GH GambleHub

コンプライアンスとレポート作成API

1)目的

コンプライアンスAPI-以下のための単一のインターフェイス:
  • AML/Responsible Gaming (RG)のイベント(ゲーム/決済/認証)の収集と検証。
  • 検査(KYC/KYB、 制裁/PEP、資金源、年齢)。
  • 市場による規制報告(定期的およびアドホック)。
  • 監査ログの維持とLegal Holdの実行。
  • プロバイダ(PSP、 KYC交換、制裁リスト)および州ポータルとのデータ交換。

その結果、運用オーバーヘッドの削減、迅速なレポート作成、トレーサビリティ、およびローカルのコンプライアンスが実現しました。

2)スコープ

識別と検証:KYC/KYBのステータス、検証レベル、ドキュメント。
AML/制裁/PEP:スクリーニング、トランザクション監視、STR/SAR、アラート。
責任あるプレー(RG):制限、自己排除、「クールオフ」、行動リスクスケール。
支払いと取引:入金/出金、チャージバック、ボーナスメカニクス。
報告:GGR/税金、プレーヤー/セッションレジストリ、マーケティング制限、セキュリティインシデント。
監査とストレージ:不変ログ(WORM)、リーガルホールド、DSAR/RTBF。

3)データ消費者と生産者

消費者:規制当局、内部コンプライアンス/リスク、BI/DWH、 SecOps、金融。
メーカー:フロント/バックエンドiGaming、 PSP/aquiring、 KYCプロバイダー、不正防止、CRM、アフィリエイトネットワーク。

4)建築リファレンス

1.エッジ/API-шлюз (mTLS、 OAuth2/OIDC、レート制限、WAF)。
2.コンプライアンスサービス(ビジネスルール、プロバイダのオーケストレーション、正規化)。
3.イベントバス(Kafka/Redpanda)-SIEM/DWH/アーカイブでファンアウト。

4.ボルト:
  • 簡単なクエリ/集計のためのオンライン(PostgreSQL/ClickHouse)。
  • 不変のアーティファクトとレポートのアーカイブ(オブジェクトストレージ+WORM)。
  • 5.監査と可視性:OpenTelemetry (trace_id)、インデックス作成ログ、ダッシュボード。
  • 6.プロバイダコネクタ:KYC、制裁、RGモジュール、電子署名付きの状態ポータル。

5)主なエンドポイント(v1)

5.1 KYC/KYBと制裁

'POST/v1/kyc/check'-KYCチェックリクエスト(idempotent)。
'GET/v1/kyc/{ user_id }/status'-現在のレベルと有効期限。
'POST/v1/制裁/スクリーン'-制裁/PEPスクリーニング。
'GET/v1/制裁/{ user_id }/hits'-マッチ/エスカレーション。

5.2 AMLとトランザクションの監視

'POST/v1/aml/transaction'-イベント(deposit/in/bet/payout)を送信します。
'GET/v1/aml/alerts?state=open'-アラート/ケースを開く。
'POST/v1/aml/str'-STR/SARの形成と提出(市場別)。

5.3責任あるゲーム(RG)

'POST/v1/rg/self-exclusion'-set/remove self-exclusion。
'GET/v1/rg/limits/{ user_id}'-制限(deposit/rate/time)。
'POST/v1/rg/assess'-行動リスク評価。

5.4レポートとレジストリ

'POST/v1/reports/generate'-レポート生成(タイプ、期間、管轄)。
'GET/v1/reports/{ report_id}'-ステータス、アーティファクトダウンロード(PDF/CSV/JSON)、ハッシュ。
'GET/v1/registers/{ type}'-ページネーション付きのレジストリ(プレイヤー、セッション、ボーナス、GGR)。

5.5監査および法的取引

'GET/v1/audit/events'-イベントの選択(ECS/OCSFフィールドによるフィルタ)。
'POST/v1/legal/hold'-オブジェクト/フォルダのLegal Holdを設定/削除します。
'POST/v1/privacy/dsar'-DSAR、ステータス、エクスポートパケットを起動します。

6)データモデル(略称)

6.1トランザクションイベント(JSON)

json
{
"idempotency_key": "trx-8b1a9953",
"timestamp": "2025-11-01T16:02:11Z",
"user": {"id":"U-12345","dob":"1999-04-21","country":"EE"},
"transaction": {
"id": "T-778899",
"type": "deposit",
"amount": {"value": 200. 00, "currency": "EUR"},
"method": "card",
"psp_ref": "PSP-222-ABC"
},
"context": {
"ip": "198. 51. 100. 10",
"device_id": "d-9af0",
"session_id": "s-2233",
"trace_id": "f4c2..."
},
"labels": {"market": "EE", "affiliate": "A-77"}
}

6.2 KYCの結果

json
{
"user_id": "U-12345",
"level": "L2",
"status": "verified",
"expires_at": "2026-04-21",
"checks": [
{"type":"document","result":"pass"},
{"type":"liveness","result":"pass"},
{"type":"pep_sanctions","result":"no_hit"}
],
"provider": {"name":"KYCX","reference":"KYCX-4455"}
}

6.3レポートの説明

json
{
"report_id": "RPT-EE-GGR-2025Q3",
"type": "ggr_quarterly",
"jurisdiction": "EE",
"period": {"from":"2025-07-01","to":"2025-09-30"},
"status": "ready",
"artifact": {
"format": "CSV",
"size_bytes": 183442,
"sha256": "c9b1f...e21",
"download_url": "urn:reports:RPT-EE-GGR-2025Q3"
},
"notes": "Rounded to cents; FX=ECB daily"
}

7)セキュリティとアクセス

認証:OAuth2/OIDC(クライアント資格情報、JWT)、オプションのmTLS。
承認:RBAC/ABAC;ドメイン別のスコープ('aml: write'、 'kyc: read'、 'reports: generate')。
暗号化:TLS 1。2+in-transit;KMS/CMKによるat-rest;機密フィールドのJWE。
PII最小化:ストア最小;PAN/IBANエイリアスユーザーをマスクします。 。 。
アクセスログ:「センシティブ」エンドポイントのすべての読み取りの監査、大量アップロードのアラート。
法的保持および保持:レポートおよびSTRのためのWORMの貯蔵;5-7年の保持ポリシー(市場別)。

8)バージョン管理と互換性

URIバージョン管理:'/v1'、'/v2';マイナーな変更-拡張可能なフィールドを使用します。
減価償却政策:≥ 6〜12ヶ月のサポート。見出し'Sunset'、 'Deprecation'。
スキーム:JSONスキーマ+OpenAPI;契約はCIで検証されます。
移行:アダプタ/フィーチャーフラグ、移行期間の双方向互換性。

9)信頼性: idempotencyおよび「丁度一度」

「POST」のIdempotency-Key (24-72時間≥のストアキー)。
bus+経由で最低1回の配達は重複排除を受け取ります(イベントID/ハッシュ)。
インテグレーション用のOutbox/Inbox-pattern、指数休止とジッタ付きのretrai。
注文:確定性のためのuser_id/account_idパーティションキー。

10)ペジネーション、フィルター、検索

ページネーション:カーソルベース('page_token'、 'limit<=1000')。
フィルター:管轄、期間、ステータス、プロバイダー、リスクアセスメント。
監査/レジストリの全文検索(フィールドのサブセットが限られています)。
エクスポート:非同期、サイズ制限、ハッシュ署名付きのアーカイブの準備。

11)制限とクォータ

クライアント/ルートごとのレート制限(例:100 rpsバースト、1000 rpm持続)。
重いレポート(クレジット/日)の予算制限。
N+1保護:バッチおよび集約されたエンドポイント。
歴史的なサンプルの深さの制限(例えば、≤ 24ヶ月オンライン、以下アーカイブと呼ばれます)。

12)ダッシュボードとSLO

lag p95 <30 sec;をインジェストします。KYCの成功>99%;STR-SLA-24時間≤発送。
API ≥ 99の可用性。9%;読書のためのレイテンシp95 <300ミリ秒;記録のための<800ミリ秒。
レポートのコスト/GBストレージ;レギュレータへのAckレート通知。
ウィジェット:AMLアラートヒートマップ、KYCファネル、カントリーレポートリリース、STRキュー。

13)管轄区域: マッピングとパターン

マーケットレポートテンプレート(フィールド、フォーマット、頻度):'EE'、 'LT'、 'LV'、 'RO'、 'MT'、 'UK'など。
用語マッピング(GGR/NGR、ボーナス、預金限度額、年齢管理)。
タイムゾーン/カレンダーのローカライズ;FXソースのImpact DSTラベルを修正しました。
スキーマディレクトリ:'reports/{管轄}/{type}/{version} 。schema。json'。

14)エラー処理(シングルフォーマット)

json
{
"error": {
"code": "RATE_LIMIT_EXCEEDED",
"message": "Too many requests",
"request_id": "req-7f91",
"hint": "Reduce RPS or request higher quota",
"retry_after": 30
}
}

「INVALID_SCHEMA」、 「NOT_AUTHORIZED」、 「LEGAL_HOLD_ACTIVE」、 「PROVIDER_TIMEOUT」、 「REPORT_NOT_READY」。

15)テストおよび証明

契約テスト(OpenAPI→テストクライアントの生成)

管轄によって据え付け品セット、報告のための黄金ファイル。
ログ内のPIIフィールドの「ブラックリスト」;秘密漏洩の静的分析。
レポートのアーカイブを復元するための定期的なDR演習。

16)例

16.1レポート生成

お問い合わせ

http
POST /v1/reports/generate
Content-Type: application/json
Authorization: Bearer <token>
json
{
"type": "ggr_monthly",
"jurisdiction": "EE",
"period": {"from":"2025-10-01","to":"2025-10-31"},
"format": "CSV",
"notify": ["compliance@company"],
"parameters": {"include_bonus_breakdown": true}
}

答え

json
{"report_id":"RPT-EE-GGR-2025-10","status":"processing","eta_seconds":120}

16.2 STR/SAR送信

json
{
"case_id": "AML-2025-0091",
"user_id": "U-12345",
"reason": "Structuring deposits under threshold",
"evidence": ["txn:T-778899","txn:T-778900"],
"attachments": ["urn:doc:kyc:U-12345:v3"],
"jurisdiction": "EE"
}

16.3自己排除

json
{
"user_id":"U-12345",
"type":"national_register",
"action":"enable",
"effective_from":"2025-11-01",
"effective_to":"2026-11-01"
}

17)作り付けの監査および不変性

Autologation: 'request_id'、 'trace_id'、クライアント、スコープを呼び出します。
署名レポートパッケージ(SHA-256)+ハッシュレジストリ;定期的なアンカー。
規制アップロードとSTRのためのWORMアーカイブ。
ルールとテンプレートの設定履歴(ポリシー変更ログ↔リンク)。

18)プロセスとRACI(簡単に)

R:コンプライアンスプラットフォームチーム(開発/運用)。
A: コンプライアンス/CISO(ポリシー、予算、優先事項)の責任者。
C: 法律/DPO、金融、アーキテクチャ、データ。
I:プロダクト、サポート、パートナー(PSP/KYC)。

19)実装ロードマップ

MVP (4-6週):

1.'/v1/kyc/check'、'/v1/aml/transaction'、 '/v1/reports/generate '(2-3キーパターン)。

2.OAuth2+rate-limit+ベースラインidempotency。

3.ハッシュ署名を持つオブジェクトストレージのレポートのアーカイブ。

4.SLOダッシュボードとタスクキュー。

フェーズ2(6-12週間):
  • 管轄テンプレート(5-8市場)、STR/SAR、 RGエンドポイント、DSAR。
  • プロバイダーの集計(CUS/制裁)、 retrai、 dedupe。
  • Legal Holdポリシー、WORM、拡張ロール。
フェーズ3(12+週間):
  • Rule-as-Code for reports/AML rules、 change simulator。
  • マルチテナンシー(B2B2C、ブランド/スキン)、クォータと請求。
  • 外部インテグレータのサンドボックスと認証。

20)典型的なエラーとそれらを回避する方法

市場別スキームの分散:集中ディレクトリ、自動リントスキーム。
「idempotency_key」と入力し、重複除外ウィンドウを入力します。
ログの秘密:インジェストフィルタ、静的解析。
長いオンラインレポート:ステータスのプルと通知を非同期に実行します。
弱いRBAC: 'read_reports'、 'generate_reports'、 'admin'を投稿します。
通貨/タイムゾーン:'fx_source'、 'timezone'を修正し、UTCを保存します。

21)用語集(短い)

KYC/KYB-物理的/法人の識別。
AML/STR/SAR-アンチローンダリング/疑わしい活動/レポート。
RGは責任あるゲームです。
GGR/NGR-Gross/Net Gamingの収益。
WORM-write-onceストレージ。
Rule-as-Code-テスト/バージョン管理を伴うコードとしてのルール。

22)ボトムライン

コンプライアンスおよびレポートAPIは、iGaming操作と規制要件の間で安定した安全で標準化されたレイヤーです。この記事の原則(厳格なスキーム、安全な統合、idempotency、不変の監査、管轄テンプレートおよびSLO)を遵守することで、主要市場における予測可能性、監査の迅速な通過、リスク軽減が保証されます。

Contact

お問い合わせ

ご質問やサポートが必要な場合はお気軽にご連絡ください。いつでもお手伝いします!

統合を開始

Email は 必須。Telegram または WhatsApp は 任意

お名前 任意
Email 任意
件名 任意
メッセージ 任意
Telegram 任意
@
Telegram を入力いただいた場合、Email に加えてそちらにもご連絡します。
WhatsApp 任意
形式:+国番号と電話番号(例:+81XXXXXXXXX)。

ボタンを押すことで、データ処理に同意したものとみなされます。