GH GambleHub

Сертификаты комплаенса и аудита

1) Введение: зачем нужны сертификаты

Для iGaming-платформ сертификация — это не только «галочка» для B2B/B2G-договоров и платежных партнеров, но и системный способ снизить инциденты, ускорить продажи и упростить выход на новые юрисдикции. Важно понимать разницу между сертификацией (официальный сертификат после аудита), аттестацией/аудиторским отчетом (например, SOC 2), самодекларациями и тестовыми отчетами лабораторий (GLI, iTech Labs, eCOGRA).

2) Карта основных стандартов (что, зачем и когда)

НаправлениеСтандарт/подходТипДля кого и когда
Инфобез (ISMS)ISO/IEC 27001:2022СертификацияБазовый «скелет» безопасности для всей компании, обязателен для B2B/энтерпрайз-сделок
ПриватностьISO/IEC 27701 (PIMS)Сертификация (надстройка к 27001)Если работаете с PII в больших масштабах; хорошо «дружит» с GDPR
Устойчивость бизнесаISO 22301СертификацияДля требований непрерывности, регуляторов и ключевых партнеров
СоответствиеISO 37301 (CMS)СертификацияКомплаенс-менеджмент: санкции, этика, регуляторные процессы
Разработка/продуктISO 27034, Secure SDLCРуководство/аудитДля техкоманда/DevSecOps; часто часть доказательной базы к 27001/SOC 2
ОблакоCSA STAR (Level 1–2)Регистрация/сертификацияЕсли вы облачный провайдер/мульти-тенант платформа
AI-процессыISO/IEC 42001СертификацияЕсли используете ИИ в риск-зонах (KYC/AML/ответственная игра/скоринг)
РискиISO 31000РуководствоРамка риск-менеджмента (часто включена в ISMS)
Приватность by designISO 31700-1РуководствоUX и процессы «privacy by design»
Фин. отчетностьSOC 1 (ISAE 3402/SSAE 18)Отчет аудитораКогда клиенты полагаются на ваши контроли в фин-процессах
Безопасность/конфиденциальностьSOC 2 Type IIОтчет аудитора«Золотой стандарт» для SaaS/B2B; часто требуют партнеры
Платежные картыPCI DSS 4.0Сертификация/SAQЕсли храните/обрабатываете/передаете данные карт или делаете топ-апы картой
PSD2/аутентикаSCA/3DSСоответствие/договорыДля EU/UK платежей, антифрод-цепочки
Лабы iGamingGLI-19/GLI-33, eCOGRA, iTech LabsТестовые отчеты/сертификация RNG/игрДля тестов RNG, RTP, интеграций провайдеров и «provably fair»
Крипто-сервисыTravel Rule/санкционный скринингАттестация/политикиДля VASP/биржевых партнерств, on/off-ramp
Защита данных (ЕС и др.)GDPR и локальные PDPA/LGPDСоответствие (нет единого «официального» сертификата)Подтверждается аудитами, DPIA, PIA, ISO 27701 и практиками
💡 Примечание: NIST CSF/CIS Controls — это рамки/методологии, сами по себе обычно не «сертифицируются», но отлично мапятся на ISO/SOC/PCI.

3) Что реально «сертифицируется», а что — нет

Сертификаты третьей стороны: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Отчеты аудитора: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).
Тесты/сертификаты лабораторий: GLI, eCOGRA, iTech Labs (игры, RNG, интеграции).
Соответствие без «единого сертификата»: GDPR/UK GDPR, ePrivacy — подтверждается набором артефактов (реестр обработок, DPIA, политики, DPA, пентесты, ISO 27701, внешние оценки).

4) Матрица соответствий (упрощенная мапа контролей)

Блок контроляISO 27001SOC 2 (CC)PCI DSS 4.0ISO 27701ISO 22301
Управление рискамиA.6/Annex ACC312.25.36.1
Доступ и IAMA.5/A.8CC67/87.4
Логи/мониторингA.8CC7107.5
SDLC/измененияA.8/A.5CC56
ИнцидентыA.5/A.8CC712.107.4.68
ПоставщикиA.5/A.15CC912.887.4
BCP/DRA.5CC7.412.10.4/5Весь стандарт

(Для детальной мапы заведите собственный «Control Matrix.xlsx» с владельцами и доказательствами.)

5) Дорожная карта на 12 месяцев (для платформы iGaming)

Q1 — Фундамент

1. Gap-анализ против ISO 27001 + SOC 2 (выбор Trust Services Criteria).
2. Назначение ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Риск-реестр, классификация данных, карта систем (CMDB), границы аудита (scope).
4. Базовые политики: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (если применимо).

Q2 — Практики и техконтроли

5. IAM (RBAC/ABAC), MFA везде, парольная/секрет-ротации, PAM для админов.
6. Логирование/EDR/SIEM, алерты инцидентов P0/P1, «chain of custody».
7. Secure SDLC: SAST/DAST/SCAs, pull-request правила, прод-доступы через change-board.
8. DR/BCP: RTO/RPO, резервирование, репетиция восстановления (table-top + тех.тест).

Q3 — Доказательная база и «наблюдательный период»

9. Пентест внешнего периметра и ключевых сервисов (включая игры и платежи).
10. Вендор-риск: DPA, SLA, право аудита, отчеты SOC/ISO партнеров, санкционный скрининг.
11. Evidence factory: тикеты, журналы изменений, тренинги, протоколы учений, DPIA.
12. Пред-аудит (internal audit) и корректирующие меры (CAPA).

Q4 — Внешние оценки

13. ISO 27001 Stage 1/2 → сертификат (при готовности).
14. SOC 2 Type II (наблюдательный период ≥ 3–6 мес.).
15. PCI DSS 4.0 (QSA или SAQ, если токенизация/аутсорсинг сокращают scope).
16. GLI/eCOGRA/iTech Labs — по дорожной карте релизов и рынков.

6) «Фабрика доказательств» (что покажете аудитору)

Техконтроли: SSO/MFA-журналы, конфиги IAM, политики паролей, бэкапы/ресторы, шифрование (KMS/HSM), hardening чек-листы, результаты SAST/DAST/SCA, отчеты EDR/SIEM, пентест-отчеты и remediation.
Процессы: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Пост-мортемы, BC/DR протоколы, Vendor due diligence (опросники, DPA, SOC/ISO партнеров), Тренинги (фишинг-симуляции, security awareness).
Приватность: Реестр обработок, DPIA/PIA, DSR-процедуры (access/erase/export), Privacy by Design в фичах, Cookie/Consent логи.
iGaming/лабы: Политика RNG/Provably Fair, результаты тестов/сертификаций, описания математических моделей, RTP-отчеты, контроль изменений билда.

7) PCI DSS 4.0: как уменьшить зону аудита

Максимально токенизируйте и выносите хранение PAN к проверенному PSP.
Сегментируйте сеть (CDE изолирован), запретите «обходные» интеграции.
Утвердите Cardholder Data Flow (диаграммы) и список компонентов в scope.
Настройте ASV-сканы и пентесты; обучите поддержку работе с инцидентами карт.
Рассмотрите SAQ A/A-EP/D в зависимости от архитектуры.

8) SOC 2 Type II: практические советы

Выберите релевантные Trust Services Criteria: Security (обяз.), плюс Availability/Confidentiality/Processing Integrity/Privacy по бизнес-кейсу.
Обеспечьте «наблюдательный период» с непрерывной фиксацией артефактов (как минимум 3–6 месяцев).
Введите Controls Owner на каждый контроль и ежемесячный self-assessment.
Используйте «evidence automation» (скриншоты/экспорты журналов) в тикет-системе.

9) ISO 27701 и GDPR: связка

Стройте PIMS как надстройку к ISMS: роли контролера/процессора, правовые основания обработки, цели хранения, DPIA.
Пропишите DSR-процессы (запросы субъекта) и SLA на их исполнение.
Мапьте 27701 на GDPR-статьи в вашей Матрице контролей для прозрачности аудита.

10) GLI/eCOGRA/iTech Labs: как вписать в SDLC

Версионируйте игровую математику и RTP, храните инварианты; контроль изменений — через релизный регламент.
Поддерживайте «provably fair» описания (commit-reveal/VRF), публичные сиды, инструкции проверки.
Планируйте лабораторные тесты заранее под релизы и рынки; держите общую «Evidence-папку» с темплейтами.

11) Непрерывный комплаенс (continuous compliance)

Дашборд соответствия: контроли × владельцы × статус × артефакты × дедлайны.
Ежеквартальные internal audits и management review.
Автоматизация: инвентаризация активов, IAM-дрейф, конфиг-дрифт, уязвимости, журналирование изменений.
Политики «живые»: PR-мердж-процессы, версионирование, ченджлог.

12) Роли и RACI

ОбластьRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Чек-лист готовности к внешнему аудиту

1. Определенный scope + границы систем/процессов.
2. Полный набор политик и процедур (актуальные версии).
3. Риск-реестр и SoA, выполненные CAPA по прошлым находкам.
4. Протоколы инцидентов и пост-мортемы за период.
5. Пентесты/сканы + устранение критических/высоких уязвимостей.
6. Тренинги и подтверждения прохождения.
7. Договоры/SLAs/DPA с ключевыми поставщиками + отчеты их SOC/ISO/PCI.
8. Доказательства BCP/DR-тестов.
9. Подтверждения IAM-контролей (ревизии доступов, offboarding).
10. Подготовленные интервью-скрипты для команд и расписание сессий.

14) Частые ошибки и как их избежать

«Политики на бумаге» без внедрения → интегрируйте с Jira/ITSM и метриками.
Недооценка vendor risk → требуйте отчеты и права аудита, ведите реестр.
Нет «evidence trail» → автоматизируйте сбор артефактов.
Scope creep в PCI → токенизация и строгая сегментация.
Откладывание BCP/DR → делайте учения хотя бы раз в год.
Игнор приватности при фичах → Privacy by Design и DPIA в Definition of Done.

15) Шаблоны артефактов (рекомендуется держать в репозитории)

Control Matrix.xlsx (мапа ISO/SOC/PCI/27701/22301).
Statement of Applicability (SoA).
Risk Register + методика оценки.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/реестр обработок, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks и протоколы учений.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (опросники, DPA, SLA).
Audit Readiness Checklist (из раздела 13).

Вывод

Сертификация — это проект по построению управляемых процессов, а не разовая проверка. Соберите «скелет» из ISO 27001 и дополните его SOC 2 Type II (для требовательных B2B), PCI DSS 4.0 (если есть карты), ISO 27701 (приватность), ISO 22301 (устойчивость), ISO 37301 (общий комплаенс) и GLI/eCOGRA/iTech Labs (игровая специфика). Поддерживайте «фабрику доказательств», автоматизируйте сбор артефактов и проводите регулярные внутренние аудиты — так внешний аудит станет предсказуемым и пройдет без сюрпризов.

💡 Материал носит обзорный характер и не является юридической консультацией. Перед применением в конкретной юрисдикции сверяйте требования с регуляторами и условиями партнеров (PSP, маркетплейсы, лаборатории).
Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.