Если вы разрабатываете игры или управляете агрегатором и пытаетесь продавать лицензированным операторам, вы упираетесь в ту же стену, что и все: вас не интегрируют, пока вы не докажете две вещи — что ваша информационная безопасность надёжна и что ваши игры явно честны. Этот гайд разбирает сертификации, которые доказывают и то, и другое: что каждая охватывает, когда она вам действительно нужна и в каком порядке они обычно идут. Он написан для студий, агрегаторов и B2B-поставщиков платформ, а не для конечных операторов.
Два уровня сертификации
Полезно разделять два уровня. Уровень управления — это про то, как устроена ваша компания: информационная безопасность, качество, непрерывность бизнеса — и сертифицируется через аккредитованные органы сертификации. Игровой уровень — это про то, честны ли и соответствуют ли требованиям ваши конкретные игры и системы — и сертифицируется через независимые испытательные лаборатории. Операторы и регуляторы смотрят на оба, и достигаются они разными путями.
Уровень 1 — стандарты системы управления (ISO-стек)
ISO/IEC 27001 — информационная безопасность (must-have). ISO 27001 сертифицирует то, как ваша компания управляет информационной безопасностью, а не отдельный продукт. Это de-facto базовый уровень для B2B-интеграций: крупные операторы всё чаще ожидают его от поставщиков, и он стал типичным требованием на этапе закупки. Сертификация действует по трёхлетнему циклу с ежегодными надзорными аудитами и ресертификацией перед продлением, поэтому она подтверждает устойчивую зрелость безопасности, а не разовую проверку.
ISO 9001 — управление качеством. Демонстрирует стабильное качество сервиса и операционную надёжность. Часто запрашивается в тендерах и регулируемыми лотерейными операторами.
Дополнения для рынков ЕС. В зависимости от ваших рынков и партнёров становятся актуальными несколько расширений: ISO/IEC 27017 и 27018 (облачная безопасность и защита персональных данных в облаке), ISO/IEC 27701 (управление приватностью, удобное для демонстрации соответствия GDPR), ISO 22301 (непрерывность бизнеса, всё более актуальная с учётом акцента регуляторов на операционной устойчивости) и ISO 37001 (антикоррупция) в более строгих юрисдикциях. Их добавляют, когда этого требует конкретный рынок или оператор, — а не по умолчанию.
Уровень 2 — отраслевая игровая сертификация (GLI, RNG, eCOGRA)
GLI-19 vs GLI-33. Оба — от Gaming Laboratories International, и оба считаются золотым стандартом. Разница проста: GLI-19 (Interactive Gaming Systems) охватывает онлайн-казино и remote game servers, а GLI-33 (Event Wagering Systems) охватывает спортсбук и беттинг. Казино-студиям обычно нужен GLI-19; поставщикам спортсбука — GLI-33; тем, кто предлагает и то, и другое, — обычно оба.
Сертификация RNG. Доказывает, что результаты игр действительно случайны и честны. Для казино-контента это обязательно; выдаётся аккредитованными независимыми лабораториями — GLI, BMM, eCOGRA и iTech Labs.
eCOGRA. Независимая сертификация честности и RTP, которую часто ожидают операторы и признают игроки.
WLA-SCS / WLA Safer Gambling. Стандарты World Lottery Association — актуальны, если вы продаёте лотерейным операторам.
Преимущество кросс-юрисдикционности. Поскольку многие регуляторы строят свои технические правила на GLI-19/GLI-33, сертификацию по этим стандартам могут признавать во всех юрисдикциях, которые их приняли, лишь с сокращённым дельта-тестом на местную специфику. Это самый большой ускоритель выхода на несколько рынков.
Как складываются требования по юрисдикциям
ISO 27001 формально обязателен не везде, но всё чаще становится de-facto требованием, и некоторые регуляторы подкрепляют это напрямую. Греция требует от лицензиатов наличия аккредитованной сертификации ISO 27001; Дания освобождает от части требований по аудиту безопасности тех операторов, у которых есть сертификат ISO 27001. Шире — европейские регуляторы всё больше делают акцент на операционной устойчивости и управлении информационной безопасностью, из-за чего ISO 27001 и ISO 22301 набирают вес на европейском направлении.
Обязательный перечень также различается по целевому рынку — MGA Malta, Кюрасао, румынский ONJN и другие по-разному комбинируют требования ISO и GLI. Если вы оцениваете конкретные юрисдикции, именно здесь дорожная карта окупается.
Практический стартовый набор
Для нового B2B-поставщика базовый набор обычно такой: ISO/IEC 27001 + GLI-19 или GLI-33 + сертификация RNG, а ISO 9001 и приватность-стек (27701/27018) добавляются по мере требований конкретных рынков и партнёров-операторов. Воспринимайте это как последовательность, а не список покупок.
Как они сочетаются
Реалистичный путь для казино-студии, которая только что получила офшорную лицензию, выглядит так: сначала ISO 27001 — чтобы разблокировать закупку у операторов; затем GLI-19 и RNG — чтобы разблокировать техническую интеграцию и запуск; далее ISO 27701 или eCOGRA по мере подключения операторов из ЕС. Сама лицензия — это предпосылка; большинство поставщиков доходят до этого этапа сразу после получения лицензии на азартные игры в Анжуане или лицензии Кюрасао.
Если вы не хотите вести этот стек своими силами, мы сопровождаем всю дорожную карту сертификации под ключ — см. нашу услугу сертификации iGaming.
Частые вопросы
Какие сертификации нужны поставщику игр для старта?
Типичный базовый набор — ISO/IEC 27001 (информационная безопасность), GLI-19 или GLI-33 (сертификация системы для казино или спортсбука) и сертификация RNG (честность). ISO 9001 и сертификации приватности (ISO 27701/27018) добавляются по мере требований конкретных операторов и рынков.
Обязательна ли GLI-сертификация?
На практике — да, для большинства регулируемых рынков, потому что значительная часть регуляторов строит свои технические требования на стандартах GLI. Сертификация по GLI-19/GLI-33 также позволяет быстрее выходить на новые юрисдикции, потому что лаборатории проводят сокращённый дельта-тест вместо полной повторной оценки.
Что такое сертификация RNG и кто её выдаёт?
Сертификация RNG (генератора случайных чисел) доказывает, что результаты игр действительно случайны и честны. Её выдают аккредитованные независимые испытательные лаборатории — GLI, BMM, eCOGRA и iTech Labs.
Нужен ли ISO 27001, если у меня уже есть GLI-сертификация?
Они про разное. GLI сертифицирует ваши игровые системы; ISO 27001 сертифицирует то, как ваша компания управляет информационной безопасностью. Крупные операторы всё чаще ожидают оба перед интеграцией поставщика.
GLI-19 или GLI-33 — что именно мне нужно?
GLI-19 — для интерактивных игровых систем (онлайн-казино, remote game servers). GLI-33 — для систем ставок на события (спортсбук). Если вы предлагаете и казино, и беттинг, вам, скорее всего, нужны оба.
Узнайте, как защитить свой бизнес.
Получите ценные юридические консультации для вашего стартапа или IT-проекта, чтобы избежать рисков и сосредоточиться на росте.
Эта статья носит исключительно информационный характер и не является юридической, налоговой или финансовой консультацией. Перед принятием решений обратитесь к квалифицированному специалисту. Редакционная политика.
