软件和API许可

1）为什么这对iGaming很重要

该平台依赖于自己的代码，第三方库，游戏/支付提供商的SDK以及公共/私有API。许可证中的错误会导致索赔，集成单元，IP泄漏和监管风险（隐私/制裁/密码导出）。目的是建立一个透明的权限轮廓：可以发布，整合，传递给合作伙伴以及如何保护自己的API。

2）软件许可模式（审查）

Proprietary（封闭许可证）：供应商的独家权利；B2B（操作员，工作室，PSP）。

Open Source (OSS):

Permissive: MIT, BSD, Apache-2.0（专利补助金）。
Copyleft：GPL/LGPL/AGPL-"感染"兼容性；在封闭的模块中小心。
双/多重许可：免费OSS分支+具有扩展权限/支持的商业许可证。
SaaS许可：作为服务访问；代码没有传输,使用权没有。

选择规则：关键服务（游戏引擎，反游戏，计算）-避免copyleft；UI图书馆-永久性；内部tulza-隔离时可能存在GPL。

3）权利和限制： 在许可证中查看的内容

权利范围（scope）：领土，时限，用户/装置，环境（prod/stage/dev）。
修改和派生：是否可以加载、更改和分发。
子许可/转让：附属机构/白标是否允许。
专利补助金和保护终端（Apache-2。0，MPL）：专利风险和交叉许可。
审核和报告：供应商有权进行许可审核。
安全/出口：加密限制，国家/制裁。
Indemnity和赔偿责任：谁涵盖知识产权索赔/损失。

4）开源： 政策与控制

白名单： MIT/BSD/Apache-2。0, MPL-2.0.

黄色：LGPL-3。0（动态链接并满足条件）。
红色：AGPL/GPL-3。0在封闭式服务中,如果没有隔离功能（服务边界,network copyleft）。
SBOM （Software Bill of Materials）：具有版本/许可证的强制性依赖项列表。
OSS提交程序：查询→ yur/tech兼容性评估→注册表提交→定期审核。
对OSS（上游）的贡献：CLA/DCO，IP披露验证，与Legal协调。

5）SDK和提供商许可证（游戏，付款，KYC）

典型要求包括：禁止反向开发，禁止在条件之外悬挂，控制徽标/品牌，最低版本，审核权。
数据："运营商数据"与"提供商数据"的边界，后者拥有度量标准和Derived Data。
出口/制裁限制：地理区块，RER/制裁清单-必须在ToS/许可证中进行验证。
支持/更新：修补程序的SLA、中断更改、迁移时间表。

6）API： 授予访问权限的法律条件（针对合作伙伴/附属机构/B2B）

• 访问和身份验证：OAuth2/HMAC/mutual-TLS；禁止将密钥转让给第三方。
• 限额和配额：RPS/每分钟/每天；"诚实使用"；政治动荡。
• SLA和支持：可用性（例如,99.9％），服务窗口，事件/通信计划。
• 验证/撤销：SemVer，EOL时限（例如，≥ 9-12个月），发送通知。

• 服务生成数据（徽标，度量）-由API所有者提供；
• 客户/播放器数据-客户/运营商；
• Derived Data-通过合同（允许/限制，匿名）。
• 缓存和存储：什么以及如何缓存（TTL,禁止存储个人/敏感字段）。
• 隐私/AML/KYC：角色（控制器/处理器），DPA/DSA，跨境传输，高风险脚本的DPIA。
• 安全：过境/过境加密，秘密管理，27001 SOC2/ISO要求（如果适用）。
• 禁令：逆向工程，刮板，未经同意的测量/基准，API响应修改。
• 审核和日志：审核权限,查询日志要求。
• 制裁和出口：禁止在国家/地区使用/与列表中的用户，屏幕。
• 免责声明和责任限制：cap（例如,12 ×平均值。付款）。
• 停止访问：在安全/法律受到威胁时立即停止；数据输出计划。

7）验证和互操作性政策

SemVer: MAJOR (breaking), MINOR (features), PATCH (fix).

电路合同：JSON 电路/OpenAPI；客户合同测试。
Deprecation过程：宣布→兼容期（≥ 6个月）→ EOL →删除；移民海德。
Feature flags：用于"软"滚动。

8）出口管制，制裁，加密

导出密码学：验证本地规则；通知/ECS代码/位长度。
制裁措施：禁止向次管辖区/个人居民提供服务/准入服务；定期重新剪辑。
立法容错性：在监管风险下暂停服务的条款。

9）风险矩阵（RAG）

10）发布/集成前的支票清单

• SBOM组装；已验证许可证（不兼容）。
• Vendor/SDK许可证已签名；数据和品牌权利。
• DPA/DSA已完成；控制器/处理器角色已定义。
• Terms/EULA API已更新；规定了rate limits/SLA/递减。
• 程序中的制裁/出口筛选。
• 安全性：密钥、旋转、加密、日志记录。
• 事件计划和访问召回（killswitch）已准备就绪。

11）注册表和工件（推荐格式）

11.1个SBOM/许可证注册表

yaml component: "payment-gateway-sdk"
version: "4. 2. 1"
license: "Apache-2. 0"
source: "maven"
usage: "runtime"
notes: "requires notice file"
dependencies:
- name: "okhttp"
version: "4. 12. 0"
license: "Apache-2. 0"
- name: "commons-io"
version: "2. 16. 1"
license: "Apache-2. 0"
owner: "Engineering"

11.2 API客户端注册表

yaml client_id: "aff-778"
app_name: "AffTrack"
scopes: ["reports:read","players:read_limited"]
rate_limit_rps: 5 quota_daily: 50_000 dpa_signed: true sanctions_screened_at: "2025-11-05"
status: "active"
owner: "API Ops"

11.3 Registry SDK/供应商

yaml vendor: "GameProviderX"
agreement: "SDK-License-2025-10"
audit_rights: true brand_rules: true data_rights:
provider_metrics: "vendor"
operator_metrics: "shared"
derived_data: "anonymized_allowed"
sla:
incidents: "P1:2h,P2:8h"
updates: "quarterly"

12）模板（片段）

12.1 EULA（内部片段）

12.2 Terms API（内部片段）

12.3大致代码/码的许可

13）隐私和数据（API/SDK）

最小化：不要放弃多余的字段（PII）,使用"半透明"ID。
缓存TTL：严格固定；禁止本地复制完整的转储。
数据主体的权利：通过语句路由请求（access/erasure）；协议。
别名/匿名：用于分析/衍生数据-在发布之前。

14）花花公子

P-LIC-01： 在prod服务中检测到copyleft

SBOM审核→迁移/隔离选项→法律评估→发布计划→回顾。

P-API-02： API密钥泄漏

召回密钥→通知客户→ forenzik →轮换秘密→升级策略。

P-SDK-03： 供应商打破兼容性

过渡适配器→临时API分支→谈判延长窗口→发送给客户。

P-XPORT-04： 制裁旗

比赛确认→自动锁→法律评估→监管机构的文件。

15） KPI/度量

SBOM Coverage占已批准组件的百分比和份额。
许可事件关闭时间（copyleft/不兼容）。
Deprecation Compliance%（当前版本的客户端）。
通过API事件泄露密钥和MTTR的时间到复仇。
具有DPA/DSA签名和通过滑冰筛选的客户比例。

16）迷你常见问题

可以嵌入LGPL吗?是的，在动态镜头和满足条件的情况下，我们锁定在SBOM中。
谁拥有API分析?默认情况下为API所有者（Service-Generated）,客户端为有限许可证。
可以在API数据上训练ML?仅限于匿名/汇总的，如果允许ToS/DPA。
持有多少EOL？建议使用9-12个月的迁移盖德。

17）结论

软件许可和API不是"一次性签名"，而是永久性循环：选择兼容许可证，维护SBOM，明确的Terms API（数据/配额/SLA/撤销），DPA/制裁以及操作花花公子。标准化注册表和模板-减少法律风险、简化集成并保护您自己的IP和玩家数据。