Якщо ви розробляєте ігри чи керуєте агрегатором і намагаєтеся продавати ліцензованим операторам, ви впираєтеся в ту саму стіну, що й усі: вас не інтегрують, доки ви не доведете дві речі — що ваша інформаційна безпека надійна і що ваші ігри явно чесні. Цей гайд розбирає сертифікації, які доводять і те, і інше: що кожна охоплює, коли вона вам справді потрібна і в якому порядку вони зазвичай йдуть. Він написаний для студій, агрегаторів і B2B-постачальників платформ, а не для кінцевих операторів.
Два рівні сертифікації
Корисно розділяти два рівні. Рівень управління — це про те, як влаштована ваша компанія: інформаційна безпека, якість, безперервність бізнесу — і сертифікується через акредитовані органи сертифікації. Ігровий рівень — це про те, чи чесні й відповідні ваші конкретні ігри та системи — і сертифікується через незалежні випробувальні лабораторії. Оператори й регулятори дивляться на обидва, і досягаються вони різними шляхами.
Рівень 1 — стандарти системи управління (ISO-стек)
ISO/IEC 27001 — інформаційна безпека (must-have). ISO 27001 сертифікує те, як ваша компанія керує інформаційною безпекою, а не окремий продукт. Це de-facto базовий рівень для B2B-інтеграцій: великі оператори дедалі частіше очікують його від постачальників, і він став типовою вимогою на етапі закупівлі. Сертифікація діє за трирічним циклом із щорічними наглядовими аудитами та ресертифікацією перед продовженням, тож вона засвідчує сталу зрілість безпеки, а не разову перевірку.
ISO 9001 — управління якістю. Демонструє стабільну якість сервісу й операційну надійність. Часто запитується в тендерах і регульованими лотерейними операторами.
Доповнення для ринків ЄС. Залежно від ваших ринків і партнерів стають актуальними кілька розширень: ISO/IEC 27017 і 27018 (хмарна безпека та захист персональних даних у хмарі), ISO/IEC 27701 (управління приватністю, зручне для демонстрації відповідності GDPR), ISO 22301 (безперервність бізнесу, дедалі актуальніша з огляду на акцент регуляторів на операційній стійкості) та ISO 37001 (антикорупція) у суворіших юрисдикціях. Їх додають, коли цього вимагає конкретний ринок чи оператор, — а не за замовчуванням.
Рівень 2 — галузева ігрова сертифікація (GLI, RNG, eCOGRA)
GLI-19 vs GLI-33. Обидва — від Gaming Laboratories International, і обидва вважаються золотим стандартом. Різниця проста: GLI-19 (Interactive Gaming Systems) охоплює онлайн-казино та remote game servers, а GLI-33 (Event Wagering Systems) охоплює спортсбук і беттинг. Казино-студіям зазвичай потрібен GLI-19; постачальникам спортсбуку — GLI-33; тим, хто пропонує і те, і інше, — зазвичай обидва.
Сертифікація RNG. Доводить, що результати ігор справді випадкові й чесні. Для казино-контенту це обов’язково; видається акредитованими незалежними лабораторіями — GLI, BMM, eCOGRA та iTech Labs.
eCOGRA. Незалежна сертифікація чесності та RTP, якої часто очікують оператори і яку визнають гравці.
WLA-SCS / WLA Safer Gambling. Стандарти World Lottery Association — актуальні, якщо ви продаєте лотерейним операторам.
Перевага крос-юрисдикційності. Оскільки багато регуляторів будують свої технічні правила на GLI-19/GLI-33, сертифікацію за цими стандартами можуть визнавати в усіх юрисдикціях, що їх ухвалили, лише зі скороченим дельта-тестом на місцеву специфіку. Це найбільший прискорювач виходу на кілька ринків.
Як складаються вимоги по юрисдикціях
ISO 27001 формально обов’язковий не скрізь, але дедалі частіше стає de-facto вимогою, і деякі регулятори підкріплюють це прямо. Греція вимагає від ліцензіатів наявності акредитованої сертифікації ISO 27001; Данія звільняє від частини вимог щодо аудиту безпеки тих операторів, які мають сертифікат ISO 27001. Ширше — європейські регулятори дедалі більше наголошують на операційній стійкості та управлінні інформаційною безпекою, через що ISO 27001 та ISO 22301 набирають ваги на європейському напрямку.
Обов’язковий перелік також різниться за цільовим ринком — MGA Malta, Кюрасао, румунський ONJN та інші по-різному комбінують вимоги ISO та GLI. Якщо ви оцінюєте конкретні юрисдикції, саме тут дорожня карта окупається.
Практичний стартовий набір
Для нового B2B-постачальника базовий набір зазвичай такий: ISO/IEC 27001 + GLI-19 або GLI-33 + сертифікація RNG, а ISO 9001 і приватність-стек (27701/27018) додаються в міру вимог конкретних ринків і партнерів-операторів. Сприймайте це як послідовність, а не список покупок.
Як вони поєднуються
Реалістичний шлях для казино-студії, яка щойно отримала офшорну ліцензію, виглядає так: спершу ISO 27001 — щоб розблокувати закупівлю в операторів; потім GLI-19 і RNG — щоб розблокувати технічну інтеграцію та запуск; далі ISO 27701 чи eCOGRA в міру підключення операторів із ЄС. Сама ліцензія — це передумова; більшість постачальників доходять до цього етапу одразу після отримання ліцензії на азартні ігри в Анжуані або ліцензії Кюрасао.
Якщо ви не хочете вести цей стек власноруч, ми супроводжуємо всю дорожню карту сертифікації під ключ — див. нашу послугу сертифікації iGaming.
Поширені запитання
Які сертифікації потрібні постачальнику ігор для старту?
Типовий базовий набір — ISO/IEC 27001 (інформаційна безпека), GLI-19 або GLI-33 (сертифікація системи для казино чи спортсбуку) та сертифікація RNG (чесність). ISO 9001 і сертифікації приватності (ISO 27701/27018) додаються в міру вимог конкретних операторів і ринків.
Чи обов’язкова GLI-сертифікація?
На практиці — так, для більшості регульованих ринків, бо значна частина регуляторів будує свої технічні вимоги на стандартах GLI. Сертифікація за GLI-19/GLI-33 також дозволяє швидше виходити на нові юрисдикції, бо лабораторії проводять скорочений дельта-тест замість повної повторної оцінки.
Що таке сертифікація RNG і хто її видає?
Сертифікація RNG (генератора випадкових чисел) доводить, що результати ігор справді випадкові й чесні. Її видають акредитовані незалежні випробувальні лабораторії — GLI, BMM, eCOGRA та iTech Labs.
Чи потрібен ISO 27001, якщо в мене вже є GLI-сертифікація?
Вони про різне. GLI сертифікує ваші ігрові системи; ISO 27001 сертифікує те, як ваша компанія керує інформаційною безпекою. Великі оператори дедалі частіше очікують обидва перед інтеграцією постачальника.
GLI-19 чи GLI-33 — що саме мені потрібно?
GLI-19 — для інтерактивних ігрових систем (онлайн-казино, remote game servers). GLI-33 — для систем ставок на події (спортсбук). Якщо ви пропонуєте і казино, і беттинг, вам, найімовірніше, потрібні обидва.
Дізнайтеся, як захистити свій бізнес.
Отримайте цінні юридичні консультації для вашого стартапу або ІТ-проєкту, щоб уникнути ризиків і зосередитися на зростанні.
Ця стаття має виключно інформаційний характер і не є юридичною, податковою чи фінансовою консультацією. Перед прийняттям рішень зверніться до кваліфікованого фахівця. Редакційна політика.
