GH GambleHub

Certyfikaty zgodności i audytu

1) Wprowadzenie: dlaczego certyfikaty są potrzebne

Dla platform iGaming certyfikacja jest nie tylko kleszczem dla B2B/B2G umów i partnerów płatniczych, ale także systematycznym sposobem na ograniczenie incydentów, przyspieszenie sprzedaży i uproszczenie dostępu do nowych jurysdykcji. Ważne jest zrozumienie różnicy między certyfikacją (urzędowy certyfikat po audycie), poświadczeniem/sprawozdaniem z audytu (np. SOC 2), deklaracje własne i raporty z badań laboratoryjnych (GLI, iTech Labs, eCOGRA).

2) Mapa podstawowych standardów (co, dlaczego i kiedy)

KierunekStandardowe/podejścieTypDla kogo i kiedy
Baza informacji (ISMS)ISO/IEC 27001:2022CertyfikacjaPodstawowy „szkielet” zabezpieczenia dla całej firmy, obowiązkowy dla transakcji B2B/enterprise
PrywatnośćISO/IEC 27701 (PIMS)Certyfikacja (dodatek do 27001)Jeśli pracujesz z PII na dużą skalę; „przyjaciele” z RODO
Odporność przedsiębiorstwISO 22301CertyfikacjaWymogi dotyczące ciągłości, organy regulacyjne i kluczowi partnerzy
ZgodnośćISO 37301 (CMS)CertyfikacjaZarządzanie przestrzeganiem przepisów: sankcje, etyka, procesy regulacyjne
Rozwój/ProduktISO 27034, bezpieczne SDLCZarządzanie/audytDla zespołu technicznego/DevSecOp; często część bazy dowodów dla 27001/SOC 2
ChmuraCSA STAR (poziom 1-2)Rejestracja/CertyfikacjaJeśli jesteś dostawcą chmury/platformą dla wielu najemców
Procesy sztucznej inteligencjiISO/IEC 42001CertyfikacjaW przypadku stosowania AI w strefach ryzyka (KYC/AML/responsible play/scoring)
RyzykoISO 31000PrzywództwoRamy zarządzania ryzykiem (często uwzględniane w ISMS)
Prywatność według projektuISO 31700-1PrzywództwoUX i prywatność według procesów projektowania
Sprawozdawczość FinaSOC 1 (ISAE 3402/SSAE 18)Sprawozdanie audytoraGdy klienci polegają na kontrolach procesów płetwowych
Bezpieczeństwo/prywatnośćSOC 2 Typ IISprawozdanie audytoraZłoty Standard dla SaaS/B2B; często wymagane przez partnerów
Karty płatniczePCI DSS 4. 0Certyfikacja/SAQJeśli przechowujesz/przetwarzasz/przesyłasz dane karty lub dokonujesz uzupełnień kartą
PSD2/AuthenticationSCA/3DSZgodność/UmowyW przypadku płatności UE/Wielka Brytania - łańcuch zwalczania nadużyć finansowych
iGaming LabsGLI-19/GLI-33, eCOGRA, iTech LabsRaporty z testów/Certyfikacja RNG/GryDo testów RNG, RTP, ISP i „dość sprawiedliwych”
Usługi kryptograficzneRegulamin podróży/kontrola sankcjiPoświadczenie/PolitykaW przypadku partnerstw VASP/wymiany, na/off-ramp
Ochrona danych (UE itd.)RODO i lokalna PDPA/LGPDZgodność (brak jednego „urzędowego” certyfikatu)Potwierdzone audytami, DPIA, PIA, ISO 27701 i praktykami
💡 Uwaga: NIST CSF/CIS Controls to ramy/metodologie, zwykle nie „certyfikowane” przez siebie, ale mapa idealnie do ISO/SOC/PCI.

3) Co jest naprawdę „certyfikowane”, a co nie

Certyfikaty osób trzecich: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Sprawozdania audytora: SOC 2 typ I/II, SOC 1 typ I/II (ISAE 3402/SSAE 18).
Testy/certyfikaty laboratoryjne: GLI, eCOGRA, iTech Labs (gry, RNG, integracje).
Zgodność bez „jednego certyfikatu”: RODO/UK RODO, ePrivacy - potwierdzone przez zestaw artefaktów (rejestr zabiegów, DPIA, polityki, DPA, pentests, ISO 27701, oceny zewnętrzne).

4) Matryca korespondencyjna (uproszczona mapa sterowania)

Jednostka sterującaISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Zarządzanie ryzykiemA.6/Annex ACC312. 25. 36. 1
Dostęp i IAMA.5/A. 8CC67/87. 4
Dzienniki/monitorowanieA.8CC7107. 5
SDLC/ZmianyA.8/A. 5CC56
IncydentyA.5/A. 8CC712. 107. 4. 68
DostawcyA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Cały standard

(Aby uzyskać szczegółową mapę, uruchom własną "Matrycę sterowania. xlsx" z właścicielami i dowodami.)

5) 12-miesięczny plan działania (dla platformy iGaming)

Q1 - Fundacja

1. Analiza luk kontra ISO 27001 + SOC 2 (wybór kryteriów usług zaufania).
2. Cel ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Rejestr ryzyka, klasyfikacja danych, mapa systemu (CMDB), granice audytu (zakres).
4. Podstawowe zasady: ISMS, Dostęp, SDLC, Zmiana, Incydent, Sprzedawca, Crypto/Key Mgmt, Prywatność, Sankcje/AML (jeśli dotyczy).

Q2 - Praktyki i kontrole techniczne

5. IAM (RBAC/ABAC), MFA wszędzie, hasło/tajna rotacja, PAM dla administratorów.
6. Rejestrowanie/EDR/SIEM, wpisy o incydentach P0/P1, „łańcuch aresztowania”.
7. Bezpieczne SDLC: SAST/DAST/SCA, zasady pull-request, dostęp do sprzedaży za pośrednictwem tablicy zmian.
8. DR/BCP: RTO/RPO, kopia zapasowa, próba przywrócenia (table-top + tech. badanie).

P3 - Podstawa dowodowa i „okres obserwacji”

9. Pentest z obwodu zewnętrznego i kluczowych usług (w tym gier i płatności).
10. Ryzyko sprzedawcy: DPA, SLA, instytucja audytowa, raporty SOC/ISO partnerów, kontrola sankcji.
11. Fabryka dowodów: bilety, dzienniki zmian, szkolenia, protokoły ćwiczeń, DPIA.
12. Audyt wstępny (audyt wewnętrzny) i działania naprawcze (CAPA).

Q4 - Oceny zewnętrzne

13. ISO 27001 Etap 1/2 → certyfikat (gdy jest gotowy).
14. SOC 2 typ II (okres obserwacji ≥ 3-6 miesięcy).
15. PCI DSS 4. 0 (QSA lub SAQ, jeśli tokenizacja/outsourcing zmniejsza zakres).
16. GLI/eCOGRA/iTech Labs - na mapie drogowej wydań i rynków.

6) Fabryka dowodów (co pokazujesz audytorowi)

Sterowanie techniczne: dzienniki SSO/MFA, konfiguracje IAM, zasady hasła, kopie zapasowe/wrestlery, szyfrowanie (KMS/HSM), listy kontrolne hartowania, wyniki SAST/DAST/SCA, raporty EDR/SIEM, raporty pentest i rekultywacja.
Procesy: rejestr ryzyka, SoA (oświadczenie o możliwości zastosowania), bilety zmian, raporty incydentów (P0-P2), pośmiertne, protokoły BC/DR, due diligence sprzedawcy (kwestionariusze, DPA, partnerzy SOC/ISO), szkolenia (symulacje phishingowe, świadomość bezpieczeństwa).
Prywatność: Rejestr przetwarzania, DPIA/PIA, procedury DSR (dostęp/usunięcie/eksport), Prywatność przez Design w funkcjach, Pliki cookie/Dzienniki zgody.
iGaming/labs: RNG/Fairly Fair polityka, wyniki testów/certyfikacji, opisy modeli matematycznych, raporty RTP, budowa kontroli zmian.

7) PCI DSS 4. 0: Jak zmniejszyć strefę audytu

Tokenizuj jak najwięcej i przynieś magazyn PAN do testowanego PSP.
Segment sieci (CDE jest odizolowany), zakazać integracji „bypass”.
Zatwierdzenie przepływu danych posiadacza karty oraz listy komponentów w zakresie.
skonfigurować testy ASV i penetracji; Wsparcie pociągu do radzenia sobie z incydentami kart.
Rozważmy SAQ A/A-EP/D w zależności od architektury.

8) SOC 2 Typ II: Praktyczne wskazówki

Wybierz odpowiednie kryteria usług zaufania: bezpieczeństwo, a także dostępność/poufność/przetwarzanie integralności/prywatność według przypadków biznesowych.
Zapewnić „okres obserwacji” z ciągłym utrwaleniem artefaktu (co najmniej 3-6 miesięcy).
Wprowadź opcję Właściciel kontroli dla każdej kontroli i miesięczną samoocenę.
Użyj „automatyzacji dowodów” (zrzuty ekranu/dzienniki eksportu) w systemie biletów.

9) ISO 27701 i RODO: pakiet

Zbuduj PIMS jako dodatek do ISMS: role kontrolera/procesora, podstawy prawne przetwarzania, cele przechowywania, DPIA.
Zapisz procesy DSR (żądania podmiotu) i SLA do ich wykonania.
Mapa 27701 do RODO artykuły w matrycy kontroli dla przejrzystości audytu.

10) GLI/eCOGRA/iTech Labs: Jak zmieścić się w SDLC

Wersja matematyka gry i RTP, sklep niezmienne; zmiana kontroli - poprzez przepisy o zwolnieniu.
Obsługa „dość sprawiedliwych” opisów (commit-reveal/VRF), stron publicznych, instrukcji weryfikacyjnych.
planowanie z wyprzedzeniem badań laboratoryjnych dotyczących uwolnień i rynków; zachować wspólny „folder dowodowy” z szablonami.

11) Ciągła zgodność

Deska rozdzielcza zgodności: kontrole × właściciele × status × artefakty × terminy.
Kwartalne audyty wewnętrzne i przegląd zarządzania.
Automatyzacja: inwentaryzacja aktywów, dryf IAM, dryf konfiguracyjny, luki, rejestrowanie zmian.
Politycy są „żywi”: procesy fuzji PR, wersioning, changelog.

12) Role i RACI

ObszarRACJA
ISMS/ISO 27001Sekopy prowadząCISOLegalne, ITExec, zespoły
SOC 2Ołów GRCCISOAudytor, DevSprzedaż
PWZ DSSOłów PWZCTOPSP/QSA, SecOpWsparcie
Privacy/27701DPOCOOLegalny, produktWprowadzanie do obrotu
GLI/eCOGRAOłów QACPTOStudio, matematykaZgodność
BCP/22301Właściciel BCMCOOIT, SecOpsWszystkie

13) Lista kontrolna gotowości audytu zewnętrznego

1. Zdefiniowany zakres + granice systemu/procesu.
2. Kompletny zestaw zasad i procedur (aktualne wersje).
3. Rejestr ryzyka i SoA przeprowadzone przez CAPA na temat wcześniejszych ustaleń.
4. Incydent i raporty pośmiertne za ten okres.
5. Pentests/skany + eliminacja krytycznych/wysokich luk.
6. Szkolenia i dowód ukończenia.
7. Umowy/SLAs/DPA z kluczowymi dostawcami + zgłaszają swoje SOC/ISO/PCI.
8. Dowody na testy BCP/DR.
9. Potwierdzenie kontroli IAM (korekty dostępu, offboarding).
10. Przygotowane skrypty wywiadów dla zespołów i harmonogram sesji.

14) Częste błędy i sposób ich unikania

„Polityki na papierze” bez wdrożenia → zintegrować z Jira/ITSM i metryki.
Niedoceniane ryzyko sprzedawcy → żądać raportów i praw audytu, prowadzić rejestr.
Brak „śladu dowodowego” → automatyczna kolekcja artefaktów.
Zakres pełzania w PCI → tokenizacja i ścisła segmentacja.
Opóźnianie BCP/DR → wykonywać ćwiczenia co najmniej raz w roku.
Ignoruj prywatność z → Privacy by Design i DPIA w Definicji Done.

15) Szablony artefaktów (zalecane do przechowywania w repozytorium)

Matryca kontrolna. xlsx (mapa ISO/SOC/PCI/ 27701/22301).
Oświadczenie o stosowaniu (SoA).
Rejestr ryzyka + metodologia oceny.
Polityka ISMS (Access, Crypto, SDLC, Incydent, Vendor, Logging, BYOD, Remote Work ма.) .
Pakiet prywatności (rejestr RoPA/leczenia, DPIA, odtwarzacz DSR, pliki cookie/zgoda).
BCP/DR Runbooks i protokoły ćwiczeń.
Raporty Pentest + Plan naprawy.
Zestaw due diligence vendor (kwestionariusze, DPA, SLA).
Lista kontrolna gotowości do kontroli (z sekcji 13).

Wyjście

Certyfikacja to projekt budowania zarządzanych procesów, a nie jednorazowej kontroli. Montaż „szkieletu” z ISO 27001 i uzupełnienie go SOC 2 Typ II (dla wymagających B2B), PCI DSS 4. 0 (jeśli karty są dostępne), ISO 27701 (prywatność), ISO 22301 (zrównoważony rozwój), ISO 37301 (zgodność ogólna) i GLI/eCOGRA/iTech Labs (specyfikacja gier). Utrzymuj „fabrykę dowodów”, zautomatyzuj zbieranie artefaktów i przeprowadzaj regularne audyty wewnętrzne - w ten sposób zewnętrzne audyty staną się przewidywalne i przejdą bez niespodzianek.

💡 Materiał ma charakter ogólny i nie jest poradą prawną. Przed zastosowaniem w określonej jurysdykcji sprawdź wymagania z regulatorami i warunkami partnerskimi (PSP, targowiska, laboratoria).
Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.