业务和合规→ KYC程序和检查级别

KYC程序和验证级别

1）为什么需要KYC

KYC（了解您的客户）是iGaming平台负责任、安全运营的基础：防止未成年人进入,降低盗窃/洗钱风险,支持许可证和支付合作伙伴的要求,保护声誉。

• 确认身份和年龄。
• 评估玩家的基本风险并设置基于风险的措施。
• 确保交易的可路由性和depozit↔vyvod通信。
• 支持AML/响应游戏以及提供商/监管机构的要求。

2） KYC原则

1.基于风险的Approach （RBA）：验证深度取决于配置文件（国家/地区、支付方法、行为）。
2.Progressive Disclosure：我们在当前风险级别中收集所需的数据。
3.逐项设计：所有决策和文档都保留为证据（审核路径）。
4.Privacy-first： PDn最小化、掩蔽、滚动和时间限制访问。
5.Re-Verification：重复检查风险事件（结论、限制增加、道具变更）。
6.Explainable&Consistent：规则和例外是可记录和可验证的。

3）验证级别（Tiered KYC）

KYC0-预注册/Frickshen-light

国家/地区收集，年龄（自我攻击），电子邮件/电话（OTP）。
通过姓名/电话/邮件进行初步制裁/RER筛查（信心低）。
限制：没有存款/提款,只审查内容/奖金无费率。

KYC1-基本识别

身份文件（护照/ID/水。ID）+自拍/生物计量生活（按市场）。
MRZ/barcode验证，有效日期控制，发布国家/地区。
年龄检查，主要制裁/RER筛选。
存款/利率/收款限额是基本限额。

KYC2-地址确认（PoA）

确认地址（utility bill/银行对账单/注册表）的文件,如有必要。
地理一致性：IP/设备/支付方法 ≈注册地址。
扩展限制和访问结论。

KYC3-EDD （高级验证）/SoF/SoW

按风险触发因素：大失误/结论，VIP，可疑模式，高风险地理/方法。
资金来源（SoF）和财富来源（SoW）：收入证明，工资，税收，对账单。
可能进行采访/书面解释。
获得高限额/加速调查结果-一旦获得批准。

4）升级触发器/Re-KYC

财务：单一提款额、周转期、经常变更的付款方法。
行为：异常的赢得/失落轮廓，夜间活动，许多短会话。
技术：频繁更换设备/IP/ASN、代理/高风险网络。
简介：消息来源之间的FIO/地址/出生日期不一致。
事件：更改支付详细信息，增加限制，连接VIP计划。

5）制裁，PEP和负面媒体

在以下情况下进行筛选：注册，完成KYC1/2/3，在重大检出之前，更改详细信息。
在更新参考资料时（每日/每周）重新验证。
巧合的逻辑：即将进行的Fuzzy比赛，手工三重边界案件。
消息来源/案例的引用在事件中。

6）文件和替代品

ID/护照/水域。权利，PoA：公用事业，银行对账单≤ 3个月。
替代方案包括：eID/BankID/提供商的主动 API，KBA（基于知识），通过微交易确认。
生物计量学：生活检查自拍照；仅在必要时并按照当地规范存储生物识别模板。
偏差：黑白副本，过期文件，模糊照片-自动偏差规则。

7) Data & Privacy

最小化：我们只要求必要的；共享KYC工件和游戏/营销数据。
可用性：RBAC/ABAC，文件阅读/发行日志，水厂。
重组：根据管辖权/许可（通常在上次手术后超过5年）。
加密：at rest/in transit、HSM/Vault中的密钥、要查看的临时URL。
数据对象请求：在有效范围内导出/校正/删除的SLA。

8） Controls -/Policy-as-Code（片段）

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9） SOP（片段）

SOP： 验证KYC1

1.检查包的完整性（ID+自拍、下载元数据）。
2.验证文件（MRZ/barcode，截止日期，国家），核对FIO/DR。
3.匹配自拍（面对面匹配,liveness）。
4.驱赶制裁/RER；匹配时→三重奏。
5.分配KYC1，更新限制，记录事件。

SOP: KYC2 (PoA)

1.检查文档≤ 90天，地址为有效格式/语言。
2.将地址映射到IP/设备/支付方法。
3.发布KYC2，扩展限制/结论，记录事件。

SOP: EDD/SoF (KYC3)

1.请求一份文件清单（薪水/税收/摘录）和说明。
2.将总和/频率/源映射到营业额和配置文件。
3.决定：批准/限制/关闭；怀疑-SAR/AML过程。
4.更新风险配置文件、限制、事件。

10）整合

KYC提供商：IDV，PoA，生物计量学，制裁/RER（batch+事件驱动器）。
Payments：源到源控制，velocity，hills直到KYC完成。
AML/案例管理：联合球员卡，状态，SLA。
CRM/支持：通信模板，KYC状态，ETA和提醒。
DWH/BI：KYC事件展示，许可期报告。

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• 自动通过率（无手动参与），手动尾巴（手动份额）。
• Sanctions/PEP Hit Rate和Precision在确认的桉例中。

• False Reject Rate文档,Doc质量失败%。
• Mismatch IP/地址频率, Payout Blocked due to KYC（解锁前时间中位数）。
• Evidence Completeness ≥ 98%.

• KYC下降步骤，CSAT/NPS上的KYC过程。

12）支票单

• 接受数据同意/政策。
• 进行了初步制裁筛选。
• 已确认通信链路（OTP/email）。

KYC1:

• Validen ID和自拍照，liveness通过。
• FIO/DR/国家匹配。
• 制裁/RER："clear"或三重奏路径。

KYC2:

• PoA新鲜可读；地址已归一化。
• 地理一致性（IP/设备/付款方法）。

KYC3 (EDD/SoF):

• 全套文件，金额与营业额相对应。
• 决定和理由是固定的（事实），风险简介已更新。

• 原因和日期、锁定/限制正确应用。
• 向玩家发送通信（ETA/步骤）。

13）反模式

对所有人来说，普遍的"沉重"检查是高昂的故障和成本。
手动检查，没有SLA/登录和双重控制。
无严格依据地保留生物识别/文档。
与付款无关：在KYC2/3之前可以撤回。
缺乏制裁和事件re-KYC的重新画面。
真相的两个版本：Excel中的KYC和DWH中的交易数据。

14）30/60/90-实施计划

• 批准KYC政策（tiers，触发器，SLA，重组）。
• 连接IDV/制裁/PEP，启动KYC1和PoA流。
• 在付费更改中设置控制即代码：re-KYC，制裁重播。
• 启用事件存储和RBAC。

• EDD/SoF过程，通信和案例管理的champlon。
• 与付款（源到源，velocity），自动单元集成到KYC2/3。
• KPI（TAT，Auto-pass，Manual Tail，Hit-Rate）行列板。
• Biometric liveness/BankID试点（可用）。

• 手动尾巴减少≥ 30%，KYC1 median TAT ≤目标False Reject ↓。
• re-KYC法规和制裁重播，合规审核。
• 将KPI绑定到OKR命令（Compliance/Ops/Payments/Support）。

15) FAQ

Q： 何时查询地址（PoA）?

A：达到存款/结算阈值时，地理/方法不匹配或国家/许可要求。

Q： 什么时候需要SoF/SoW?

答：在高转速/VIP，异常，高风险地理/方法中，在主要推断之前。

问：如何减少对KYC的故障？
答：移动提示/ocr验证、清晰的照片要求、BankID/eID支持、分步、快速反馈。

问：如何保护隐私？
答：最小化、加密、严格的RBAC/访问日志、自动重构和删除策略。