API შესაბამისობა და ანგარიშგებები

1) დანიშვნა

• AML/Responsible Gaming (RG) მოვლენების შეგროვება და შესაბამისობა (თამაშის/გადახდის/ავთენტიფიკაცია).
• შემოწმება (KYC/KYB, სანქციები/REP, სახსრების წყაროები, ასაკი).
• მარეგულირებელი ანგარიშგების ფორმირება (პერიოდული და ად-ჰოკი) ბაზრებზე.
• აუდიტის ჟურნალებისა და Legal Hold- ის ჩატარება.
• მონაცემთა გაცვლა პროვაიდერთან (PSP, KYC გაცვლა, სანქციების სიები) და სახელმწიფო პორტალებთან.

შედეგი: ოპერაციული დატვირთვა მცირდება, მოხსენებების მომზადება დაჩქარდება, ტრეკინგი და ადგილობრივი სტანდარტების შესაბამისობა უზრუნველყოფილია.

2) დაფარვის არეალი (სკოპი)

იდენტიფიკაცია და გადამოწმება: KYC/KYB სტატუსები, აუდიტის დონე, დოკუმენტები.
AML/სანქციები/PEP: სკრინინგი, გარიგების მონიტორინგი, STR/SAR, ალერტები.
საპასუხისმგებლო თამაში (RG): ლიმიტები, თვითკმაყოფილება, „cool-off“, ქცევითი რისკის მასშტაბები.
გადახდები და ოპერაციები: ანაბრები/დასკვნები, chargeback, ბონუსის მექანიკა.
ანგარიშები: GGR/გადასახადები, მოთამაშეთა/სესიების რეესტრები, მარკეტინგის შეზღუდვები, უსაფრთხოების ინციდენტები.
აუდიტი და შენახვა: უცვლელი ლოგოები (WORM), Legal Hold, DSAR/RTBF.

3) მომხმარებლები და მონაცემთა მწარმოებლები

მომხმარებლები: რეგულატორები, შიდა კომპლექტი/Risk, BI/DWH, SecOps, ფინანსები.
მწარმოებლები: iGaming, PSP/აკვარინგი, KYC პროვაიდერები, ანტიფროდი, CRM, აფილარული ქსელები.

4) არქიტექტურული რეფერენდუმი

1. Edge/API-шлюз (mTLS, OAuth2/OIDC, rate-limit, WAF).
2. შესაბამისობის სერვისი (ბიზნეს წესები, პროვაიდერების ორკესტრი, ნორმალიზაცია).
3. მოვლენების ავტობუსი (Kafka/Redpanda) - გულშემატკივარი SIEM/DWH/არქივში.

• ოპერაციული (PostgreSQL/ClickHouse) სწრაფი მოთხოვნის/შეკრებისთვის.
• არქივი (Obect Storage + WORM) უცვლელი არტეფაქტებისა და მოხსენებებისთვის.
• 5. აუდიტი და დაკვირვება: OpenTelemetry (trace _ id), ლოგოების ინდექსაცია, დაშბორდები.
• 6. პროვაიდერების კონექტორები: KYC, სანქციები, RG მოდულები, სახელმწიფო პორტალები ელექტრონული ხელმოწერით.

5) ძირითადი ენდოინები (v1)

5. 1 KYC/KYB და სანქციები

'POST/v1/kyc/check' - KYC გადამოწმების მოთხოვნა (idempotent).
'GET/v1/kyc/{ user _ id }/status' არის მიმდინარე დონე და მოქმედების ხანგრძლივობა.
'POST/v1/sanctions/screen' - სანქციები/REP სკრინინგი.
'GET/v1/sanctions/{ user _ id }/hits' - დამთხვევები/ესკალაცია.

5. 2 AML და გარიგების მონიტორინგი

'POST/v1/aml/transaction' - ღონისძიების გაგზავნა (deposit/withdraw/bet/payout).
`GET /v1/aml/alerts? state = open '- ღია ალერტები/შემთხვევები.
'POST/v1/aml/str' - STR/SAR (ბაზარზე) ფორმირება და მიწოდება.

5. 3 Responsible Gaming (RG)

'POST/v1/rg/self-exclusion' - თვითკონტროლის ინსტალაცია/მოხსნა.
'GET/v1/rg/limits/{ user _ id' - ლიმიტები (ანაბარი/განაკვეთი/დრო).
'POST/v1/rg/assess' - ქცევის რისკის შეფასება.

5. 4 ანგარიშები და რეესტრები

'POST/v1/reports/generate' - ანგარიშის წარმოება (ტიპი, პერიოდი, იურისდიქცია).
'GET/v1/reports/{ report _ id' - სტატუსი, არტეფაქტის დატვირთვა (PDF/CSV/JSON), hash.
'GET/v1/registries/{ ტიპი "- რეესტრები (მოთამაშეები, სესიები, პრემიები, GGR) პაგინაციით.

5. 5 აუდიტი და სამართლებრივი ოპერაციები

'GET/v1/audit/events' - მოვლენების ნიმუში (ფილტრი ECS/OCSF მინდვრებში).
'POST/v1/legal/hold' - Legal Hold- ის ინსტალაცია/მოხსნა ობიექტზე/საქაღალდეზე.
'POST/v1/privacy/dsar' - DSAR- ის გაშვება, სტატუსები, პაკეტების ექსპორტი.

6) მონაცემთა მოდელები (შემოკლებით)

6. 1 გარიგების მოვლენა (JSON)

json
{
"idempotency_key": "trx-8b1a9953",
"timestamp": "2025-11-01T16:02:11Z",
"user": {"id":"U-12345","dob":"1999-04-21","country":"EE"},
"transaction": {
"id": "T-778899",
"type": "deposit",
"amount": {"value": 200. 00, "currency": "EUR"},
"method": "card",
"psp_ref": "PSP-222-ABC"
},
"context": {
"ip": "198. 51. 100. 10",
"device_id": "d-9af0",
"session_id": "s-2233",
"trace_id": "f4c2..."
},
"labels": {"market": "EE", "affiliate": "A-77"}
}

6. 2 KYC შედეგი

json
{
"user_id": "U-12345",
"level": "L2",
"status": "verified",
"expires_at": "2026-04-21",
"checks": [
{"type":"document","result":"pass"},
{"type":"liveness","result":"pass"},
{"type":"pep_sanctions","result":"no_hit"}
],
"provider": {"name":"KYCX","reference":"KYCX-4455"}
}

6. 3 ანგარიშის აღწერა

json
{
"report_id": "RPT-EE-GGR-2025Q3",
"type": "ggr_quarterly",
"jurisdiction": "EE",
"period": {"from":"2025-07-01","to":"2025-09-30"},
"status": "ready",
"artifact": {
"format": "CSV",
"size_bytes": 183442,
"sha256": "c9b1f...e21",
"download_url": "urn:reports:RPT-EE-GGR-2025Q3"
},
"notes": "Rounded to cents; FX=ECB daily"
}

7) უსაფრთხოება და წვდომა

ავთენტიფიკაცია: OAuth2/OIDC (client credentials, JWT), სურვილისამებრ mTLS.
ავტორიზაცია: RBAC/ABAC; ინდივიდუალური სკოპები დომენებზე ('aml: write', 'kyc: read', 'reports: generate').
დაშიფვრა: TLS 1. 2+ in-transit; at-rest KMS/CMK საშუალებით; JWE მგრძნობიარე სფეროებისთვის.
PII მინიმიზაცია: მინიმუმამდე შენახვა; შენიღბვა PAN/IBAN; ფსევდონიზაცია 'user. pseudo_id`.
წვდომის ჟურნალი: „მგრძნობიარე“ ენდოინების ყველა კითხვის აუდიტი, ალერტები მასობრივი გადმოტვირთვისთვის.
Legal Hold და ჭრელი: WORM საცავი მოხსენებისთვის და STR; შენახვის პოლიტიკა 5-7 წლის განმავლობაში (ბაზრებზე).

8) ვერსიები და თავსებადობა

URI ვერსია: '/v1 ', '/v2'; მცირე ცვლილებები - გაფართოებული ველების მეშვეობით.
დეპრესიის პოლიტიკა: 6-12 თვის მხარდაჭერა; სათაურები 'Sunset', 'Deprecation'.
სქემები: JSON Schema + OpenAPI; კონტრაქტები ძალაშია CI- ში.
მიგრაცია: გადამყვანები/მომავლის დროშები, ორმხრივი თავსებადობა გადასვლის პერიოდისთვის.

9) საიმედოობა: idempotence და „ზუსტად ერთხელ“

Idempotency-Key 'POST- ში (ღილაკების შენახვა 24-72 საათის განმავლობაში).
At-least-once მიწოდება საბურავის მეშვეობით + დუპლიკაცია მიღებაზე (event id/hash).
Outbox/Inbox-pattern ინტეგრაციისთვის, ექსპონენციალური პაუზისა და jitter- ისთვის.
ბრძანება: დეტერმინიზმის გასაღებები 'user _ id '/' account _ id'.

10) პაგინაცია, ფილტრები, ძებნა

პაგინაცია: cursor-based ('page _ token', 'limit <= 1000').
ფილტრები: იურისდიქციის, პერიოდის, სტატუსის, პროვაიდერის, რისკების შეფასების შესაბამისად.
სრული ტექსტური ძებნა: აუდიტი/რეესტრებისთვის (ველების შეზღუდული ქვესათაური).
ექსპორტი: ასინქრონული, ზომების ლიმიტი, არქივის მომზადება hash ხელმოწერით.

11) შეზღუდვები და კვოტები

Rate-limits per client/route (მაგალითად, 100 rps burst, 1000 rpm sustained).
Budget-limits მძიმე ანგარიშებისთვის (სესხი/დღე).
N + 1 დაცვა: ბატები და საერთო ენდოინები.
ისტორიული ნიმუშების სიღრმის შეზღუდვა (მაგალითად, 24 თვე ონლაინ რეჟიმში, შემდეგ არქივი).

12) დაშბორდი და SLO

Ingest lag p95 <30 წამი; წარმატება KYC> 99%; STR-SLA - გაგზავნა 24 საათზე

API- ს ხელმისაწვდომობა 99. 9%; Latency p95 <300 ms კითხვისთვის; <800 ms ჩაწერისთვის.
Cost/GB ანგარიშების შენახვა; Ack-rate შეტყობინებები რეგულატორებისთვის.
ვიჯეტები: AML ალერტის სითბოს რუკა, KYC ძაბრი, ქვეყნის ანგარიშების გამოშვება, STR რიგი.

13) იურისდიქცია: მაპინგი და შაბლონები

ბაზრის ანგარიშების შაბლონები (ველები, ფორმატები, სიხშირე): 'EE', 'LT', 'LV', 'RO', 'MT', 'UK' და ა.შ.
ტერმინების mapping (GGR/NGR, პრემიები, დეპოზიტების ლიმიტები, ასაკობრივი კონტროლი).
ტაიმსონის/კალენდრების ლოკალიზაცია; FX წყაროს დაფიქსირება; ეტიკეტი DST გავლენა.
სქემების კატალოგი: 'reports/{ jurisdiction }/{ ტიპი/{ ვერსია}. json`.

14) შეცდომების დამუშავება (ერთი ფორმატი)

json
{
"error": {
"code": "RATE_LIMIT_EXCEEDED",
"message": "Too many requests",
"request_id": "req-7f91",
"hint": "Reduce RPS or request higher quota",
"retry_after": 30
}
}

Частые коды: `INVALID_SCHEMA`, `NOT_AUTHORIZED`, `LEGAL_HOLD_ACTIVE`, `PROVIDER_TIMEOUT`, `REPORT_NOT_READY`.

15) ტესტირება და სერტიფიკაცია

ხელშეკრულების ტესტები (OpenAPI - ტესტის კლიენტების წარმოება).
Fistures ნაკრები იურისდიქციებში, golden files მოხსენებისთვის.
PII ველების „შავი სიები“ ლოგოებში; საიდუმლოების გაჟონვის სტატიკური ანალიზი.
რეგულარული DR წვრთნები არქივების აღდგენის შესახებ.

16) მაგალითები

16. 1 ანგარიშის გამომუშავება

მოთხოვნა

http
POST /v1/reports/generate
Content-Type: application/json
Authorization: Bearer <token>

json
{
"type": "ggr_monthly",
"jurisdiction": "EE",
"period": {"from":"2025-10-01","to":"2025-10-31"},
"format": "CSV",
"notify": ["compliance@company"],
"parameters": {"include_bonus_breakdown": true}
}

პასუხი

json
{"report_id":"RPT-EE-GGR-2025-10","status":"processing","eta_seconds":120}

16. 2 STR/SAR გაგზავნა

json
{
"case_id": "AML-2025-0091",
"user_id": "U-12345",
"reason": "Structuring deposits under threshold",
"evidence": ["txn:T-778899","txn:T-778900"],
"attachments": ["urn:doc:kyc:U-12345:v3"],
"jurisdiction": "EE"
}

16. 3 თვითშეფასება

json
{
"user_id":"U-12345",
"type":"national_register",
"action":"enable",
"effective_from":"2025-11-01",
"effective_to":"2026-11-01"
}

17) ჩამონტაჟებული აუდიტი და უცვლელი

ავტოლოგირება: 'request _ id', 'trace _ id', კლიენტის გამომწვევი, სკოპი.
ანგარიშების პაკეტების ხელმოწერა (SHA-256) + hash რეესტრი; პერიოდული გამოკითხვა.
WORM არქივი მარეგულირებელი გადმოტვირთვისთვის და STR.
წესებისა და შაბლონების კონფიგურაციის ისტორია (პოლიტიკის ცვლილების ჟურნალი).

18) პროცესები და RACI (მოკლედ)

R: კომპლექსის პლატფორმის გუნდი (განვითარება/ოპერაცია).
A: Head of Compliance/CISO (პოლიტიკოსები, ბიუჯეტები, პრიორიტეტები).
C: Legal/DPO, ფინანსები, არქიტექტურა, Data.
I: პროდუქტი, მხარდაჭერა, პარტნიორები (PSP/KYC).

19) გზის განხორციელების რუკა

1. '/v1/kyc/check ', '/v1/aml/transaction', '/v1/reports/generate '(2-3 ძირითადი შაბლონი).

2. OAuth2 + rate-limit + ძირითადი impotence.

3. Obect Storage- ის მოხსენებების არქივი hash ხელმოწერით.

4. დაშბორდი SLO და დავალებების რიგები.

• იურისდიქციის შაბლონები (5-8 ბაზარი), STR/SAR, RG endpoints, DSAR.
• პროვაიდერის აგრეგაცია (ICC/სანქციები), retrai, dedupe.
• პოლიტიკოსები Legal Hold, WORM, გაფართოებული როლები.

• Rule-as-Code მოხსენებისთვის/AML წესები, ცვლილებების სიმულატორი.
• მრავალ ტენანტობა (B2B2C, ბრენდები/ტყავი), კვოტები და ბილინგი.
• ქვიშის ყუთი და სერტიფიკაცია გარე ინტეგრატორებისთვის.

20) ტიპიური შეცდომები და როგორ მოვერიდოთ მათ

ბაზრებზე არსებული სქემები: ცენტრალიზებული კატალოგი, ავტო-ლინტის სქემები.
არ არსებობს idempotention: შემოიტანეთ 'idempotency _ key "და დედაპლაციის ფანჯარა.
საიდუმლოებები ლოგოებში: ფილტრები ingest- ზე, სტატიკური ანალიზი.
გრძელი ონლაინ მოხსენებები: ასინქრონულად გააკეთეთ სტატუს ტყვია და შეტყობინებები.
სუსტი RBAC: წაშალეთ 'read _ reports', 'generate _ reports', 'admin'.
ვალუტა/დრო: ჩაწერეთ 'fx _ source', 'timezone', შეინახეთ UTC.

21) გლოსარიუმი (მოკლედ)

KYC/KYB - ფიზიკური იდენტიფიკაცია ./იურე. ...
AML/STR/SAR - გათეთრების საწინააღმდეგო/საეჭვო აქტივობა/შეტყობინება.
RG საპასუხისმგებლო თამაშია.
GGR/NGR - მთლიანი/სუფთა შემოსავალი თამაშებიდან.
WORM - უცვლელი შენახვა.
Rule-as-Code არის წესები, როგორც კოდი ტესტებით/ვერსიით.

22) შედეგი

API შესაბამისობა და მოხსენება არის სტაბილური, უსაფრთხო და სტანდარტიზებული ფენა iGaming ოპერაციებსა და რეგულატორების მოთხოვნებს შორის. ამ სტატიის პრინციპების დაცვა (მკაცრი სქემები, უსაფრთხო ინტეგრაცია, idempotence, უცვლელი აუდიტი, იურისდიქციის შაბლონები და SLO) უზრუნველყოფს პროგნოზირებას, სწრაფი შემოწმებას და საკვანძო ბაზრებზე რისკების შემცირებას.