GH GambleHub

Certificados de complacência e auditoria

1) Introdução: por que precisa de certificados

Para as plataformas iGaming, a certificação não é apenas um «selo» para contratos B2B/B2G e parceiros de pagamento, mas também uma forma sistêmica de reduzir os incidentes, acelerar as vendas e facilitar a entrada em novas jurisdições. É importante compreender a diferença entre certificação (certificado oficial pós-auditoria), avaliação/relatório de auditoria (por exemplo, SOC 2), autocracias e relatórios de testes laboratoriais (GLI, iTech Labs, eCOGRA).

2) Mapa dos padrões básicos (o que, porquê e quando)

DireçãoPadrão/AbordagemTipoPara quem e quando
Infobeso (ISMS)ISO/IEC 27001:2022CertificaçãoO «esqueleto» básico de segurança para toda a empresa é obrigatório para transações B2V/enterprise
PrivacidadeISO/IEC 27701 (PIMS)Certificação (complemento 27001)Se você trabalhar com PII em grande escala; bom «amigo» do GDPR
Sustentabilidade empresarialISO 22301CertificaçãoPara requisitos de continuidade, reguladores e parceiros-chave
ConformidadeISO 37301 (CMS)CertificaçãoGestão completa: sanções, ética, processos regulatórios
Desenvolvimento/produtoISO 27034, Secure SDLCManual/auditoriaPara tecnologia/DevSecOps; muitas vezes parte da base de provas para 27001/SOC 2
NuvemCSA STAR (Level 1–2)Registro/certificaçãoSe você é um provedor de nuvem/plataforma multi-tenante
Processos AIISO/IEC 42001CertificaçãoSe usar a IA em áreas de risco (KYC/AML/jogo responsável/mapeamento)
RiscosISO 31000ManualMoldura de gerenciamento de risco (muitas vezes incluído no ISMS)
Privacidade by designISO 31700-1ManualUX e processos «private by design»
Finn. relatóriosSOC 1 (ISAE 3402/SSAE 18)Relatório do auditorQuando os clientes dependem dos seus controles em processos finos
Segurança/privacidadeSOC 2 Type IIRelatório do auditorPadrão de ouro para SaaS/B2B; frequentemente exigem parceiros
Cartões de pagamentoPCI DSS 4. 0Certificação/SAQSe armazenar/processar/entregar dados de cartão ou fazer top-ups com cartão
PSD2/AutenticaSCA/3DSConformidade/contratosPara pagamentos EU/UK, cadeias antifrode
As lábias iGamingGLI-19/GLI-33, eCOGRA, iTech LabsRelatórios de teste/certificação RNG/jogosPara testes RNG, RTP, integrações de provedores e «provably fair»
Serviços CriptoTravel Rule/screening de sançõesAvaliação/políticasPara as parcerias VASP/bolsa, on/off-ramp
Proteção de dados (UE, etc)GDPR e PDPA/LGPD localConformidade (não há um único certificado «oficial»)Confirmado por auditorias, DPIA, PIA, ISO 27701 e práticas
💡 Nota: NIST CSF/CIS Controls é um marco/metodologia que normalmente não é «certificado», mas é perfeitamente mapeado em ISO/SOC/PCI.

3) O que é realmente «certificado» e o que não é

Certificados de terceiros ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA Star Level 2.
Relatórios do auditor: SOC 2 Tipo I/II, SOC 1 Tipo I/II (ISAE 3402/SSAE 18).
Testes/certificados laboratórios: GLI, eCOGRA, iTech Labs (jogos, RNG, integração).
Correspondência sem «certificado único»: GDPR/UK GDPR, ePrivacy - confirmado por um conjunto de artefatos (registro de ganhos, DPIA, políticas, DPA, Pentestais, ISO 27701, avaliações externas).

4) Matriz de conformidade (controlador mapeado simplificado)

Bloco de controleISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Gerenciamento de riscosA.6/Annex ACC312. 25. 36. 1
Acesso e IAMA.5/A. 8CC67/87. 4
Logi/MonitoramentoA.8CC7107. 5
SDLC/alteraçõesA.8/A. 5CC56
IncidentesA.5/A. 8CC712. 107. 4. 68
FornecedoresA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Todo o padrão

(Para um mapeamento detalhado, instale o seu próprio "Controle Matrix. xlsx" com proprietários e provas.)

5) Mapa de trânsito de 12 meses (para plataforma iGaming)

Q1 - Fundações

1. Análise Gap contra ISO 27001 + SOC 2 (seleção Trust Services Criteria).
2. Destino ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Registro de risco, classificação de dados, mapa de sistemas (CMDB), limites de auditoria (scope).
4. Políticas básicas: ISMS, Access, SDLC, Mudança, Invision, Vendor, Crypto/Key Mgmt, Privaciy, Santions/AML (se aplicável).

Q2 - Práticas e controle técnico

5. IAM (RBAC/ABAC), MFA em todos os lugares, senha/segredo rotativo, PAM para almirantes.
6. Loging/EDR/SIEM, alertas de incidentes P0/P1, «chain of custody».
7. Secure SDLC: SAST/DAST/SCAs, regras de pull-request, acessibilidade de prod através de mudança-board.
8. DR./BCP: RTO/RPO, reserva, ensaio de recuperação (mesa-top + tecnologia. Teste).

Q3 - Base de provas e «período de observação»

9. Pentest de perímetro externo e serviços essenciais (incluindo jogos e pagamentos).
10. Risco vendedor: DPA, SLA, direito de auditoria, relatórios SOC/ISO associados, screening de sanções.
11. Evidence factory: tíquetes, revistas de alterações, treinamento, protocolos de exercício, DPIA.
12. Pré-auditoria e Medidas de Ajuste (CAPA).

Q4 - Avaliações externas

13. ISO 27001 Station 1/2 → certificado (quando pronto).
14. SOC 2 Tipo II (período de observação ≥ 3-6 m.).
15. PCI DSS 4. 0 (QSA ou SAQ, se a toquenização/outsourcing reduzir o scope).
16. GLI/eCOGRA/iTech Labs - no Mapa de Lançamento e Mercado.

6) «Fábrica de provas» (o que mostrar ao auditor)

Controle técnico: registros SSO/MFA, configs IAM, políticas de senhas, backaps/restrutores, criptografia (KMS/HSM), arquivos de cheque hardening, resultados SAST/DAST/SCA, relatórios EDR/SIEM, relatórios de pentest e remediações.
Processos: Risk Registrer, SoA, Mudança tickets, Invent reports (P0-P2), Pós-Mortems, BC/DR. Protocolos, Vendor de Dados (DPA, SOC/ISO Associados), treinamentos (simulações de phishing, security awareness).
Privacidade: Registro de ganhos, DPIA/PIA, procedimentos DSR (access/erase/export), Privaciy by Design em fichas, Cookie/Consent Logs.
iGaming/lab: Política de RNG/Provably Fair, resultados de testes/certificações, descrições de modelos matemáticos, relatórios RTP, controle de alterações de bild.

7) PCI DSS 4. 0: como reduzir a área de auditoria

Torne o máximo possível e leve o armazenamento PAN ao PSP verificado.
Segmenta a rede (CDE isolada) e impeça a integração de volta.
Aprove o Cardholder Data Flow (diagramas) e a lista de componentes no scope.
Configure os scans ASV e os pentestais; treine apoio para lidar com incidentes de cartão.
Considere o SAQ A/A-EP/D, dependendo da arquitetura.

8) SOC 2 Tipo II: dicas práticas

Selecione Trust Services Criteria: Security ( .) , além de Availability/Confidentity/Processing Integrity/Private para a mala de negócios.
Forneça um «período de observação» com fixação contínua dos artefatos (pelo menos 3 a 6 meses).
Digite o Controls Owner para cada controle e self-assessment mensal.
Use «evidence automation» (ecrã/exportação de revistas) no sistema tíquete.

9) ISO 27701 e GDPR: ligamento

Construa o PIMS como um complemento ISMS: funções de controlador/processador, base legal de processamento, fins de armazenamento, DPIA.
Introduza os processos DSR (solicitações do sujeito) e SLA para executá-los.
Mapeie 27701 em artigos GDPR na sua Matriz de Controle para transparência de auditoria.

10) GLI/eCOGRA/iTech Labs: como encaixar no SDLC

Versionize matemática de jogo e RTP, armazenando invariantes; controlar as alterações através do regulamento de lançamento.
Suporte «provably fair» descrições (commit-reveal/ERRF), assentos públicos, instruções de verificação.
Planeje testes de laboratório antecipados para lançamentos e mercados; mantenha a pasta «Evidence» compartilhada.

11) Complacência contínua (contínuo compliance)

Dashboard conformidade: x proprietários x status x artefatos x deadline.
Internal audits trimestrais e gestão review.
Automação: inventário de ativos, deriva IAM, drible config, vulnerabilidades, registo de alterações.
Políticos vivos, processos PR-merj, versionização, chenglogista.

12) Papéis e RACI

ÁreaRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Folha de cheque pronta para auditoria externa

1. Scope + limites de sistemas/processos definidos.
2. Um conjunto completo de políticas e procedimentos (versões atuais).
3. Registro de risco e SoA feitos pela CAPA com base em descobertas anteriores.
4. Relatórios de incidentes e pós-mortem no período.
5. Pentestes/scans + eliminar vulnerabilidades críticas/elevadas.
6. Treinamento e confirmação da passagem.
7. Contratos/SLAs/DPA com fornecedores-chave + relatórios de seu SOC/ISO/PCI.
8. Provas de testes BCP/Dr.
9. Confirmações dos controladores IAM (revisões de acessibilidade, offboarding).
10. As entrevistas preparadas para as equipes e os horários das sessões.

14) Erros frequentes e como evitá-los

«Políticas no papel» sem implementação → integre com Jira/ITSM e métricas.
Subestimar vendor risk → exija relatórios e permissões de auditoria, mantenha o registro.
Não há «evidence trail» → automatize a coleta de artefatos.
O Scope creep no PCI → torneado e segmentação rigorosa.
Adiar o BCP/DR. → faça exercícios pelo menos uma vez por ano.
Ignora privacidade com as fichas → Private by Design e DPIA em Definition de Done.

15) Modelos de artefato (recomendado para manter no repositório)

Control Matrix. xlsx (mapha ISO/SOC/PCI/ 27701/22301).
Statement of Applicability (SoA).
Risk Register + metodologia de avaliação.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Private Pack (RoPA/Registro de remuneração, DPIA, DSR playbook, Cookie/Consent).
BCP/DR. Runbooks e protocolos de exercício.
Pentest Reports + Remediation Plan.
Vendor Du Diligence Kit (sondagens, DPA, SLA).
Check Readiness Checklist (seção 13).

Saída

A certificação é um projeto de construção de processos controlados, não uma verificação única. Junte o «esqueleto» do ISO 27001 e complemente o SOC 2 Tipo II (para B2B exigentes), PCI DSS 4. 0 (se houver cartões), ISO 27701 (privacidade), ISO 22301 (sustentabilidade), ISO 37301 (complexidade geral) e GLI/eCOGRA/iTech Labs (especificidades de jogo). Mantenha a «fábrica de provas», automatize a coleta de artefatos e faça auditorias internas regulares, tornando a auditoria externa previsível e sem surpresas.

💡 A matéria é de revisão e não é um aconselhamento legal. Antes de usar uma jurisdição específica, verifique os requisitos com os reguladores e os termos dos parceiros (PSP, marketplace, laboratórios).
Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.