GH GambleHub

Комплаенс және аудит сертификаттары

1) Кіріспе: сертификаттар не үшін қажет

iGaming-платформалар үшін сертификаттау - бұл B2B/B2G шарттары мен төлем серіктестері үшін «белгі» ғана емес, сонымен қатар инциденттерді азайтудың, сатуды жеделдетудің және жаңа юрисдикцияларға шығуды жеңілдетудің жүйелі тәсілі. Сертификаттау (аудиттен кейінгі ресми сертификат), аттестаттау/аудиторлық есеп (мысалы, SOC 2), зертханалардың өзіндік декларациялары мен тест есептері (GLI, iTech Labs, eCOGRA) арасындағы айырмашылықты түсіну маңызды.

2) Негізгі стандарттардың картасы (не, неге және қашан)

БағытСтандарт/тәсілТүріКім үшін және қашан
Инфобез (ISMS)ISO/IEC 27001:2022СертификаттауБүкіл компания үшін қауіпсіздіктің базалық «скелеті», В2В/энтерпрайз-мәмілелер үшін міндетті
ҚұпиялылықISO/IEC 27701 (PIMS)Сертификаттау (27001-ге қондырма)Егер PII-мен үлкен масштабта жұмыс істесеңіз; GDPR-мен жақсы «дос»
Бизнестің тұрақтылығыISO 22301СертификаттауҮздіксіздік талаптары, реттеуіштер және негізгі әріптестер үшін
СәйкестікISO 37301 (CMS)СертификаттауКомплаенс-менеджмент: санкциялар, этика, реттеуші процестер
Әзірлеу/өнімISO 27034, Secure SDLCБасшылық/аудитТехникалық команда/DevSecOps үшін; көбінесе 2- 27001/SOC дәлел базасының бір бөлігі
БұлтCSA STAR (Level 1–2)Тіркеу/сертификаттауЕгер сіз бұлтты провайдер/мультитенант платформа болсаңыз
AI процестеріISO/IEC 42001СертификаттауЕгер ИИ тәуекел аймақтарында пайдалансаңыз (KYC/AML/жауапты ойын/скоринг)
ТәуекелдерISO 31000НұсқаулықТәуекел-менеджмент шеңбері (жиі ISMS-ке енгізілген)
by design құпиялылығыISO 31700-1НұсқаулықUX және «privacy by design» процестері
Фин. есеп беруSOC 1 (ISAE 3402/SSAE 18)Аудитордың есебіКлиенттер қаржылық процестерде сіздің бақылауыңызға сүйенеді
Қауіпсіздік/құпиялылықSOC 2 Type IIАудитордың есебіSaaS/B2B үшін «Алтын стандарт»; серіктестер жиі талап етеді
Төлем карталарыPCI DSS 4. 0Сертификаттау/SAQЕгер карта деректерін сақтасаңыз/өңдесеңіз/тапсырсаңыз немесе топ-аптарды картамен жасасаңыз
PSD2/аутентификацияSCA/3DSСәйкестік/шарттарEU/UK төлемдері, антифрод тізбегі үшін
iGamingGLI-19/GLI-33, eCOGRA, iTech LabsТест есептері/RNG/ойындарын сертификаттауRNG, RTP, провайдерлер интеграциясы және «provably fair» тестілері үшін
Крипто-сервистерTravel Rule/санкциялық скринингАттестаттау/саясатVASP/биржалық әріптестіктер үшін, on/off-ramp
Деректерді қорғау (ЕО және т.б.)GDPR және жергілікті PDPA/LGPDСәйкестік (бірыңғай «ресми» сертификат жоқ)Аудиторлармен, DPIA, PIA, ISO 27701 және практикалармен расталады
💡 Ескертпе: NIST CSF/CIS Controls - бұл рамкалар/әдіснамалар, өздігінен әдетте «сертификатталмайды», бірақ ISO/SOC/PCI-де өте жақсы қолданылады.

3) Нақты не «сертификатталады», ал не - жоқ

Үшінші тараптың сертификаттары: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Аудитордың есептері: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).
Зертханалардың тестілері/сертификаттары: GLI, eCOGRA, iTech Labs (ойындар, RNG, интеграциялар).
«Бірыңғай сертификатсыз» сәйкестік: GDPR/UK GDPR, ePrivacy - артефактілер жиынтығымен расталады (өңдеу тізілімі, DPIA, саясат, DPA, пентеста, ISO 27701, сыртқы бағалау).

4) Сәйкестік матрицасы (жеңілдетілген бақылау мапа)

Бақылау блогыISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Тәуекелдерді басқаруA.6/Annex ACC312. 25. 36. 1
Қол жеткізу және IAMA.5/A. 8CC67/87. 4
Логи/мониторингA.8CC7107. 5
SDLC/өзгертулерA.8/A. 5CC56
Оқыс оқиғаларA.5/A. 8CC712. 107. 4. 68
ЖеткізушілерA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Бүкіл стандарт

(Егжей-тегжейлі мап үшін өзіңіздің "Control Matrix. xlsx" иелері мен дәлелдері бар.)

5) 12 айға арналған жол картасы (iGaming платформасы үшін)

Q1 - Іргетас

1. ISO 27001 + SOC 2 қарсы Gap-талдау (Trust Services Criteria таңдау).
2. Мақсаты ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Тәуекел-тізілім, деректерді жіктеу, жүйелер картасы (CMDB), аудит шекаралары (scope).
4. Негізгі саясаттар: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (егер қолданылатын болса).

Q2 - Тәжірибелер мен техникалық бақылау

5. IAM (RBAC/ABAC), MFA барлық жерде, құпия/құпия-ротация, әкімшілерге арналған PAM.
6. Логизация/EDR/SIEM, инциденттердің аллергиясы P0/P1, «chain of custody».
7. Secure SDLC: SAST/DAST/SCAs, pull-request ережелері, change-board арқылы рұқсаттар.
8. DR/BCP: RTO/RPO, резервтеу, қалпына келтіру репетициясы (table-top + tech. тест).

Q3 - Дәлелдеу базасы және «бақылау кезеңі»

9. Сыртқы периметр және негізгі сервистер пентесті (ойындар мен төлемдерді қоса алғанда).
10. Вендор-тәуекел: DPA, SLA, аудит құқығы, SOC/ISO әріптестерінің есептері, санкциялық скрининг.
11. Evidence factory: тикеттер, өзгерістер журналдары, тренингтер, оқу хаттамалары, DPIA.
12. Алдын ала аудит (internal audit) және түзету шаралары (CAPA).

Q4 - Сыртқы бағалар

13. ISO 27001 Stage 1/2 → сертификат (дайын болғанда).
14. SOC 2 Type II (бақылау кезеңі 3-6 айға ≥).
15. PCI DSS 4. 0 (QSA немесе SAQ, егер токенизация/аутсорсинг scope қысқартылса).
16. GLI/eCOGRA/iTech Labs - релиздер мен нарықтардың жол картасы бойынша.

6) «Дәлелдемелер фабрикасы» (аудиторға не көрсетесіз)

Техникалық бақылау: SSO/MFA журналдары, IAM конфигалары, парольдер саясаты, бэкаптар/ресторлар, шифрлау (KMS/HSM), hardening чек-парақтары, SAST/DAST/SCA нәтижелері, EDR/SIEM есептері, пентест-есептер және т.б remediation.
Процестер: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Пост-мортемалар, BC/DR хаттамалары, Vendor due diligence (сауалнамалар, DPA, SOC/ISO серіктестері), Тренингтер (фишинг-симуляциялар, security awareness).
Құпиялылық: Өңдеу тізілімі, DPIA/PIA, DSR-процедуралар (access/erase/export), Құпиялылық дизайны, Cookie/Consent логи.
iGaming/lab: RNG/Provably Fair саясаты, тест/сертификаттау нәтижелері, математикалық модельдердің сипаттамалары, RTP есептері, билдтің өзгерістерін бақылау.

7) PCI DSS 4. 0: аудит аймағын қалай азайтуға болады

PAN-ді тексерілген PSP-ге барынша токенизациялаңыз және сақтаңыз.
Желіні сегменттеңіз (CDE оқшауланған), «айналма» интеграцияларға тыйым салыңыз.
Cardholder Data Flow (диаграммалар) және scope ішіндегі компоненттер тізімін бекітіңіз.
ASV сканерлері мен пентестерін теңшеңіз; карта инциденттерімен жұмыс істеуді үйретіңіз.
Архитектураға байланысты SAQ A/A-EP/D қараңыз.

8) SOC 2 Type II: практикалық кеңестер

Trust Services Criteria: Security (міндеттеме) , плюс бизнес-кейс бойынша Availability/Confidentiality/Processing Integrity/Privacy.
Артефактілерді үздіксіз тіркей отырып, «бақылау кезеңін» қамтамасыз етіңіз (кемінде 3-6 ай).
Әрбір бақылау мен ай сайынғы self-assessment үшін Controls Owner енгізіңіз.
Тикет жүйесінде «evidence automation» (скриншоттар/журнал экспорты) пайдаланыңыз.

9) ISO 27701 және GDPR: байлам

PIMS-ті ISMS қондырмасы ретінде жасаңыз: бақылаушы/процессор рөлі, өңдеудің құқықтық негіздері, сақтау мақсаттары, DPIA.
DSR процестерін (субъектінің сұраулары) және оларды орындау үшін SLA жазыңыз.
Аудит ашықтығы үшін Бақылау матрицасындағы GDPR мақалаларына 27701-ші карта.

10) GLI/eCOGRA/iTech Labs: SDLC-ке қалай жазу керек

Ойын математикасы мен RTP нұсқасын жасаңыз, инварианттарды сақтаңыз; өзгерістерді бақылау - релиздік регламент арқылы жүзеге асырылады.
«provably fair» сипаттамаларын (commit-reveal/VRF), көпшілік сидтерін, тексеру нұсқауларын қолдаңыз.
Зертханалық тестілерді алдын ала релиздер мен базарлар үшін жоспарлаңыз; ортақ «Evidence» қалтасын темплейттермен сақтаңыз.

11) Үздіксіз комплаенс (continuous compliance)

Сәйкестік дашборды: бақылау × иелері × мәртебесі × артефактілері × мерзімі ұзартылған.
Тоқсан сайын internal audits және management review.
Автоматтандыру: активтерді түгендеу, IAM-дрейф, -дрифт, осалдықтар, өзгерістерді тіркеу.
«Тірі» саясаттар: PR-мердж-процестер, нұсқалау, ченджлог.

12) Рөлдер және RACI

АумақRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Сыртқы аудитке дайындықтың чек-парағы

1. Белгілі бір scope + жүйелер/процестер шекаралары.
2. Саясаттар мен рәсімдердің толық жиынтығы (өзекті нұсқалар).
3. Өткен табыстар бойынша CAPA орындаған тәуекел тізілімі және SoA.
4. Кезең ішіндегі инциденттер мен пост-мортемалар хаттамалары.
5. Пентесттер/сканерлер + сыни/жоғары осалдықтарды жою.
6. Тренингтер және өткенін растау.
7. Негізгі жеткізушілермен/SLAs/DPA шарттары + олардың SOC/ISO/PCI есептері.
8. BCP/DR-тест дәлелдері.
9. IAM-бақылауды растау (қол жетімділікті тексеру, offboarding).
10. Командалар үшін дайындалған сұхбат-скрипттер және сессия кестесі.

14) Жиі қателер және оларды болдырмау

«Қағаздағы саясат» енгізбестен → Jira/ITSM және метрикалармен біріктіріңіз.
Vendor risk → есебін және аудит құқығын талап етіңіз, тізілімді жүргізіңіз.
Жоқ «evidence trail» → артефактілерді жинауды автоматтандырыңыз.
Scope creep in PCI → токенизация және қатаң сегментация.
BCP/DR → жаттығуларын жылына кемінде бір рет кейінге қалдырыңыз.
Құпиялылық игноры → Privacy by Design және DPIA кезінде Definition of Done.

15) Артефактілердің үлгілері (репозиторийде сақтау ұсынылады)

Control Matrix. xlsx (ISO/SOC/PCI/ 27701/22301 мап).
Statement of Applicability (SoA).
Risk Register + бағалау әдістемесі.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/өңдеу тізілімі, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks және жаттығу хаттамалары.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (сауалнамалар, DPA, SLA).
Audit Readiness Checklist (13-бөлімнен).

Шығару

Сертификаттау - бұл бір реттік тексеру емес, басқарылатын процестерді құру жөніндегі жоба. ISO 27001-ден «скелетті» жинаңыз және оны SOC 2 Type II (талап етілетін B2B үшін), PCI DSS 4 толықтырыңыз. 0 (егер карталар бар болса), ISO 27701 (жекелік), ISO 22301 (тұрақтылық), ISO 37301 (жалпы комплаенс) және GLI/eCOGRA/iTech Labs (ойын ерекшелігі). «Дәлелдер фабрикасын» қолдаңыз, артефактілерді жинауды автоматтандырыңыз және тұрақты ішкі аудит жүргізіңіз - осылайша сыртқы аудит болжамды болады және күтпеген жерден өтеді.

💡 Материал шолу сипатында және заң консультациясы болып табылмайды. Нақты юрисдикцияда қолданар алдында талаптарды реттеушілермен және серіктестердің шарттарымен (PSP, базарлар, зертханалар) салыстырып тексеріңіз.
Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.