GH GambleHub

Licencias de software y API

1) Por qué es importante para iGaming

La plataforma se basa en su propio código, bibliotecas de terceros, proveedores de juegos/pagos SDK y API públicas/privadas. Los errores en las licencias se traducen en reclamaciones, bloques de integración, filtraciones de IP y riesgos regulatorios (privacidad/sanciones/exportación de criptografía). El objetivo es construir un esquema transparente de derechos: qué se puede publicar, integrar, transmitir a los socios y cómo proteger sus propias API.

2) Modelos de licencias de software (revisión)

Propiedad (licencia cerrada): derechos exclusivos del vendedor; para B2B (operadores, estudios, PSP).

Open Source (OSS):
  • Permissive: MIT, BSD, Apache-2. 0 (concesión de patentes).
  • Copyleft: GPL/LGPL/AGPL - compatibilidad «infectante»; precaución en módulos cerrados.
  • Dual/Multi-licensing: rama OSS gratuita + licencia comercial con derechos/soporte ampliado.
  • SaaS licencias: acceso como servicio; código no transferido, derechos de uso.

Reglas de selección: servicios críticos (motor de juego, antifraude, cálculos) - evitar copyleft; UI-librerías - permissive; Tulsos internos - GPL posible durante el aislamiento.

3) Derechos y restricciones: qué ver en las licencias

Alcance de los derechos (scope): territorio, fecha límite, usuarios/instalaciones, entornos (prod/stage/dev).
Modificaciones y derivados: si es posible forcejear, cambiar, distribuir.
Sublicenciamiento/Transferencia: Es válido para afiliados/marca blanca.
Concesión de patentes y terminación defensiva (Apache-2. 0, MPL): riesgos de patente y licencias cruzadas.
Auditoría e informes: derecho del vendedor a realizar inspecciones de licencias.
Seguridad/exportación: restricciones de criptografía, países/sanciones.
Indemnes y responsabilidad: quién cubre las reclamaciones de PI/daños.

4) Código abierto: política y control

Lista blanca: MIT/BSD/Apache-2. 0, MPL-2. 0.
Amarillo: LGPL-3. 0 (con enlace dinámico y cumplimiento de condiciones).
Rojo: AGPL/GPL-3. 0 en servicios cerrados si no hay aislamiento (servicio-frontera, copyleft de red).
SBOM (Software Bill of Materials): lista obligatoria de dependencias con versiones/licencias.
Procedimiento de inserción de OSS: solicitud de → jure/t-evaluación de compatibilidad → confirmación en el registro → auditoría periódica.
Contribución a OSS (upstream): CLA/DCO, verificación de divulgación de IP, acuerdo con Legal.

5) SDK y licencias de proveedores (juegos, pagos, KYC)

Requisitos típicos: prohibición de desarrollo inverso, prohibición de caché fuera de condiciones, control de logotipos/marca, versiones mínimas, audit-law.
Datos: los límites de «datos de operador» vs «los datos del proveedor» que posee las métricas y los datos derivados.
Restricciones a la exportación/sanciones: geo-bloques, listas de RR/sanciones - verificación obligatoria en ToS/licencias.
Soporte/actualizaciones: SLA en parches, cambios de breaking, tiempos de migración.

6) API: condiciones legales para la concesión de acceso (para socios/afiliados/B2B)

Secciones clave de la API de Terms:
  • Acceso y autenticación: OAuth2/HMAC/mutua-TLS; prohibición de entregar claves a terceros.
  • Rate limits y cuotas: RPS/minutos/día; «uso honesto»; política burst.
  • SLA y soporte: disponibilidad (por ejemplo, 99. 9%), ventanas de servicio, plan de incidentes/comunicaciones.
  • Versificación/depósito: SemVer, plazos EOL (por ejemplo, ≥ 9-12 meses), envío de notificaciones.
Derechos de datos:
  • Datos generados por servicio (registros, métricas): el propietario de la API;
  • Customer/Player Data - con el cliente/operador;
  • Datos derivados - por contrato (permitido/restringido, anonimización).
  • Caché y almacenamiento: qué y cómo se puede almacenar en caché (TTL, prohibición de almacenar campos personales/sensibles).
  • Privacidad/AML/KYC: roles (controlador/procesador), DPA/DSA, transmisiones transfronterizas, DPIA para escenarios de alto riesgo.
  • Seguridad: encriptación en tránsito/al-rest, gestión secreta, requisitos de SOC2/ISO 27001 (si corresponde).
  • Prohibiciones: ingeniería inversa, scraping, medición/benchmarking sin consentimiento, modificación de respuestas API.
  • Auditoría y registros: derecho de validación, requisitos de registro de solicitudes.
  • Sanciones y exportaciones: prohibición de uso en países/con usuarios de listas, screening.
  • Exclusión de garantías y límite de responsabilidad: cap (por ejemplo, 12 × promedio. pago).
  • Interrupción del acceso: inmediata en caso de amenaza a la seguridad/ley; plan de salida de datos.

7) Política de versionamiento e interoperabilidad

SemVer: MAJOR (breaking), MINOR (features), PATCH (fix).
Contratos de esquemas: JSON Schema/OpenAPI; pruebas de contrato para clientes.
Procedimiento de depreciación: anuncio → período de compatibilidad (≥ 6 meses) → EOL → eliminación; hyde migratorio.
Flags de características: para «blandas» divisorias.

8) Controles de exportación, sanciones, criptografía

Exportación de criptografía: validación de reglas locales; notificaciones/código CES/longitudes de bits.
Sanciones: prohibición de servir o dar acceso a los residentes de jurisdicciones subprime/personas; rescribido periódico.
Tolerancia a fallos de la legislación: cláusulas de suspensión del servicio en riesgo regulatorio.

9) Matriz de riesgo (RAG)

ZonaR (crítico)A (hay que gobernar)G (aprox)
Compatibilidad con OSSAGPL/GPL en un servicio cerradoLGPL sin condicionesPermissive/Aislado
Datos de APIAlmacenar PII sin derechos/TTLAnonimización parcialDerechos claros, TTL, DPA
PatentesNinguna subvención/claustro defensivoTexto incompletoApache-2. 0/License. Grant
Sanciones/exportacionesNo hay pruebas de detecciónCribado únicoDirectiva + procedimientos
VersionirovanieRompemos contratos sin fecha límitePlazos <6 mesesSemVer + EOL ≥ 9-12 meses
Auditoría de licenciasNo hay SBOM/RegistroIncompletoCompleto SBOM + quart. auditoría

10) Lista de verificación antes de la liberación/integración

  • SBOM recogido; licencias verificadas (no hay incompatibles).
  • Las licencias Vendor/SDK están firmadas; derechos de datos y marca.
  • DPA/DSA formalizados; las funciones de controlador/procesador están definidas.
  • Las API de Terms/EULA se han actualizado; se especifican la tasa de límites/SLA/deprecación.
  • Cribado sancionador/de exportación en procesos.
  • Seguridad: claves, rotación, cifrado, registro.
  • El plan de incidentes y la retirada del acceso (killswitch) están listos.

11) Registros y artefactos (formatos recomendados)

11. 1 SBOM/Registro de Licencias

yaml component: "payment-gateway-sdk"
version: "4. 2. 1"
license: "Apache-2. 0"
source: "maven"
usage: "runtime"
notes: "requires notice file"
dependencies:
- name: "okhttp"
version: "4. 12. 0"
license: "Apache-2. 0"
- name: "commons-io"
version: "2. 16. 1"
license: "Apache-2. 0"
owner: "Engineering"

11. 2 Registro de clientes API

yaml client_id: "aff-778"
app_name: "AffTrack"
scopes: ["reports:read","players:read_limited"]
rate_limit_rps: 5 quota_daily: 50_000 dpa_signed: true sanctions_screened_at: "2025-11-05"
status: "active"
owner: "API Ops"

11. 3 Registros SDK/vendedores

yaml vendor: "GameProviderX"
agreement: "SDK-License-2025-10"
audit_rights: true brand_rules: true data_rights:
provider_metrics: "vendor"
operator_metrics: "shared"
derived_data: "anonymized_allowed"
sla:
incidents: "P1:2h,P2:8h"
updates: "quarterly"

12) Plantillas (fragmentos)

12. 1 EULA (fragmento interno)

💡 El licenciatario recibirá una licencia no exclusiva e intransferible para utilizar el Producto dentro del Territorio y el Término con el fin de prestar servicios a los usuarios finales. Prohibida: (i) ingeniería inversa, descompilación; ii) eludir las medidas técnicas; iii) la transferencia de derechos a terceros sin su consentimiento por escrito. El producto se proporciona «tal cual»; la responsabilidad del licenciante se limita al importe de los pagos correspondientes a los 12 meses anteriores al evento.

12. 2 API Terms (fragmento interno)

💡 El cliente se compromete a respetar las cuotas y los límites de velocidad especificados en la clave de acceso. El almacenamiento en caché de las Respuestas está permitido durante un máximo de [N horas], con la excepción de los datos personales. Todos los datos generados por servicio pertenecen al proveedor de API; El cliente recibe una licencia limitada para uso interno. El proveedor tiene derecho a modificar o cancelar cualquier Endpoint mediante el envío de una notificación al menos [9 meses] antes de la EOL.

12. 3 Licencias de código/muelles de ejemplo

💡 El código aproximado y los snippets se publican bajo MIT; documentación de texto - CC BY-4. 0 (a menos que se indique lo contrario). Activos de marca - bajo una política de marca separada.

13) Privacidad y datos (API/SDK)

Minimización: no dar campos extra (PII), utilizar identificadores «translúcidos».
caché TTL: estrictamente fijo; prohibición de copiar localmente los volcado completos.
Derechos de los interesados: enrutamiento de solicitudes (access/erasure) a través del operador; protocolo.
Seudonimización/anonimización: para análisis/Datos perdidos - antes de la publicación.

14) Playbucks

P-LIC-01: Encontrado copyleft en el servicio prod

Auditoría de SBOM → opción de migración/aislamiento → evaluación jure → plan de lanzamiento → retrospectiva.

P-API-02: Fuga de clave API

Revocación de la clave → notificación al cliente → forensic → rotación de secretos → política de actualización.

P-SDK-03: El vendedor rompe la compatibilidad

Adaptador transitorio → rama temporal de la API → negociación para extender la ventana → envío a los clientes.

P-XPORT-04: Bandera de sanciones

Autoblock de acceso → confirmación de partidos → evaluación legal → documentos para el regulador.

15) KPI/métricas

SBOM Coverage% y proporción de componentes aprobados.
Hora de cierre del incidente de licencia (copyleft/incompatibilidad).
Deprecation Compliance% (clientes de la versión actual).
Time-to-Revoke de la clave filtrada y MTTR por incidentes de API.
Porcentaje de clientes con DPA/DSA firmado y pruebas de detección de trineo completadas.

16) Mini preguntas frecuentes

¿Se puede incrustar LGPL? Sí, con la línea dinámica y el cumplimiento de las condiciones, fijamos en SBOM.
¿Quién es el dueño de la analítica de API? De forma predeterminada, el propietario de la API (Service-Generated) y el cliente tienen una licencia limitada.
¿Puedo entrenar ML en datos API? Sólo en anonimizados/agregados y si es permitido por ToS/DPA.
¿Cuánto tiempo tiene EOL? Recomendado 9-12 meses con gaida migratoria.

17) Conclusión

Las licencias de software y API no son «una vez firmadas», sino un ciclo permanente: selección de licencias compatibles, mantenimiento de SBOM, APIs claras de Terms (datos/cuotas/SLA/deprecación), DPA/sanciones, y playbucks operativos. Estandarice sus registros y plantillas, y reducirá los riesgos legales, simplificará las integraciones y protegerá sus propios datos de IP y jugadores.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.