GH GambleHub

Rumıniya lisenziyası

1) Baxış və yerləşdirmə

ONJN - Oficiul Naţional pentru Jocuri de Noroc - Rumıniyanın milli qumar tənzimləyicisi. Rejim ciddi və praktik hesab olunur: yüksək səviyyəli Responsible Gaming, aydın reklam/bonus qaydaları, yetkin AML/KYC, texniki nəzarət və hesabat tələbləri. Lisenziya banklar/PSP və böyük məzmun satıcıları tərəfindən qiymətləndirilir, AB-də uzunmüddətli mövcudluq və multibrend strategiyaları üçün uyğundur.

Kimə aiddir:
  • Davamlı böyüməyə və proqnozlaşdırıla bilən tənzimləmə təcrübələrinə yönəlmiş B2C operatorları.
  • Avropa portfelləri ilə işləyən və tanınmış status tələb edən B2B platformaları/aqreqatorları/studiyaları.

2) Lisenziyaların növləri və perimetri

B2C (operator lisenziyası): casino/slots, bahislər, poker, bingo və s. Perimetri: kassa/ödənişlər, KYC/AML, RG, reklam/affiliates, dəstək, tənzimləyici və maliyyə hesabatları.
B2B (II sinif - təchizatçılar): platforma, məzmun/aqreqasiya, hostinq, canlı studiyalar, PSP şlyuzları, KYC/AML provayderləri; uyğunluq, sertifikatlaşdırma və telemetriya ixrac tələbləri.
Əsas rollar: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 Qarışıq modeldə (B2C + B2B) - proseslərin, jurnalların və artefaktların sərt bölgüsü.

3) Responsible Gaming (rejimin nüvəsi)

Özünü istisna (milli reyestr): operator hər bir oyunçunun statusunu onlayn yoxlamalıdır; aktiv qeyd edildikdə giriş bloklanır.
Oyunçu alətləri: depozit/itki/vaxt limitləri, time-outlar, cooling-off, reality-checks, fəaliyyət tarixi.
Davranış analitikası: problemli oyunun erkən əlamətləri, yumşaq/sərt müdaxilələr matrisi, əlaqə və nəticələr jurnalı, RG komandasında eskalasiya.
Rabitə: manipulyativ ifadələrin qadağan edilməsi, yetkinlik yaşına çatmayanların və həssas qrupların qorunması, şəffaf T&C.

4) AML/KYC və sanksiyalar

KYC: milli sənəd/pasport ilə şəxsiyyətin/yaşın təsdiqi; ünvanın/iqamətgahın icazə verilən mənbələrlə yoxlanılması; trigger və periodik re-KYC.
Risk-based AML/CTF: müştərilərin profilləri/metodları/geo, RER/sanksiya siyahıları, EDD tetikləyiciləri, STR/SAR prosedurları, qərar jurnalı və audit izi.
Əməliyyat monitorinqi: velocity/anomaliyalar, şübhəli mənbələr, case-menecment və retro-yoxlamalar.
Crypto/on-chain (mümkünsə): cüzdan siyasəti, analitik provayderləri, limitlər, əl yoxlamaları, izlənilebilirlik.

5) Reklam, affiliates və kommunikasiyalar

Yaş maneələri/platformaları: hədəfləmə və formatlara ciddi tələblər; yanıltıcı vədlərin və «asan qazancların» qadağan edilməsi.
Bonus siyasəti: məhdud və tənzimlənir; T&C - aydın, gizli məhdudiyyətlər olmadan; təcavüzkar retarget qadağandır.
Affiliates: RG/AML/data üçün müqavilə məsuliyyəti; kanalların ağ siyahısı, kreativ audit, dayandırma prosedurları, trafikin izlənilebilirliyi.
İnfluenserlər/axınlar: etiketləmə, auditoriya/məzmun nəzarəti, yerləşdirmələrin sənədləşdirilməsi.

6) Data & Privacy (GDPR/DPA)

Qanuniliyi və minimuma endirilməsi: yüksək riskli proseslər üçün DPIA; PII/PAN saxlama məhdudlaşdırılması; giriş ayırma və jurnallaşdırma.
Subyektin hüquqları: giriş/düzəliş/silinmə/dözümlülük; cavab şablonları və eskalasiya prosesi.
Insidentlər/brich: tənzimləyici/subyektlərin bildiriş planları, araşdırma jurnalı, remediasiya tədbirləri.
Transsərhəd axınlar: prosessorlu DPA, nəzarət olunan ötürmələr və kritik datasetlərin rezidentliyi.

7) Tələblər: SDLC/müşahidə/təhlükəsizlik/DR

SDLC və relizlər: staging payplayns, dəyişiklik nəzarəti, artefaktların imzaları və SBOM, geri qaytarma siyasəti, «no humans in prod», sübut edilmiş relizlər jurnalı.
Observability: strukturlaşdırılmış log (PAN/lazımsız PII olmadan), metrik və izləmə (OTel), SLO/SLI (latency p95/p99, error-rate), sintetik yoxlamalar «depozit/KUS/çıxış», nəzarət retenshn.
Security: seqmentasiya, mTLS, WAF/bot menecmenti, SSO/MFA/PAM, SAST/SCA/DAST CI/CD, müntəzəm pentest və vaxtı keçmiş critical/high.
DR/BCP: müntəzəm bərpa testləri, təsdiqlənmiş RTO/RPO, təlim aktları; graceful-degradation ssenariləri.
Anti-abuse: bonus sui-istifadə və freud, device-signals, velocity-qaydalar, davranış skoring qarşı müdafiə.

8) Ödənişlər və «cüzdan yolu»

Metodlar: bank kartları (3-D Secure), A2A/açıq bankçılıq (PSD2), yerli instant həllər və bank köçürmələri; bank rekvizitlərinə qəbul və çıxarış.
İnteqrasiya: idempotentlik, HMAC imzaları webhooks, DLQ/hadisə reply, Time-to-Wallet monitorinqi, avtorizasiyalar və müvəffəqiyyət payları, ətraflı geri qaytarma/chargeback hesabatları.
Sanksiyalar/RER və velocity: giriş/çıxış axınlarına nəzarət, limitlər və manual tetik yoxlamaları.

9) Hesabat, vergilər və yeniləmə (high-level)

Tənzimləyici hesabat: maliyyə və GGR şaquli, RG-metriklər, şikayətlər/hadisələr, struktur dəyişiklikləri/Keu Persons, reklam pozuntuları və tədbirlər.
Fiskal hissə: düzəlişlər nəzərə alınmaqla oyun gəliri əsasında hesablaşmalar (bonuslar/cekpotlar); oyun/ödəniş jurnalları və PSP/bank məlumatları ilə müqayisə.
Yeniləmə/audit: siyasətin, texniki nəzarətin, RG/AML və reklamın dövri yoxlanılması; «evidence-first» paketləri (buraxılışlar/SBOM, boşluqlar, DR aktları, RG-telemetriya).

💡 Korporativ strukturunuza və aktual normalara uyğun olaraq xüsusi dərəcələri/formaları və tezlikləri dəqiqləşdirin.

10) Lisenziyalaşdırma prosesi: müddət mərhələləri və göstəriciləri

1. Pre-fit & Gap (1-8 həftə): şaquli/kanallar, provayderlərin xəritəsi (məzmun/PSP/KYC), İT hazırlıq auditi, remediasiya planı.
2. Sənədlər paketi (4-12 həftə): korporativ/maliyyə/SoF/SoW, Key Persons, AML/RG siyasətləri/reklam/məlumat/hadisə/DR, müqavilələr, İT arxitekturası.
3. Texniki nəzarət (4-16 həftə): SDLC/müşahidə/təhlükəsizlik/DR, boşluqlar/pentest, bərpa test aktları, inteqrasiya/laboratoriya tələbləri (harada tətbiq olunur).
4. Q&A baxılması: benefisiarlar/siyasətçilər/İT/məlumat/reklam məsələləri; Key Persons müsahibəsi; jurnalların/daşbordların və RG proseslərinin nümayişi.
5. Veriliş/giriş (2-6 həftə): hesabatların daxil edilməsi, on-boarding PSP/məzmun, RG/AML/ödənişlərin dry-run ssenariləri.
6. Post-öhdəliklər: dövri hesabatlar/auditlər, yeniləmə, variasiyalar (benefisiarlar/şaquli/yerlər).

Kritik yol: Key Persons → «canlı» siyasətlər → SDLC/müşahidə/DR (evidence) → Q & A/demo.

11) ONJN-in müsbət və mənfi cəhətləri

Üstünlüklər

Banklarda yüksək etibarnamə/PSP/media; AB-də güclü nüfuz.
Aydın RG/reklam standartları və yetkin AML/KYC təcrübələri.
Üstəlik marka kapitalizasiyası və B2B imkanları.

Mənfi cəhətləri

Yüksək OPEX uyğunluğu və ciddi proseslərin sübuta yetirilməsi.
Reklam fəaliyyətlərinə və affiliatlara ciddi nəzarət.
«Boz zonalar» və «kağız» siyasətçilərə qarşı az tolerantlıq.

12) Hazırlıq yoxlama vərəqləri

12. 1 Definition of Ready (təqdim edilməzdən əvvəl)

  • Perimetri (şaquli/kanallar/ödəniş metodları) müəyyən; ödəniş reallığı təsdiq edilmişdir (PSP/banklar/yerli relslər).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); SoF/SoW və referanslar toplanmışdır.
  • AML/RG/reklam/data/insidentlər/DR siyasətləri təsdiq; təlimlər və audit jurnalı var.
  • SDLC: artefaktların imzaları + SBOM, buraxılış jurnalı, «no humans in prod», geri qaytarma siyasəti.
  • Observability: SLO/SLI-dashboard, sintetik yoxlamalar «depozit/KUS/çıxış», retrenshn log.
  • Təhlükəsizlik: pentest/skan bağlı; vaxtı keçmiş critical/high istisnaları yoxdur.
  • Məzmun/PSP/KYC/laboratoriyalar/hostinq müqavilələri; SLA/OLA razılaşdırılmışdır.
  • Reklam/affiliates: white-list kanalları, kreativ audit, stop prosedurları.
  • Milli özünü istisna konturu ilə inteqrasiya - dizayn və artefaktlar hazırdır.

12. 2 Definition of Done (verildikdən sonra)

  • Tənzimləyici/fiskal hesabat daxildir; KPI sahibləri təyin edilmişdir.
  • PSP/content onborden; webhooks imzalanmış (HMAC), idempotentlik və DLQ çalışır.
  • RG alətləri aktivdir; telemetriya müdaxilələr və qərar jurnalı aparılır; özünü istisna yoxlama - «online axın».
  • DR/BCP: bərpa testləri aparılıb və aktlar tərtib edilib; RTO/RPO əldə edilmişdir.
  • Reklam/affiliates: ağ siyahılar, yaradıcı audit, pozuntular və tədbirlər jurnalı.

13) RACI (nümunə)

RegionResponsibleAccountableConsultedInformed
AML/RG/məlumat/reklam (siyasət)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/müşahidə/DRPlatform/SRE LeadCTOSecurityBütün komandalar
Pentest/boşluqlarSecurity LeadCTOVendors, SRECompliance
Müqavilələr (PSP/KYC/məzmun)Payments/Content OpsCOOLegal, SecurityFinance
Paket/Q & A/demoProgram ManagerCOOBütün LiderlərStakeholders

14) Risklər və yumşalma

RiskƏlamətMitiqasiya tədbiri
«Kağız» siyasətiBir çox dəqiqləşdirmə/göstərişEvidence-first: jurnallar, daşbordlar, DR aktları
Boşluqlar/pentestVaxtı keçmiş critical/highCI, policy-as-code, sürətli fikslərdə SAST/SCA/DAST
Reklam pozuntularıŞikayətlər/cərimələrAğ siyahılar, yaradıcı audit, dayandırma prosedurları
Ödəniş hadisələriItki/dubli webhooksİdempotentlik, HMAC, DLQ/replay, TtW monitorinqi
Özünü istisna etmə yoxlamasında uğursuzluqGiriş bloklanıbMəcburi onlayn yoxlama, fallback ssenariləri

15) Yol xəritəsi 90-180 gün (nümunə)

1-2 ay: gap analizi, Key Persons təyinatı, SDLC/müşahidə/təhlükəsizlik remediasiya, laboratoriya sifarişi.
Ay 2-3: Korporativ paket/siyasət, pentest/skan, DR aktları, PSP/KYC/məzmun müqavilələri, özünü istisna reyestri ilə inteqrasiya layihəsi.
Ay 3-4: təqdimat, Q & A/müsahibəyə hazırlıq, dry-run nümayişləri (daşbordlar, jurnallar, RG/AML/reklam ssenariləri).
Ay 4-6: Q & A/varyasyonlar, son təkmilləşdirmələr, on-boarding ödənişlər/məzmun, hesabat daxil.

Qısa nəticə

Rumıniya ONJN lisenziyası - Responsible Gaming, reklam/bonus intizamı, yetkin AML/KYC və sübut edilə bilən İT nəzarətinə diqqət yetirən sərt, lakin proqnozlaşdırıla bilən rejim. «evidence-first» mədəniyyətini qurun (SDLC/müşahidə/təhlükəsizlik/DR, RG-telemetriya, şəffaf hesabat), iştirakçıları nəzarət altında saxlayın və inteqrasiya və testləri əvvəlcədən planlaşdırın. Bu yanaşma yüksək etibarlı ödəniş ekosisteminə giriş açır və Aİ-də brendin kapitallaşmasını gücləndirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.