ლიცენზიისა და შემოწმების გახანგრძლივება

1) მიზანი და რეგიონი

უზრუნველყოს არსებული ლიცენზიების დროული გახანგრძლივება და დაგეგმილი/დაუგეგმავი ინსპექციების წარმატებული გავლა ბიზნესის შეჩერების გარეშე და ბრენდის/მოთამაშეების რისკების გარეშე. გაშუქება: B2C/B2B ლიცენზიები, თამაშის/გადახდის ნებართვები, RG/AML/GDPR/IB კონტურები, ტექნიკური სერტიფიკაცია (RNG/PCI/SOC/ISO), ადგილობრივი სარეკლამო ნებართვები/აფილატები.

2) პრინციპები

შეფერხების ნულოვანი რისკი. კალენდარში ვადები, სარეზერვო შეხსენებები და სარეზერვო მფლობელები.
ჭეშმარიტების ერთი წყარო. მოთხოვნების, დოკუმენტების და სტატუსის ერთიანი რეესტრი.
მტკიცებულება. თითოეული განცხადება დასტურდება არტეფაქტით (ფაილი/ჟურნალი/სკრინი/თიკეტის ნომერი).
უწყვეტი მზადყოფნა. „ყოველთვის მზად არის“ შემოწმებისთვის: კომპლექსის დაშბორდი, შესაბამისი პოლიტიკოსები, აუდიტის ჟურნალები.
გამჭვირვალე CAPA. რეგულატორის ნებისმიერი შენიშვნა დახურულია SLA- ში გაზომილი მოქმედებებით.

3) როლები და RACI

License პროგრამა Owner (Head of Compliance) - სტრატეგია, მოთხოვნების რეესტრი, კალენდარი. (A)

იურიდიული საბჭო - იურიდიული ფორმები, აფიდევიტები, ნორმების ინტერპრეტაცია. (R/C)

Finance/CFO - საფასური/მოვალეობები, საბანკო გარანტიები, ანგარიშები. (R)

AML Officer/RG Lead/DPO/CISO - არსებითი შესაბამისობა სფეროებში. (R)

Payments Lead/Game Providers Ops არის მტკიცებულება PSP/PCI და თამაშების გულწრფელობის შესახებ. (R)

Internal Audit - pre-assment, დამოუკიდებელი შურისძიება, CAPA- ს კონტროლი. (C/R)

Exec Sponsor (CEO/COO) - S1 ესკალაცია, მაღალი დონის ურთიერთქმედება. (I/A)

4) ლიცენზიის გახანგრძლივების სასიცოცხლო ციკლი

T-120... T-90 დღე: მოთხოვნების აუდიტი, მზადყოფნის აუდიტი (gap ანალიზი), ფინანსური ინდიკატორების/საკუთრების/ბენეფიციარების სტრუქტურის დადასტურება.
T-90... T-60: დოკუმენტების შეგროვება და განახლება (პოლიტიკა, მოხსენებები, სერთიფიკატები), ფორმების კოორდინაცია, გადახდებისა და გარანტიების მომზადება.
T-60... T-30: პაკეტის დატვირთვა პორტალზე/SFTP/ფოსტით, განმარტების მოთხოვნები, ქვითრების დაფიქსირება, წინასწარი დაჯავშნა on-site/remote slots.
T-30... T-0: რეგულატორის კითხვების დახურვა, გადახდის დადასტურება, ახალი სერთიფიკატის/წერილის გამოქვეყნება/მიღება გახანგრძლივების შესახებ.
T +: ტესტირება: ფანჯრების განახლება, პარტნიორების ვებსაიტზე/ოფისებში სტატუსის განახლება, არტეფაქტების შენახვა, რეტრო ჩატარება.

5) მოთხოვნების რეესტრი (ბარათის სტრუქტურა)

LIC-ID: <code >/Jurisdiction: <regulator >/Type: B2C    B2B    other
Valid from <date> to <date >/Renewal Deadline: <date, TZ>
Compliance formulas: GGR/capital/guarantees/technical certs
List of documents: policies/reports/certificates/questionnaires/affidavits
Feed Channel: Portal    API    SFTP    Mail/Format: PDF    CSV    XML    XLSX
Fees/guarantees: amount, currency, invoice, payment terms
Regulator contacts: email/portal ID/phone
Special conditions: localization of language, certification, notary/apostille
Package version: vX. Y/Owner/Reserve/Last Check

6) დოკუმენტები და მტკიცებულებები (ტიპიური სია)

კორპორატიული: ნორმატიული დოკუმენტები, საკუთრების სტრუქტურა/ბენეფიციარები (UBO), კარგი სტანდარტი.
ფინანსები: აუდიტის ანგარიშები, მოსაკრებლების/გადასახადების გადახდის დადასტურება, საბანკო გარანტიები/დაზღვევა.
ოპერაციები/შესაბამისობა: შესაბამისი პოლიტიკოსები (KYC/KYB, AML/CFT, RG, GDPR/PII, მარკეტინგი/აფილიატები), პერსონალის სასწავლო ჟურნალები.
ტექნიკა/IB: ზონების არქიტექტურა, PCI სეგმენტი, SOC/ISO, პენტესტის მოხსენებები, ASV დაუცველობა, ცვლილებების/წვდომის ჟურნალები.
თამაშის გულწრფელობა: RNG/ბილეთების ვერსიების რეესტრი, RTP მოხსენებები, პროვაიდერების ინციდენტები და უფასო პროცედურები.
ინციდენტების პროცესები: სტატუსის გვერდი, შეტყობინებების შაბლონები, DPA/რეგულატორების მოხსენებები, MTTA/MTTR/TTS ჟურნალები.
რეგულატორებისთვის მოხსენებები: ვადების რეესტრი, მიღების ქვითრები, კრეკერები GL/PSP- ით.

7) შემოწმებები: ფორმატები და მოლოდინები

Remote მიმოხილვა: მიმოწერა/პორტალი, ვიდეო გადაღებები, სისტემების დემონსტრირება (ეკრანული ჩარტი), ლოგოების გადმოტვირთვა და კონფიგურაცია.
On-site: ინტერვიუები (კომპლექტი, AML, RG, DPO, Tech/Payments, IA), walkthrough დემო, შემთხვევების ნიმუში (KYC, SAR/STR, DSAR, RG - ჩარევა, chargebacks), წვდომის პოლიტიკის შემოწმება, PCI ზონის/DR შენობების შემოწმება.
Sampling & Evidence: რეგულატორი ირჩევს ნიმუშს; მზადყოფნა უზრუნველყოს ანონიმური/ფსევდონიზებული მონაცემები, თიკეტების ნომრები, დროებითი ეტიკეტების ეკრანული კადრები.

8) მზადყოფნის ჩეკის ფურცლები (შემოკლებით)

8. 1 საერთო

დადასტურებულია კალენდარი და ვადა; შეიქმნა დუბლიკატის შეხსენება (T-90/T-60/T-30).

• საფასური/გარანტიები გადაიხადეს; შენახულია ქვითრები და Advice bank.
• პოლიტიკის/პროცედურების ვერსიები აქტუალურია და გაფორმებულია.
• სერთიფიკატები (PCI/SOC/ISO/RNG) ძალაშია გახანგრძლივების თარიღისთვის.
• პაკეტი ლოკალიზებულია (ენა, ფორმატი), გარანტიები/აპოსტილები შესრულებულია.
• ყველა ფორმა ივსება გადასასვლელების გარეშე; ოთხი თვალის კონტროლი.

8. 2 მიმართულებით

AML/CFT: SAR/STR დროულად; PEP/Sanctions ჟურნალები; სკორინგის მეთოდები; caseboard KPI.
KYC/KYB: გადამოწმების დონე, DPA პროვაიდერებთან, SLA ხაზები, უარის თქმის/ესკალაციის მტკიცებულება.
RG: სინქრონიზებულია self-exclusion/limites; კომუნიკაციის შაბლონები; ინტერვენციების ეფექტურობა.
GDPR/DPO: RoPA, DSAR - 30 დღე, DPIA, დამუშავების ხელშეკრულებები/SCC, ინციდენტები და შეტყობინებები.
PCI/Payments: სეგმენტი, ტოკენიზაცია, ASV/პენტესტები, წვდომის ჟურნალები, chargebacks/დავები, fallback PSP.
თამაშის გულწრფელობა: RTP-drift მონიტორინგი, RNG/Bilds- ის ვერსიები, პროვაიდერის ინციდენტების ჟურნალები.
ანგარიშები: რეგულატორების ქვითრები; GL/PSP კრიპტები; სქემების შემსრულებლები.
ინციდენტები: TTS/MTTR SLA- ში, შეტყობინებების დადასტურება, არტეფაქტების პაკეტები.

9) რისკები და უსაფრთხოების ზომები

შეფერხება (S1): T-90/T-60/T-30 ტრიგერები, სარეზერვო მფლობელი; „გეგმა B“ (მარკეტინგის/რეგისტრაციების დროებითი შეჩერება იურისდიქციაში, პარტნიორების ინფორმირება).
ფორმების არასრული პაკეტი/შეცდომები: ჩეკის სია + „ოთხი თვალის“ კონტროლი, საპილოტე დატვირთვა ქვიშის ყუთში, ავტომატური ფორმატის საბრძოლო მასალები.
დაუსრულებელი აუდიტები/სერიები: ადრეული გაპ ანალიზი და CAPA ბუფერით 30 დღე.
მენეჯმენტის ცვლილებები/UBO: affidevites/ნოტარიუსის მომზადება წინასწარ, ლეგალური ტრეკინგი.
ლანდშაფტის ცვლილება: რეგულატორის ნოტის გამოშვება, შესაბამისობის რუკა „რა შეიცვალა და რატომ არის უსაფრთხო“.

10) CAPA ინსპექციის შენიშვნები

Finding Card: ის ფაქტი, რომ კრიტერიუმი არის რისკი - გავლენა, რეკომენდაცია - ვორკპლანი - მფლობელი - წარმატების მეტრიკა.
SLA დახურვა: S1-30 დღე; S2 ≤ 60; S3 ≤ 90; S4 - შეთანხმდნენ.
გადამოწმება: განხორციელების მტკიცებულებები (scrins/logs/პოლიტიკა/ტესტის შედეგები), Internal Audit ხელმოწერა, Verified სტატუსი.
ესკალაცია: დაგვიანებული S1/S2 - ყოველკვირეული მენეჯმენტის მიმოხილვისთვის, აუდიტის კომიტეტის კვარტალური ანგარიში.

11) გაფართოების ფინანსები

საფასური/გადასახადები: განაკვეთების ცხრილი, გაცვლითი კურსები, მიმღების ანგარიშები, გადახდის ვადა.
გარანტიები/დაზღვევა: თანხები, ტიპი (ბანკი guarantee/ინვერსიული ფონდი), გასვლის თარიღი, გახანგრძლივების პირობები.
ბიუჯეტი: იურისდიქციის გადახდის კალენდარი, დაუგეგმავი შემოწმების ბუფერი/დოკუმენტაციის გადაცემა.

12) დაშბორდი „License & Inspections“

License Timeline: მოქმედების ვადა, ვადა T-90/T-60/T-30, პაკეტის პროგრესი (დოკუმენტების მზადყოფნის%).
Inspection Queue: მოახლოებული ვიზიტები/შეხვედრები, სტატუსის შემოწმება.
Evidence Coverage: წერტილების წილი თანდართული არტეფაქტებით.
CAPA Progress: დასრულებული/სამუშაო/ვადაგადაცილებული, საშუალო დახურვის დრო.
Risk Heatmap: იურისდიქციების/მიმართულებების გავლენის ალბათობა.
Readuning Index: ინტეგრალური მზადყოფნის ქულა (AML/KYC/RG/GDPR/PCI/Games/Reporting).

13) შაბლონები (სწრაფი ჩანართები)

ა) Cover Letter (გაფართოება)

B) Response to Queries (RFI/RFQ)

C) On-site Agenda

D) Post-Inspection Update

14) დოკუმენტებისა და კონფიდენციალურობის მენეჯმენტი

DMS/Repo: სტრუქტურა იურისდიქციებში, ვერსიებში, დოკუმენტების კლასებში; RBAC/ABAC წვდომის კონტროლი.
PII/კონფიდენციალურობა: ფსევდონიზაცია/შენიღბვა, მგრძნობიარე მონაცემების ცალკეული შენახვის ზონა, at-rest/in-transit დაშიფვრა.
წვდომის ჟურნალები: უცვლელი, პერიოდული გადასინჯვები.

15) ურთიერთდაკავშირებული პროცესები

მარეგულირებელი ანგარიშები და მონაცემთა ფორმატები არის გადმოტვირთვის და ქვითრების წყაროები.
Dashbord Complaens - მეტრიკა შემოწმებისთვის.
ინციდენტის ფლეიბუკები/შეტყობინებები - დროულობის მტკიცებულება.
შიდა/გარე აუდიტი - pre-assment და სერტიფიკაციის მზადყოფნა.

16) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

ისინი უგზავნიან „პოლიციას პაპერზე“, მაგრამ არ არსებობს ოპერაციული ლოგოები - ყოველთვის გამოიყენოთ ოპერაციის გარეგნობა (ნიმუშები, ლოგოები, თიკეტები).
არასასურველი თარიღები/ტაიმსონი - ყველა დრო UTC- ში, ადგილი ცალკე.
პაკეტში ამოწურული სერთიფიკატები (PCI/SOC/ISO) არის 60 დღის ბუფერი და შეხსენებები.
არქიტექტურაში შეუქცევადი ცვლილებებია changelog და რეგულატორის შესაბამისობის რუკა.
სარეზერვო მფლობელის არარსებობამ უნდა დანიშნოს backup-owner თითოეული ლიცენზიისთვის.

17) განხორციელების გეგმა (30 დღე)

კვირა 1

1. ყველა ლიცენზიის/ნებართვის ინვენტარიზაცია და გასასვლელი თარიღები.
2. მოთხოვნებისა და ბარათების რეესტრის შექმნა (ნაწილი 5).
3. ვადებისა და შეხსენებების კალენდრის კონფიგურაცია (T-90/T-60/T-30).

კვირა 2

4. მზადყოფნის Gap ანალიზი სფეროებში (AML/KYC/RG/GDPR/PCI/Games/Reporting).
5. დოკუმენტების ძირითადი პაკეტის შეგროვება; ფორმატის/ლოკალების გათიშვა.
6. Cover Letter/On-site Agenda/Response to Queries შაბლონების მომზადება.

კვირა 3

7. საპილოტე „მშრალი“ შემოწმება და ხარვეზების გამოსწორება.
8. Dashboard License & Inspections და Readonine Index ინდიკატორების კონფიგურაცია.
9. CAPA რეესტრის და კოორდინაციის მარშრუტების შექმნა.

კვირა 4

10. უახლოესი გაფართოების მიწოდება „ქვიშის ყუთში “/პორტალზე (თუ ხელმისაწვდომია).
11. რეტრო მფრინავი, რედაქტირება პაკეტებში და ჩეკების ფურცლებში, განცხადება v1. 0.
12. ინსპექციის წლიური კალენდრის დამტკიცება და სარეზერვო მფლობელების დანიშვნა.

• მარეგულირებელი ანგარიშები და მონაცემთა ფორმატები
• შეტყობინებები დარღვევებისა და ანგარიშგების ვადების შესახებ
• Dashbord Complaence და მონიტორინგი
• შიდა აუდიტი და გარე აუდიტი
• აუდიტორული შემოწმებები და შურისძიება
• კრიზისული მენეჯმენტი და კომუნიკაცია