GH GambleHub

Komplayens va audit sertifikatlari

1) Kirish: sertifikatlar nima uchun kerak?

iGaming platformalari uchun sertifikatlash nafaqat B2B/B2G shartnomalari va toʻlov sheriklari uchun «belgi» dir, balki hodisalarni kamaytirish, sotishni tezlashtirish va yangi yurisdiktsiyalarga kirishni soddalashtirishning tizimli usulidir. Sertifikatlashtirish (auditdan keyingi rasmiy sertifikat), attestatsiya/auditorlik hisoboti (masalan, SOC 2), laboratoriyalarning o’z-o’zini e’lon qilish va test hisobotlari (GLI, iTech Labs, eCOGRA) o’rtasidagi farqni tushunish muhimdir.

2) Asosiy standartlar xaritasi (nima, nima uchun va qachon)

Yo’nalishStandart/yondashuvTuriKim uchun va qachon
Infobez (ISMS)ISO/IEC 27001:2022SertifikatlashButun kompaniya uchun xavfsizlikning bazaviy «skeleti», B2B/enterprise bitimlari uchun majburiy
MaxfiylikISO/IEC 27701 (PIMS)Sertifikatlashtirish (27001 ga ustama)Agar siz PII bilan katta miqyosda ishlasangiz; GDPR bilan yaxshi «do’st»
Biznesning barqarorligiISO 22301SertifikatlashUzluksizlik talablari, regulyatorlar va asosiy sheriklar uchun
MuvofiqlikISO 37301 (CMS)SertifikatlashKomplayens-menejment: sanksiyalar, axloq, tartibga solish jarayonlari
Ishlab chiqish/mahsulotISO 27034, Secure SDLCRahbarlik/auditTexnik buyruq uchun/DevSecOps; ko’pincha dalillar bazasining 2- 27001/SOC
BulutCSA STAR (Level 1–2)Ro’yxatdan o’tkazish/sertifikatlashtirishAgar siz bulutli provayder bo’lsangiz/multi-tenant platforma
AI-jarayonlarISO/IEC 42001SertifikatlashAgar xavf zonalarida AI ishlatsangiz (KYC/AML/mas’uliyatli o’yin/skoring)
TavakkalchiliklarISO 31000Qo’llanmaRisk-menejment doirasi (koʻpincha ISMSga kiritilgan)
Maxfiylik by designISO 31700-1Qo’llanmaUX va «privacy by design» jarayonlari
Fin. hisobotSOC 1 (ISAE 3402/SSAE 18)Auditor hisobotiMijozlar moliyaviy jarayonlarda sizning nazoratingizga tayanganda
Xavfsizlik/maxfiylikSOC 2 Type IIAuditor hisobotiSaaS/B2B uchun «Oltin standart»; ko’pincha sheriklar talab qiladi
To’lov kartalariPCI DSS 4. 0Sertifikatlash/SAQAgar karta ma’lumotlarini saqlasangiz/qayta ishlasangiz/uzatsangiz yoki top-aplarni karta bilan qilsangiz
PSD2/autentikaSCA/3DSMuvofiqlik/shartnomalarEU/UK to’lovlari, antifrod zanjirlari uchun
iGaming lablariGLI-19/GLI-33, eCOGRA, iTech LabsTest hisobotlari/RNG/o’yinlarni sertifikatlashRNG, RTP, provayderlar integratsiyasi va «provably fair» testlari uchun
Kripto-servislarTravel Rule/sanksiya skriningAttestatsiya/siyosatVASP/birja sherikliklari uchun, on/off-ramp
Ma’lumotlarni himoya qilish (EI va boshqalar)GDPR va lokal PDPA/LGPDMuvofiqlik (yagona «rasmiy» sertifikat mavjud emas)Auditlar, DPIA, PIA, ISO 27701 va amaliyotlar bilan tasdiqlanadi
💡 Izoh: NIST CSF/CIS Controls - bu ramka/metodologiya, odatda o’z-o’zidan «sertifikatlashtirilmaydi», lekin ISO/SOC/PCI da mukammal papplanadi.

3) Haqiqatan nima «sertifikatlanadi», nima «sertifikatlashtirilmaydi»

Uchinchi tomon sertifikatlari: ISO 27001, 27701, 22301, 37301, 42001, PCI DSS (QSA/ASV), CSA STAR Level 2.
Auditor hisobotlari: SOC 2 Type I/II, SOC 1 Type I/II (ISAE 3402/SSAE 18).
Laboratoriya testlari/sertifikatlari: GLI, eCOGRA, iTech Labs (o’yinlar, RNG, integratsiyalar).
«Yagona sertifikatsiz» muvofiqlik: GDPR/UK GDPR, ePrivacy - artefaktlar to’plami (qayta ishlash reyestri, DPIA, siyosat, DPA, pentestlar, ISO 27701, tashqi baholar) bilan tasdiqlanadi.

4) Muvofiqlik matritsasi (soddalashtirilgan nazorat mapasi)

Nazorat blokiISO 27001SOC 2 (CC)PCI DSS 4. 0ISO 27701ISO 22301
Xatarlarni boshqarishA.6/Annex ACC312. 25. 36. 1
Kirish va IAMA.5/A. 8CC67/87. 4
Logi/monitoringA.8CC7107. 5
SDLC/oʻzgartirishA.8/A. 5CC56
HodisalarA.5/A. 8CC712. 107. 4. 68
Etkazib beruvchilarA.5/A. 15CC912. 887. 4
BCP/DRA.5CC7. 412. 10. 4/5Butun standart

(Batafsil map uchun o’zingizning "Control Matrix. xlsx" ning egalari va dalillari bilan.)

5) 12 oylik yo’l xaritasi (iGaming platformasi uchun)

Q1 - Poydevor

1. ISO 27001 + SOC 2 ga qarshi gap-tahlil (Trust Services Criteria ni tanlash).
2. ISMS-Lead, DPO, BCM-Owner, PCI-Lead.
3. Tavakkalchilik reyestri, ma’lumotlar tasnifi, tizimlar xaritasi (CMDB), audit chegaralari (scope).
4. Asosiy siyosatlar: ISMS, Access, SDLC, Change, Incident, Vendor, Crypto/Key Mgmt, Privacy, Sanctions/AML.

Q2 - Amaliyot va texnik nazorat

5. IAM (RBAC/ABAC), MFA hamma joyda, parol/sir-rotatsiya, PAM ma’murlar uchun.
6. Loglash/EDR/SIEM, hodisalar alertlari P0/P1, «chain of custody».
7. Secure SDLC: SAST/DAST/SCAs, pull-request qoidalari, change-board orqali prod-kirish.
8. DR/BCP: RTO/RPO, zaxira qilish, qayta tiklash mashqlari (table-top + tech. test).

Q3 - Dalillar bazasi va «kuzatuv davri»

9. Tashqi perimetr va asosiy servislar pentesti (shu jumladan o’yinlar va to’lovlar).
10. Vendor-tavakkalchilik: DPA, SLA, audit huquqi, SOC/ISO hamkorlarining hisobotlari, sanksiya skriningi.
11. Evidence factory: biletlar, o’zgartirish jurnallari, treninglar, o’quv protokollari, DPIA.
12. Pre-audit (internal audit) va tuzatish choralari (CAPA).

Q4 - Tashqi baholar

13. ISO 27001 Stage 1/2 → sertifikat (tayyor bo’lganda).
14. SOC 2 Type II (kuzatuv davri ≥ 3-6 oy).
15. PCI DSS 4. 0 (QSA yoki SAQ, agar tokenizatsiya/autsorsing scope qisqartirilsa).
16. GLI/eCOGRA/iTech Labs - relizlar va bozorlarning yo’l xaritasi bo’yicha.

6) «Dalillar fabrikasi» (auditorga nima ko’rsatasiz)

Texnik nazorat: SSO/MFA-jurnallar, IAM konfiglari, parol siyosati, bekaplar/restorlar, shifrlash (KMS/HSM), hardening chek-varaqlar, SAST/DAST/SCA natijalari, EDR/SIEM hisobotlari, pentest hisobotlar va remediation.
Jarayonlar: Risk Register, SoA (Statement of Applicability), Change tickets, Incident reports (P0-P2), Post-mortemalar, BC/DR protokollari, Vendor due diligence (so’rovnomalar, DPA, SOC/ISO hamkorlari), Treninglar (fishing-simulyatsiyalar, security awareness).
Maxfiylik: Qayta ishlash reyestri, DPIA/PIA, DSR-protseduralar (access/erase/export), fichlarda Privacy by Design, Cookie/Consent logi.
iGaming/lablar: RNG/Provably Fair siyosati, test/sertifikatlash natijalari, matematik modellar tavsifi, RTP hisobotlari, bild o’zgarishlarini nazorat qilish.

7) PCI DSS 4. 0: Audit maydonini qanday kamaytirish mumkin

PANni tekshirilgan PSPga maksimal darajada tokenlash va saqlash.
Tarmoqni segmentlash (CDE izolyatsiya qilingan) va «aylanma» integratsiyalashuvlarni taqiqlash.
Cardholder Data Flow (diagrammalar) va scope tarkibiy qismlar roʻyxatini tasdiqlang.
ASV skanerlar va pentestlarni sozlash; xarita hodisalari bilan ishlashni o’rgating.
Arxitekturaga qarab SAQ A/A-EP/D ni koʻrib chiqing.

8) SOC 2 Type II: amaliy maslahatlar

Tegishli Trust Services Criteria: Security (majburiyat) ni tanlang , plyus Availability/Confidentiality/Processing Integrity/Privacy biznes-keys bo’yicha.
Artefaktlarni uzluksiz (kamida 3-6 oy) qayd etgan holda «kuzatuv davri» ni ta’minlang.
Har bir nazorat va oylik self-assessment uchun Controls Owner kiriting.
Roʻyxat tizimida «evidence automation» (skrinshotlar/jurnallar eksporti) dan foydalaning.

9) ISO 27701 va GDPR: bog’lamasi

PIMSni ISMSning ustki tuzilishi sifatida quring: nazoratchi/protsessor rollari, ishlov berishning huquqiy asoslari, saqlash maqsadlari, DPIA.
DSR jarayonlarini (sub’ektning so’rovlari) va ularni bajarish uchun SLAni yozing.
Audit shaffofligi uchun nazorat matritsasidagi GDPR maqolalariga 27701 mapt.

10) GLI/eCOGRA/iTech Labs: SDLCga qanday yozish mumkin

O’yin matematikasi va RTPni versiya qiling, invariantlarni saqlang; o’zgarishlarni nazorat qilish - reliz reglamenti orqali amalga oshiriladi.
«Provably fair» tavsifini (commit-reveal/VRF), ommaviy sidlarni, tekshirish koʻrsatmalarini qoʻllab-quvvatlang.
Laboratoriya testlarini relizlar va bozorlar uchun oldindan rejalashtiring; umumiy «Evidence» jildini templeytalar bilan saqlang.

11) Uzluksiz komplayens (continuous compliance)

Muvofiqlik dashbordi: nazorat × egalari × maqomi × artefaktlar × muddatlar.
Har chorakda internal audits va management review.
Avtomatlashtirish: aktivlarni inventarizatsiya qilish, IAM-dreyf, -drift, zaifliklar, o’zgarishlarni jurnalga olish.
Tirik siyosatchilar: PR-merj-jarayonlar, versiyalash, chenjlog.

12) Rollar va RACI

ViloyatRACI
ISMS/ISO 27001SecOps LeadCISOLegal, ITExec, Teams
SOC 2GRC LeadCISOAuditor, DevSales
PCI DSSPCI LeadCTOPSP/QSA, SecOpsSupport
Privacy/27701DPOCOOLegal, ProductMarketing
GLI/eCOGRAQA LeadCPTOStudio, MathCompliance
BCP/22301BCM OwnerCOOIT, SecOpsAll

13) Tashqi auditga tayyorlik chek-varaqasi

1. Belgilangan tizim/jarayon chegaralari.
2. Siyosat va tartib-taomillarning to’liq to’plami (dolzarb versiyalar).
3. O’tgan topilmalar bo’yicha CAPA tomonidan bajarilgan tavakkalchilik reyestri va SoA.
4. Davr uchun hodisalar protokollari va post-mortemalar.
5. Pentestlar/skanlar + og’ir/yuqori zaifliklarni bartaraf etish.
6. Treninglar va o’tganligini tasdiqlash.
7. Asosiy yetkazib beruvchilar bilan/SLAs/DPA shartnomalari + ularning SOC/ISO/PCI hisobotlari.
8. BCP/DR testlarining dalillari.
9. IAM nazoratlarini tasdiqlash (kirish taftishlari, offboarding).
10. Jamoalar uchun tayyorlangan intervyu-skriptlar va sessiyalar jadvali.

14) Tez - tez xatolar va ulardan qanday qochish mumkin

«Qog’oz siyosati» ni Jira/ITSM va metriklar bilan birlashtiring.
Vendor risk → hisobot va audit huquqlarini talab qiling, reyestrni yuriting.
Yo’q «evidence trail» → artefaktlarni to’plashni avtomatlashtiring.
Scope creep in PCI → tokenlash va qatʼiy segmentatsiya.
BCP/DR → ni kechiktirish yiliga kamida bir marta mashq qiling.
Definition of Done’da → Privacy by Design va DPIA uchun maxfiylik ignori.

15) Artefaktlarning shablonlari (repozitoriyada saqlash tavsiya etiladi)

Control Matrix. xlsx (ISO/SOC/PCI/ 27701/22301 map).
Statement of Applicability (SoA).
Risk Register + baholash metodikasi.
ISMS Policies (Access, Crypto, SDLC, Incident, Vendor, Logging, BYOD, Remote Work и др.).
Privacy Pack (RoPA/qayta ishlash reyestri, DPIA, DSR playbook, Cookie/Consent).
BCP/DR Runbooks va mashq protokollari.
Pentest Reports + Remediation Plan.
Vendor Due Diligence Kit (so’rovnomalar, DPA, SLA).
Audit Readiness Checklist (13-bo’limdan).

Chiqish

Sertifikatlashtirish - bu bir martalik tekshirish emas, balki boshqariladigan jarayonlarni qurish loyihasidir. ISO 27001 dan «skelet» ni yigʻing va uni SOC 2 Type II (talab qilinadigan B2B uchun), PCI DSS 4 bilan toʻldiring. 0 (agar xaritalar mavjud bo’lsa), ISO 27701 (maxfiylik), ISO 22301 (barqarorlik), ISO 37301 (umumiy komplayens) va GLI/eCOGRA/iTech Labs (o’yin xususiyatlari). «Dalillar fabrikasini» qo’llab-quvvatlang, artefaktlarni to’plashni avtomatlashtiring va muntazam ichki auditlarni o’tkazing - bu tashqi auditni oldindan aytib bo’lmaydigan va kutilmagan tarzda o’tkazadi.

💡 Material sharh xususiyatiga ega bo’lib, yuridik maslahat hisoblanmaydi. Muayyan yurisdiksiyada qo’llashdan oldin talablarni hamkorlarning regulyatorlari va shartlari (PSP, marketpleyslar, laboratoriyalar) bilan solishtiring.
Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.