KYC: құжаттар, верификация, SLA

1) Неліктен iGaming KYC және ол монетизацияға қалай әсер етеді

• төлем әріптестері мен банктер тарапынан бұғаттау тәуекелін төмендетеді,
• «friendly fraud» және rate чарджбектерін азайтады,
• қорытындыларды жеделдетеді (аз қолмен тексеру) және LTV арттырады,
• реттеушілердің және көрсетілетін төлем қызметтерін берушілердің талаптарын орындайды.

Қағидат: risk-based approach - клиент профилінің/операцияның тәуекелі неғұрлым жоғары болса, тексеру соғұрлым тереңірек және аномалияға төзімділік терезесі қысқа болады.

2) Тереңдету деңгейлері (tiers) және триггерлері

Tier 0 - Жеңіл тіркеу (pre-KYC)

Жинақ: e-mail/телефоны, елі, туған күні.
Шекті лимиттер: ең төменгі депозиттер/ставкалар, қорытындысыз.
Базалық деректер бойынша санкциялардың автоскринингі (өрескел сүзу).

Tier 1 - Базалық сәйкестендіру

Құжаттар: фотосуреті бар бір құжат (төлқұжат/ID/жүргізеді. куәлік).
Бақылаулар: liiveness + face-match, MRZ/голограммаларды тексеру (егер провайдер қолдаса).
Лимиттер көтерілді, бірақ шығару шектелген (мысалы, тәулігіне/аптасына X дейін).

Tier 2 - Мекен-жайы/жасы және тәуекел нарықтары

Құжаттар: Proof of Address (PoA) - коммуналка үшін шот/банктің үзінді көшірмесі ≤ 3 ай, немесе eIDAS/BankID, қол жетімді жерде.
Қосымша: ірі депозиттер/жоғары айналымдар үшін қаражат көзі (SoF).
Жоғары лимиттерге, жылдам қорытындыларға қол жеткізу.

Tier 3 - Кеңейтілген (Enhanced Due Diligence, EDD)

Құжаттар: SoF/SoW (үзінділер, жалақы/салық құжаттары, шарттар), қосымша биометрия/бейне қоңырау.
Себептер: PEP-сәйкестіктер, жоғары сомалар, типтік емес гео/мінез-құлық, күрделі үлгілер депозит → шығару.
Қос бақылаумен қолмен мақұлдау.

Апгрейд триггерлері: депозит/шығару сомасы, 30/90 күн ішіндегі жалпы айналым, санкциялар/РЕР/адверс-медиа, гео/« сұр »аймаққа кіру, velocity аномалиялары, ірі шығарылымға сұраныс, chargeback-тарихы бойынша сәйкес келуі.

3) Құжаттар тізімі және сапаға қойылатын талаптар

• Төлқұжат, ұлттық ID, жүргізуші (еліне байланысты).
• Нақты фото/сканер, бүкіл құжат тұтастай, жарқылсыз.
• Тексерулер: нөмір дұрыстығы, аяқталу күні, MRZ/баркодтар, манипуляцияны бақылау (cropping/Photoshop).

• Коммуналдық шот, банктік үзінді, салықтық хат, тұрғылықты жері бойынша тіркеу.
• Онда аты-жөні, мекенжайы, күні (90 күнге ≤), көзі болуы тиіс.

• Шот/жалақы бойынша үзінділер, шарттар, активтерді сату туралы құжаттар, дивидендтер.
• Есептік жазбасы бар аты-жөні/мекенжайы; өнімдегі мінез-құлықпен сомаларды логикалық байланыстыру.

• Белсенді/пассивті ливнес-тексеру, құжатпен салыстыру (face-match).
• «replay/print/3D-маскалардан» қорғау.

4) Санкциялар, PEP, адверс-медиа

Санкциялық тізімдер: OFAC/EU/UK/UN + жергілікті; күнделікті/сағаттық жаңарту.
PEP: маңызды мемлекеттік қызметтерді атқаратын/атқарған адамдар, олардың туыстары/байланысты адамдар.
Adverse Media: теріс жарияланымдар (алаяқтық, жылыстату, сыбайлас жемқорлық).
Алгоритм: табалдырықпен fuzzy-matching, сәйкестікті қолмен тексеру, шешімдерді құжаттау.
Саясат: санкциялар - тоқта, PEP - EDD + лимиттер, adverse media - кейс-бай-кейс (EDD).

5) KYC оркестрі: провайдерлер мен процестерді қалай байланыстыру керек

• провайдерлерді басқарады (doc-scan/biometry/sanctions/PEP/AML),
• өтінімнің жай-күйін сақтайды (state machine),
• оқиғалар бойынша (сома, гео, тәуекел),
• сәйкестікті және аудитті қамтамасыз етеді (кім не және қашан тексерді),
• шешімді біріктіреді: Approve/Reject/EDD/Manual Review.

• 2 + негізгі нарықтарға провайдер (кросс-чекаут/фейловер).
• Жергілікті eID/BankID қол жетімді жерлерде (НордИкс, Балтық және т.б.).
• Деректер сегментациясы: құжаттар KMS/HSM шифрланған сақтау орнында сақталады.

6) SLA: мақсатты уақыттар мен басымдықтар

• Tier 1 (авто): ≤ 90 сек p95.
• Tier 2 (авто PoA): ≤ 5 мин p95.
• Tier 2 (қол PoA): ≤ 2 сағат p95 (жұмыс сағаты).
• Tier 3/EDD (қолмен): 24-48 сағатқа ≤ (high-rollers/қорытындыларды басымдықпен).

• Сәтті Tier 1/2 кейін авто-төлем: ≤ 15 мин p95.
• Егер реверификация/EDD талап етілсе: ашық байланыспен 24 сағат ≤ үзіліс.

• Құжаттар аяқталғаннан/аты-жөні/мекенжайы/гео ауысқаннан немесе табалдырыққа жеткеннен кейін - 24 сағатқа ≤.

• Тұрақты (тәулік сайын) + әрбір ірі төлем/шығару кезінде - on-demand ≤ 60 сек.

7) Шешімдер мен шарттар (decisioning matrix)

8) UX және ашықтық (конверсияны бұзбай)

Құжаттардың чек-парағын және қадамдар бойынша мәртебесін көрсетіңіз.
Ұялы жүктеуді қолдау, бликтерді автоматты түрде кесу/детекциялау.
Ел бойынша рұқсат етілген PoA пішімдері.
Мөлдір мерзімдер: SLA таймер және «бұдан әрі не».
Баламалы арналар: Ливнестің қайталанған сәтсіздіктері кезіндегі бейнетіркеу.

9) Реверификация және өмірлік цикл

Құжаттардың мерзімі: ескертулер T-30/T-7.
Тәуекелдің өзгеруі (гео/мінез-құлық) → өрістерді «нүктелік» реверификациялау.
→ PoA/ID update атын ауыстыру/ауыстыру.
Dormant accounts → re-KYC үлкен белсенділік алдында.

10) Деректер, сақтау және құпиялылық

Ең аз: тек қажетті өрістерді сақтаңыз; шифрланған блок-қоймадағы құжаттар.
Қолжетімділік: RBAC, mTLS, уақытша токендер, өтініштер аудиті.
Retention: реттегішке сәйкес сақтау (соңғы транзакциядан кейін 5 жыл), содан кейін жою/анонимдеу.
GDPR/DSR: қатынау/түзету/жою процестері; шешімдердің логтары - иесіз.

11) Мониторинг және метрика

Сапасы/жылдамдығы

KYC pass rate (Tier1/Tier2/Tier3), авто-аппараттың үлесі.
p50/p95 онбординг уақыты, қол кейстерінің share.
Қадамдарда Drop-off (ID, ливнес, PoA, SoF).

Тәуекел/комплаенс

Санкциялар/РЕР, EDD-кейстер сәйкес келуінің үлесі.
Chargeback rate KYC дейін/кейін, сегменттер бойынша фрод-инциденттер.
Санкциялардағы қателер/false matches/РЕР.

Операциялар

SLA hit rate (онбординг/қорытындылар/EDD бойынша).
Құжаттарды қайта сұрату (%), ауытқу себептері.
Пайдаланушыға арналған KYC құны (оның ішінде қол еңбегі).

12) Төлемдермен және антифродпен интеграциялау

KYC сигналдары → транзакциялардың скорингі (3DS/TRA шегін көтеру/төмендету).
Velocity/фрод-жалаулар кезінде - шығару алдында EDD/SoF триггері.
BIN/гео-саясат: «ауыр» эмитенттер үшін - бұрын Tier 2 талап ету.

13) Провайдерлерді таңдау және дубль-сорсинг

Өлшемшарттар: құжаттарды жабу, ливнестің/биометрияның дәлдігі, жылдамдық, SDK-сапа, баға, құпиялылық, «privacy by design».
Екінші провайдерге Failover деградация/өңірлік сәтсіздіктер кезінде.
Келісімшарттық SLA және AoC (attestation of compliance), DPIA/деректерді өңдеу.

14) Қарсы үлгілер

Барлық елдер/тәуекелдер үшін әмбебап «қатты» KYC → конверсия құлдырауы.
Авто-кейстердің 95% -ы тар мойын болатын жерде қолмен тексеру.
Құжаттардың реверификациясының/аяқталуының болмауы - қорытындыларда тәуекелдің өсуі.
Мақсатсыз және ретеншн-саясатсыз артық PII сақтау - GDPR тәуекелдері.
high-rollers үшін SoF елемеу - AML/санкциялар тәуекелі.

15) Енгізу чек-парағы (қысқаша)

• tiers, лимиттер және апгрейд триггерлері анықталды.
• Негізгі нарықтарда KYC Orchestrator, 2 + провайдер қосылған.
• Ливнес/face-match, MRZ/анти-тампер қосылған.
• Санкциялар/PEP/adverse media - күнделікті re-screen + on-demand.
• Онбординг/қорытындылар/EDD бойынша SLA, T-3/T-1 алерталары.
• Ірі сомалар мен EDD үшін SoF/SoW рәсімдері.
• Шифрлау, RBAC, ретеншн, DPIA/GDPR-фреймворк.
• UX шебері кеңестер мен жергілікті PoA талаптары бар.
• Метриктер мен дэшбордтар (pass rate, SLA, drop-off, cost/KYC).
• Эскалация және бас тарту плейбуктері (хаттар үлгілері, шешімдерді логикалау).

16) Түйіндеме

iGaming-тегі тиімді KYC - бұл провайдерлердің оркестрі, тәуекел-based деңгейлері, қарапайым кейстердің жылдам авто-аппрусы және тәуекел бар жерде қатаң EDD. Нақты SLA, мөлдір UX, деректерді барынша азайту және қорғау, тұрақты re-screening және антифродпен интеграция қорытындыларды жылдам, сәйкестікті орнықты, ал монетизацияны болжамды етеді.