Laýyklyk we audit şahadatnamalary

1) Giriş: näme üçin şahadatnamalar gerek?

iGaming-platformalar üçin sertifikatlaşdyrmak diňe bir B2B/B2G-şertnamalary we töleg hyzmatdaşlary üçin "bellik" däl, eýsem hadysalary azaltmagyň, satuwlary çaltlaşdyrmagyň we täze ýurisdiksiýalara girmegi ýönekeýleşdirmegiň ulgamlaýyn usulydyr. Barlaghanalaryň (GLI, iTech Labs, eCOGRA) sertifikatlaşdyrylmagy (auditden soň resmi şahadatnama), attestasiýasy/audit hasabaty (mysal üçin SOC 2), öz-özüni yglan etmegi we synag hasabatlarynyň arasyndaky tapawuda düşünmek möhümdir.

2) Esasy standartlaryň kartasy (näme, näme üçin we haçan)

Ugur	Standart/çemeleşme	Görnüşi	Kim üçin we haçan
Infobez (ISMS)	ISO/IEC 27001:2022	Sertifikat	Tutuş kompaniýa üçin howpsuzlygyň esasy "skeleti", B2B/enterprise-geleşikler üçin hökmanydyr
Gizlilik	ISO/IEC 27701 (PIMS)	Sertifikatlaşdyrmak (27001-e çenli)	PII bilen uly iş alyp barsaňyz; GDPR bilen gowy "dost"
Işiň durnuklylygy	ISO 22301	Sertifikat	Dowamlylygyň, düzgünleşdirijileriň we esasy hyzmatdaşlaryň talaplary üçin
Laýyklyk	ISO 37301 (CMS)	Sertifikat	Komplayens-dolandyryş: sanksiýalar, etika, kadalaşdyryjy prosesler
Ösüş/Önüm	ISO 27034, Secure SDLC	Gollanma/audit	Tehniki topar üçin/DevSecOps; köplenç subutnama bazasynyň bir bölegi 27001/SOC 2
Bulut	CSA STAR (Level 1–2)	Hasaba almak/sertifikatlaşdyrmak	Bulut üpjün ediji/multi-tenant platforma bolsaňyz
AI prosesleri	ISO/IEC 42001	Sertifikat	Töwekgelçilik zolaklarynda AI ulanýan bolsaňyz (KYC/AML/jogapkär oýun/skoring)
Töwekgelçilikler	ISO 31000	Gollanma	Töwekgelçilik dolandyryş çarçuwasy (köplenç ISMS-e girýär)
Gizlilik by design	ISO 31700-1	Gollanma	UX we "privacy by design" prosesleri
Fin. hasabat bermek	SOC 1 (ISAE 3402/SSAE 18)	Auditoryň hasabaty	Haçan-da müşderiler maliýe proseslerinde siziň gözegçiligiňize bil baglaýarlar?
Howpsuzlyk/Gizlinlik	SOC 2 Type II	Auditoryň hasabaty	SaaS/B2B üçin "Altyn standart"; hyzmatdaşlar köplenç talap edýärler
Töleg kartlary	PCI DSS 4. 0	Sertifikat/SAQ	Kart maglumatlaryňyzy saklasaňyz/gaýtadan işleseňiz/geçirseňiz ýa-da top-apy kartaňyz bilen etseňiz
PSD2/Kimlik	SCA/3DS	Laýyklyk/şertnamalar	EU/UK tölegleri, antifrod zynjyrlary üçin
iGaming lablary	GLI-19/GLI-33, eCOGRA, iTech Labs	Synag hasabatlary/RNG/Oýun şahadatnamasy	RNG, RTP, üpjün edijileriň integrasiýalary we "provably fair" synaglary üçin
Kripto hyzmatlary	Travel Rule/sanksiýa barlagy	Attestasiýa/syýasat	VASP/birža hyzmatdaşlygy üçin on/off-ramp
Maglumatlary goramak (EUB we ş.m.)	GDPR we ýerli PDPA/LGPD	Laýyklyk (ýekeje "resmi" şahadatnama ýok)	Barlaglar, DPIA, PIA, ISO 27701 we amallar bilen tassyklanýar

💡 Bellik: NIST CSF/CIS Controls - bu çarçuwalar/metodologiýalar, özleri adatça "sertifikatlaşdyrylmaýar", ýöne ISO/SOC/PCI-de ajaýyp.

3) Hakykatda näme "tassyklanýar", näme däl

Üçünji tarap şahadatnamalary: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Auditor hasabatlary: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).
Barlaghanalaryň synaglary/şahadatnamalary: GLI, eCOGRA, iTech Labs (oýunlar, RNG, integrasiýa).
"Ýeke-täk şahadatnamasyz" laýyklyk: GDPR/UK GDPR, ePrivacy - artefaktlaryň toplumy (gaýtadan işlemeleriň sanawy, DPIA, syýasatlar, DPA, pentestalar, ISO 27701, daşarky bahalandyrmalar) bilen tassyklanýar.

4) Laýyklyk matrisi (gözegçilikleriň ýönekeýleşdirilen mapasy)

Gözegçilik bloky	ISO 27001	SOC 2 (CC)	PCI DSS 4. 0	ISO 27701	ISO 22301
Töwekgelçilikleri dolandyrmak	A.6/Annex A	CC3	12. 2	5. 3	6. 1
Giriş we IAM	A.5/A. 8	CC6	7/8	7. 4	—
Giriş/gözegçilik	A.8	CC7	10	7. 5	—
SDLC/üýtgetmek	A.8/A. 5	CC5	6	—	—
Wakalar	A.5/A. 8	CC7	12. 10	7. 4. 6	8
Üpjün edijiler	A.5/A. 15	CC9	12. 8	8	7. 4
BCP/DR	A.5	CC7. 4	12. 10. 4/5	—	Ähli standart

(Jikme-jik map üçin öz "Control Matrix. xlsx" eýeleri we subutnamalary bilen.)

5) 12 aýlyk ýol kartasy (iGaming platformasy üçin)

Q1 - Esasy

1. ISO 27001 + SOC 2 garşy gap-derňew (Trust Services Criteria saýlamak).
2. ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Töwekgelçilik sanawy, maglumatlaryň klassifikasiýasy, ulgamlaryň kartasy (CMDB), auditiň çäkleri (skope).
4. Esasy syýasatlar: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (mümkin bolsa).

Q2 - Amallar we tehniki gözegçilik

5. IAM (RBAC/ABAC), MFA hemme ýerde, parol/gizlin-rotasiýa, administratorlar üçin PAM.
6. Logistika/EDR/SIEM, hadysalaryň alertleri P0/P1, "chain of custody".
7. Secure SDLC: SAST/DAST/SCAs, pull-request düzgünleri, change-board arkaly prod-girişler.
8. DR/BCP: RTO/RPO, ätiýaçlyk, repetisiýa dikeldiş (table-top + tehnika. synag).

Q3 - Subutnama binýady we "gözegçilik döwri"

9. Daşarky perimetri we esasy hyzmatlary (oýunlary we tölegleri goşmak bilen) pentest.
10. Wendor-töwekgelçilik: DPA, SLA, audit hukugy, SOC/ISO hyzmatdaşlarynyň hasabatlary, sanksiýa skrininingi.
11. "Evidence factory": biletler, üýtgeşmeler magazinesurnallary, okuwlar, maşk protokollary, DPIA.
12. Deslapky audit (internal audit) we düzediş çäreleri (CAPA).

Q4 - Daşarky bahalar

13. ISO 27001 Stage 1/2 → şahadatnama (taýýar bolanda).
14. SOC 2 Type II (gözegçilik döwri ≥ 3-6 aý).
15. PCI DSS 4. 0 (bellik/autsorsing gysgaldylsa, QSA ýa-da SAQ).
16. GLI/eCOGRA/iTech Labs - relizleriň we bazarlaryň ýol kartasy boýunça.

6) "Subutnamalar fabrigi" (auditora näme görkezersiňiz)

Tehniki gözegçilikler: SSO/MFA magazinesurnallary, IAM konfiguralary, parol syýasaty, bellikler/resorlar, şifrlemek (KMS/HSM), hardening çek sahypalary, SAST/DAST/SCA netijeleri, EDR/SIEM hasabatlary, pentest hasabatlary we remediation.
Amallar: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Post-mortemalar, BC/DR protokollary, Vendor due diligence (anketalar, DPA, SOC/ISO hyzmatdaşlary), Treningler (fişing-simulýasiýa, howpsuzlyk awareness).
Gizlinlik: Bejeriş sanawy, DPIA/PIA, DSR-proseduralar (access/erase/export), Gizlinlikde Privacy by Design, Cookie/Consent logi.
iGaming/lablar: RNG/Provably Fair syýasaty, synaglaryň/şahadatnamalaryň netijeleri, matematiki modelleriň beýany, RTP hasabatlary, bild üýtgemelerine gözegçilik.

7) PCI DSS 4. 0: Audit zolagyny nädip azaltmaly

PAN-y mümkin boldugyça belläň we barlanan PSP-e saklaň.
Ulgamy bölüň (CDE izolirlenen), "aýlanyp geçýän" integrasiýalary gadagan ediň.
"Cardholder Data Flow" (diagrammalar) we "scope" -da komponentleriň sanawyny tassyklaň.
ASV skanerleri we pentestleri sazlaň; kartoçka hadysalary bilen işlemegi öwrediň.
Arhitektura baglylykda SAQ A/A-EP/D serediň.

8) SOC 2 Type II: amaly maslahatlar

Degişli Trust Services Criteria: Security saýlaň , plyus Availability/Confidentiality/Processing Integrity/Privacy business case.
Artefaktlary üznüksiz düzetmek bilen "gözegçilik döwrüni" üpjün ediň (azyndan 3-6 aý).
Her gözegçilik we aýlyk öz-özüňi dolandyrmak üçin Controls Owner belläň.
Bilet ulgamynda "evidence automation" (magazinesurnallaryň skrinshotlary/eksporty) ulanyň.

9) ISO 27701 we GDPR: baglanyşyk

PIMS-i ISMS-e goşmaça gurluş hökmünde guruň: gözegçiniň/prosessoryň rollary, gaýtadan işlemegiň kanuny esaslary, ammar maksatlary, DPIA.
DSR-prosesleri (subýektiň haýyşlary) we olary ýerine ýetirmek üçin SLA-lary belläň.
Auditiň aç-açanlygy üçin Gözegçilik matrisaňyzdaky GDPR makalalarynda 27701-nji madda.

10) GLI/eCOGRA/iTech Labs: SDLC-e nädip ýazmaly

Oýun matematikasyny we RTP-ni wersiýa ediň, alternatiwalary saklaň; üýtgeşmelere gözegçilik etmek - goýberiş düzgüni arkaly.
"Provably fair" düşündirişlerini (commit-reveal/VRF), köpçülige açyk oturgyçlary, barlag görkezmelerini saklaň.
Laboratoriýa synaglaryny neşirler we bazarlar üçin öňünden meýilleşdiriň; Umumy "Evidence" bukjasyny template bilen saklaň.

11) Üznüksiz utgaşma (continuous compliance)

Laýyklyk daşbordy: gözegçilikler × eýeler × statusy × artefaktlar × möhletler.
Çärýeklik internal audits & management review.
Awtomatlaşdyryş: aktiwleri hasaba almak, IAM-dreýf, -drift, gowşaklyklar, üýtgeşmeleri hasaba almak.
"Janly" syýasatlar: PR-merj-prosesler, wersiýalaşdyrmak, çenjlog.

12) Rollar we RACI

Sebit	R	A	C	I
ISMS/ISO 27001	SecOps Lead	CISO	Legal, IT	Exec, Teams
SOC 2	GRC Lead	CISO	Auditor, Dev	Sales
PCI DSS	PCI Lead	CTO	PSP/QSA, SecOps	Support
Privacy/27701	DPO	COO	Legal, Product	Marketing
GLI/eCOGRA	QA Lead	CPTO	Studio, Math	Compliance
BCP/22301	BCM Owner	COO	IT, SecOps	All

13) Daşarky audite taýýarlygyň çek-sanawy

1. Kesgitlenen skope + ulgamlaryň/prosesleriň çäkleri.
2. Syýasatlaryň we proseduralaryň doly toplumy (häzirki wersiýalary).
3. Geçmiş tapyndylar boýunça CAPA tarapyndan ýerine ýetirilen töwekgelçilik sanawy we SoA.
4. Döwür üçin wakalaryň teswirnamalary we post-mortemalar.
5. Pentestler/skanlar + möhüm/ýokary gowşaklyklary ýok etmek.
6. Okuwlar we geçendigini tassyklamak.
7. Esasy üpjün edijiler bilen/SLAs/DPA şertnamalary + olaryň SOC/ISO/PCI hasabatlary.
8. BCP/DR synaglarynyň subutnamalary.
9. IAM-gözegçilikleri tassyklamak (giriş barlaglary, offboarding).
10. Toparlar üçin taýýarlanan söhbetdeşlik-skriptlar we sessiýalaryň tertibi.

14) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

"Kagyz ýüzünde syýasatlar" → Jira/ITSM we metrikler bilen birleşdiriň.
Pes baha bermek vendor risk → hasabatlary we audit hukuklaryny talap ediň, reýestri ýörediň.
Ýok "evidence trail" → artefaktlary ýygnamagy awtomatlaşdyryň.
Scope creep in PCI → tokenizasiýa we berk segmentasiýa.
BCP/DR → gijikdirmek, ýylda azyndan bir gezek maşk ediň.
Gizlinlik ignory → Gizlinlik by Design we DPIA "Definition of Done" -da.

15) Artefaktlaryň şablonlary (repozitoriýada saklamak maslahat berilýär)

Control Matrix. xlsx (ISO/SOC/PCI/ 27701/22301 map).
Statement of Applicability (SoA).
Töwekgelçilik Register + bahalandyrmagyň usuly.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Gizlin paket (RoPA/bejeriş sanawy, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks we maşk protokollary.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (anketalar, DPA, SLA).
Audit Readiness Checklist (13-nji bölümden).

Netije

Sertifikatlaşdyrmak - bir gezeklik barlag däl-de, dolandyrylýan prosesleri gurmak boýunça taslama. ISO 27001-den "skelet" ýygnaň we ony SOC 2 Type II (talap edilýän B2B üçin), PCI DSS 4 bilen dolduryň. 0 (kartlar bar bolsa), ISO 27701 (gizlinlik), ISO 22301 (durnuklylyk), ISO 37301 (umumy laýyklyk) we GLI/eCOGRA/iTech Labs (oýun aýratynlyklary). "Subutnama fabrigini" saklaň, artefaktlary ýygnamagy awtomatlaşdyryň we yzygiderli içerki auditleri geçiriň - şeýlelik bilen daşarky audit öňünden aýdyp bolar we garaşylmadyk ýagdaýda geçiriler.

💡 Material syn häsiýetine eýedir we hukuk maslahaty bolup durmaýar. Belli bir ýurisdiksiýada ulanmazdan ozal talaplary düzgünleşdirijiler we hyzmatdaşlaryň şertleri (PSP, bazarlar, barlaghanalar) bilen deňeşdiriň.

Laýyklyk we audit şahadatnamalary

(Jikme-jik map üçin öz "Control Matrix. xlsx" eýeleri we subutnamalary bilen.)

Netije

Biziň bilen habarlaşyň

Çalt aragatnaşyk

Wideo ýakynda täzelener

Häzirki wagtda taslamalar bilen gaty meşgullandyk