ТОП-10 аудиторських звітів, яким варто довіряти

У ліцензованому iGaming «довіряй, але перевіряй» - це конкретні документи. Нижче - десять звітів, які дають об'єктивну картину чесності контенту і процесів провайдера/оператора. Зберігайте як чек-лист для due diligence.

1) Звіт по RNG (RNG Certification/Evaluation Report)

Що підтверджує: непередбачуваність генератора випадкових чисел, відсутність кореляцій, коректне сидування і ротацію.

Дивіться у звіті: методики (NIST/Diehard/TestU01), обсяги вибірок, p-values, версію RNG і дату тесту.

Червоні прапори: розпливчасті методики, маленькі вибірки, прострочена дата, відсутність даних про сидірування.

Періодичність: при зміні RNG/рушія або значущої версії.

2) Звіт з математики та RTP (Game Math/RTP Verification)

Що підтверджує: відповідність фактичної віддачі заявленому RTP на великих симуляціях, профіль волатильності, частоти хітів/бонусів.

Дивіться у звіті: довірчі інтервали, розподілу виграшів, перевірку капів/округлень, перелік всіх RTP-варіантів.

Червоні прапори: один RTP вказаний в маркетингу, а в звіті фігурують інші; занадто широкі інтервали; немає частот подій.

Періодичність: для кожної версії гри і кожного RTP-варіанту.

3) Функціональний звіт по грі (Functional/Game Rules Compliance)

Що підтверджує: коректність правил/таблиці виплат, роботу бонусів, поведінку в крайових сценаріях (обрив зв'язку, роллбек, автоспіни).

Дивіться у звіті: перелік сценаріїв, результати, версії ресурсів (paytable, help), дати збірок.

Червоні прапори: немає edge-кейсів, відсутні скріншоти/журнали відтворення.

Періодичність: при будь-якій правці механік, виплат, інтерфейсу довідки.

4) Звіт про цілісність ПЗ і hash-лист (Software Verification/Build Integrity)

Що підтверджує: що на продакшені крутиться саме сертифікована збірка.

Дивіться у звіті: хеші/підписи файлів, список артефактів, прив'язка до сертифіката і версії.

Червоні прапори: розбіжність хешів у оператора, відсутність підпису, «сірі» файли поза списком.

Періодичність: на кожному релізі і при польових перевірках.

5) Звіт по платформі RGS і процесам (RGS/Process Audit)

Що підтверджує: ізоляцію ядра гри на серверах провайдера, контроль доступів, change-management, журналювання адмін-дій.

Дивіться у звіті: архітектурні схеми, IAM-політики, CI/CD, поділ середовищ, dual-control на критичних операціях.

Червоні прапори: ручні правки в проді, загальний адмін-аккаунт, відсутність журналів.

Періодичність: щорічно або при значущих архітектурних змінах.

6) Юрисдикційний звіт про відповідність (Jurisdictional/Regulatory Compliance)

Що підтверджує: виконання локальних правил: видимість RTP/попереджень, формат звітності, ліміти ставок, RG-вимоги.

Дивіться у звіті: перелік юрисдикцій, посилання на вимоги, скрін-проби UI, тести звітних вивантажень.

Червоні прапори: один загальний звіт «на всі ринки», без конкретики за вимогами.

Періодичність: при вході на новий ринок і при зміні правил.

7) Звіт пост-моніторингу статистики (Post-Market Statistical Monitoring)

Що підтверджує: відсутність аномалій вже після релізу за великими вибірками.

Дивіться у звіті: RTP-drift в довірчих інтервалах, частоти бонусів/хітів, мережеві джекпоти, методику алертингу.

Червоні прапори: стійкі відхилення без розслідувань, «ручна» вибірка даних.

Періодичність: щомісяця/щоквартально.

8) Польовий звіт (Proof-on-Production/Field Inspection)

Що підтверджує: збіг версії/хешів і поведінки гри у реального оператора з еталоном.

Дивіться у звіті: матрицю «оператор → версія → хеш», семпл-плей з round ID і звіркою логів RGS, скріни довідки (RTP/версія).

Червоні прапори: «унікальні» збірки тільки в одного сайту, розбіжності довідки та сертифікатів.

Періодичність: вибірково, за планом або при ескалаціях.

9) Звіт з безпеки (ISO/IEC 27001/SOC 2 Type II Summary)

Що підтверджує: зрілість системи управління безпекою: IAM, управління ключами/секретами, логи, резервування, ризик-менеджмент.

Дивіться у звіті: scope, контрольні домени, винятки (exceptions), терміни ремедіації.

Червоні прапори: «certificate pending», відсутність плану закриття зауважень, сильно урізаний scope.

Періодичність: щорічно (SOC 2 Type II - за звітний період; ISO - цикл нагляду).

10) Звіт з пен-тесту та вразливостей (Penetration Test/VA Report)

Що підтверджує: перевірку зовнішнього периметра, RGS/API, порталів адмінки та клієнтських додатків на вразливості.

Дивіться у звіті: методологія (OWASP), критичність знахідок (CVSS), докази експлуатації, терміни фікса, повторна перевірка.

Червоні прапори: «сканер заради сканера», без спроб експлуатації; відкриті критичні вразливості без дедлайнів.

Періодичність: не рідше разу на рік і після великих релізів.

Як швидко верифікувати будь-який звіт (міні-чек-лист)

1. Ідентичність: версія гри/рушія і дата тесту збігаються з продом.

2. Методики: вказані стандарти, обсяги даних, критерії проходження.

3. Трасування: є хеш-листи, round ID, посилання на сертифікати.

4. Зауваження: перераховані і забезпечені планом ремедіації (власники, терміни).

5. Актуальність: звіт не прострочений; є історія перетестів.

Часті помилки при читанні звітів

Плутати маркетинговий «бейдж» з технічною сертифікацією. Потрібна зв'язка з версіями і хешами.

Дивитися тільки RTP і ігнорувати процеси. Без change-management і IAM будь-який сертифікат втрачає ціну.

Спиратися на старі звіти. Контент і вимоги змінюються - перевіряйте дати і релісти.

Шаблон запиту документів провайдеру/оператору

💡 Просимо надати: (1) RNG Report; (2) Game Math/RTP Reports за версіями X.Y; (3) Functional Report; (4) Build Integrity + hash-листи; (5) RGS/Process Audit; (6) Jurisdictional Compliance; (7) Post-Market Monitoring за останні 3-6 міс.; (8) Proof-on-Production у операторів A/B; (9) ISO 27001/SOC 2 summary; (10) Pen-Test/VA з планом ремедіації.

Якщо у провайдера і оператора на руках повний комплект з десяти звітів, актуальних за датами і версіями, з хеш-листами і планами ремедіації, - перед вами зріла і прозора екосистема. Все інше - привід заглибитися, задати питання і обмежити трафік до отримання доказів.