GH GambleHub

İspaniya lisenziyası

1) Baxış və yerləşdirmə

DGOJ (Dirección General de Ordenación del Juego) - Aİ-nin ən tələbkar tənzimləyicilərindən biri. Rejim yüksək istehlakçı müdafiəsinə yönəlib: ciddi Responsible Gaming qaydaları, aydın reklam və bonus məhdudiyyətləri, yetkin KYC/AML tələbləri və sübut edilə bilən İT nəzarəti. Lisenziya banklar/PSP və böyük məzmun satıcıları tərəfindən qiymətləndirilir, lakin «evidence-first» intizamı tələb olunur.

Kimə aiddir:
  • AB-də uzunmüddətli marka quran operatorlar uyğunluq və nüfuza diqqət yetirirlər.
  • B2B platformaları/aqreqatorları/Avropa operator hovuzu ilə işləyən studiyalar.

2) Lisenziyaların növləri və perimetri

B2C (operator): Casino/slots, bahislər, poker, bingo və s. İspaniyada yerləşən oyunçular üçün. Tam perimetri: kassa/ödənişlər, KYC/AML, RG, reklam/affiliates, dəstək, tənzimləyici və maliyyə hesabatları.
B2B/təchizatçılar: tələblər roldan asılıdır (platforma, məzmun, hostinq); lisenziyaçılar üçün uyğunluq, inteqrasiya aktları və telemetriya ixracı tələb olunur.
Fərdi rollar: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 B2C + B2B portfeli ilə proseslər, jurnallar və hesabatlar bölünür.

3) Responsible Gaming (rejimin nüvəsi)

RGIAJ - milli özünü istisna sistemi: operator hər bir oyunçunu yoxlamalıdır; aktiv qeyd edildikdə giriş bloklanır.
Oyunçu alətləri: depozit/itki/vaxt limitləri, reallıq-çeklər, vaxt-aut/soyutma, fəaliyyət tarixi, gecə fəaliyyətinin məhdudiyyətləri (daxili siyasət və tələblərə görə).
Davranış monitorinqi: problemli oyunun erkən əlamətləri, yumşaq/sərt müdaxilə protokolları, əlaqə və nəticə jurnalı, RG xidmətində eskalasiya.
Bonuslar və promosyonlar: ciddi şəkildə tənzimlənir; yanlış mexaniki qadağan, şəffaf T&C, təcavüzkar retarget məhdudiyyətləri.

4) KYC/AML və sanksiyalar

KYC: DNI üzrə vətəndaşların, NIE/pasport üzrə əcnəbilərin şəxsiyyətinin/yaşının yoxlanılması; ünvan/yaşayış yeri - sənədlər/mənbələr üzrə.
Risk-based AML/CTF: oyunçuların profilləri/geo/ödəniş metodları, RER/sanksiya siyahıları, EDD tetikləyiciləri, həllər jurnalı, STR/SAR prosedurları.
Tranzaksiya monitorinqi: velocity/anomaliyalar, şübhə mənbələrinə nəzarət, limit qaydaları və davranış modelləri.
Crypto/on-chain (mümkünsə): cüzdan siyasəti, analitik provayderləri, nəticə nəzarəti.

5) Reklam, affiliates və kommunikasiyalar

Yaş maneələri və platformaları: hədəfləmənin ciddi nəzarəti; yanıltıcı vədlərə qadağalar, etiketləmə tələbləri.
Müvəqqəti pəncərələr və məzmun: yayım vaxtının/reklam formatlarının məhdudlaşdırılması; yetkinlik yaşına çatmayanların və həssas qrupların qorunmasına artan diqqət.
Affiliates: RG/AML/data üçün müqavilə məsuliyyəti; white-list kanalları, kreativ audit, stop prosedurları və trafik izlənilebilirlik.
İnfluenserlər/axınlar: auditoriya üçün əlavə tələblər, yerləşdirmələrin şəffaflığı və T&C.

6) Data & Privacy (GDPR/AEPD)

Qanuniliyi və minimuma endirilməsi: yüksək riskli proseslər üçün DPIA; PII/PAN-ın minimal və məqsədlər üçün saxlanması; giriş nəzarəti və jurnallaşdırma.
Subyektin hüquqları: tənzimlənən müddətdə giriş/düzəliş/çıxarılma/dözümlülük; dəstək üçün prosedur qaydaları.
Insidentlər/brich: tənzimləyici/subyektlərin bildiriş planları, araşdırma və remediasiya jurnalı.
Transsərhəd axınlar: prosessorlu DPA, nəzarət olunan ötürmələr və kritik data dəsti rezidentliyi.

7) Texniki standartlar: SDLC/müşahidə/təhlükəsizlik/DR

SDLC və relizlər: staging payplayns, dəyişiklik nəzarəti, artefaktların imzaları və SBOM, geri qaytarma siyasəti, «no humans in prod», sübut edilmiş relizlər jurnalı.
Observability: strukturlaşdırılmış log (PAN və lazımsız PII olmadan), metrik və izləmə (OTel), SLO/SLI, sintetik yoxlamalar «depozit/KUS/çıxış», nəzarət retenshn.
Security: seqmentasiya, mTLS, WAF/bot menecmenti, SSO/MFA/PAM, SAST/SCA/DAST CI/CD, müntəzəm pentest və vaxtı keçmiş critical/high.
DR/BCP: müntəzəm bərpa testləri, təsdiqlənmiş RTO/RPO, təlim aktları və deqradasiya ssenariləri (graceful).
Anti-abuse: bonus sui-istifadə, davranış skoru, cihaz siqnalları, velocity qaydaları, şikayət monitorinqi.

8) Ödənişlər və «cüzdan yolu»

Metodlar: kartlar, A2A/açıq bankçılıq (PSD2), yerli ani relslər (İspaniyada məşhur olan həllər daxil olmaqla), bank köçürmələri.
İnteqrasiya tələbləri: idempotentlik, HMAC imzaları webhooks, DLQ/hadisə reply, Time-to-Wallet monitorinqi və avtorizasiya/uğur payları.
Sanksiyalar/RER və velocity: giriş/çıxış axınlarına nəzarət, geri qaytarma/chargeback üçün xüsusi prosedurlar.

9) Hesabat, vergilər və yeniləmə (high-level)

Tənzimləyici hesabat: maliyyə göstəriciləri və GGR şaquli, RG-metriklər, şikayətlər/hadisələr, struktur dəyişiklikləri/Keu Persons, reklam pozuntuları və tədbirlər.
Fiskal hissə: oyun gəliri əsasında qurulması; oyun/ödəniş jurnalları və PSP/bank məlumatları ilə müqayisə.
Yeniləmə/audit: siyasətin, texniki nəzarətin, RG/AML və reklamın dövri yoxlanılması; «evidence-first» paketləri (buraxılışlar/SBOM, boşluqlar, DR aktları, RG telemetri).

💡 Xüsusi dərəcələr/formalar və tezliklər aktual normalara və korporativ strukturunuza görə dəqiqləşdirilməlidir.

10) Lisenziyalaşdırma prosesi: müddət mərhələləri və göstəriciləri

1. Pre-fit & Gap (1-8 həftə): hədəf şaquli/kanallar, provayderlərin xəritəsi (məzmun/PSP/KYC), İT hazırlıq auditi, remediasiya planı.
2. Sənədlər paketi (4-12 həftə): korporativ/maliyyə/SoF/SoW, Key Persons, AML/RG siyasətləri/reklam/məlumat/hadisə/DR, müqavilələr, İT arxitekturası.
3. Texniki nəzarət (4-16 həftə): SDLC/müşahidə/təhlükəsizlik/DR, boşluqlar/pentest, bərpa test aktları, inteqrasiya/laboratoriya tələbləri (harada tətbiq olunur).
4. Q&A baxılması: benefisiarlar/siyasətçilər/İT/məlumat/reklam məsələləri; Key Persons müsahibəsi; jurnalların/daşbordların və RG proseslərinin nümayişi.
5. Veriliş/giriş (2-6 həftə): hesabatların daxil edilməsi, on-boarding PSP/məzmun, RG/AML/ödənişlərin dry-run ssenariləri.
6. Post-öhdəliklər: dövri hesabatlar/auditlər, yeniləmə, variasiyalar (benefisiarlar/şaquli/yerlər).

Kritik yol: Key Persons → «canlı» siyasətlər → SDLC/müşahidə/DR (evidence) → Q & A/demo.

11) DGOJ-nun müsbət və mənfi cəhətləri

Üstünlüklər

Yüksək istehlak etibarnaməsi və banklar/PSP/media tərəfindən tanınması.
Aydın RG/reklam standartları; güclü KYC keyfiyyəti (DNI/NIE).
AB-də marka kapitallaşması və tərəfdaşlıq imkanlarına əlavə.

Mənfi cəhətləri

Ciddi bonus/reklam məhdudiyyətləri və yüksək OPEX uyğunluğu.
Proseslərin sərt sübuta yetirilməsi (artefaktsız siyasətçilər işləmir).
«Boz zonalar» və aqressiv marketinq üçün aşağı tolerantlıq.

12) Hazırlıq yoxlama vərəqləri

12. 1 Definition of Ready (təqdim edilməzdən əvvəl)

  • Perimetri (şaquli/kanallar/ödəniş metodları) müəyyən; ödəniş reallığı təsdiq (PSP/banklar/yerli relslər).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); SoF/SoW və referanslar toplanmışdır.
  • AML/RG/reklam/data/insidentlər/DR siyasətləri təsdiq; təlimlər keçirilib, audit jurnalı var.
  • SDLC: artefaktların imzaları və SBOM, buraxılış jurnalı, «no humans in prod», geri qaytarma siyasəti.
  • Observability: SLO/SLI-dashboard, sintetik yoxlamalar «depozit/KUS/çıxış», retrenshn log.
  • Təhlükəsizlik: pentest/skan bağlı; vaxtı keçmiş istisnalar olmadan kritik/yüksək.
  • Məzmun/PSP/KYC/laboratoriyalar/hostinq müqavilələri; SLA/OLA razılaşdırılmışdır.
  • Reklam modeli: kanalların ağ siyahısı, kreativ audit, stop prosedurları.
  • RGIAJ ilə inteqrasiya - texniki və proses artefaktları hazırdır.

12. 2 Definition of Done (verildikdən sonra)

  • Tənzimləyici/fiskal hesabat daxildir; KPI sahibləri təyin edilmişdir.
  • PSP/content onborden; webhooks imzalanmış (HMAC), idempotentlik və DLQ çalışır.
  • RG alətləri aktivdir; telemetriya müdaxilələr və qərar jurnalı aparılır; RGIAJ-a sorğular - axında.
  • DR/BCP: bərpa testləri aparılıb və aktlar tərtib edilib; RTO/RPO normaldır.
  • Reklam/affiliates: ağ siyahılar, yaradıcı audit, pozuntular və tədbirlər jurnalı.

13) RACI (nümunə)

RegionResponsibleAccountableConsultedInformed
AML/RG/məlumat/reklam (siyasət)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/müşahidə/DRPlatform/SRE LeadCTOSecurityBütün komandalar
Pentest/boşluqlarSecurity LeadCTOVendors, SRECompliance
Müqavilələr (PSP/KYC/məzmun)Payments/Content OpsCOOLegal, SecurityFinance
Paket/Q & A/demoProgram ManagerCOOBütün LiderlərStakeholders

14) Risklər və yumşalma

RiskƏlamətMitiqasiya tədbiri
Key Persons üçün gecikmələrDop. sorğular/müsahibələrErkən təlim, ehtiyat namizədlər
Reklam/bonus pozuntularıŞikayətlər/cərimələrAğ siyahılar, yaradıcı audit, sərt T&C
«Kağız» RG siyasətiDəqiqləşdirmələr/göstərişlərTelemetriya müdaxilələri, hesabatlar, runbooks
Boşluqlar/pentestVaxtı keçmiş critical/highCI, policy-as-code, sürətli fikslərdə SAST/SCA/DAST
Ödəniş hadisələriItki/dubli webhooksİdempotentlik, HMAC, DLQ/replay, TtW monitorinqi
RGIAJ axınında nasazlıqOyunçulara reyestrdən girişMəcburi onlayn yoxlama, fallback ssenariləri

15) Yol xəritəsi 90-180 gün (nümunə)

1-2 ay: gap analizi, Key Persons təyinatı, SDLC/müşahidə/təhlükəsizlik remediasiya, laboratoriya sifarişi.
Ay 2-3: Korporativ paket/siyasət, pentest/skan, DR aktları, PSP/KYC/məzmun müqavilələri, RGIAJ ilə inteqrasiya.
Aylıq 3-4: müraciət, Q & A/müsahibəyə hazırlıq, dry-run nümayişləri (daşbordlar, jurnallar, RG/AML/reklam ssenariləri).
Ay 4-6: Q & A/varyasyonlar, son təkmilləşdirmələr, on-boarding ödənişlər/məzmun, hesabat daxil.

Qısa nəticə

İspan DGOJ lisenziyası - Responsible Gaming (RGIAJ), reklam/bonus intizamı, yetkin KYC/AML və sübut edilə bilən İT nəzarətlərinə diqqət yetirən sərt, lakin proqnozlaşdırıla bilən bir rejimdir. Əgər «evidence-first» mədəniyyətinə hazırsınızsa (SDLC/müşahidə/təhlükəsizlik/DR, RG-telemetriya, şəffaf hesabat) və yerli marketinq qaydalarına hörmət edirsinizsə, İspaniya ödəniş ekosisteminə yüksək etimad göstərir və Aİ-də marka kapitallaşmasını gücləndirir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.