GH GambleHub

Сертифікати комплаєнсу та аудиту

1) Вступ: навіщо потрібні сертифікати

Для iGaming-платформ сертифікація - це не тільки «галочка» для B2B/B2G-договорів і платіжних партнерів, але і системний спосіб знизити інциденти, прискорити продажі і спростити вихід на нові юрисдикції. Важливо розуміти різницю між сертифікацією (офіційний сертифікат після аудиту), атестацією/аудиторським звітом (наприклад, SOC 2), самодеклараціями і тестовими звітами лабораторій (GLI, iTech Labs, eCOGRA).

2) Карта основних стандартів (що, навіщо і коли)

НапрямСтандарт/підхідТипДля кого і коли
Інфобез (ISMS)ISO/IEC 27001:2022СертифікаціяБазовий «скелет» безпеки для всієї компанії, обов'язковий для В2В/ентерпрайз-угод
ПриватністьISO/IEC 27701 (PIMS)Сертифікація (надбудова до 27001)Якщо працюєте з PII у великих масштабах; добре «дружить» з GDPR
Стійкість бізнесуISO 22301СертифікаціяДля вимог безперервності, регуляторів і ключових партнерів
ВідповідністьISO 37301 (CMS)СертифікаціяКомплаєнс-менеджмент: санкції, етика, регуляторні процеси
Розробка/продуктISO 27034, Secure SDLCПосібник/аудитДля техкоманда/DevSecOps; часто частина доказової бази до 27001/SOC 2
ХмараCSA STAR (Level 1–2)Реєстрація/сертифікаціяЯкщо ви хмарний провайдер/мульти-тенант платформа
AI-процесиISO/IEC 42001СертифікаціяЯкщо використовуєте ШІ в ризик-зонах (KYC/AML/відповідальна гра/скоринг)
РизикиISO 31000КерівництвоРамка ризик-менеджменту (часто включена в ISMS)
Приватність by designISO 31700-1КерівництвоUX і процеси «privacy by design»
Фін. звітністьSOC 1 (ISAE 3402/SSAE 18)Звіт аудитораКоли клієнти покладаються на ваші контролі в фін-процесах
Безпека/конфіденційністьSOC 2 Type IIЗвіт аудитора«Золотий стандарт» для SaaS/B2B; часто вимагають партнери
Платіжні карткиPCI DSS 4. 0Сертифікація/SAQЯкщо зберігаєте/обробляєте/передаєте дані карт або робите топ-апи картою
PSD2/автентикаSCA/3DSВідповідність/договориДля EU/UK платежів, антифрод-ланцюжка
Лаби iGamingGLI-19/GLI-33, eCOGRA, iTech LabsТестові звіти/сертифікація RNG/ігорДля тестів RNG, RTP, інтеграцій провайдерів і «provably fair»
Крипто-сервісиTravel Rule/санкційний скринінгАтестація/політикиДля VASP/біржових партнерств, on/off-ramp
Захист даних (ЄС та ін.)GDPR і локальні PDPA/LGPDВідповідність (немає єдиного «офіційного» сертифіката)Підтверджується аудитами, DPIA, PIA, ISO 27701 і практиками
💡 Примітка: NIST CSF/CIS Controls - це рамки/методології, самі по собі зазвичай не «сертифікуються», але відмінно мапяться на ISO/SOC/PCI.

3) Що реально «сертифікується», а що - ні

Сертифікати третьої сторони: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Звіти аудитора: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).
Тести/сертифікати лабораторій: GLI, eCOGRA, iTech Labs (ігри, RNG, інтеграції).
Відповідність без «єдиного сертифіката»: GDPR/UK GDPR, ePrivacy - підтверджується набором артефактів (реєстр обробок, DPIA, політики, DPA, пентести, ISO 27701, зовнішні оцінки).

4) Матриця відповідностей (спрощена мапа контролів)

Блок контролюISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Управління ризикамиA.6/Annex ACC312. 25. 36. 1
Доступ та IAMA.5/A. 8CC67/87. 4
Логи/моніторингA.8CC7107. 5
SDLC/зміниA.8/A. 5CC56
ІнцидентиA.5/A. 8CC712. 107. 4. 68
ПостачальникиA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Весь стандарт

(Для детальної мапи заведіть власний "Control Matrix. xlsx" з власниками і доказами.)

5) Дорожня карта на 12 місяців (для платформи iGaming)

Q1 - Фундамент

1. Gap-аналіз проти ISO 27001 + SOC 2 (вибір Trust Services Criteria).
2. Призначення ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Ризик-реєстр, класифікація даних, карта систем (CMDB), межі аудиту (scope).
4. Базові політики: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML (якщо застосовується).

Q2 - Практики та техконтролі

5. IAM (RBAC/ABAC), MFA скрізь, парольна/секрет-ротації, PAM для адмінів.
6. Логування/EDR/SIEM, алерти інцидентів P0/P1, «chain of custody».
7. Secure SDLC: SAST/DAST/SCAs, pull-request правила, прод-доступи через change-board.
8. DR/BCP: RTO/RPO, резервування, репетиція відновлення (table-top + тех. див. тест).

Q3 - Доказова база та «спостережний період»

9. Пентест зовнішнього периметра і ключових сервісів (включаючи ігри і платежі).
10. Вендор-ризик: DPA, SLA, право аудиту, звіти SOC/ISO партнерів, санкційний скринінг.
11. Evidence factory: тікети, журнали змін, тренінги, протоколи навчань, DPIA.
12. Аудит (internal audit) і коригувальні заходи (CAPA).

Q4 - Зовнішні оцінки

13. ISO 27001 Stage 1/2 → сертифікат (при готовності).
14. SOC 2 Type II (спостережний період ≥ 3-6 міс.).
15. PCI DSS 4. 0 (QSA або SAQ, якщо токенізація/аутсорсинг скорочують scope).
16. GLI/eCOGRA/iTech Labs - по дорожній карті релізів і ринків.

6) «Фабрика доказів» (що покажете аудитору)

Техконтролі: SSO/MFA-журнали, конфіги IAM, політики паролів, бекапи/рестори, шифрування (KMS/HSM), hardening чек-листи, результати SAST/DAST/SCA, звіти EDR/SIEM, пентест-звіти та remediation.
Процеси: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Пост-мортеми, BC/DR протоколи, Vendor due diligence (опитувальники, DPA, SOC/ISO партнерів), Тренінги (фішинг-симуляції, security awareness).
Приватність: Реєстр обробок, DPIA/PIA, DSR-процедури (access/erase/export), Privacy by Design в фічах, Cookie/Consent логи.
iGaming/лаби: Політика RNG/Provably Fair, результати тестів/сертифікацій, описи математичних моделей, RTP-звіти, контроль змін білда.

7) PCI DSS 4. 0: як зменшити зону аудиту

Максимально токенізуйте і виносьте зберігання PAN до перевіреного PSP.
Сегментуйте мережу (CDE ізольований), забороните «обхідні» інтеграції.
Затвердіть Cardholder Data Flow (діаграми) і список компонентів в scope.
Налаштуйте ASV-скани та пентести; навчіть підтримку роботі з інцидентами карт.
Розгляньте SAQ A/A-EP/D залежно від архітектури.

8) SOC 2 Type II: практичні поради

Виберіть релевантні Trust Services Criteria: Security (обяз.) , плюс Availability/Confidentiality/Processing Integrity/Privacy з бізнес-кейсу.
Забезпечте «спостережний період» з безперервною фіксацією артефактів (як мінімум 3-6 місяців).
Введіть Controls Owner на кожен контроль і щомісячний self-assessment.
Використовуйте «evidence automation» (скріншоти/експорти журналів) в тікет-системі.

9) ISO 27701 и GDPR: зв'язка

Будуйте PIMS як надбудову до ISMS: ролі контролера/процесора, правові підстави обробки, цілі зберігання, DPIA.
Пропишіть DSR-процеси (запити суб'єкта) і SLA на їх виконання.
Мапте 27701 на GDPR-статті у вашій Матриці контролів для прозорості аудиту.

10) GLI/eCOGRA/iTech Labs: як вписати в SDLC

Версіонуйте ігрову математику і RTP, зберігайте інваріанти; контроль змін - через релізний регламент.
Підтримуйте «provably fair» опису (commit-reveal/VRF), публічні сиди, інструкції перевірки.
Плануйте лабораторні тести заздалегідь під релізи та ринки; тримайте загальну «Evidence-папку» з темплейтами.

11) Безперервний комплаєнс (continuous compliance)

Дашборд відповідності: контролі × власники × статус × артефакти × дедлайни.
Щоквартальні internal audits і management review.
Автоматизація: інвентаризація активів, IAM-дрейф, конфіг-дрифт, уразливості, журналювання змін.
Політики «живі»: PR-мердж-процеси, версіонування, ченджлог.

12) Ролі та RACI

ОбластьRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Чек-лист готовності до зовнішнього аудиту

1. Визначений scope + межі систем/процесів.
2. Повний набір політик і процедур (актуальні версії).
3. Ризик-реєстр і SoA, виконані CAPA за минулими знахідками.
4. Протоколи інцидентів і пост-мортеми за період.
5. Пентести/скани + усунення критичних/високих вразливостей.
6. Тренінги та підтвердження проходження.
7. Договори/SLAs/DPA з ключовими постачальниками + звіти їх SOC/ISO/PCI.
8. Докази BCP/DR-тестів.
9. Підтвердження IAM-контролів (ревізії доступів, offboarding).
10. Підготовлені інтерв'ю-скрипти для команд і розклад сесій.

14) Часті помилки і як їх уникнути

«Політики на папері» без впровадження → інтегруйте з Jira/ITSM і метриками.
Недооцінка vendor risk → вимагайте звіти і права аудиту, ведіть реєстр.
Ні «evidence trail» → автоматизуйте збір артефактів.
Scope creep в PCI → токенізація і строга сегментація.
Відкладання BCP/DR → робіть навчання хоча б раз на рік.
Ігнор приватності при фічах → Privacy by Design і DPIA в Definition of Done.

15) Шаблони артефактів (рекомендується тримати в репозиторії)

Control Matrix. xlsx (карта ISO/SOC/PCI/ 27701/22301).
Statement of Applicability (SoA).
Risk Register + методика оцінки.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/реєстр обробок, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks і протоколи навчань.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (опитувальники, DPA, SLA).
Audit Readiness Checklist (з розділу 13).

Висновок

Сертифікація - це проект з побудови керованих процесів, а не разова перевірка. Зберіть «скелет» з ISO 27001 і доповніть його SOC 2 Type II (для вимогливих B2B), PCI DSS 4. 0 (якщо є карти), ISO 27701 (приватність), ISO 22301 (стійкість), ISO 37301 (загальний комплаєнс) і GLI/eCOGRA/iTech Labs (ігрова специфіка). Підтримуйте «фабрику доказів», автоматизуйте збір артефактів і проводьте регулярні внутрішні аудити - так зовнішній аудит стане передбачуваним і пройде без сюрпризів.

💡 Матеріал носить оглядовий характер і не є юридичною консультацією. Перед застосуванням в конкретній юрисдикції звіряйте вимоги з регуляторами та умовами партнерів (PSP, маркетплейси, лабораторії).
Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.