GH GambleHub

Licenze software e API

1) Perché è importante per un iGaming

La piattaforma si basa su codice personale, librerie di terze parti, SDK provider di giochi/pagamenti e API pubbliche/private. Gli errori di licenza comportano reclami, blocchi di integrazione, fuoriuscite IP e rischi regolatori (privacy/sanzioni/esportazione di crittografia). Lo scopo è quello di creare un tracciato trasparente dei diritti che può essere pubblicato, integrato, trasferito ai partner e come proteggere le proprie API.

2) Modelli di licenza software (panoramica)

Proprietary (licenza riservata) - diritti esclusivi del venditore; per B2B (operatori, studi, PSP).

Open Source (OSS):
  • Permissive: MIT, BSD, Apache-2. 0 (borsa di studio brevetti).
  • Copyleft: GPL/TGPL/AGPL - compatibilità «infettante»; attenti ai moduli chiusi.
  • Dual/Multi-licensing: linea OSS gratuita + licenza commerciale con diritti/supporto avanzati.
  • SaaS licenza: accesso come servizio il codice non viene trasmesso, i diritti d'uso.

Regole di scelta: servizi critici (motore di gioco, antifrode, calcoli) - evitare copyleft; Librerie UI - permissive; torsi interni - può essere GPL quando isolato.

3) Diritti e limitazioni: cosa guardare nelle licenze

Quantità di diritti (scope): territorio, scadenza, utenti/installazioni, ambienti (prod/stage/dave).
Modifiche e derivati: se si può forzare, cambiare, distribuire.
Subalternità/trasferimento: se è valido per gli affiliati/white-label.
Borsa di studio brevetti e terminazione definibile (Apache-2). 0, MPL) - Rischi per brevetti e licenza di cross.
Controllo e rendicontazione: il diritto del venditore di effettuare controlli in licenza.
Sicurezza/esportazione: restrizioni alla crittografia, paesi/sanzioni.
Indennità e responsabilità: chi copre le pretese dell'IS/danni.

4) Open Source: politica e controllo

Elenco bianco: MIT/BSD/Apache-2. 0, MPL-2. 0.
Giallo: WOLFPL-3. 0 (con linea dinamica e condizioni).
Rosso: AGPL/GPL-3. 0 in servizi chiusi se non c'è isolamento (servizio-limite, network copyleft).
SBOM (Software Bill of Materials) - Un elenco obbligatorio di dipendenze con versioni/licenze.

Procedura di inserimento OSS - Richiesta di valutazione di compatibilità di IUR/T

Contributo a OSS (upstream): CLA/DCO, convalida dell'esposizione IP, coerenza con Legale.

5) SDK e licenze di provider (giochi, pagamenti, KYC)

I requisiti tipici sono il divieto di sviluppo inverso, il divieto di cache senza condizioni, il controllo dei loghi/branding, le versioni minime, il diritto di verifica.
Dati: i bordi dei dati operatori vs dati provider, di chi possiede le metriche e di Derived Data.
Restrizioni di esportazione/sanzione: geo-blocchi, elenchi RER/sanzioni - è obbligatorio controllare in TS/licenza.
Supporto/aggiornamento: SLA per patch, breaking-changes, tempi di migrazione.

6) API: condizioni legali per l'accesso (partner/affiliati/B2V)

Partizioni chiave API Terme:
  • Accesso e autenticazione: OAUth2/HMAC/mutual-TLS; impedisce il trasferimento delle chiavi a terzi.
  • Rate limits e quote: RPS/minuti/al giorno; «uso onesto»; criterio burst.
  • SLA e supporto: accessibilità (ad esempio, 99. 9%), finestre di servizio, piano incidenti/comunicazioni.
  • Versioning/deprecazione: , scadenza EOL (ad esempio, 9-12 mes), invio di notifiche.
Diritti dati:
  • Servizio-Generated Data - Proprietario dell'API
  • Customer/Player Data - da client/operatore;
  • Derived Data è un contratto (consentito/limitato, anonimizzato).
  • Cache e storage: cosa e come è possibile memorizzare la cache (TTL, non conservare campi personali/sensibili).
  • Privacy/AML/KYC: ruoli (controller/processore), DPA/DSA, trasferimenti transfrontalieri, DPIA per script high-risk.
  • Sicurezza: crittografia in transito/at-west, gestione segreta, requisiti SOC2/ISO 27001 (se applicabile).
  • Proibizioni: ingegneria inversa, scraping, misurazione/benchmarking senza consenso, modifica delle risposte API.
  • Controllo e login: diritto di convalida, requisiti per i registri di query.
  • Sanzioni ed esportazioni: impedisce l'uso in paesi/utenti da elenchi, screening.
  • Esclusione delle garanzie e limite di responsabilità: cap (ad esempio, 12 x media. pagamento).
  • Interruzione dell'accesso: immediata minaccia di sicurezza/legge; piano di output dei dati.

7) Criteri di versioning e compatibilità

SemVer: MAJOR (breaking), MINOR (features), PATCH (fix).
Contratti dei circuiti: JSON Schema/OpenAPI; test contract per i clienti.
Procedura di deprecazione: l'annuncio del periodo di compatibilità ( 6 mes) di EOL è stato eliminato; Hyde migratorio.
Feature flags - Per le marcature «morbide».

8) Controllo delle esportazioni, sanzioni, crittografia

Esportazione crittografia - Verifica delle regole locali notifiche/codice ESS/lunghezze bit.
Sanzioni: divieto di servire/consentire l'accesso ai residenti delle giurisdizioni/delle persone; Recrining periodico.
Restrizioni normative: clausole di sospensione del servizio a rischio regolatorio.

9) Matrice di rischio

ZonaR (critico)A (è necessario modificare)G (ok)
compatibilità OSSAGPL/GPL in un servizio chiusoLGPL senza condizioniPermissive/isolato
dati APIMemorizzando PII senza diritti/TTLAnonimato parzialeDiritti chiari, TTL, DPA
BrevettiNessuna borsa di studio/defensive clauseTesto incompletoApache-2. 0/licenza. borsa di studio
Sanzioni/esportazioniNiente screeningScreening singoloCriterio + procedure
VersioningStrappiamo i contratti senza scadenzaTempi <6 mesSemVer+EOL ≥ 9-12 mes
Controllo licenzeNessuna SBOM/Registro di sistemaIncompletoSBOM completo + quart. revisione

10) Foglio di assegno prima del rilascio/integrazione

  • SBOM assemblato; licenze verificate (nessuna incompatibile).
  • Licenze Vendor/SDK firmate; diritti di dati e marchio.
  • DPA/DSA sono stati compilati; ruoli controller/processore definiti.
  • le API Terme/EULA sono state aggiornate; sono prescritti rate limits/SLA/deprecazione.
  • Screening di sanzioni/esportazione nei processi.
  • Protezione: chiavi, rotazione, crittografia, registrazione.
  • Il piano di incidenti e la revoca dell'accesso (killswitch) è pronto.

11) Registri e manufatti (formati consigliati)

11. 1 SBOM/Registro licenze

yaml component: "payment-gateway-sdk"
version: "4. 2. 1"
license: "Apache-2. 0"
source: "maven"
usage: "runtime"
notes: "requires notice file"
dependencies:
- name: "okhttp"
version: "4. 12. 0"
license: "Apache-2. 0"
- name: "commons-io"
version: "2. 16. 1"
license: "Apache-2. 0"
owner: "Engineering"

11. 2 Registro dei client API

yaml client_id: "aff-778"
app_name: "AffTrack"
scopes: ["reports:read","players:read_limited"]
rate_limit_rps: 5 quota_daily: 50_000 dpa_signed: true sanctions_screened_at: "2025-11-05"
status: "active"
owner: "API Ops"

11. 3 Registry SDK/venditori

yaml vendor: "GameProviderX"
agreement: "SDK-License-2025-10"
audit_rights: true brand_rules: true data_rights:
provider_metrics: "vendor"
operator_metrics: "shared"
derived_data: "anonymized_allowed"
sla:
incidents: "P1:2h,P2:8h"
updates: "quarterly"

12) Modelli (sezioni)

12. 1 EULA (porzione interna)

💡 Il licenziatario ottiene una licenza non esclusiva e non trasferibile per l'utilizzo del Prodotto all'interno del Territorio e della Scadenza ai fini della fornitura di servizi agli utenti finali. È vietato: (i) ingegneria inversa, decompilazione; (ii) perlustrazione delle misure tecniche; (iii) il trasferimento dei diritti a terzi senza il consenso scritto. Il prodotto viene fornito «com'è»; la responsabilità del Licenziatario è limitata all'importo dei pagamenti dei 12 mesi precedenti l'evento.

12. 2 API Terme (porzione interna)

💡 Il client accetta di rispettare le quote e i limiti di velocità specificati nella chiave di accesso. La cache delle Risposte è consentita per un massimo di [N ore] con esclusione dei dati personali. L'intero Service-Generated Data appartiene al Fornitore API; Il cliente ottiene una licenza limitata per uso interno. Il fornitore può modificare o interrompere qualsiasi Endpoint fornendo una notifica di almeno [9 mesi] prima dell'EOL.

12. 3 Licenze codice/dock

💡 Codice approssimativo e snippet pubblicati sotto il MIT; documentazione testuale - CC BY-4. 0 (a meno che non sia specificato diversamente). Il marchio-asset è una politica separata.

13) Privacy e dati (API/SDK)

Minimizzazione: non restituire i campi aggiuntivi (PII), utilizzare gli identificatori «semidesatti».
TTL cache: rigido impedisce la copia locale dei dampi completi.
Diritti dei soggetti dati: routing delle richieste (access/erasure) tramite l'operatore; Il protocollo.
Alias/Anonimizzazione: prima della pubblicazione per gli analisti/Derived Data.

14) Playbook

P-LIC-01: trovato copyleft nel servizio prod

L'ispezione SBOM l'opzione di migrazione/isolamento, la valutazione JUR e il piano di rilascio della retrospettiva.

P-API-02: perdita della chiave API

Il richiamo della chiave una notifica al cliente forense, una rotazione dei segreti della politica.

P-SDK-03 - Il venditore rompe la compatibilità

L'adattatore di transizione la linea temporale dell'API per negoziare l'estensione della finestra di distribuzione ai clienti.

Flag di sanzioni P-XPORT-04

Accesso automatico, conferma delle partite, valutazione legale, documenti per il regolatore.

15) KPI/metriche

SVOM Coverage% e la percentuale di componenti approvati.
Ora di chiusura dell'incidente di licenza (copyleft/incompatibilità).
Deprecation Compliance% (client in versione aggiornata).
Time-to-Revoke chiave utensile e MTTR per gli incidenti API.
Percentuale di clienti con DPA/DSA sottoscritto e sanning screening superato.

16) Mini FAQ

È possibile incorporare l'LGPL? Sì, con linette dinamiche e condizioni, rilevate in SBOM.
Chi è il proprietario dell'API? Per default, il proprietario dell'API (Service-Generated) è un client con licenza limitata.
Puoi allenare ML sui dati API? Solo anonimi/aggregati e se è permesso.
Quanto tieni l'EOL? Raccomandato 9-12 mesi con un di migrazione.

17) Conclusione

Le licenze Software e API non sono «firmate», ma un ciclo costante: la scelta di licenze compatibili, la gestione di SBOM, API chiare Terme (dati/quote/SLA/deprecazione), DPA/sanzioni e playbook operativi. Standardizzare registri e modelli e ridurre i rischi legali, semplificare l'integrazione e proteggere il proprio IP e i dati dei giocatori.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.