Renovación y auditoría de licencias
1) Por qué es importante
La licencia no es un documento estático, sino una obligación de mantener los estándares RG/AML, seguridad, datos e informes. Las extensiones y auditorías exitosas confirman la capacidad de gestión de riesgos, la madurez de los procesos y la preparación para la escala.
Principios clave: prevence-first, no-humans-in-prod, policy-as-code, traceability.
2) Tipos de prórrogas y auditorías
Renovación de la licencia (renewal): según el calendario (generalmente anual/una vez cada N años) - presentación de formularios, tasas y un paquete de pruebas de control.
Variaciones/cambios (variation): cambio de beneficiarios, adición de verticales, ubicaciones de alojamiento, personas clave - requieren una negociación separada.
Auditoría regulatoria: verificación de políticas/informes, marketing/afiliados, RG/AML, registros de incidentes.
Tehaudit/laboratory: RNG/RTP, SDLC/releases, vulnerabilidades/pentest, DR/BCP, hosting y logs.
Auditoría financiera: GGR/impuestos/reservas, corrección de las bonificaciones, registros de pagos.
Auditoría GDPR/DPA: DPIA, registro de tratamientos, respuestas a las entidades, filtraciones/notificaciones.
PCI DSS (si se trabaja con PAN): segmentación, tokenización, registros de acceso, análisis ASV.
3) Calendario de renovación: escala indicativa
T-90...60 días - análisis gap, actualización de políticas, reservas de laboratorios/auditores.
T-60...30 - recolección de artefactos (registros, SBOM, informes de escáneres/pentests, actos DR), confirmación de Key Persons.
T-30...14 es el final del paquete, la muestra interna de pruebas (sampling), la preparación de los responsables para las entrevistas.
T-14...0 - Presentación de un paquete renewal, pago de tarifas, ventanas SLA para respuestas al regulador.
T + 0... + 30 - Q & A/solicitudes, remediaciones, confirmación de renovación.
4) Evidence-pack: qué cocinar por adelantado
Org/derecho: estructura de propiedad, SoF/SoW (en caso de cambios), CV y Key Persons Help, registro de delegación.
Políticas: AML/CTF, RG, publicidad/afiliados, protección de datos (DPIA), incidentes, DR/BCP; Registro de revisiones y capacitaciones.
- un registro de lanzamientos con SBOM y firmas de artefactos;
- informes SAST/SCA/DAST, plan de remediación, sin «critical/high» sin excepciones activas;
- observabilidad: dashboards SLO/SLI, comprobaciones sintéticas «depósito/CUS/retiro»;
- lógica: registros estructurados sin PII/PAN, retoque y búsqueda;
- DR/BCP: actos de pruebas de restauración, RTO/RPO, protocolos de ejercicios de emergencia.
- RG/AML: registro de intervenciones y resultados, autoexclusión (local/nacional), informes de operaciones sospechosas (NAT/SAR), registro de sanciones/RR.
- Marketing/afiliados: listas blancas de canales, muestra de creativos con appruvales, registro de infracciones y medidas.
- Finanzas/impuestos: informes de GGR verticales, ajustes de bonificaciones/botes, conciliaciones con PSP/bancos.
5) Formato y rastreabilidad
Cada política ↔ controles ↔ pruebas (capturas de pantalla, descargas, informes hash y fecha).
«Evidence Map» índice único: control donde se almacena → fecha de actualización → responsable →.
Versionar el paquete (Git/repositorio) + control de acceso para que los auditores puedan ver los artefactos de forma selectiva.
6) Requisitos de TI/datos (que se miran más a menudo)
SDLC/lanzamientos: staging-pipelines, manuales/auto-gates de calidad, política de reversión, prohibición de cambios directos en la venta.
Cadena de suministro: firmas de artefactos, SBOM, verificación de admision, política de vulnerabilidades.
Secretos y acceso: SSO/MFA/PAM, fichas de vida corta, revistas de sesiones privilegiadas.
Red: segmentación, WAF/bot management, DDoS, mTLS/egress control.
Observabilidad: OTel-trays, SLO dashboards, alertas error-budget, cheque SRM en experimentos.
Datos: DPIA, minimización, datos por región (residencia), registros de acceso PII/PAN.
DR/BCP: backups, restore regular con protocolos, ejercicios de cambio.
7) Pasar la auditoría: táctica
1. Kickoff y scope: acordar perímetro, lista de muestras, formato de evidencia.
2. Sala de datos: preparar un acceso estructurado a Evidence Map.
3. Entrevista Dry-run: MLRO/DPO/RG-Lead/CTO/SRE - Ejecución de Q&A y manifestaciones.
4. Sesiones en vivo: mostramos logs, SLO-dashboards, artefactos de lanzamiento, scripts DR.
5. Remediación: acordamos prioridades y plazos, fijamos en el rastreador.
6. Cerrar: informe de auditoría, lecciones, actualización de políticas/controles, retro.
8) Plan de remediación (plantilla)
9) RACI (ejemplo: programa de renovación)
10) Hojas de cheques
10. 1 Definición de lectura (60-90 días antes de la fecha límite)
- Políticas actualizadas de AML/RG/publicidad/datos/incidentes; se llevaron a cabo los entrenamientos.
- Key Persons confirmado, SoF/SoW actualizado (si es necesario).
- Se recogen los informes SAST/SCA/DAST y Pentest, cerrado critical/high sin excepciones vencidas.
- Los registros de lanzamientos con SBOM/firmas están disponibles; admission-policy en el estado de enforce.
- Los dashboards SLO/SLI y los informes de comprobación sintética «depósito/CUS/retiro» están disponibles.
- Actas de pruebas de DR/restore dentro del SLA RTO/RPO.
- Registros de RG/AML: intervenciones, RAE/AMB, autolesión; Informes sobre sanciones/RR.
- Marketing/afiliados: listas blancas de canales, muestra de creativos con appruvals.
- Los estados financieros/impuestos del GGR se concilian con los PSP/bancos.
10. 2 Definición de Don (después de confirmar la renovación/auditoría)
- Carta/certificado de renovación recibida, registros/sitio/documentos actualizados.
- Se cerró el plan de remediación, se actualizaron las políticas y el Mapa de la Prevención.
- Retro: lecciones, cambios en los procesos, calendario actualizado.
- Se han enviado notificaciones a los proveedores/PSP (si es necesario).
11) Trabajar con afiliados y publicidad durante el período de auditoría
Prepare un registro de canales, una muestra de creativos, una prueba de orientación 18 +/21 +, un registro de concordancias.
Procedimiento «stop-list» para socios infractores, condiciones en los contratos de cumplimiento RG/AML.
Dashboard de frecuencia de visualización/restricciones y listas de flujo.
12) Gestión de riesgos (registro)
13) Mini plantillas
Gorra de Evidence Map (CSV):
Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m- Scope/objetivos
- Lista de muestras y formato de prueba
- Calendario de sesiones/entrevistas
- Roles y contactos
- Canal de respuestas Q&A y SLA
14) Preguntas frecuentes
¿Es necesario servir todos los artefactos a la vez? No: sirva la base, y las muestras vamos a pedir - pero mantenga todo listo.
¿Es posible compensar la falta de parte de los registros? Sólo con una causa explicable y un plan de corrección (y plazos).
¿Qué es más importante para el regulador, la política o la evidencia? Siempre hay pruebas que confirman que la política funciona realmente.
15) Breve plan de 30 días (vía acelerada)
Semana 1: análisis gap final, actualización de políticas, medición de SLO/registros, reserva de auditores.
Semana 2: recolección de SBOM/firmas/revistas de lanzamiento, informes de vulnerabilidad/pentesto, actos de DR.
Semana 3: consolidación de RG/AML/marketing, dashboards combinados, entrevistas dry-run.
Semana 4: presentación, Q&A, remediaciones rápidas y confirmación de renovación.
Salida breve
La renovación y auditoría no es una «entrega de informes» única, sino una demostración regular de la madurez de los procesos. Construya un calendario, mantenga el Mapa de Evidence, automatice los controles como código, mantenga la observabilidad y el DR en tono. Entonces, la prórroga pasará de ser un riesgo a una rutina, y la auditoría será una fuente de mejoras y confianza por parte de reguladores, socios y jugadores.