Шаҳодатномаҳои мутобиқат ва аудит

1) Муқаддима: чаро шаҳодатномаҳо лозиманд

Барои платформаҳои IGaming, сертификатсия на танҳо нишонаи шартномаҳо ва шарикони пардохт, балки роҳи систематикии коҳиш додани ҳодисаҳо, суръат бахшидани фурӯш ва содда кардани дастрасӣ ба қаламравҳои нав мебошад. Фаҳмидани фарқи байни сертификатсия (шаҳодатномаи расмӣ пас аз аудит), ҳисоботи аттестатсия/аудит (масалан) муҳим аст. SOC 2), эъломияҳои худ ва гузоришҳои озмоишии лабораторӣ (GLI, i

2) Харитаи стандартҳои асосӣ (чӣ, чаро ва кай)

3) Он чизе ки дар ҳақиқат "сертификатсия шудааст" ва он чизе нест

Сертификатҳои тарафи сеюм: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Ҳисоботҳои аудитор: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).

Санҷишҳо/шаҳодатномаҳои лабораторӣ: GLI, e

Мутобиқат бидуни "шаҳодатномаи ягона": GDPR/UK GDPR, EPsyervice - бо маҷмӯи артефактҳо тасдиқ карда шудааст (феҳристи табобат, DPIA, сиёсатҳо, DPA, пентестҳо, ISO 27701, арзёбиҳои беруна).

4) Матритсаи мукотиба (харитаи соддакардашудаи назорат)

(Барои харитаи муфассал, "Матритсаи назоратӣ" -ро оғоз кунед. xlsx" бо соҳибон ва далелҳо.)

5) Харитаи роҳ 12 моҳ (барои платформаи IGaming)

Q1 - Бунёд

1. Таҳлили Gap vs. ISO 27001 + SOC 2 (Интихоби меъёрҳои хадамоти эътимод).
2. Мақсади ISMS-Lead, DPO, соҳиби BCM, PCI-Lead.
3. Феҳристи хатарҳо, таснифи маълумот, харитаи система (CMDB), ҳудуди аудит (миқёс).
4. Сиёсати асосӣ: ISMS, дастрасӣ, SDLC, тағирот, ҳодиса, фурӯшанда, Crypto/Key Mgmt, махфият, санксияҳо/AML (агар лозим бошад).

Q2 - Амалияҳо ва назорати техникӣ

5. IAM (RBAC/ABAC), ВКХ дар ҳама ҷо, парол/гардиши махфӣ, PAM барои маъмурон.
6. Воридшавӣ/EDR/SIEM, огоҳиҳо дар бораи ҳодисаҳои P0/P1, "занҷири ҳабс".
7. SDLC-и бехатар: SAST/DAST/SCA, қоидаҳои дархост, дастрасӣ ба фурӯш тавассути тахтаи ивазкунӣ.
8. DR/BCP: RTO/RPO, нусхабардорӣ, барқарор кардани репетиция (ҷадвали боло + технология). санҷиш).

Q3 - Пойгоҳи далелҳо ва "давраи мушоҳида"

9. Пентести периметри беруна ва хидматҳои асосӣ (аз ҷумла бозиҳо ва пардохтҳо).
10. Хатари фурӯшанда: DPA, SLA, мақомоти аудит, гузоришҳои шарики SOC/ISO, таҳқиқи санксия.
11. Фабрикаи далелҳо: чиптаҳо, гузоришҳои тағирёбанда, тренингҳо, протоколҳои машқҳо, DPIA.
12. Аудити пешакӣ (аудити дохилӣ) ва амалҳои ислоҳӣ (CAPA).

Q4 - Арзёбии беруна

13. ISO 27001 Марҳилаи 1/2 → сертификат (ҳангоми тайёр шудан).
14. SOC 2 Намуди II (давраи мушоҳида ≥ 3-6 моҳ).
15. PCI DSS 4 НЕСТ. 0 (QSA ё SAQ, агар токенизатсия/аутсорсинг миқёсро коҳиш диҳад).
16. GLI/e-COGRA/ITech Labs - дар харитаи роҳ релизҳо ва бозорҳо.

6) Фабрикаи далелҳо (он чизе ки шумо аудиторро нишон медиҳед)

Назорати техникӣ: гузоришҳои SSO/MFA, конфигуратсияҳои IAM, сиёсати парол, нусхабардорӣ/паҳлавонон, рамзгузорӣ (KMS/HSM), рӯйхати санҷишҳо, натиҷаҳои SAST/DAST/SCA, гузоришҳои EDR/SIEM, гузоришҳои пентест ва барқарорсозӣ.
Равандҳо: Феҳристи хавфҳо, SO (Изҳороти татбиқ), Чиптаҳои тағирот, Ҳисобот дар бораи ҳодисаҳо (P0-P2), Пост-марг, Протоколҳои BC/DR, Санҷиши дурусти фурӯшанда (саволномаҳо, DPA, SOC/шарикони ISO), Тренингҳо (симулятсияҳои фишинг, огоҳӣ дар бораи амният).
Махфият: Феҳристи коркард, DPIA/PIA, тартиботи DSR (дастрасӣ/нест кардан/содирот), махфият аз рӯи тарроҳӣ дар хусусиятҳо, гузоришҳои куки/ризоият.
IGaming/лабораторияҳо: RNG/Сиёсати одилона, натиҷаҳои санҷиш/сертификатсия, тавсифи модели математикӣ, гузоришҳои RTP, эҷоди назорати тағирот.

7) PCI DSS 4. 0: Чӣ гуна минтақаи аудитро кам кардан мумкин аст

То ҳадди имкон токенизатсия кунед ва захираи PAN-ро ба PSP-и санҷидашуда биёред.
Сегменти шабака (CDE ҷудо карда шудааст), ҳамгироии "гузариш" -ро манъ мекунад.
Тасдиқи ҷараёни додаҳои Cardholder ва рӯйхати ҷузъҳои миқёс.
Танзими сканҳои ASV ва санҷишҳои воридшавӣ; дастгирии қатора барои мубориза бо ҳодисаҳои кортӣ.
SAQ A/A-EP/D-ро вобаста ба меъморӣ баррасӣ кунед.

8) SOC 2 Намуди II: Маслиҳатҳои амалӣ

Меъёрҳои дахлдори хадамоти эътимодро интихоб кунед: Амният, илова бар ин мавҷудият/махфият/коркарди якпорчагӣ/махфият аз рӯи парвандаи корӣ.
Таъмини "давраи мушоҳида" бо мустаҳкамкунии артефакт (ҳадди аққал 3-6 моҳ).
Барои ҳар як назорат ва худбаҳодиҳии ҳармоҳа соҳиби назоратро ворид кунед.
Дар системаи чипта "автоматикунонии далелҳо" (скриншотҳо/гузоришҳои содиротӣ) -ро истифода баред.

9) ISO 27701 ва GDPR: баста

PIMS-ро ҳамчун илова ба ISMS созед: нақшҳои назораткунанда/протсессорӣ, заминаи ҳуқуқӣ барои коркард, ҳадафҳои нигоҳдорӣ, DPIA.
Равандҳои DSR (дархостҳои мавзӯъ) ва SLA-ро барои иҷрои онҳо нависед.
Барои шаффофияти аудит ба мақолаҳои GDPR дар Матритсаи Идоракунии худ харита 27701.

10) Лабораторияҳои GLI/eCOGRA/ITech: Чӣ гуна бояд ба SDLC мувофиқат кунад

Математикаи бозии версия ва RTP, инвариантҳо нигоҳ доред; тағир додани назорат - тавассути қоидаҳои озодкунӣ.
Дастгирии тавсифи "ба таври одилона" (содир-ошкор/VRF), тарафҳои ҷамъиятӣ, дастурҳои санҷиш.
Пешакӣ озмоишҳои лабораториро барои релизҳо ва бозорҳо ба нақша гиред; нигоҳ доштани "Феҳристи далелҳо" бо қолибҳо.

11) Риояи доимӣ

Панели назоратӣ: соҳибони ҳолати артефактҳо мӯҳлатҳоро назорат мекунад.
Ҳар семоҳа аудити дохилӣ ва баррасии идоракунӣ.
Автоматика: инвентаризатсияи дороиҳо, кашиши IAM, кашидани конфигуратсия, осебпазирӣ, сабти тағирот.
Сиёсатмадорон "зинда" ҳастанд: равандҳои PR-якҷоя, версия, changelog.

12) Нақшҳо ва RACI

13) Рӯйхати санҷиши омодагии аудити беруна

1. Ҳудуди муайяншуда + ҳудуди система/раванд.
2. Маҷмӯи пурраи сиёсатҳо ва тартибот (версияҳои ҷорӣ).
3. Феҳристи хавфҳо ва СО аз ҷониби CAPA оид ба бозёфтҳои гузашта.
4. Ҳисобот дар бораи ҳодисаҳо ва пас аз марг дар ин давра.
5. Пентестҳо/сканҳо + рафъи осебҳои интиқодӣ/баланд.
6. Тренингҳо ва исботи анҷом.
7. Шартномаҳо/SLA/DPA бо таъминкунандагони асосӣ + дар бораи SOC/ISO/PCI гузориш медиҳанд.
8. Далели санҷишҳои BCP/DR.
9. Тасдиқи назорати IAM (нусхаҳои дастрасӣ, offboard).
10. Скриптҳои мусоҳиба барои гурӯҳҳо ва ҷадвали сессия омода карда шуданд.

14) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

"Сиёсатҳо дар коғаз" бидуни татбиқ → бо Jira/ITSM ва ченакҳо ҳамҷоя карда мешаванд.
Хатари фурӯшанда ба қадри кофӣ арзёбӣ карда намешавад ва ҳисобот ва ҳуқуқҳои аудиториро талаб мекунад, феҳристро нигоҳ доред.
Не "пайроҳаи далелҳо" → автоматикунонии ҷамъоварии артефактҳо.
Ҳаҷм дар PCI → токенизатсия ва сегментатсияи қатъӣ.
Таъхири BCP/DR → на камтар аз як маротиба дар як сол машқ мекунад.
Аз тариқи тарроҳӣ ва DPIA дар таърифи Иҷро махфиятро сарфи назар кунед.

15) Қолабҳои артифактӣ (тавсия дода мешавад, ки дар анбор нигоҳ дошта шаванд)

Матритсаи назоратӣ. xlsx (харитаи ISO/SOC/PCI/ 27701/22301).

Изҳороти татбиқ (So

Феҳристи хавфҳо + методологияи арзёбӣ.
Сиёсатҳои ISMS (Дастрасӣ, крипто, SDLC, ҳодиса, фурӯшанда, сабти ном, BYOD, кори дурдаст и др.) .
Бастаи дахолатнопазирӣ (Феҳристи муомилот/Сабти табобат, DPIA, китоби бозикунии DSR, куки/ризоият).
BCP/DR Runbooks ва протоколҳои машқ.
Ҳисоботҳои Pentest + Нақшаи барқарорсозӣ.
Маҷмӯаи фурӯшанда (саволномаҳо, DPA, SLA).
Рӯйхати санҷиши омодагии аудит (аз фасли 13).

Баромад

Сертификатсия лоиҳаест барои сохтани равандҳои идорашаванда, на санҷиши яквақта. "Скелет" -ро аз ISO 27001 ҷамъ кунед ва онро бо SOC 2 Type II (барои талаб кардани B2B), PCI DSS 4 илова кунед. 0 (агар кортҳо дастрас бошанд), ISO 27701 (махфият), ISO 22301 (устуворӣ), ISO 37301 (мувофиқати умумӣ) ва GLI/e "Фабрикаи далелҳо" -ро нигоҳ доред, коллексияи артефактҳоро автоматӣ кунед ва аудити мунтазами дохилиро гузаронед - ҳамин тавр аудити беруна пешгӯишаванда мегардад ва бидуни ногаҳонӣ мегузарад.