Operaciones y Cumplimiento → Tarjeta reguladora de los mercados iGaming

Tarjeta reguladora de los mercados iGaming

1) Por qué se necesita una tarjeta reguladora

Trabajar en varios mercados se basa en la comparabilidad y pertinencia de los requisitos. La «tarjeta» es un catálogo único de países con campos normalizados: tipo de licencia, requisitos KYC/AML, restricciones RG, reglas de publicidad/afiliación, métodos de pago, modelo fiscal, informes, proveedores y «líneas rojas» locales.

Objetivos:

Acelerar el go-/no-go y la priorización de los países.
Simplifique los proveedores de boarding, la publicidad y los pagos a las normas locales.
Reducir los riesgos penalizadores/reputacionales y el costo del cumplimiento.
Dar a Ops/Compliance una única fuente de verdad (SSOT).

2) Taxonomía de los campos (que fijamos para cada país)

Metadatos básicos

País/región, estado del mercado (regulado/gris/prohibido), vertical disponible (casino, live, betting, poker, lotto).
Modelo de inicio de sesión: licencia local/.com limitada/asociación con el titular local.

Licencias y supervisión

Regulador (s), tipos de licencias (V2C/B2V/sub-categoría), requisitos de presencia local.
Procedimientos de auditoría (técnico, financiero, RNG) y periodicidad.

KYC/AML

Verificación básica (identidad, dirección), desencadenantes EDD, verificación de RR/sanciones, tiempos de retención de datos.
Reglas de origen de fondos, limitación de velocidad y escalamiento.

Responsible Gaming (RG)

Límites de edad, límites de depósito/pérdida/tiempo, auto-exclusión, cooling-off, registros locales.

Anuncios y afiliados

Canales permitidos/ranuras temporales/vikidkes de contenido, marcadores de edad, prohibiciones de lenguaje «libre de riesgo».
Requisitos de afiliación (contratos, revelaciones, UTM reales, listas negras de prácticas).

Pagos y proveedores

Métodos permitidos (tarjetas, bancos, carteras, vales), procesadores locales, requisitos de devoluciones/devoluciones.
Requisitos para proveedores de juegos/pagos B2B (licencias, informes, SLA).

Datos/Privacidad y seguridad

Modo de datos personales (GDPR-normas similares/locales).
Localización/transferencia transfronteriza, períodos de retención, derechos del interesado.

Impuestos e informes

Base imponible (a menudo GGR/turnover/cargos de pago), períodos de presentación de informes, formatos de descarga.
Supervisión final, informes obligatorios RG/AML, incidente-reporting.

Restricciones y «líneas rojas»

Prácticas de marketing negro/gris, prohibiciones de mecánicas de bonificación, límites de botes, restricciones nocturnas, etc.

3) Modelo de datos (marco)

yaml country: <ISO-2>
market_status: regulated    restricted    prohibited    grey verticals: [casino, live, betting, poker, lotto]
entry_model: local_license    partner. com_limited regulator:
name: <...>
site: <ref>
licenses:
b2c: [<type_a>, <type_b>]
b2b: [<rng>, <platform>, <payment_provider>]
kyc_aml:
base: [id, address, pep_sanctions]
edd_triggers: [amount_spike, multiple_methods, high_risk_geo]
retention_days: <int>
rg:
limits: {deposit: required    optional, loss: required    optional, time: optional}
self_exclusion: registry    internal    none ads_affiliates:
allowed_channels: [tv, ooh, digital, influencer]
disclaimers_required: true    false affiliate_rules: [kyb_required, utm_registry]
payments:
methods_allowed: [cards, bank_transfer, wallet, voucher, cash]
withdrawals_rule: source_to_source    required_checks privacy_security:
regime: gdpr_like    local data_localization: required    not_required tax_reporting:
tax_model: ggr    turnover    mixed reporting: {frequency: monthly    quarterly    realtime, formats: [csv, api]}
providers:
game_providers_requirements: [license, testing, rng]
payment_providers_requirements: [local_presence, settlement_rules]
red_lines: [no_risk_free_claims, minors_targeting_ban]
last_review: YYYY-MM-DD owner: compliance_team

4) Mapa de riesgos y priorización de los países

Ejes de evaluación:

Regulatory Risk (rigidez/incertidumbre/penalizaciones).
Efecto Go-To-Market (plazos de licencia/localización/integración).
Unit Economics (carga fiscal/comisiones de pago/previsión de ARPPU).
Complexidad operativa (restricciones RG/informes/vendedores).

Scoring (ejemplo): 'Score = (Economics - Risk - Complexity) × Readiness', donde Readiness es la madurez de nuestros procesos (KYC/AML/RG/Reporting) bajo una jurisdicción específica.

Grupos de prioridad: A (lanzamiento 6-9 mes), B (preparación), C (estudio).

5) Matriz de conformidad (mapa de conformación)

Comparamos nuestras políticas/controles con los requisitos del país:

Demanda del país	Nuestra política/control	Estado	Gap/Plan
Autoexclusión a través del Registro Estatal	RG-POL-001 / CTRL:RG-EXC-002	Parcialmente	Integración con el registro, ETA Q1
Informe AML sobre SAR en N días	AML-POL-003 / SOP:AML-SAR	Corresponde	—
Limitación de la creatividad	ADS-POL-002	Requiere aclaraciones	Plantillas/lista de comprobación a través de los canales

6) Controls-/Policy-as-Code (fragmentos)

Control de límites RG (activar/configurar para el país):

yaml control_id: RG-LIM-DAILY judgments: [""] # defaults, redefined in trigger country: loss_today> limit_loss_daily actions:
- block: betting
- notify: player_template_rg_7 overrides:
- when: country==<ISO>
set: {limit_loss_daily: <local_rule>, cool_off_hours: <N>}

Cláusulas de comercialización (disclaimer rules):

yaml policy_id: ADS-DISCL-001 require:
- on_all_creatives: age_restriction
- on_bonus: wagering_conditions ban:
- wording: ["risk-free", "guaranteed win"]
overrides:
- country: <ISO>
additions: {time_window: "22:00-06:00 ban TV"}

Informes (formatos/frecuencias):

yaml reporting:
frequency: monthly exports: [revenue_by_vertical, rg_cases, aml_sar]
transport: sftp    api overrides:
- country: <ISO>
frequency: realtime exports: [bet_level, session_level]

7) Dashboards de la tarjeta reguladora (qué mostrar)

Market Readiness: estado de licencias/integraciones/políticas por país.
Compliance Heatmap: KYC/AML/RG/Ads/Privacy - «verde/amarillo/rojo».
Evidence Coverage: proporción de operaciones con pruebas recogidas correctamente.
Reporting SLA: tiempo de descarga/errores de esquemas/validación.
Risk Register: principales riesgos por países, plan de mitigación, ETA.

8) Procesos y RACI

SOP: Agregar o actualizar un país

1. Yur-evaluación y mapping requisitos → tarjeta del país.
2. Configuración de Policy-/Controls-as-Code e informes.
3. Proveedores/pagos: due diligence y pruebas.
4. Prueba de batalla en el stage → el piloto 1-5% del tráfico.
5. Puesta en marcha + monitorización de KPI y alertas regulatorias.

RACI (fragmento):

Actividad	R	A	C	I
Modelo de país/tarjeta	Compliance Analyst	Head of Compliance	Legal, Security	Ops
Configuración de controles	SRE/Platform	Head of Ops	Compliance	Domains
Informes	Data/BI	Head of Compliance	Legal	Finance
Publicidad/afiliados	Marketing Compliance	CMO	Legal/Brand	Finance

9) Hojas de cheques due diligence

Nuevo país

El regulador y el tipo de licencia, las verticales están permitidos.
KYC/AML/RG mapping y overrides en controles.
Ads/Affiliates reglas y plantillas de reservas.
Privacidad/localización de datos, períodos de retención.
Pagos: métodos disponibles, reglas de devoluciones/retiros.
Informes: formatos, transporte, frecuencias; prueba de descarga.
Proveedores: requisitos y auditoría.
Los riesgos/« líneas rojas »son fijos.

Nuevo afiliado/canal

KYB, contrato, registro UTM, bibliotecas creativas.
Restricciones de orientación (edad/geo).
Política de claim y lenguaje prohibido.
Mecanismo de suspensión del tráfico en caso de irregularidades.

10) Anti-patrones

«Dos versiones de la verdad»: Excel-table aparte de los controles prod.
Interpretaciones locales no verificadas sin confirmación jure.
Reglas de publicidad universal sin country-overrides.
Carencia de almacenamiento de información y de informes SLA.
Tarjeta sin propietarios y revisión periódica.

11) Métricas de madurez

Coverage de los países: las tarjetas de los países con los campos llenos ≥ el 90%.
Alineación de controles: una proporción de controles con el país-overrides, donde se necesita ≥ 95%.
Reporting SLA: tiempo de descarga ≥ 98%.
Evidence Completeness: llenado de conjuntos de pruebas ≥ 98%.
Audit Findings TTR: cierre de comentarios ≤ 90 días.
Incident Leakage: proporción de infracciones de marketing/RG → tendencia a la baja.

12) Integraciones

Docs-/Policy-/Controls-as-Code: un único repositorio con una lente de rugido/CI.
CRM/Payments/DWH: reglas de país-aware, escaparates de informes.
Observabilidad: alertas a la deriva del cumplimiento (el control no funcionó, el informe no se fue).
Asistente de cumplimiento de AI: búsqueda de tarjetas de país, pistas de overrides y borradores de informes.

13) 30/60/90 - Plan de aplicación

30 días (fundación):

Aprobar la taxonomía de los campos y la plantilla de tarjeta de país.
Expanda el repositorio «reg-map/» (docs/policies/controls/reports).
Poner 5-7 países clave en la cartera actual, configurar overrides básicos.
Levante los dashboards Coverage/Heatmap/Reporting SLA.

60 días (zoom):

Agregue registros de pagos/publicidad/proveedores y paquetes.
Habilitar el almacenamiento de información para RG/AML/Ads.
Automatizar la prueba de exportación de informes y validación de esquemas.
Incrustar alertas en «derivaciones» regulatorias.

90 días (fijación):

Cubrir ≥ 90% de los países objetivo, realizar una auditoría interna del diseño de los controles.
Asociar los KPI de la tarjeta reguladora con OKR (Reporting SLA, Evidence, Audit TTR).
Actualizaciones trimestrales regulares de tarjetas de países y procesos.

14) FAQ

P: ¿Cómo mantener el mapa actualizado?
R: Revisión de tarjetas una vez cada 90-180 días, recordatorios CI por 'last _ review', alertas de inconsistencias de informes/controles.

P: ¿Qué hacer cuando hay contradicciones entre las normas de los países?
R: Aplique una norma más estricta o divida el flow de productos por geo con overrides separados.

P: ¿Cómo asociar la tarjeta con el producto?
R: A través de Controls-as-Code: las reglas se activan por 'country '/' brand '/' vertical', y los escaparates de informes recogen automáticamente los campos deseados.