иштетүү реестри, DPIA, саясат, DPA, пентесттер, ISO 27701, тышкы эсептөөлөр).

4) шайкештик матрицасы (жөнөкөйлөштүрүлгөн контролдоо мапа)

Контролдоо блогуISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Тобокелдиктерди башкарууA.6/Annex ACC312. 25. 36. 1
Кирүү жана IAMA.5/A. 8CC67/87. 4
Логи/мониторингA.8CC7107. 5
SDLC/өзгөртүүA.8/A. 5CC56
ИнциденттерA.5/A. 8CC712. 107. 4. 68
жөнөтүүчүлөрA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Бардык стандарт

(Майда-чүйдөсүнө чейин Mapa үчүн "Control Matrix. xlsx" ээлери жана далилдер менен.)

5) 12 айга жол картасы (iGaming платформа үчүн)

Q1 - пайдубалы

1. ISO 27001 + SOC 2 каршы Gap-талдоо (Trust Services Criteria тандоо).
2. дайындоо ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Тобокелдик реестри, маалыматтарды классификациялоо, системалардын картасы (CMDB), аудиттин чектери (scope).
4. Негизги саясаттары: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (колдонулса).

Q2 - Практика жана техникалык көзөмөл

5. IAM (RBAC/ABAC), MFA бардык жерде, сырдуу/жашыруун-айлануу, администраторлор үчүн PAM.
6. Логин/EDR/SIEM, инциденттердин алерттери P0/P1, "chain of custody".
7. Secure SDLC: SAST/DAST/SCAs, pull-request эрежелери, change-board аркылуу прод-кирүү.
8. DR/BCP: RTO/RPO, резервация, калыбына келтирүү репетициясы (table-top + tech. сыноо).

Q3 - Далилдөө базасы жана "байкоо мезгили"

9. Пентест тышкы периметри жана негизги кызматтар (анын ичинде оюндар жана төлөмдөр).
10. Тобокелдик сатуучу: DPA, SLA, аудит укугу, SOC/ISO өнөктөштөрдүн отчеттору, санкциялык скрининг.
11. Evidence factory: билеттер, өзгөртүү журналдары, тренингдер, машыгуу протоколдору, DPIA.
12. Pre-аудит (internal аудит) жана түзөтүү чаралары (CAPA).

Q4 - Тышкы баа

13. ISO 27001 этап 1/2 → күбөлүк (даяр).
14. SOC 2 түрү II (байкоо мөөнөтү ≥ 3-6 ай.).
15. PCI DSS 4. 0 (QSA же SAQ, эгерде токенизация/аутсорсинг scope кыскартылат).
16. GLI/eCOGRA/iTech Labs - релиздердин жана рыноктордун жол картасы боюнча.

6) "Далилдер фабрикасы" (аудиторго көрсөтө аласыз)

Техникалык контролдоо: SSO/MFA журналдар, конфиги IAM, сырсөз саясаты, backaps/restors, шифрлөө (KMS/HSM), hardening чек баракчалары, SAST/DAST/SCA натыйжалары, EDR/SIEM отчеттору, пентест отчеттор жана remediation.
Процесстер: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Post-мортемалар, BC/DR протоколдору, Vendor due diligence (анкеталар, DPA, SOC/ISO өнөктөштөр), Тренингдер (фишинг-симуляциялар, коопсуздук awareness).
Privacy: тазалоо реестри, DPIA/PIA, DSR-жол-жоболору (access/erase/export), Phiches Privacy by Design, Cookie/Consent логи.
iGaming/Lab: RNG/Provably Жарманкеси саясаты, тесттердин/сертификациялоонун натыйжалары, математикалык моделдердин сүрөттөлүшү, RTP отчеттору, bild өзгөрүүлөрүн көзөмөлдөө.

7) PCI DSS 4. 0: аудит аймагын азайтуу үчүн кантип

Мүмкүн болушунча токенизациялоо жана текшерилген PSPге PAN сактоо.
Тармакты сегменттөө (CDE обочолонгон), "айланып өтүүчү" интеграцияга тыюу салуу.
Cardholder Data Flow (диаграммалар) жана scope компоненттеринин тизмесин бекитүү.
ASV сканерлер жана пентесттер; карта инциденттери менен иштөөгө колдоо көрсөтүүнү үйрөтүңүз.
архитектурасына жараша SAQ A/A-EP/D карап көрөлү.

8) SOC 2 түрү II: практикалык сунуштар

тиешелүү Trust Services Criteria тандоо: Security (милдет.) , plus Availability/Confidentiality/Processing Integrity/Privacy бизнес учурда.
Артефакттарды үзгүлтүксүз бекитүү менен "байкоо мезгилин" камсыз кылуу (кеминде 3-6 ай).
Киргизиңиз Controls Owner ар бир контролдоо жана ай сайын өзүн-өзү башкаруу.
Колдонуңуз "evidence automation" (скриншоттор/журналдардын экспорту) тикет системасында.

9) ISO 27701 жана GDPR: байламта

PIMSти ISMSге кошумча катары куруу: контролдоочу/процессордун ролдору, иштетүүнүн укуктук негиздери, сактоо максаттары, DPIA.
DSR-процесстерди (субъекттин суроо-талаптары) жана аларды аткаруу үчүн SLA жазыңыз.
Mapte 27701 боюнча GDPR макалалар Сиздин Текшерүү Matrix ачык-айкындуулук үчүн.

10) GLI/eCOGRA/iTech Labs: SDLC жазуу үчүн кантип

Оюн математикасын жана RTP версиялоо, инварианттарды сактоо; өзгөрүүлөрдү контролдоо - релиздик регламент аркылуу.
Колдоо "provably fair" сүрөттөмөлөр (commit-reveal/VRF), коомдук сиддер, текшерүү көрсөтмөлөрү.
Лабораториялык тесттерди релиздер жана базарлар үчүн алдын ала пландаштырыңыз; темплейттери менен жалпы "Evidence-папканы" сактап.

11) Үзгүлтүксүз комплаенс (continuous compliance)

Dashboard шайкештик: контролдоо × ээлери × статусу × экспонаттар × мөөнөтү.
Чейрек сайын internal audits жана management review.
Автоматташтыруу: активдерди инвентаризациялоо, IAM-дрейф, -дрифт, алсыздыктар, өзгөрүүлөрдү каттоо.
"Тирүү" саясатчылар: PR-мердж-процесстер, версиялоо, ченджлог.

12) Ролдору жана RACI

АймакRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Тышкы аудитке даярдыктын чек-тизмеси

1. Белгилүү scope + чек системалары/жараяндар.
2. Саясаттардын жана жол-жоболордун толук топтому (учурдагы версиялар).
3. Тобокелдик реестри жана SoA, мурунку табылгалар боюнча CAPA тарабынан аткарылган.
4. Мезгил ичинде инциденттердин жана пост-мортемалардын протоколдору.
5. Пентесттер/сканерлер + маанилүү/жогорку алсыздыктарды жоюу.
6. Тренингдер жана өтүүнү тастыктоо.
7. Негизги берүүчүлөр менен келишимдер/SLAs/DPA + алардын SOC/ISO/PCI отчеттору.
8. BCP/DR-тест далилдери.
9. IAM-контролдорду тастыктоо (кирүү текшерүү, offboarding).
10. Командалар үчүн даярдалган интервьюлар-сценарийлер жана сессиялардын графиги.

14) Көп каталар жана аларды алдын алуу үчүн кантип

"Кагаз саясаты" ишке ашыруусуз → Jira/ITSM жана метриктер менен интеграцияланат.
vendor risk → отчетторду жана аудит укуктарын талап, реестрин жүргүзүү.
Жок "evidence trail" → экспонаттарды чогултууну автоматташтыруу.
PCI → tokenization жана катуу сегменттөө боюнча Scope creep.
кийинкиге калтыруу BCP/DR → жылына жок дегенде бир жолу машыгуу.
phich → Privacy by Design жана DPIA боюнча Privacy Ignor.

15) Артефакттардын үлгүлөрү (кампада сактоо сунушталат)

Control Matrix. xlsx (ISO/SOC/PCI/ 27701/22301 map).
Statement of Applicability (SoA).
Risk Register + баалоо ыкмасы.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/дарылоо реестри, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks жана машыгуу протоколдору.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (анкеталар, DPA, SLA).
Audit Readiness Checklist (13-бөлүмүнөн).

Чыгаруу

Сертификация - бул бир жолку текшерүү эмес, башкарылуучу процесстерди куруу долбоору. ISO 27001 тартып "скелет" чогултуп, аны толуктоо SOC 2 түрү II (талап B2B үчүн), PCI DSS 4. 0 (карталар бар болсо), ISO 27701 (купуялык), ISO 22301 (туруктуулук), ISO 37301 (жалпы комплаенс) жана GLI/eCOGRA/iTech Labs (оюн өзгөчөлүгү). "Далил фабрикасын" колдоп, артефакттарды чогултууну автоматташтырыңыз жана үзгүлтүксүз ички аудиттерди жүргүзүңүз - ошентип тышкы аудит алдын ала айтууга болот жана күтүүсүз өтөт.

💡 Материал карап чыгуу мүнөзүнө ээ жана юридикалык кеңеш болуп саналбайт. Белгилүү бир юрисдикцияда колдонуудан мурун, талаптарды жөнгө салуучулар жана өнөктөштөрдүн шарттары (PSP, базарлар, лабораториялар) менен салыштырыңыз.
Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.