الامتثال والإبلاغ عن واجهة برمجة التطبيقات

1) الغرض

• جمع الأحداث والتحقق من صحتها (الألعاب/الدفع/المصادقة) لـ AML/الألعاب المسؤولة (RG).
• عمليات التفتيش (KYC/KYB، الجزاءات/PEP، مصادر الأموال، العمر).
• الإبلاغ التنظيمي (الدوري والمخصص) حسب السوق.
• الاحتفاظ بسجلات مراجعة الحسابات وتنفيذ عقد قانوني.
• تبادل البيانات مع مقدمي الخدمات (PSP، بورصات KYC، قوائم العقوبات) وبوابات الدولة.

النتيجة: انخفاض النفقات العامة التشغيلية، والإبلاغ الأسرع، وإمكانية التتبع، والامتثال المحلي.

2) النطاق

تحديد الهوية والتحقق: أوضاع KYC/KYB، مستويات التحقق، الوثائق.
AML/sensions/PEP: الفرز، رصد المعاملات، STR/SAR، التنبيهات.
اللعب المسؤول (RG): حدود، استبعاد ذاتي، «تهدئة»، مقاييس مخاطر سلوكية.
المدفوعات والمعاملات: الودائع/عمليات السحب، استرداد التكاليف، ميكانيكا المكافآت.
الإبلاغ: GGR/الضرائب، سجلات اللاعبين/الجلسات، قيود التسويق، الحوادث الأمنية.
التدقيق والتخزين: سجلات غير قابلة للتغيير (WORM)، Legal Hold، DSAR/RTBF.

3) مستهلكو البيانات والمنتجون

المستهلكون: المنظمون، الامتثال الداخلي/المخاطر، BI/DWH، SecOps، Finance.
الشركات المصنعة: الواجهات/الخلفية iGaming، PSP/aquiring، مزودي KYC، مكافحة الاحتيال، CRM، الشبكات التابعة.

4) المرجع المعماري

1. Edge/API- шлюз (mTLS، OAuth2/OIDC، حد السعر، WAF).
2. خدمة الامتثال (قواعد الأعمال، تنظيم مقدمي الخدمات، التطبيع).
3. Event bus (Kafka/Redpanda) - fan-out in SIEM/DWH/archive.

• عبر الإنترنت (PostgreSQL/ClickHouse) للاستفسارات/التجميعات السريعة.
• أرشيف (تخزين الكائنات + WORM) للتحف والتقارير غير القابلة للتغيير.
• 5. المراجعة والملاحظة: القياس عن بعد المفتوح (trace_id)، سجلات الفهرسة، لوحات القيادة.
• 6. موصلات المزود: KYC، العقوبات، وحدات RG، بوابات الدولة مع التوقيع الإلكتروني.

5) نقاط النهاية الرئيسية (v1)

5. 1 KYC/KYB والجزاءات

«POST/v1/kyc/check» - طلب فحص KYC (idempotent).
'GET/v1/kyc/{ user _ id }/status' - المستوى الحالي وتاريخ انتهاء الصلاحية.
«POST/v1/العقوبات/الشاشة» - عقوبة/فحص PEP.
'GET/v1/sentions/{ user _ id }/hits' - مباريات/تصعيدات.

5. 2 مراقبة مكافحة غسل الأموال والمعاملات

«POST/v1/aml/traction» - إرسال حدث (إيداع/داخل/رهان/دفع).
'GET/v1/aml/تنبيهات ؟ الدولة = مفتوحة - تنبيهات/حالات مفتوحة.
«POST/v1/aml/str» - تشكيل وتقديم STR/SAR (حسب السوق).

5. 3 الألعاب المسؤولة (RG)

«POST/v1/rg/self-explusion» - ضبط/إزالة الاستبعاد الذاتي.
'GET/v1/rg/limits/{ user _ id}' - الحدود (الإيداع/السعر/الوقت).
«POST/v1/rg/assessment» - تقييم مخاطر السلوك.

5. 4 الإبلاغ والسجلات

«POST/v1/reports/greate» - توليد التقارير (النوع، الفترة، الولاية القضائية).
'GET/v1/reports/{ report _ id}' - الحالة، تنزيل القطع الأثرية (PDF/CSV/JSON)، التجزئة.
«GET/v1/registers/{ type}» - السجلات (اللاعبون، الجلسات، المكافآت، GGR) مع الاستعداد.

5. 5 مراجعة الحسابات والمعاملات القانونية

"GET/v1/audit/events' - اختيار الأحداث (مرشح بواسطة حقول ECS/OCSF).
"POST/v1/legal/hold' - ضبط/إزالة عقد قانوني على الكائن/المجلد.
«POST/v1/privacy/dsar» - ابدأ DSAR، والحالات، وحزم التصدير.

6) نماذج البيانات (مختصرة)

6. 1 حدث المعاملات (JSON)

json
{
"idempotency_key": "trx-8b1a9953",
"timestamp": "2025-11-01T16:02:11Z",
"user": {"id":"U-12345","dob":"1999-04-21","country":"EE"},
"transaction": {
"id": "T-778899",
"type": "deposit",
"amount": {"value": 200. 00, "currency": "EUR"},
"method": "card",
"psp_ref": "PSP-222-ABC"
},
"context": {
"ip": "198. 51. 100. 10",
"device_id": "d-9af0",
"session_id": "s-2233",
"trace_id": "f4c2..."
},
"labels": {"market": "EE", "affiliate": "A-77"}
}

6. 2 نتيجة KYC

json
{
"user_id": "U-12345",
"level": "L2",
"status": "verified",
"expires_at": "2026-04-21",
"checks": [
{"type":"document","result":"pass"},
{"type":"liveness","result":"pass"},
{"type":"pep_sanctions","result":"no_hit"}
],
"provider": {"name":"KYCX","reference":"KYCX-4455"}
}

6. 3 وصف التقرير

json
{
"report_id": "RPT-EE-GGR-2025Q3",
"type": "ggr_quarterly",
"jurisdiction": "EE",
"period": {"from":"2025-07-01","to":"2025-09-30"},
"status": "ready",
"artifact": {
"format": "CSV",
"size_bytes": 183442,
"sha256": "c9b1f...e21",
"download_url": "urn:reports:RPT-EE-GGR-2025Q3"
},
"notes": "Rounded to cents; FX=ECB daily"
}

7) الأمن والوصول

المصادقة: OAuth2/OIDC (وثائق اعتماد العميل، JWT)، اختياري mTLS.
الإذن: RBAC/ABAC ؛ نطاقات منفصلة حسب المجال ('aml: write', 'kyc: read',' reports: greate ').
التشفير: TLS 1. 2 + أثناء العبور ؛ وأثناء الاستراحة عن طريق KMS/CMK ؛ JWE للحقول الحساسة.
التقليل إلى أدنى حد: الحد الأدنى للتخزين ؛ قناع مستخدم PAN/IBAN. pseudo_id'.
سجل الوصول: تدقيق جميع قراءات نقاط النهاية «الحساسة»، تنبيهات التحميلات الجماعية.
الاحتجاز القانوني والاحتفاظ به: تخزين WORM للتقارير و STR ؛ 5-7 سنوات سياسات الاحتفاظ (حسب السوق).

8) الحرث والتوافق

إصدار URI: '/v1 '، '/v2' ؛ تغييرات طفيفة - من خلال مجالات قابلة للتوسيع.
سياسة الاستنكار: ≥ 6-12 شهرا من الدعم ؛ عناوين «الغروب»، «الاستنكار».
المخططات: مخطط JSON + OpenAPI ؛ يتم التحقق من صحة العقود في CI.
الهجرات: المحولات/أعلام الميزات، التوافق ثنائي الاتجاه للفترة الانتقالية.

9) الموثوقية: الخصوصية و «مرة واحدة بالضبط»

Idempotency-Key in 'POST' (مفاتيح المتجر ≥ 24-72 ساعة).
التسليم مرة واحدة على الأقل عبر الحافلة + استلم التفريغ (معرف الحدث/التجزئة).
Outbox/Inbox-pattern للتكامل، retrai مع توقف أسي ونفث.
الطلب: المستخدم _ id/account _ id مفاتيح تقسيم الحتمية.

10) التثبيت، المرشحات، البحث

Pagination: based-charsor-based ('page _ token', 'limited <= 1000').
المرشحات: حسب الولاية القضائية والفترة والحالة ومقدم الخدمة وتقييم المخاطر.
البحث في النص الكامل عن مراجعة الحسابات/السجلات (مجموعة فرعية محدودة من الميادين).
التصدير: غير متزامن، حد الحجم، إعداد أرشيف مع توقيع التجزئة.

11) القيود والحصص

حدود الأسعار لكل عميل/مسار (على سبيل المثال انفجار 100 رطل، 1000 دورة في الدقيقة).
حدود الميزانية المتعلقة بالتقارير الثقيلة (الأرصدة الدائنة/اليومية).
حماية N + 1: دفعات ونقاط نهاية مجمعة.
الحد من عمق العينات التاريخية (على سبيل المثال، ≤ 24 شهراً على الإنترنت، يشار إليها فيما يلي باسم المحفوظات).

12) لوحات القيادة و SLOs

Ingest lag p95 <30 ثانية ؛ نجاح KYC> 99٪ ؛ STR-SLA - إرسال ≤ 24 ساعة.
API ≥ 99 توفر. 9%; Latency p95 <300 mm للقراءة ؛ <800 مللي ثانية للتسجيل.
) أ (تخزين التقارير من حيث التكلفة/البنزين ؛ إخطارات سعر الفعل إلى المنظمين.
الودجات: خريطة حرارة تنبيه AML، قمع KYC، إصدار التقارير القطرية، قائمة انتظار STR.

13) الولايات القضائية: رسم الخرائط والأنماط

نماذج تقرير السوق (الحقول والتنسيقات والتردد): «EE» و «LT» و «LV» و «RO» و «MT» و «UK» وما إلى ذلك.
رسم خرائط المصطلحات (GGR/NGR، المكافآت، حدود الودائع، التحكم في العمر).
تحديد مواقع المناطق الزمنية/الجداول الزمنية ؛ قم بإصلاح ملصق Impact DST لمصدر FX.
دليل المخطط: 'reports/{ jurisdiction }/{ type }/{ version}. json '.

14) معالجة الأخطاء (تنسيق واحد)

json
{
"error": {
"code": "RATE_LIMIT_EXCEEDED",
"message": "Too many requests",
"request_id": "req-7f91",
"hint": "Reduce RPS or request higher quota",
"retry_after": 30
}
}

Частые коды: 'غير صالح _ مخطط'، 'غير مصرح به'، 'قانوني _ عقد _ نشط'، 'مقدم _ TIMEOUT'،' تقرير _ ليس _ جاهزا '.

15) الاختبار والاعتماد

اختبارات العقد (OpenAPI → توليد عملاء الاختبار).
مجموعات التركيب حسب الولاية القضائية، والملفات الذهبية للإبلاغ.
«القوائم السوداء» لحقول PII في جذوع الأشجار ؛ تحليل ثابت للتسريبات السرية.
تمارين DR منتظمة لاستعادة أرشيف التقارير.

16) أمثلة

16. 1 إعداد التقارير

استفسار

http
POST /v1/reports/generate
Content-Type: application/json
Authorization: Bearer <token>

json
{
"type": "ggr_monthly",
"jurisdiction": "EE",
"period": {"from":"2025-10-01","to":"2025-10-31"},
"format": "CSV",
"notify": ["compliance@company"],
"parameters": {"include_bonus_breakdown": true}
}

الجواب

json
{"report_id":"RPT-EE-GGR-2025-10","status":"processing","eta_seconds":120}

16. إرسال 2 STR/SAR

json
{
"case_id": "AML-2025-0091",
"user_id": "U-12345",
"reason": "Structuring deposits under threshold",
"evidence": ["txn:T-778899","txn:T-778900"],
"attachments": ["urn:doc:kyc:U-12345:v3"],
"jurisdiction": "EE"
}

16. 3 الاستبعاد الذاتي

json
{
"user_id":"U-12345",
"type":"national_register",
"action":"enable",
"effective_from":"2025-11-01",
"effective_to":"2026-11-01"
}

17) التدقيق المدمج وعدم قابلية التغيير

Autologation: 'request _ id', 'trace _ id', calling client, scope.
توقيع مجموعات التقارير (SHA-256) + سجل التجزئة ؛ التثبيت الدوري.
أرشيف WORM للتحميلات التنظيمية و STR.
تاريخ تكوينات القواعد والنماذج (رابط ↔ سجل تغيير السياسات).

18) العمليات و RACI (باختصار)

R: فريق منهاج الامتثال (التطوير/العمليات).
ألف: رئيس قسم الامتثال/لجنة التنسيق (السياسات والميزانيات والأولويات).
C: Legal/DPO, Finance, Architecture, Data.
الأول: المنتج والدعم والشركاء (PSP/KYC).

19) خارطة طريق التنفيذ

1. '/v1/kyc/check ', '/v1/aml/transaction', '/v1/reports/greate '(2-3 key patterns).

2. OAuth2 + الحد الأقصى للمعدل + الخصوصية الأساسية.

3. Archive of reports in Object Storage with hash signature.

4. لوحة تحكم SLO وقوائم انتظار المهام.

• نماذج الاختصاص القضائي (5-8 أسواق)، STR/SAR، RG-endpoints، DSAR.
• تجميع مقدمي الخدمات (CUS/senvations)، retrai، dedupe.
• سياسات الحيازة القانونية، WORMs، أدوار موسعة.

• قاعدة رمز للتقارير/قواعد مكافحة غسل الأموال، محاكاة التغيير.
• تعدد الإيجارات (B2B2C والعلامات التجارية/الجلود) والحصص والفواتير.
• صندوق رمل وشهادة للمتكاملين الخارجيين.

20) الأخطاء النموذجية وكيفية تجنبها

تباين المخططات حسب السوق: دليل مركزي، مخططات الوبر التلقائي.
No idempotency - Type 'idempotency _ key' and the deuplication window.
الأسرار في السجلات: ابتلاع المرشحات، تحليل ثابت.
التقارير الطويلة عبر الإنترنت: افعل ذلك بشكل غير متزامن مع سحب الحالة والإخطارات.
ضعيف RBAC: نشر «اقرأ _ تقارير»، «توليد _ تقارير»، «إدارة».
العملة/المنطقة الزمنية: إصلاح 'fx _ source'، 'timezone'، تخزين التوقيت العالمي المنسق.

21) مسرد (موجز)

KYC/KYB - تحديد الأشخاص الطبيعيين/الاعتباريين.
AML/STR/SAR - مكافحة الغسل/النشاط/التقرير المشبوه.
RG هي لعبة مسؤولة.
GGR/NGR - إجمالي/صافي إيرادات الألعاب.
WORM - تخزين الكتابة مرة واحدة.
قاعدة كمدونة - قواعد كرمز مع الاختبارات/الإصدار.

22) خلاصة القول

يعد الامتثال والإبلاغ عن واجهة برمجة التطبيقات طبقة مستقرة وآمنة وموحدة بين عمليات iGaming والمتطلبات التنظيمية. ويكفل التقيد بالمبادئ الواردة في هذه المادة (المخططات الصارمة، والتكامل الآمن، والخصوصية، والتدقيق غير القابل للتغيير، والنماذج القضائية، والمكاتب الإقليمية) إمكانية التنبؤ، والمرور السريع لعمليات التدقيق، وتخفيف المخاطر في الأسواق الرئيسية.