Як пройти GLI-19 без переписування архітектури й спростити масштабування: кейс SharksCode

Для B2B-платформи в iGaming кожне масштабування — це нові інтеграції: провайдери ігор, платіжні сервіси, KYC, локальні вимоги регуляторів. У такій динаміці архітектура швидко обростає винятками.

«Без стандартизації кожен новий партнер або юрисдикція вимагає окремих кастомних рішень — у логіці, інтеграціях, звітності, доступах. Замість єдиної архітектури з’являються винятки в коді та залежність від конкретного ринку», — пояснює CTO SharksCode Ігор Моргунов.

Команда зіткнулася з типовим для індустрії викликом: короткостроково кастомізація прискорює запуск, довгостроково — робить систему крихкою. Потрібно було рішення, яке дисциплінує архітектуру. Таким рішенням стала сертифікація GLI-19.

ДОВІДКА

Рішення: перевірити архітектурну зрілість незалежним аудитом

GLI-19 — це технічний стандарт для інтерактивних гральних систем, який перевіряє не інтерфейс, а фундамент: відповідальну гру, контроль доступів і доказовість дій. Сертифікацію проводить незалежна лабораторія. Компанія не впливає на процес аудиту — лише готує платформу до перевірки.

Підготовка у SharksCode тривала близько чотирьох місяців. Ключовий момент кейсу: архітектуру не довелося переписувати. DevOps-процеси, реліз-менеджмент і культура code review вже відповідали вимогам стандарту.

«Ми вже працювали в логіці контрольованих змін, розмежування доступів і документування процедур. GLI-19 не став революцією — він став підтвердженням того, що ці процеси справді працюють системно», — коментує Chief Information Security Officer Олександр Мацера.

Процес: що саме перевіряли аудитори

GLI-19 фокусується на трьох критичних зонах. Перша — чесність гри: архітектура RNG, контроль RTP, неможливість змінити параметри гри.

Друга — логіка розрахунків. Саме тут зосереджена найбільша кількість ризиків. «Архітектура має забезпечувати, щоб flow був відтворюваним і спостережним. Неможливо „намалювати“ баланс або втратити транзакцію через навантаження», — пояснює Мацера.

Ідеться, зокрема, про атомарність транзакцій, захист від дублювання, коректні rollback-механізми. Третя зона — контроль і доказовість: сегментація середовищ, trust boundaries, мінімально необхідні доступи, MFA для адміністраторів, незмінність логів і можливість відтворити будь-яку дію в системі.

Система має не лише працювати правильно — вона має відповідати стандартам аудитора.

Результат: спрощення інтеграцій і зниження контрактних ризиків

Найбільш відчутні зміни стали помітні після отримання сертифікації. До GLI-19 кожна нова інтеграція фактично супроводжувалася локальним аудитом: глибока перевірка тестового середовища, додаткові security-опитувальники, розширені гарантії.

Після сертифікації базові технічні ризики вже підтверджені незалежною лабораторією. Це скорочує обсяг додаткових перевірок, пришвидшує переговори та спрощує вихід у регульовані юрисдикції.

«Ми можемо відповідати стандарту в конкретний момент часу, але ніхто про це не знає. Щоб гарантувати незмінність ключових критеріїв відповідальності й потрібна сертифікація», — зазначає Моргунов.

Сертифікація як інструмент інженерної дисципліни

У SharksCode підкреслюють: GLI-19 не робить систему невразливою. Але він знімає клас критичних ризиків — чесність гри, контроль доступів і доказовість.

І головне — не дає змоги масштабуванню зруйнувати архітектуру зсередини.«GLI-19 — це  насамперед спосіб не дозволити системі стати крихкою під час масштабування», — резюмує Моргунов.