直布罗陀许可证
1)概述和定位
Gibraltar赌博委员会(GGC)历来被认为是iGaming最苛刻的欧洲监管机构之一。该许可证受到银行/PSP和领先内容供应商的重视,涉及高标准的尽职调查,"实时"合规性(RG/AML/数据/广告)和成熟的IT控制。适用于国际运营商和B2B提供商,具有长期增长水平。
2)许可证类型和外围
2.1 B2C(操作员)
外围:前/后台,售票处/付款,KYC/AML,响应游戏,内容/PSP/KYC合同,广告/附属机构,支持,监管/财务报告。
2.2 B2B(供应商)
外围:平台,内容聚合,工作室(包括现场),API/SDK和集成,托管,SLA/OLA,指标/逻辑输出给运营商,安全SDLC和发行管理。
3)申请人的要求: 尽职调查的核心
受益人/结构:透明的所有权链,基金/财富来源,声誉。
Key Persons: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments) — опыт и «fit and proper».
政策/程序:AML/CTF(基于风险),RG,广告/附属机构,隐私和事件,DR/BCP,风险管理。
合同:工作室/聚合商,PSP/银行,CUS/制裁筛选器,托管/实验室/审计师(SLA/OLA)。
IT体系结构:驻地/数据流,网络细分,SDLC/可观察性/安全性/DR,反滥用措施(反滥用)。
4)技术标准和IT控制(基本)
SDLC/发行版:staging-pipline,更改控制,工件签名和SBOM,回滚政策,禁止"手动"销售更改,完整发行日志。
观察力:结构化记录(没有PAN和多余的PII),度量,跟踪(例如OTel),SLO/SLI,合成的"存款/KUS/输出"检查,托管记录。
安全:mTLS/细分,WAF/机器人管理,SSO/MFA/PAM,CI/CD中的SAST/SCA/DAST,无过期临界/高度漏洞,常规五角形。
数据/私有性:DPIA,最小化和可访问性划分,日志和DSR程序(access/erasure/portability),并遵守时间表。
DR/BCP:备用,定期还原测试,具有演习行为的RTO/RPO目标。
付款:等效性,HMAC签名webhooks,DLQ/事件反射,时间到钱包和授权监控,制裁/RER筛选。
5) AML/KYC и Responsible Gaming
基于风险的AML/CTF:客户/地理/方法简介;EDD触发器;STR/SAR程序;制裁/RER筛选。
KYC:年龄/个性/地址;re-KYC触发和周期性;如有必要,自拍/liveness。
响应游戏:存款/损失/时间限制,超时,自我体验(包括nats。如适用),现实支票,行为触发器和遥测干预协议。
6)广告和附属公司
年龄障碍,禁止误导性创意,透明的T&C促销,频率和场地控制。
附属机构:根据RG/AML/数据,白名单频道,创意审计,停止程序,流量跟踪的合同义务。
7)税收和报告(高水平)
财政基础围绕GGR(垂直细节和奖金/头奖调整),并行建立监管费用。
监管报告:财务,RG指标,投诉/事件,结构变更/Keu Persons,营销违规行为和措施。
对账:报告↔游戏/付款日志↔ PSP/银行数据。
(具体费率/表格取决于业务结构,并在准备套餐时进行详细说明。)
8)直布罗陀的利弊
优点
银行/PSP和领先内容供应商的高度认可。
严格但可预测的审计和问答做法是"减少惊喜",并提供良好的包装。
适合多品牌/国际战略,加强资本化和投资者信心。
缺点
与"轻型"模式相比,TCO更高,准备时间更长。
"事件第一"要求:没有人工制品的文档(logi/dashbords/DR行为)将不起作用。
广告和附属机构的严格纪律;增加公共责任。
9)何时选择直布罗陀
如果选择:- 需要稳定地访问支付生态系统和顶级内容;专注于漫长的地平线。
- 计划在欧洲及其他地区进行多重审查/扩展。
- 该团队准备支持成熟的SDLC/可观察性/安全性和"事件第一"文化。
- 目标是超快MVP,预算最低。
- 目标市场/渠道在启动时不需要"重"许可证,并且您计划一个"轻量级"的轨道,然后升级。
10)许可程序: 阶段和时间基准
关键途径:关键人物→"实时"政策→ SDLC/观察性/DR(evidence)→实验室/审计→问答。
11)准备就绪支票
11.1定义就绪(提交前)
- 外围(垂直/地理/支付方法)已确定,支付现实得到确认(PSP/银行)。
- 已任命关键人物;SoF/SoW和帮助收集。
- AML/RG/广告/数据/事件/DR政策;有一个修订和培训日志。
- SDLC:签名+SBOM,发行日志,"无人行道",回滚策略。
- 观察力:SLO/SLI-dashbords,合成的"存款/KUS/提取"支票,重新标记。
- 安全:五角形/扫描关闭;没有逾期的危急/高度例外。
- 内容条约/PSP/KYC/实验室/托管;SLA/OLA同意。
- 广告/附属机构:白名单频道,创意审计,停止程序。
11.2 Done的定义(发行后)
- 包括监管/财务报告;指定了KPI所有者。
- PSP/onborden内容;webhooks签名(HMAC),等效性和DLQ工作。
- RG工具是活动的;进行干预遥测和决策日志。
- DR/BCP:进行行为恢复测试;RTO/RPO是正常的。
- 广告/附属机构:白名单、创意审计、违规和措施日志。
12) RACI(示例)
13)风险以及如何减轻风险
14)90-180天路线图(示例)
月1-2:gap分析,关键人物分配,SDLC恢复/观察/安全,实验室预订。
2-3个月:收集企业软件包/策略,pentest/Scan、DR行为,与提供商签订合同。
3-4个月:提交,问答/访谈准备,dry-run演示(dashbords,杂志,RG/AML脚本)。
4-6月份:问答/变体,最终定稿,boarding PSP/内容,包括报告。
15)常见问题(简称)
需要本地托管吗?不同的模型是可能的。关键是受控数据流、DR/log安全性和可证明性。
可以将B2B和B2C结合使用吗?是的,在许可证/流程/日志分离和管理利益冲突时。
什么是关键面试?真实RG/AML/广告过程,SDLC/可观察性/具有人工制品的 DR,而不仅仅是文档。
简短输出
直布罗陀许可证是进入成熟的支付,内容和伙伴关系生态系统的"入场券"。价格是先到先得的学科:具有签名和SBOM的SDLC,可观察性和DR,刚性RG/AML和受控广告/关联。如果您正在构建一个国际、可扩展的品牌或B2B产品组合,直布罗陀将提供一个可靠的基础并提高资本化-只要成熟的流程和透明的报告即可。