Лицензиялар мен инспекцияларды ұзарту

1) Мақсаты және саласы

Қолданыстағы лицензиялардың уақтылы ұзартылуын және бизнес пен бренд/ойыншылар үшін тәуекелдерді тоқтатпай жоспарлы/жоспардан тыс инспекциялардың табысты өтуін қамтамасыз ету. Қамту: B2C/B2B лицензиялар, ойын/төлем рұқсаттары, RG/AML/GDPR/ІБ-контурлар, техникалық сертификаттар (RNG/PCI/SOC/ISO), жергілікті жарнама/аффилиаттар рұқсаттары.

2) Қағидаттар

Нөлдік кешіктіру тәуекелі. Қайталанатын ескертулер мен сақтық иелері күнтізбедегі мерзім.
Ақиқаттың бір көзі. Талаптардың, құжаттар нұсқаларының және мәртебелердің бірыңғай тізілімі.
Дәлелдік. Әрбір бекіту артефактпен расталған (файл/лог/скрин/тикет нөмірі).
Үздіксіз дайындық. Инспекцияға «әрқашан дайын»: комплаенс дашборды, өзекті саясаткерлер, аудит журналдары.
Мөлдір CAPA. Реттегіштің кез келген ескертуі SLA-да өлшенетін әрекеттермен жабылады.

3) Рөлдер және RACI

License Program Owner (Head of Compliance) - стратегия, талаптар тізілімі, күнтізбе. (A)

Legal Counsel - заңды нысандар, аффидевиттер, нормаларды түсіндіру. (R/C)

Finance/CFO - алымдар/баждар, банк кепілдіктері, есептілік. (R)

AML Officer/RG Lead/DPO/CISO - бағыттар бойынша мазмұндық сәйкестік. (R)

Payments Lead/Game Providers Ops - PSP/PCI және ойындардың адалдығы бойынша дәлелдемелер. (R)

Internal Audit - pre-assessment, тәуелсіз ревью, CAPA бақылау. (C/R)

Exec Sponsor (CEO/COO) - S1 эскалациясы, жоғары деңгейдегі өзара іс-қимыл. (I/A)

4) Лицензияны ұзартудың өмірлік циклі

T-120...T-90 күн: талаптарды тексеру, дайындық аудиті (gap-талдау), қаржылық көрсеткіштерді/иелену құрылымын/бенефициарларды растау.
T-90...T-60: құжаттарды (саясат, есептер, сертификаттар) жинау және жаңарту, нысандарды келісу, төлемдер мен кепілдіктерді дайындау.
T-60...T-30: пакетті/SFTP/порталына пошта арқылы жүктеу, түсіндіру сұраулары, түбіртектерді тіркеу, алдын ала on-site/remote слоттарын брондау.
T-30...T-0: реттегіш мәселелерін жабу, төлемді растау, жаңа сертификат/ұзарту туралы хатты жариялау/алу.
T +: пост-тексеру: сөрелерді, сайттағы/серіктестер кабинеттеріндегі мәртебелерді жаңарту, артефактілерді сақтау, ретро жүргізу.

5) Талаптар тізілімі (карточка құрылымы)

LIC-ID: <code >/Jurisdiction: <regulator >/Type: B2C    B2B    other
Valid from <date> to <date >/Renewal Deadline: <date, TZ>
Compliance formulas: GGR/capital/guarantees/technical certs
List of documents: policies/reports/certificates/questionnaires/affidavits
Feed Channel: Portal    API    SFTP    Mail/Format: PDF    CSV    XML    XLSX
Fees/guarantees: amount, currency, invoice, payment terms
Regulator contacts: email/portal ID/phone
Special conditions: localization of language, certification, notary/apostille
Package version: vX. Y/Owner/Reserve/Last Check

6) Құжаттар мен дәлелдемелер (үлгілік тізім)

Корпоративтік: жарғылық құжаттар, иелену құрылымы/бенефициарлар (UBO), Good Standing.
Қаржы: аудиттелген есептілік, алымдардың/салықтардың төленгенін растау, банктік кепілдіктер/сақтандыру.
Операциялар/Комплаенс: өзекті саясаттар (KYC/KYB, AML/CFT, RG, GDPR/PII, маркетинг/аффилиаттар), персоналды оқыту журналдары.
Техника/АҚ: сәулет аймақтары, PCI-сегментация, SOC/ISO, пентест-есептер, ASV осалдықтары, өзгерістер/қолжетімділік журналдары.
Ойын адалдығы: RNG/билд нұсқаларының тізілімі, RTP есептері, провайдерлердің инциденттері және freeze-процедуралар.
Тосын оқиғалар процестері: мәртебе-бет, хабарлама үлгілері, DPA/реттеушілер есептері, MTTA/MTTR/TTS журналдары.
Реттеушілерге есептер: мерзімдік тізілім, қабылдау түбіртектері, GL/PSP салыстыру.

7) Инспекциялар: форматтар және күтулер

Remote review: хат алмасу/портал, бейне сессиялар, жүйелерді көрсету (screen-share), логтарды және конфигурацияларды түсіру.
On-site: сұхбат (Compliance, AML, RG, DPO, Tech/Payments, IA), walkthrough-демо, кейс іріктемелері (KYC, SAR/STR, DSAR, RG-интервенциялар, chargebacks), қолжетімділік саясатын тексеру PCI-аймақты/DR-бөлмелерді тексеру.
Sampling & Evidence: реттегіш таңдауды таңдайды; анонимделген/псевдонимделген деректерді, тикеттердің нөмірлерін, уақытша белгілері бар скриншоттарды ұсынуға дайындығы.

8) Дайындықтың чек-парақтары (қысқаша)

8. 1 Беру алдындағы жалпы

• Күнтізбе мен мерзім расталды; қайталама ескерту жасалды (T-90/T-60/T-30).
• Алымдар/кепілдіктер төленді; түбіртектер мен bank advice сақталған.
• Саясаттың/рәсімдердің нұсқалары - өзекті және қол қойылған.
• Сертификаттар (PCI/SOC/ISO/RNG) ұзарту күніне жарамды.
• Пакет жергілікті (тілі, пішімі), растау/апостиль орындалды.
• Барлық нысандар рұқсатсыз толтырылған; «төрт көзді» бақылау.

8. 2 Бағыттар бойынша

AML/CFT: SAR/STR мерзімінде; PEP/Sanctions журналдары; скоринг әдістемесі; caseboard KPI.
KYC/KYB: тексеру деңгейлері, провайдерлермен DPA, SLA ≤ кезектер, істен шығу/эскалация дәлелдері.
RG: self-exclusion/лимиттер үндестірілген; коммуникация үлгілері; интервенцияның тиімділігі.
GDPR/DPO: RoPA, DSAR ≤ 30 күн, DPIA, өңдеушілермен шарттар/SCC, инциденттер және хабарламалар.
PCI/Payments: сегментация, токенизация, ASV/пентесттер, қол жеткізу журналдары, chargebacks/диспуттар, fallback PSP.
Ойын адалдығы: RTP-drift мониторинг, RNG/билд нұсқалары, провайдер-оқиғалар журналдары.
Есептілік: реттеушілердің түбіртектері; GL/PSP салыстыру; схемалар валидаторлары.
Инциденттер: TTS/MTTR SLA, хабарламаларды растау, артефактілер пакеті.

9) Тәуекелдер және сақтық шаралары

Ұзарту мерзімі (S1): T-90/T-60/T-30 триггерлері, резервтік иесі; «Б жоспары» (юрисдикциядағы маркетингті/тіркеуді уақытша тоқтата тұру, әріптестерді хабардар ету).
Толық емес пакет/пішін қателері: pre-validation чек-парағы + «төрт көзді» бақылау, құмсалғышқа пилоттық жүктеу, автоматты форматтағы линтерлер.
Өткізілмеген аудиттер/сертификаттар: ерте gap-талдау және 30 күнге ≥ буфері бар CAPA.
Менеджерлік өзгерістер/UBO: аффидевиттерді/нотариатты алдын ала дайындау, Legal бойынша трекинг.
Техникалық ландшафтты өзгерту: реттеушіге арналған релиз-ноталар, сәйкестік картасы «не өзгерді және неліктен қауіпсіз».

10) CAPA инспекцияның ескертулері бойынша

Finding Card: факт → критерий → тәуекел → әсер → ұсыным → жұмыс жоспары → иесі → мерзімі → жетістіктің метрикасы.
SLA жабу: S1 ≤ 30 күн; S2 ≤ 60; S3 ≤ 90; S4 - келісім бойынша.
Верификация: енгізу дәлелдері (скриншот/логи/саясат/тест нәтижелері), қолы Internal Audit, Verified мәртебесі.
Эскалация: S1/S2 мерзімін өткізіп алу - апта сайынғы Management Review, Аудит-комитетіне тоқсандық есеп.

11) Ұзарту қаржысы

Алымдар/баждар: ставкалар кестесі, валюта бағамдары, алушылардың шоттары, төлем мерзімі.
Кепілдіктер/сақтандыру: сома, түрі (bank guarantee/insurance bond), мерзімі өткен күн, ұзарту шарттары.
Бюджет: юрисдикциялар бойынша төлемдер күнтізбесі, жоспардан тыс инспекцияларға буфер/құжаттаманы аудару.

12) «License & Inspections» дашборды

License Timeline: жарамдылық мерзімі, T-90/T-60/T-30 мерзімі, пакеттің жылжуы (% дайын құжаттар).
Inspection Queue: алдағы сапарлар/кездесулер, мәртебе парақтары.
Evidence Coverage: бекітілген артефактілері бар тармақтардың үлесі.
CAPA Progress: орындалды/жұмыста/мерзімі өтіп кетті, жабу уақытының медианы.
Risk Heatmap: юрисдикциялар/бағыттар бойынша ықтималдық × әсер ету.
Readiness Index: интегралды дайындық балы (AML/KYC/RG/GDPR/PCI/Games/Reporting).

13) Үлгілер (жылдам кірістіру)

A) Cover Letter (ұзарту)

B) Response to Queries (RFI/RFQ)

C) On-site Agenda

D) Post-Inspection Update

14) Құжаттар мен жекешелікті басқару

DMS/Repo: құжаттардың юрисдикциялары, нұсқалары, кластары бойынша құрылымдау; RBAC/ABAC қолжетімділігін бақылау.
PII/құпиялылық: бүркемелеу/бүркемелеу, сезімтал деректерді сақтаудың жеке аймағы, at-rest/in-transit шифрлау.
Қол жеткізу журналдары: өзгермейтін, мерзімді тексерулер.

15) Өзара байланысты процестер

Реттеуші есептер мен деректер форматтары - түсіру көздері мен түбіртектер.
Дашборд комплаенс - инспекция үшін метрика.
Инциденттік плейбуктер/Хабарламалар - уақтылылығының дәлелі.
Ішкі/сыртқы аудит - pre-assessment және сертификаттауға дайындығы.

16) Жиі қателер және оларды болдырмау

«policy on paper» жібереді, бірақ операциялық логтар жоқ → әрқашан evidence of operation (іріктемелер, логтар, тикеттер) қолданады.
Даталар/таймзондтар сәйкессіздігі → UTC-дегі барлық таймстемптер, жергілікті бөлек.
Мерзімі өткен сертификаттар (PCI/SOC/ISO) бумасында → буфер 60 күн және ескертулер.
Архитектурадағы ескерілмеген өзгерістер → changelog және реттегіш үшін сәйкестік картасы.
Сақтық иесінің болмауы → әрбір лицензия бойынша backup-owner тағайындау.

17) Енгізу жоспары (30 күн)

1 апта

1. Барлық лицензияларды/рұқсаттарды және мерзімі өткен күндерді түгендеу.
2. Талаптар мен карточкалардың тізілімін жасау (5-бөлім).
3. Ескертулер мен мерзімдер күнтізбесін баптау (T-90/T-60/T-30).

2 апта

4. Бағыттар бойынша әзірлікті gap-талдау (AML/KYC/RG/GDPR/PCI/Games/Reporting).
5. Базалық құжаттар пакетін жинау; пішімдер/локальдарды теңестіру.
6. Cover Letter/On-site Agenda/Response to Queries үлгілерін дайындау.

3 апта

7. Пилоттық «құрғақ» инспекция (table-top) және олқылықтарды түзету.
8. License & Inspections дашборды және Readiness Index көрсеткіштерін теңшеу.
9. CAPA-тізілімін және келісу бағыттарын құру.

4 апта

10. Ең жақын ұзартуларды «құмсалғышқа »/порталға беру (егер қол жетімді болса).
11. Пилот бойынша ретро, пакеттердегі және чек-парақтардағы түзетулер, бекіту v1. 0.
12. Инспекциялардың жылдық күнтізбесін бекіту және резервтік иелерін тағайындау.

• Реттеуші есептер және деректер форматтары
• Бұзушылықтар туралы хабарламалар және есептілік мерзімдері
• Дашборд комплаенс және мониторинг
• Ішкі аудит және сыртқы аудит
• Аудиторлық чеклистер және ревью
• Дағдарыстық басқару және коммуникация