GH GambleHub

Dashboard de cumplimiento y monitoreo

1) Nombramiento y zona de responsabilidad

Panel único para el control diario del cumplimiento: licencias y reguladores, protección de datos (GDPR/PII), pagos y PCI, AML/CFT, juego responsable (RG), política de marketing y afiliación, proveedores de juegos, notificaciones obligatorias e informes. Dashboard sirve como fuente de verdad para Compliance/Legal/Security/Payments/RG/AML y materiales de auditoría.

2) Roles y RACI

Propietario del producto (Head of Compliance) - visión, prioridades, lanzamiento de versiones. (A)

Data Owner (DWH Lead) - circuitos, frescura SLA, lineage. (R)

Compliance Analysts/AML/RG - configuración de KPI/KRI, alertas, interpretación. (R)

Seguridad/DPO - GDPR/PII/incidentes, derechos de los interesados. (R)

Payments Lead - PSP/PCI, devoluciones, chargebacks. (R)

CS/CRM - Comunicaciones a los clientes afectados. (C)

Legal - interpretación de las normas, armonización de los textos de las notificaciones. (C)

Ingeniería - recogida de telemetría, integración de proveedores. (R)

3) Marco de dashboard: secciones y widgets clave

3. 1 KYC/KYB

KYC Completion Rate (D-1) = cuentas verificadas/nuevos registros.
Pending> SLA (PC): aplicaciones en cola de más de X horas.
Tier Escalations: traducciones a un nivel elevado de validación.
False Positive Rate (KYC Flags).
Documentos que expiran ≤30 días (pasaporte/dirección).

3. 2 AML/CFT

SAR/NAT Queue: casos abiertos por etapas.
High-Risk Segments:% de la facturación de clientes de países/métodos de recursos humanos.
Patternas únicas (velocity/structuring): detector de anomalías (diurna).
PEP/Sanctions Hits: nuevas coincidencias, time-to-review.
Average Case Closure Time и % в SLA.

3. 3 Juego responsable (RG)

Self-Exclusion/Timeouts: nuevos/activos, reembolsos de depósitos.
Loss/Session Limits Breaches: infracciones,% de las notificaciones procesadas.
Vulnerable Players Outreach: cobertura y tiempo de contacto.
RG Interventions Efficacy: reducción de las pérdidas posteriores a la intervención.

3. 4 Pagos y PCI

PSP Health: auth-rate, decline-rate, latency por métodos/geo.
Chargeback Ratio (М-к), Refund SLA, Disputes Age.
Eventos PCI: escaneo de vulnerabilidades, rotación de claves, tokenización pan.
Anomalous Cashouts: superando los umbrales/puntuación.

3. 5 GDPR/PII e incidentes

Solicitudes de acceso de datos (DSAR): entrantes/en SLA, retrasos.
Privacy Incidents: abierto/cerrado, TTS (time-to-statement), MTTR.
PII Inventory Drift: cambios en el registro de campo/retención.
Breach Notification Timeliness:% de las notificaciones a tiempo.

3. 6 Regulador/licencias

Informes obligatorios: Calendario de días (30/7/1 día).
Cumplimiento de las condiciones de publicidad/bonificaciones: banderas de no conformidad en los mercados.
Registro de interacción con los reguladores: estado de los tickets/solicitudes.

3. 7 Marketing/Afiliados

Attribution Integrity: discrepancias postback/píxeles, «missing clicks».
Compliance Flags: creativos/grupos objetivo prohibidos.
Partner Score: Índice de disciplina de pareja (KPI/Deadline/Quejas).

3. 8 Proveedores de juegos y honestidad

RTP Drift Monitor: desviaciones del RTP declarado (granularidad title/studio).
Incidentes de Fairness: paradas/rondas de resincronización, equilibrio-errores.
Game Provider Health: errores de API, porcentaje de inaccesibilidad.

4) Umbrales y gravedad (ejemplo)

S1 (crítico): rate automático por PSP superior <60% ≥ 15 min; Fuga de PII confirmada; violación masiva de RG.
S2 (alto): chargeback ratio> 1. 5% en 7 días; DSAR> SLA a 48 h; caída de la conversión de KYC> 20% d/d.
S3 (promedio): aumento de fallas del proveedor de juegos> 5% hora a hora; 2 + socios con creativos prohibidos.
S4 (bajo): defectos locales, quejas aisladas.

SLA actualizaciones: S1 - primer mensaje ≤15 min; S2 - ≤30 minas; S3 está programado para turnos.

5) Reglas de alertas (esqueleto)

Detalle: la métrica X supera el umbral Y en la ventana Z.
Suppress/Dedupe: agrupación por mercado/método/proveedor.
Ruta: canal (war-room/on-call/status), destinatarios por RACI.
Escalate: escalada automática con duración> T o repetición N veces/día.
Explain: enlace a playbook y FAQ para CS.
Record: autologia en el registro de incidentes + snapshot gráficos.

6) Fuentes de datos y arquitectura

Registros de transacciones: depósitos/retiros/sesiones de juego.
Proveedores KYC/KYB: estados de verificación, causas de denegación.
Sistemas AML/SIEM: alertas, casos, puntuaciones.
PSP/Acquirer/Card Schemes: API de informes y estados.
CRM/CS: casos, macros, notificaciones salientes.
Status page/incidente-bot: timelines, mensajes de texto.
Registros GDPR/PII: DSAR, retenciones, manejadores.
Proveedores de juegos: API de telemetría, RTP, estados.

Requisitos de datos:
  • Frescura (Freshness SLA): KYC/PSP - ≤15 min; AML/SIEM - ≤5 minas; DSAR — D-1; RTP — D-1; RG - ≤15 minutos.
  • Lineage: cada campo especifica el origen/transformación.
  • Calidad: validadores de esquemas (campos obligatorios, registros de códigos, deduplicación).

7) Fórmulas y definición de KPI/KRI (muestreo)

Auth Rate (método/geo): 'approved/attempts'.
Chargeback Ratio (мес): `chargebacks / successful transactions`.
KYC Completion Rate: `verified_accounts / new_registrations`.
SAR Submission Timeliness: '% SAR enviado ≤ X horas después del disparador'.
DSAR SLA: '% de consultas cerradas ≤ 30 días'.
RTP Drift (тайтл): `|observed_RTP − declared_RTP|`.
RG Outreach SLA: `median(time_contacted − time_triggered)`.

8) Widgets (plantillas)

8. 1 «Deduplines reguladores» (calendario):

Lista de informes con DLINE, Propietario, Disponibilidad (%), Riesgo de retraso.
Filtros: jurisdicción, tipo (licencia/AML/juegos).

8. 2 «Mapa PSP» (geo/métodos):

Mapa de calor Auth-rate, latency, incidentes más allá de las 24 horas

Haga clic → detallar por proveedor/método → enlaces a playbooks.

8. 3 “GDPR/DSAR Pipeline”:

Embudo: recibido → en el trabajo → pendiente de verificación → cerrado.
Retrasos en las causas.

8. 4 “AML Caseboard”:

Canban por etapas: Detección → Revisión → SAR → Cerrado.
Temporizador SLA, retroiluminación automática caducada.

8. 5 “RG Risk Monitor”:

Limit-briches, self-exclusiones, contactos; eficacia de las intervenciones.

9) Políticas de acceso y auditoría

RBAC/ABAC: los analistas ven las unidades; Acceso a PII: sólo a través de la capa de enmascaramiento/DPO.
Registro de acciones: quién abrió/modificó los umbrales y las reglas.
Versioning: configuraciones de alertas y fórmulas de KPI en Git; lanzamientos con changelog.

10) Integración con el proceso de incidente

Botón «Declare Incident» del widget → ticket predefinido (ID, capturas de pantalla, niveles S1-S4).
Autogeneración de estado de holding (macro status page/CS).
Links on: Incident Playbucks, Notificaciones y Plazos, Gestión de Crisis.

11) Control de calidad de datos (DQ)

Cobertura: exhaustividad de eventos vs. referencia (informe PSP).
Consistencia: sumas/monedas/temporizadores.
Outliers: IQR/3σ, bandera visual.
Backfill: procedimientos de dosificación y etiquetado de cambios retro.
DQ-alertas: al caer la frescura/fracción null/discrepancia de los agregados.

12) Hojas de cheques

Antes del lanzamiento del dashboard

  • KPI/KRI y fórmulas aprobadas.
  • Se han configurado los umbrales y el enrutamiento de alertas.
  • Los propietarios de widgets y SLA de frescura están prescritos.
  • Se incluye la lógica de acciones y la exportación de artefactos.

Semanal

  • Revisión de los umbrales de incidentes de la semana.
  • Comprobación de falsos positivos/omisiones.
  • Conciliación con los informes reguladores/PSP.

Trimestral

  • Auditoría de acceso y enmascaramiento PII.
  • Revisión de KPI/KRI para cumplir con los nuevos requisitos de licencia.
  • Prueba de ejercicio: AML SAR, GDPR DSAR, falla PSP.

13) Artefactos y exportaciones

Snapshots de dashboards al S1/S2 (PNG/PDF).
Exportación de KPI (CSV/Parquet) con hashes y firma de tiempo.
Registros de alertas con la causa/botón «enlazar al incidente».
Registro de deadline/notificaciones (relación con tickets y confirmaciones).

14) Conjunto de alertas (ejemplo de reglas)

PSP. AuthRate <70% (15 min, 3 zonas) → S2, "Payments On-Call', escalada en 30 min.
GDPR. DSAR> 30 días (≥10 unidades) → S2, "DPO On-Call', informe Legal.
AML. PEP Matches Nuevo> 0 (día) → S3, canal AML, auto-creación de casos.
RG. SelfExclusions Spike> p95 (día) → S3, RG canal + CS brief.
Game. RTP Drift > 0. 7 p.p. (7 días) → S2, Provider Ops, título libre.
Compliance. Informe Deadline ≤ 7 días & Progress <50% → S3, Compliance canal.

15) Inicio rápido (30 días)

Semana 1

1. Armonizar la lista de KPI/KRI y los umbrales (secciones 3 a 7).
2. Identificar SLA de frescura y propietarios de escaparates.
3. Levante el esqueleto del dashboard (widgets vacíos + fuentes).

Semana 2

4. Conectar hilos PSP/KYC/AML/RG.
5. Configurar 6 alertas críticas (reivindicación 14).
6. Asociar a incidente-bot y página de estado.

Semana 3

7. Validación de calidad de datos (DQ-check-list).
8. Piloto en la semana de llamadas, recolección de comentarios.
9. Documentación de fórmulas/umbrales en Git.

Semana 4

10. Lanzamiento v1. 0, formación de usuarios.
11. Post-lanzamiento retro, ajuste de umbrales.
12. Plan v1. 1: nuevos widgets (RTP, Partners Score) e informes.

Secciones relacionadas:
  • Playbooks y scripts de incidentes
  • Notificaciones de infracciones y plazos de presentación de informes
  • Gestión de crisis y comunicaciones
  • Plan de continuidad del negocio (BCP )/DRP
  • Registros de auditoría de operaciones
  • Sistema de alertas y notificaciones
Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.