عملیات و انطباق → مراحل KYC و سطوح بازرسی

مراحل KYC و سطوح بازرسی

1) چرا KYC

KYC (مشتری خود را بشناسید) - پایه و اساس عملکرد مسئولانه و ایمن پلتفرم iGaming: از دسترسی افراد زیر سن قانونی جلوگیری می کند، خطرات کلاهبرداری/پولشویی را کاهش می دهد، از الزامات مجوزها و شرکای پرداخت پشتیبانی می کند، از شهرت محافظت می کند.

• تایید هویت و سن.
• ارزیابی خطر پایه بازیکن و راه اندازی اقدامات مبتنی بر ریسک.
• اطمینان از قابلیت ردیابی معامله و اتصال depozit↔vyvod.
• پشتیبانی از AML/بازی مسئول و ارائه دهنده/تنظیم کننده مورد نیاز است.

2) اصول KYC

1. رویکرد مبتنی بر ریسک (RBA): عمق تأیید بستگی به مشخصات (کشور، روش های پرداخت، رفتار) دارد.
2. افشای پیشرفته: جمع آوری دقیقا به همان اندازه داده ها به عنوان مورد نیاز در سطح خطر فعلی.
3. شواهد توسط طراحی - تمام تصمیمات و اسناد به عنوان یک دنباله حسابرسی ذخیره می شود.
4. حریم خصوصی اول: به حداقل رساندن اطلاعات شخصی، پوشش، نقش و دسترسی محدود به زمان.
5. تأیید مجدد: بررسی های مکرر در حوادث خطر (نتیجه گیری، رشد محدودیت ها، تغییر جزئیات).
6. قابل توضیح و سازگار - قوانین و استثنائات مستند و قابل اثبات هستند.

3) سطوح تأیید (KYC چند لایه)

KYC0 - پیش ثبت نام/نور اصطکاک

مجموعه کشور، سن (خود گواهی)، ایمیل/تلفن (OTP).
غربالگری قبل از تحریم/POP با نام/تلفن/ایمیل (اعتماد به نفس کم).
محدودیت ها: بدون سپرده/برداشت، تنها بررسی محتوا/پاداش بدون شرط.

KYC1 - شناسایی اولیه

سند هویت (گذرنامه/شناسه/vod. اعتبار) + selfie/biometric liveness (توسط بازار).
اعتبار سنجی MRZ/بارکد، کنترل تاریخ اعتبار، کشور موضوع.
تأیید سن، غربالگری اولیه/PEP.
محدودیت های واریز/نرخ/برداشت اساسی است.

KYC2 - تأیید آدرس (PoA)

سند تأیید آدرس (صورتحساب/صورتحساب بانکی/ثبت نام)، KBA در صورت لزوم.
Geo-consistency: روش IP/دستگاه/پرداخت ≈ آدرس ثبت نام.

محدودیت های گسترده و دسترسی پین

KYC3 - EDD/SoF/SoW

با توجه به عوامل خطر: چرخش بزرگ/نتیجه گیری، VIP، الگوهای مشکوک، جغرافیایی/روش های پرخطر.
منبع بودجه (SoF) و منشأ ثروت (SoW): اظهارات درآمد، حقوق و دستمزد، مالیات، اظهارات.
مصاحبه/توضیحات کتبی امکان پذیر است.
دسترسی به محدودیت های بالا/نتیجه گیری سریع - پس از تصویب.

4) Triggers/Re-KYC افزایش سطح

مالی: مقدار تک برداشت، گردش مالی برای دوره، تغییرات مکرر در روش پرداخت.
رفتاری: مشخصات پیروزی/از دست دادن غیر طبیعی، فعالیت شبانه، بسیاری از جلسات کوتاه.
فنی: تغییرات مکرر دستگاه/IP/ASN، پروکسی/شبکه های پر خطر.
مشخصات: نام/آدرس/تاریخ تولد اختلاف بین منابع.
رویداد: تغییر جزئیات پرداخت، رشد محدودیت ها، اتصال یک طرح VIP.

5) تحریم ها، PEP و رسانه های منفی

غربالگری در: ثبت نام، تکمیل KYC1/2/3، قبل از خروج عمده، هنگام تغییر جزئیات.
تجدید اعتبار زمانی که کتاب های مرجع به روز می شوند (روزانه/هفتگی).
منطق تصادفی: مسابقه فازی با قریب الوقوع، تریاژ دستی از موارد مرزی.
ارجاع به منابع/موارد - در شواهد.

6) اسناد و جایگزین ها

شناسنامه/گذرنامه/آب حقوق، PoA: لایحه ابزار، بیانیه بانک ≤ 3 ماه

جایگزین: eID/BankID/ارائه دهندگان API فعال، KBA (مبتنی بر دانش)، تایید توسط microtransaction.
بیومتریک: سلفی با بررسی زنده بودن ؛ قالب های بیومتریک را فقط در صورت لزوم و طبق مقررات محلی ذخیره کنید.
انحراف: نسخه های سیاه و سفید، اسناد منقضی شده، عکس های تار - قوانین انحراف خودکار.

7) داده ها و حریم خصوصی

به حداقل رساندن: ما فقط درخواست لازم ؛ مصنوعات KYC جداگانه و داده های بازی/بازاریابی.
دسترسی: RBAC/ABAC، پرونده های خواندن/شماره پرونده ها، علامت های سفید.
نگهداری: توسط صلاحیت/مجوز (معمولا 5 + سال پس از آخرین عمل جراحی).
رمزگذاری: در حالت استراحت/حمل و نقل، کلید در HSM/Vault، URL های موقت برای مشاهده.
درخواست های موضوع داده: SLA برای صادرات/اصلاح/حذف در محدوده قابل قبول.

8) کنترل/سیاست به عنوان کد (قطعات)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (قطعات)

SOP: تأیید KYC1

1. بررسی کامل بودن بسته (ID + selfie، بارگیری ابرداده).

2. اعتبار سند (MRZ/بارکد، تاریخ، کشور)، تایید نام کامل/دکتر

3. selfie بازی (چهره بازی، زنده بودن).
4. تحریم ها/RAP را بیرون کنید ؛ در صورت مسابقه → تریاژ.
5. تعیین KYC1، به روز رسانی محدودیت ها، ثبت شواهد.

SOP: KYC2 (PoA)

1. بررسی سند ≤ 90 روز، آدرس در فرمت معتبر/زبان.
2. مطابقت آدرس با روش های IP/دستگاه/پرداخت.
3. KYC2 مسئله، گسترش محدودیت ها/خروجی ها، ثبت شواهد.

SOP: EDD/SoF (KYC3)

1. درخواست لیست اسناد (حقوق/مالیات/اظهارات) و توضیحات.
2. مطابقت مقادیر/فرکانس/منابع به حجم فروش و مشخصات.
3. قطعنامه: تصویب/محدود کردن/بستن ؛ در سوء ظن - فرآیند SAR/AML.
4. به روز رسانی مشخصات خطر، محدودیت ها، شواهد.

10) ادغام

ارائه دهندگان KYC: IDV، PoA، بیومتریک، تحریم/PEP (دسته ای + رویداد محور).
پرداختها: کنترل منبع به منبع، سرعت، نگهداری تا تکمیل KYC.
AML/Case-management: کارت پخش مشترک، وضعیت، SLA.
CRM/پشتیبانی: قالب های ارتباطی، KYC، ETA و وضعیت dunning.
DWH/BI: نمایش رویدادهای KYC، گزارش در مورد دوره های مجوز.

11) KPI/OKR

• KYC1 متوسط TAT، KYC2 PoA TAT، EDD Turnaround، Re-KYC TAT.
• نرخ عبور خودکار (بدون مشارکت دستی)، دم دستی (سهم دستی).
• تحریم ها/PEP نرخ ضربه و دقت در موارد تایید شده است.

• نادرست رد نرخ اسناد, توضیحات کیفیت شکست%.
• عدم تطابق فرکانس IP/آدرس، پرداخت به دلیل KYC (زمان متوسط برای باز کردن قفل) مسدود شده است.
• کامل بودن مدارک ≥ 98%

• افت KYC توسط مراحل، CSAT/NPS توسط فرآیندهای KYC.

12) چک لیست

• داده ها موافقت/سیاست های اتخاذ شده است.
• بررسی اولیه تحریم انجام شد.
• کانال های ارتباطی تایید می شوند (OTP/ایمیل).

• ID معتبر و سلفی، liveness گذشت.
• نام/DR/کشور بازی.
• تحریم ها/REP: «روشن» یا مسیر تریاژ.

• PoA تازه و قابل خواندن است ؛ آدرس عادی شده است.
• جغرافیایی (روش IP/دستگاه/پرداخت).

• مجموعه کامل اسناد، مقادیر مربوط به گردش مالی است.
• تصمیم و منطق ثابت (شواهد)، مشخصات ریسک به روز شده است.

• دلیل و تاریخ، قفل/محدودیت به درستی اعمال می شود.
• ارتباطات ارسال شده به بازیکن (ETA/مراحل).

13) ضد الگوهای

تست جهانی «سنگین» برای همه - شکست ها و هزینه های بالا.
چک دستی بدون SLA/سیاهههای مربوط و کنترل دو.
ذخیره سازی بیومتریک/اسناد بدون زمینه و نگهداری دقیق.
هیچ ارتباطی با پرداخت وجود ندارد: خروج قبل از KYC2/3 امکان پذیر است.
عدم نمایش مجدد تحریم ها و رویداد مجدد KYC.
دو نسخه از حقیقت: KYC در اکسل و داده های معامله در DWH بدون اتصال.

14) 30/60/90 - طرح اجرایی

• سیاست KYC را تأیید کنید (سطوح، محرکها، SLA، نگهداری).
• IDV/تحریم ها/PEP را وصل کنید، جریان KYC1 و PoA را اجرا کنید.
• کنترل ها را به عنوان کد تنظیم کنید: دوباره KYC برای تغییر پرداخت، لغو مجازات.
• ذخیره سازی شواهد و RBAC را فعال کنید.

• فرآیندهای EDD/SoF، ارتباطات champlon و مدیریت مورد.
• ادغام با پرداخت (منبع به منبع، سرعت)، خودکار بلوک تا KYC2/3.
• داشبورد KPI (TAT، خودکار گذر، دم دستی، نرخ ضربه).
• خلبان liveness بیومتریک/شناسه بانکی (که در آن در دسترس).

• کاهش دم دستی ≥ 30٪، KYC1 هدف متوسط TAT ≤، ↓ رد کاذب.
• دوباره KYC و مقررات بازرسی مجدد تحریم، حسابرسی انطباق.
• اتصال KPI به دستورات OKR (Compliance/Ops/Payments/Support).

15) سوالات متداول

Q: هنگامی که درخواست یک آدرس (PoA) ؟

A: هنگامی که آستانه سپرده/نتیجه گیری رسیده است, جغرافیایی/روش مطابق نیست و یا با توجه به الزامات کشور/مجوز.

س: چه زمانی SoF/SoW مورد نیاز است ؟

A: در RPM/VIP بالا، ناهنجاری ها، جغرافیایی/روش های پرخطر، قبل از خروج عمده.

س: چگونه می توان شکست در KYC را کاهش داد ؟

A: Mobile prompts/ocr validation، الزامات عکس روشن، پشتیبانی BankID/eID، جداسازی مرحله، بازخورد سریع.

س: چگونه از حریم خصوصی محافظت کنیم ؟

A: به حداقل رساندن، رمزگذاری، RBAC سخت/سیاهههای مربوط به دسترسی، حفظ خودکار و سیاست حذف.