KYC tələbləri və yoxlama səviyyələri

1) KYC nədir və niyə lazımdır

KYC (Know Your Customer) çirkli pulların yuyulması (AML), terrorizmin maliyyələşdirilməsi (CFT), dələduzluq və sanksiya rejimlərinin pozulması risklərini azaltmaq üçün müştərilərin identifikasiyası və yoxlanılması prosedurları kompleksidir. iGaming KYC-də yaş yoxlaması, geo məhdudiyyətlər, vəsait mənbələri və məsuliyyətli oyun (limitlər, affordability) əlavə olunur.

• Oyunçunun şəxsiyyətini və yaşını təsdiq edin.
• Rezidentlik/ünvan təyin edin, geo-uyğunluğunu yoxlayın.
• Sanksiya, terror və PEP risklərini istisna edin.
• Yüksək limitlərlə vəsait/sərvət mənbələrini (SOF/SOW) başa düşün.
• Davamlı monitorinq və vaxtında reverifikasiya təmin edin.

2) Risk yönümlü yanaşma (RBA)

• Coğrafiya: qeydiyyat/yaşayış ölkəsi, «yüksək riskli» yurisdiksiyalardan giriş.
• Ödənişlər: üsul, kanal (kart, A2A, kriptovalyutalar), depozitlər/çıxışlar patterni.
• Davranış: dövriyyə dərəcəsi, dərəcələr, bonus sxemləri, multiakkounting, IP/Cihaz-anomaliyalar.
• Müştəri statusu: PEP, sanksiyalar, əlverişsiz media (Adverse Media).
• Məhsul riski: kazinolar/dərəcələr, yüksək limitlər, P2P köçürmələri.

RBA KYC səviyyələrində (aşağıya bax), eskalasiya tetiklərində və baxış tezliyində (CDD EDD) əks olunur.

3) KYC səviyyələri (iGaming üçün nümunə)

L0 - Əsas tolerantlıq (age & geo pre-check)

Məqsəd: minimum sürtünmə ilə ani enbording huni.
Məlumat: e-mail/telefon, tam adı, doğum tarixi, ölkə, razılıq.
Yoxlamalar: yaş (date-of-birth + xarici baza/SDK), IP/GeoIP, cihaz, əsas watchlist.
Məhdudiyyətlər: aşağı depozit/çıxarış limitləri, P2P qadağası, məhdud bonuslar.
Reverifikasiya: dövriyyə/çıxış həddinə çatdıqda.

L1 - Standart identifikasiya (CDD)

Sənədlər: 1 şəxsiyyət sənədi (pasport/ID/su hüququ) + selfi-liveness, ayrı-ayrı ölkələrdə - ayrı yaş yoxlaması.
Ünvan: ünvan bəyannaməsi + «yumşaq» yoxlama (telefon match, aqreqator banklar, kredit faylları, postal DB).
Avtomatik yoxlamalar: sanksiyalar/PEP/Adverse Media, təkrarlanan cihazlar/ödənişlər, davranış biometrikası.
Limitlər: orta depozit/çıxarış limitləri; turnirlərdə/promosyonlarda iştirak etmək imkanı.

L2 - Genişləndirilmiş yoxlama (EDD )/Vasitə mənbələri (SOF)

Sənədlər: ünvanın sübutları (utility bill/bank çıxarışı ≤ 3 ay), gəlirlərin təsdiqi (çıxarışlar, gəlir arayışları, peysliplər, müqavilə), zəruri hallarda - SOW (aktivin satışı, miras).
Müsahibə/risk anketi: vəsait mənbələri, məşğulluq, gözlənilən dövriyyə haqqında qısa forma.
Texniki nəzarət: AML monitorinqinin gücləndirilmiş triggerləri, sanksiyaların daha tez-tez yenidən yoxlanması/RER.
Limitlər: yüksək; VIP proqramlara/yüksək likvidli ödənişlərə giriş.

L3 - Ultra riskli profil/VIP High-Roller/Cross-border

Əlavə: audit hesabatları/aktivlərin təsdiqi, bankdan məktublar, bəyannamələr.
Əl ilə uyğunlaşma + «dörd göz» prinsipi (4-eyes).
Monitorinq tezliyi: yüksək, hadisə əməliyyat rəyləri, ətraflı SOW.

4) Şəxsiyyət yoxlamaları: metodlar və keyfiyyət

Doc doğrulama: OCR + MRZ + NFC (varsa), anti-tampon, portret müqayisə.
Selfie-liveness: aktiv (mimika/hərəkət) və ya passiv; anti-spufing (maskalar, re-play).
Biometriya: face-match, bəzən voice/behavioral.
Sənədsiz yoxlama: banklar/aqreqatorlar (open-banking), kredit büroları, mobil operatorlar (SIM KYC) vasitəsilə.
Keyfiyyət: qətnamə, işıqlandırma üçün minimum tələblər; sapmalar - «boz təbəqə» + əl emalı.

5) Yaş, coğrafiya və uyğunluq

Yaş: doğum tarixinin avtomatik yoxlanılması + xarici reyestrlər/SDK, L1-də ikincil nəzarət.
Geo: qadağan olunmuş ölkələrin/ştatların bloklanması; IP, GPS/telemetriya cihaz, BIN-ölkə xəritə, sənəd ünvanı.
Regional incəliklər: müxtəlif ünvan/ID formatları (latın/kiril, adların transliterasiyası, bir neçə rəsmi dil, patronimlər).

6) Sanksiyalar, PEP və mənfi media

Sanksiyalar: siyahılar üzrə müqayisə (UN/EU/OFAC/HMT və yerli), avtomatik yeniləmə, xüsusi eşik ilə fuzzi matçı.
PEP: təsnifat (beynəlxalq/milli/yerli; PEP-əlaqəli şəxslər).
Adverse Media: əsas mövzularda mənfi nəşrlər (fırıldaqçılıq, korrupsiya).
Prosedurlar: müsbət matçlar → əllə validasiya, eskalasiya, komplayens hesabatı.

7) Source of Funds (SOF) и Source of Wealth (SOW)

Tələb olunduqda: depozit/çıxarış həddini aşmaq, VIP statusu, nadir böyük əməliyyatlar, risk bayraqları.

• Bankın 3-6 aylıq çıxarışları, gəlir arayışları, vergi bəyannamələri.
• Birdəfəlik gəlirlərin sübutları: daşınmaz əmlakın/səhmlərin satışı, miras, dividendlər, kredit müqaviləsi.
• Status təsdiqləri (İP/şirkət), müqavilə, işəgötürənin məktubu.

8) KYB (satıcılar/tərəfdaşlar/affiliates üçün)

Qeydiyyat sənədləri, nizamnamə, benefisiarlar (UBO), mülkiyyət strukturu.
Direktorlar/UBO: KYC, sanksiyalar/RER.
Ünvan və fəaliyyətin sübutları (sayt, müqavilələr, hesablar).
Ödəniş və trafik monitorinqi (affiliats üçün): anti-frod, lid keyfiyyəti, geo və trafik mənbəyi.

9) Təkrar yoxlama tetikləyiciləri (rev-KYC) və hadisə EDD

Dövriyyə/nəticə limitlərinə nail olmaq.
Adının/ünvanının/ödəniş alətlərinin dəyişdirilməsi, şübhəli nümunələr (dövri depozitlər/sürətli nəticələr).
Mənfi media, sanksiya siyahılarında yeniliklər, yeni cihazlar/IP klasteri.
Uzunmüddətli fəaliyyətsizlik + qəfil aktivlik.
«Gigiyena» məlumat: 1-3 ildə bir dəfə rev-KYC (RBA asılı).

10) Məlumatların saxlanması, məxfiliyi və təhlükəsizliyi

Minimallaşdırma və məqsəd: yalnız məqsəd üçün lazım olanları toplayın (bağlama, AML, yaş, region).
Saxlama müddətləri: adətən hesab/son əməliyyat bağlandıqdan sonra 5 il (yerli qanunla dəqiqləşdirin).
Şifrələmə: dinc (at-rest) və tranzit (in-transit); HSM/satıcı-vault sirləri.
Giriş: Ən kiçik imtiyazlar prinsipi (RBAC/ABAC), audit, giriş jurnalları.
Subyektin hüquqları: giriş/düzəliş/silinmə (tətbiq olunan yerlərdə), emal üzrə şəffaflıq.
Satıcılar: DPIA/UDPA, ölkələrarası məlumat transferləri, standart müqavilə müddəaları.

11) KYC memarlıq və inteqrasiya

1. Qeydiyyat (L0): e-mail/telefon → yaş/geo pre-check → risk pre-score.

2. L1: doc-yoxlama + liveness → sanksiyalar/RER → ünvan (yumşaq).

3. Limitlərin/funksiyaların açılması → tranzaksiya monitorinqi (davranış/ödəniş).

4. Tetik L2/L3 qədər eskalasiya (eşiklər, anomaliyalar, VIP).

5. Dövri review + hadisə EDD.

• Provayderlər: ID-satıcı, sanksiyalar/RER, ünvan DB, device fingerprint, davranış biometrikası, open-banking/PSP.
• Rules + ML (risklərin hesablanması, qrafik rabitələr, cihazların klasterləşdirilməsi).
• Komplayens konsolu: cases növbələri, SLA, «dörd göz», SAR/STR şablonları, ixrac hesabatları.
• Qeydlər və audit: dəyişməz saxlama (WORM), profil versiyası, sənədlər arxivi.
• Mövcudluq/sabitlik: aktiv-aktiv regionlar, backoff/təkrarlamalar, xarici satıcıların əlçatmazlığı ilə «yalnız L0/L1» rejiminə deqradasiya.

12) UX və KYC dönüşüm

«Tərəqqi bar» və mərhələli (split-KYC): əvvəlcə L0/L1, sonra limitlər artdıqca L2.
Lokalizasiya: dil, tarix/ad formatı, sənədlər üzrə məsləhətlər (şəkil nümunəsi, glare-nəzarət).
Təkrar yükləmə: «saxla və sonra davam et», xatırlatmalar, secure links.
Əlçatanlıq: mobil SDK, oflayn layihə, şəkillərin sıxılması.
Fail-safe: izahat ilə yumşaq imtina, manual check kanal, SLA hallarda.

13) KYC keyfiyyət metrikası

Time-to-Verify (TTV): mediana/95-ci persentil.
Auto-pass rate və Auto-fail rate, əl emalı payı.
Sənədlər üzrə First Pass Yield (FPY).
False Positive rate sanksiyaları/RER, alertlərin orta klirinq vaxtı.
UX iterasiyalarından sonra Conversion uplift.
Cost per Verification və məcmu KYC OPEX.
SAR/STR ratio və eskalasiya səmərəliliyi.
Re-KYC completion rate.

14) Siyasət və şablonlar (nümunəvi formulalar)

• L0: Ayda X €/ /$/₹ qədər, çıxarılmadan və ya mikro driver ilə.
• L1: Y, standart nəticələr.
• L2: yüksək limitlər + SOF tələbi.
• L3: mükafat limitləri + SOW və əl komplayens.
• EDD-triggerlər: böyük birdəfəlik depozitlər, sürətləndirilmiş depozit dövrləri → çıxarış, ödəniş vasitələrinin tez-tez dəyişdirilməsi, VPN/proxy, IP/BIN/sənəd üzrə ölkələrin uyğunsuzluğu.
• Sanksiyalar/RER: hər ödənişdə + onbordinqdə skrininq; 24 saat ərzində «sərhəd» təsadüflərinin təkrarlanması.
• Reverifikasiya: hadisə + dövri (RBA ilə 12-36 ay).
• Eskalasiya və SAR/STR: məcburi ssenarilər və çatdırılma müddətləri, müştəri bildirişinin qadağan edilməsi (tipping-off).

15) Tez-tez risklər və onları necə bağlamaq olar

Sintetik şəxsiyyətlər → multisiqnallar: sənəd + üz tənliyi + device graph + open-banking.
Multiakkaunting → davranış biometriyası, cookie-less device graph, ünvan/ödəniş klasterləri.
Bonus sui-qəsd → KYC səviyyəsinə qədər limitlər, velocity qaydaları, qismən «gecikmiş bonus».
Sənədlərlə Frod → NFC-çip oxunması, passiv həyat, tekstura analizi.
Nazik fayl (thin-file) → alternativ mənbələr (telko-data, open-banking), əl yoxlama.
Transliterasiya/alias → tam adının normallaşdırılması, yerli əlifbalar, fuzzi matçı.

16) Mini çek vərəqləri

• Yaş, geo, IP/Cihaz.
• Sənəd + selfie-liveness.
• Sanksiyalar/PEP/Adverse Media.
• Ünvan (soft) → limitdə: ünvan (hard).
• Avtomatik qaydalar və ML-skor.
• Şəffaf ünsiyyət, razılıq.

• Rev-Screen sanksiyalar/RER.
• SOF (həddi aşdıqda).
• Ödəniş alətinin sahibinin uyğunluğunun yoxlanılması.
• Davranış və ödəniş monitorinqi (anomaliyalar).

• Qeydlərin tamlığı və sənədlərin aktuallığı.
• Komanda təlim və audit jurnalı.
• Satıcıların test planları (SLA, uğursuzluq).
• DPIA/Təhlükəsizlik və Access.

17) FAQ (qısa)

L1-ə qədər oyuna girə bilərəmmi? Bəli, L0 ilə sərt limitlər və yaş/geo-nəzarət - lakin çıxarış/yüksək limitlər yalnız L1 sonra.
SOF/SOW nə vaxt tələb olunur? Dövriyyə/çıxış həddini aşdıqda, VIP statusu, şübhəli nümunələr və ya tənzimləyicinin tələbi ilə.
Hər ödənişdə skrininq lazımdır? Qısa sanksiya reskrininqi və davranış monitorinqi tövsiyə olunur.
Necə «öldürmək» dönüşüm deyil? KYC-ni mərhələlərə bölün, UX-ni təkmilləşdirin, alternativ məlumat mənbələri və avtomobil keçidini tətbiq edin.

Yekun

Effektiv KYC biznes qorunması və hamar UX arasında balansdır. Risk profilinizin L0-L3 səviyyələrini qurun, skrininqi avtomatlaşdırın, yüksək risk üçün SOF/SOW tətbiq edin, keyfiyyət metriklərini ölçün və dəyişməz audit təmin edin. Belə ki, dönüşüm və LTV itirmədən komplayens qalacaq.