GH GambleHub

Uyumluluk ve denetim sertifikaları

1) Giriş: Sertifikalara neden ihtiyaç duyulur

IGaming platformları için, sertifikasyon yalnızca B2B/B2G sözleşmeler ve ödeme ortakları için bir onay değil, aynı zamanda olayları azaltmak, satışları hızlandırmak ve yeni yargı alanlarına erişimi basitleştirmek için sistematik bir yoldur. Belgelendirme (denetimden sonra resmi sertifika), tasdik/denetim raporu (örn. SOC 2), öz bildirimler ve laboratuvar test raporları (GLI, iTech Labs, eCOGRA).

2) Temel standartlar haritası (ne, neden ve ne zaman)

YönStandart/yaklaşımYazıKim için ve ne zaman
Bilgi tabanı (ISMS)ISO/IEC 27001:2022SertifikasyonTüm şirket için temel güvenlik "iskeleti", B2B/enterprise işlemler için zorunlu
GizlilikISO/IEC 27701 (PIMS)Sertifikasyon (27001'e ek)PII ile büyük ölçekte çalışıyorsanız; GDPR ile iyi "arkadaşlar"
İş esnekliğiISO 22301SertifikasyonSüreklilik gereksinimleri, düzenleyiciler ve kilit ortaklar için
UyumlulukISO 37301 (CMS)SertifikasyonUyum yönetimi: yaptırımlar, etik, düzenleyici süreçler
Geliştirme/ÜrünISO 27034, Güvenli SDLCYönetim/DenetimTeknik ekip/DevSecOps için; Genellikle 27001/SOC 2 için kanıt tabanının bir parçası
BulutCSA STAR (Seviye 1-2)Kayıt/SertifikasyonBulut sağlayıcısı/çok kiracılı bir platform iseniz
AI süreçleriISO/IEC 42001SertifikasyonRisk bölgelerinde AI kullanılıyorsa (KYC/AML/sorumlu oyun/puanlama)
RisklerISO 31000LiderlikRisk Yönetimi Çerçevesi (genellikle ISMS'ye dahildir)
Tasarıma göre gizlilikISO 31700-1LiderlikTasarım süreçlerine göre UX ve gizlilik
Fin. raporlamaSOC 1 (ISAE 3402/SSAE 18)Denetçi raporuMüşteriler fin süreçleri için kontrollerinize güvendiklerinde
Güvenlik/GizlilikSOC 2 Tip IIDenetçi raporuSaaS/B2B için Altın Standart; Genellikle ortaklar tarafından gerekli
Ödeme kartlarıPCI DSS 4. 0Sertifikasyon/SAQKart verilerini depolar/işler/aktarırsanız veya bir kartla yükleme yaparsanız
PSD2/AuthenticationSCA/3DSUyum/SözleşmelerAB/İngiltere ödemeleri için, dolandırıcılıkla mücadele zinciri
iGaming LaboratuvarlarıGLI-19/GLI-33, eCOGRA, iTech LabsTest Raporları/RNG Sertifikasyon/OyunlarRNG, RTP, ISP entegrasyonları ve "kanıtlanabilir adil" testler için
Kripto hizmetleriSeyahat Kuralı/Yaptırım TaramasıTasdik/PolitikalarVASP/değişim ortaklıkları için, açık/kapalı rampa
Veri koruma (AB, vb.)GDPR ve yerel PDPA/LGPDUyumluluk (tek bir "resmi" sertifika yok)Denetimler, DPIA, PIA, ISO 27701 ve uygulamalar tarafından onaylanmıştır
💡 Not: NIST CSF/CIS Kontrolleri, genellikle kendileri tarafından "onaylanmış" olmayan, ancak ISO/SOC/PCI ile mükemmel bir şekilde eşlenen çerçeveler/metodolojilerdir.

3) Gerçekten "sertifikalı'nedir ve ne değildir

Üçüncü taraf sertifikaları: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Seviye 2.
Denetçi raporları: SOC 2 Tip I/II, SOC 1 Tip I/II (ISAE 3402/SSAE 18).
Testler/laboratuvar sertifikaları: GLI, eCOGRA, iTech Labs (oyunlar, RNG, entegrasyonlar).
"Tek bir sertifika" olmadan uyumluluk: GDPR/UK GDPR, ePrivacy - bir dizi eser tarafından onaylanmıştır (tedavilerin kaydı, DPIA, politikalar, DPA, pentests, ISO 27701, harici değerlendirmeler).

4) Yazışma matrisi (kontrollerin basitleştirilmiş haritası)

Kontrol ünitesiISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Risk yönetimiA.6/Annex ACC312. 25. 36. 1
Erişim ve IAMA.5/A. 8CC67/87. 4
Günlükler/İzlemeA.8CC7107. 5
SDLC/DeğişikliklerA.8/A. 5CC56
OlaylarA.5/A. 8CC712. 107. 4. 68
TedarikçilerA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Tüm standart

(Ayrıntılı bir harita için, kendi "Kontrol Matrisini" başlatın. xlsx" sahipleri ve kanıtları ile.)

5) 12 Aylık Yol Haritası (iGaming platformu için)

Q1 - Vakıf

1. Boşluk analizi ve ISO 27001 + SOC 2 (Güven Hizmetleri Kriterleri seçimi).
2. ISMS-Lead, DPO, BCM-Owner, PCI-Lead'in amacı.
3. Risk kaydı, veri sınıflandırması, sistem haritası (CMDB), denetim sınırları (kapsam).
4. Temel politikalar: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (varsa).

Q2 - Uygulamalar ve Teknik Kontroller

5. IAM (RBAC/ABAC), her yerde MFA, şifre/gizli rotasyon, yöneticiler için PAM.
6. Günlük kaydı/EDR/SIEM, P0/P1 olayların uyarıları, "gözaltı zinciri".
7. Güvenli SDLC: SAST/DAST/SCA'lar, pull-request kuralları, değişim kartı ile satış erişimleri.
8. DR/BCP: RTO/RPO, yedekleme, geri yükleme provası (masa üstü + teknoloji. test).

S3 - Kanıt tabanı ve "gözlem süresi"

9. Dış çevre ve anahtar hizmetlerin Pentest (oyunlar ve ödemeler dahil).
10. Satıcı riski: DPA, SLA, denetim otoritesi, ortak SOC/ISO raporları, yaptırım taraması.
11. Kanıt fabrikası: biletler, değişim kayıtları, eğitimler, egzersiz protokolleri, DPIA.
12. Ön denetim (iç denetim) ve düzeltici faaliyetler (CAPA).

Q4 - Dış değerlendirmeler

13. ISO 27001 Aşama 1/2 - sertifika (hazır olduğunda).
14. SOC 2 Tip II (gözlem süresi ≥ 3-6 ay).
15. PCI DSS 4. 0 (tokenization/outsourcing kapsamı azaltıyorsa QSA veya SAQ).
16. GLI/eCOGRA/iTech Labs - sürümlerin ve pazarların yol haritasında.

6) Kanıt Fabrikası (denetçiye gösterdiğiniz)

Teknik kontroller: SSO/MFA günlükleri, IAM yapılandırmaları, şifre politikaları, yedekler/güreşçiler, şifreleme (KMS/HSM), sertleştirme kontrol listeleri, SAST/DAST/SCA sonuçları, EDR/SIEM raporları, pentest raporları ve iyileştirme.
Süreçler: Risk Kaydı, SoA (Uygulanabilirlik Beyanı), Değişim biletleri, Olay raporları (P0-P2), Post-mortems, BC/DR protokolleri, Satıcı durum tespiti (anketler, DPA, SOC/ISO ortakları), Eğitimler (kimlik avı simülasyonları, güvenlik farkındalığı).
Gizlilik: İşleme kaydı, DPIA/PIA, DSR prosedürleri (erişim/silme/dışa aktarma), Özelliklerde Tasarıma Göre Gizlilik, Çerez/Onay günlükleri.
IGaming/labs: RNG/Adil Adil politika, test/sertifika sonuçları, matematiksel model açıklamaları, RTP raporları, yapı değişikliği kontrolü.

7) PCI DSS 4. 0: Denetim bölgesi nasıl azaltılır

Mümkün olduğunca tokenize edin ve PAN depolamasını test edilmiş PSP'ye getirin.
Ağı bölümlere ayırın (CDE izole edilmiştir), "bypass" entegrasyonlarını yasaklayın.
Kart Sahibi Veri Akışını ve kapsamdaki bileşenlerin listesini onaylayın.
ASV taramaları ve penetrasyon testleri kurmak; Kart olaylarıyla başa çıkmak için tren desteği.
Mimariye bağlı olarak SAQ A/A-EP/D'yi düşünün.

8) SOC 2 Tip II: Pratik İpuçları

İlgili Güven Hizmetleri Kriterlerini seçin: Güvenlik, artı Kullanılabilirlik/Gizlilik/İşleme Bütünlüğü/İş durumuna göre Gizlilik.
Sürekli artefakt fiksasyonu ile bir "gözlem süresi" sağlayın (en az 3-6 ay).
Her kontrol ve aylık öz değerlendirme için Controls Owner girin.
Bilet sisteminde "kanıt otomasyonu" (ekran görüntüleri/ihracat günlükleri) kullanın.

9) ISO 27701 ve GDPR: paket

PIMS'i ISMS'e bir eklenti olarak oluşturun: denetleyici/işlemci rolleri, işleme için yasal dayanak, depolama hedefleri, DPIA.
DSR süreçlerini (konunun istekleri) ve bunların yürütülmesi için SLA'yı yazın.
Denetim şeffaflığı için 27701'i Kontrol Matrisinizdeki GDPR makalelerine eşleyin.

10) GLI/eCOGRA/iTech Labs: SDLC'ye nasıl sığdırılır

Sürüm oyunu matematik ve RTP, mağaza değişmezleri; Değişiklik kontrolü - serbest bırakma düzenlemeleri aracılığıyla.
"Kanıtlanabilir adil" açıklamaları (commit-reveal/VRF), genel tarafları, doğrulama talimatlarını destekleyin.
Bültenler ve pazarlar için laboratuvar testlerini önceden planlayın; Şablonlarla ortak bir "Kanıt klasörü" tutun.

11) Sürekli uyumluluk

Uyumluluk panosu: kontroller × sahipleri × durumu × eserler × son tarihler.
Üç aylık iç denetimler ve yönetim incelemesi.
Otomasyon: varlık envanteri, IAM sürüklenmesi, yapılandırma sürüklenmesi, güvenlik açıkları, değişiklik günlüğü.
Politikacılar "yaşıyor": PR birleştirme süreçleri, sürüm oluşturma, değişim.

12) Roller ve RACI

AlanRACBEN
ISMS/ISO 27001SecOps KurşunCISOYasal, ITExec, takımlar
SOC 2GRC KurşunCISODenetçi, DevSatış
PCI DSSPCI LeadCTOPSP/QSA, SecOpsDestek
Privacy/27701DPOCOOYasal, ürünPazarlama
GLI/eCOGRAQA KurşunCPTOStüdyo, MatematikUyumluluk
BCP/22301BCM SahibiCOOBT, SecOpsTüm

13) Dış Denetime Hazırlık Kontrol Listesi

1. Tanımlanmış kapsam + sistem/süreç sınırları.
2. Tam bir dizi politika ve prosedür (mevcut sürümler).
3. CAPA tarafından geçmiş bulgular üzerinde gerçekleştirilen risk kaydı ve SoA.
4. Döneme ait olay ve otopsi raporları.
5. Pentestler/taramalar + kritik/yüksek güvenlik açıklarının ortadan kaldırılması.
6. Eğitimler ve tamamlanma kanıtı.
7. Anahtar tedarikçilerle yapılan sözleşmeler/SLA'lar/DPA'lar + SOC/ISO/PCI'larını bildirir.
8. BCP/DR testlerinin kanıtı.
9. IAM kontrollerinin onaylanması (erişim revizyonları, offboarding).
10. Takımlar ve oturum programı için hazırlanmış görüşme senaryoları.

14) Sık yapılan hatalar ve bunlardan nasıl kaçınılacağı

Uygulama olmadan "kağıt üzerindeki politikalar" - Jira/ITSM ve metriklerle bütünleşir.
Satıcı riskini - talep raporlarını ve denetim haklarını hafife alın, bir kayıt defteri tutun.
"Kanıt izi" yok - eser koleksiyonunu otomatikleştirin.
PCI Kapsam sürünme - tokenization ve sıkı segmentasyon.
BCP/DR'yi geciktirmek - yılda en az bir kez egzersiz yapın.
Ile gizliliği göz ardı edin - Bitti Tanımında Tasarıma Göre Gizlilik ve DPIA.

15) Artifact şablonları (depoda tutulması önerilir)

Kontrol matrisi. xlsx (ISO/SOC/PCI/ 27701/22301 haritası).
Uygulanabilirlik Beyanı (SoA).
Risk Kaydı + değerlendirme metodolojisi.
ISMS Politikaları (Erişim, Kripto, SDLC, Olay, Satıcı, Günlük, BYOD, Uzaktan Çalışma и др.) .
Gizlilik Paketi (RoPA/Tedavi Kayıt Defteri, DPIA, DSR oyun kitabı, Çerez/Onay).
BCP/DR Runbooks ve egzersiz protokolleri.
Pentest Raporları + İyileştirme Planı.
Satıcı Durum Tespiti Kiti (anketler, DPA, SLA).
Denetime Hazırlık Kontrol Listesi (bölüm 13'ten itibaren).

Çıkış

Sertifikasyon, tek seferlik bir kontrol değil, yönetilen süreçler oluşturma projesidir. ISO 27001'den bir "iskelet" oluşturun ve bunu SOC 2 Tip II (zorlu B2B'ler için), PCI DSS 4 ile tamamlayın. 0 (kartlar varsa), ISO 27701 (gizlilik), ISO 22301 (sürdürülebilirlik), ISO 37301 (genel uyumluluk) ve GLI/eCOGRA/iTech Labs (oyun özellikleri). "Kanıt fabrikasını" koruyun, eserlerin toplanmasını otomatikleştirin ve düzenli iç denetimler yapın - bu şekilde dış denetimler öngörülebilir hale gelecek ve sürprizler olmadan geçecektir.

💡 Materyal genel bir niteliktedir ve yasal tavsiye değildir. Belirli bir yargı alanına başvurmadan önce, gereksinimleri düzenleyiciler ve ortak koşullarla (PSP, pazar yerleri, laboratuvarlar) kontrol edin.
Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.