GH GambleHub

KYB i kontrole partnerskie

1) Dlaczego KYB

KYB (Know Your Business) to identyfikacja i ocena ryzyka podmiotów prawnych i organizatorów transakcji: podmiotów stowarzyszonych, dostawców gier i agregatorów, dostawców usług płatniczych/banków, orkiestrów płatniczych, dostawców KYC/AML, agencji marketingowych, centrów połączeń, dystrybutorów B2B, białych etykiet i sprzedawców. Cel: zapobieganie sankcjom i zagrożeniom związanym z AML/CFT, oszustwom związanym z ruchem i płatnościami, naruszeniom IP/licencji, wyciekom danych i incydentom reputacyjnym.

2) Zasady i model RBA

Podejście oparte na ryzyku: Głębokość weryfikacji zależy od profilu ryzyka kontrahenta (geo, rola w łańcuchu, dostęp do pieniędzy/danych, historia incydentów, wolumeny).
Proporcjonalność: CDD dla dostawców niskiego ryzyka, EDD dla wysokiego ryzyka (PSP, podmioty powiązane z agresywnym ruchem, odsprzedawcy transgraniczni).
Bieżące monitorowanie: Kontrola pierwotna bez ciągłego monitorowania jest bezużyteczna.
Four-Eyes & Segregacja: Rozwiązania pokładowe/blokujące - minimum dwóch pracowników.

3) Role i obowiązki

Board/Exec: zapewnia politykę KYB, apetyt ryzyka, matryca eskalacji.
MLRO/Zgodność: właściciel procesu ESC/sankcji, niekorzystne media/metodologia PEP, SAR/STR, jeśli jest to wymagane.
Ryzyko/Analityka: ocena ryzyka, zasady zachowania dla podmiotów powiązanych/dostawców usług płatniczych.
Commercial/BD: zbieranie dokumentów, monitorowanie warunków umowy, KPI partnerskie.
Prawo: gwarancje umowne, IP/licencje, kary, prawo do jednostronnego rozwiązania umowy w przypadku zdarzeń związanych z AML/sankcjami.
Bezpieczeństwo/IT: dostęp, szyfrowanie, dziennik aktywności, ocena bezpieczeństwa dostawcy.
Finanse/płatności: kontrola płatności, rejestry beneficjentów, weryfikacja szczegółów.

4) Poziomy KYB (przykład)

CDD (podstawowe): dokumenty rejestracyjne, dyrektorzy, UBO ≥ 25%, sankcje/PEP/Adverse Media, strona/kontakty, numer podatkowy, potwierdzenie adresu podmiotu prawnego.
Identyfikator + EDD (rozszerzony): pełny łańcuch własności osób fizycznych, sprawozdania finansowe, listy/referencje bankowe, licencje/zezwolenia, opis modelu biznesowego i źródeł dochodu, weryfikacja witryn operacyjnych, weryfikacja domen/kanałów ruchu, audyt techniczny bezpieczeństwa.
Ciągłe: przegląd wydarzeń (sankcje, zmiana UBO/dyrektorów, wzrost ruchu/obciążenie zwrotne), coroczna zmiana dokumentacji.

5) Gromadzenie danych i dokumentów

Podmiot prawny:
  • Świadectwo założycielskie, Statut Spółki/Umowa główna, Rejestr Akcji/Członków.
  • Lista dyrektorów i UBO (z akcjami i obywatelstwem).
  • Adres prawny i faktyczny adres, numer podatkowy/VAT.
  • Licencje/zezwolenia (iGaming/płatność/reklama), umowy podwykonawców.
  • Dane bankowe (list z czeku bankowego/nieważnego), potwierdzenie posiadania konta.
  • Polityka AML/KYC/KYB, kontrola sankcji przedsiębiorstw, RODO/bezpieczeństwo, DPIA (jeśli dostępny jest dostęp do PD).
  • W przypadku jednostki stowarzyszonej: opis źródeł ruchu, domen/lądowań, kont w sieciach społecznościowych/adsetach, formatach geo i reklamowych, CRM/trackers.
Osoby fizyczne (dyrektorzy/UBO ≥ 25%):
  • Dokument osobowy + livnes, adres (≤ 3 miesiące), sankcje/PEP/Adverse Media.
  • Potwierdzenie komunikacji z firmą (powołanie na stanowisko dyrektora, posiadanie akcji).

6) Sankcje, PEP, niekorzystne media

Kontrola podmiotu prawnego, wszystkich nazw handlowych, powiązanych domen i dyrektorów/UBO.
Niewyraźne wyszukiwanie, pseudonimy i transliteracja; ręczne wycinanie meczów granicznych.
Okresowe rescreening (codzienne aktualizacje listy) i wywoływane zdarzeniami, gdy zmiany są wprowadzane do profilu partnera.
Media niepożądane: tematy - korupcja, oszustwa, handel narkotykami, hazard bez licencji, pranie brudnych pieniędzy.

7) Ocena zapadalności technicznej i regulacyjnej

Licencje i zgodność: ważność i wielkość licencji (gry, płatności, reklamy), sprawozdawczość, grzywny w przeszłości.
Bezpieczeństwo i prywatność: szyfrowanie, RBAC/ABAC, zarządzanie kluczem/sekret, dzienniki dostępu, polityka zatrzymywania danych, reakcja na incydenty.
Niezawodność operacji: SLA/uptime, kopie zapasowe, plan ciągłości, ochrona DDoS.
Integracje: bezpieczne interfejsy API, dzienniki audytu, wersje SDK, zasady PI/PCI DSS (w przypadku pracy z kartami).

8) Specyfika według typu partnera

8. 1 Podmioty zależne (KYA - Know Your Affiliate)

Profil ruchu: źródła (SEO/ASO, PPC, teasery, sieci społecznościowe, strumienie), białe/szare praktyki, kwalifikacje geo i ukierunkowanie wieku.
Znaki jakości: CR → FTD, FTD → depozytor, depozit → vyvod, nietypowe szczyty, udział wielu kont/nadużycia bonusowe.
Bezpieczeństwo treści i marki: brak fałszywych obietnic, zgodność z lokalnymi zasadami reklamy.
Strona finansowa: uzgodnienie szczegółów płatności, brak osób trzecich jako beneficjentów płatności.
Monitorowanie: regularne „czołganie” domen/kreatywności, podziemne przekierowania/drzwi - czynniki stop.

8. 2 Dostawcy/agregatorzy gier

Prawa do dystrybucji IP: licencje RNG/gry, prawa marki/muzyki/aktywów sztuki.
Jurysdykcje dotyczące dostępności: matryca rynku (co można pokazać gdzie), mechanizmy filtrowania geograficznego.
Fair play: certyfikacja RNG, laboratoria, raportowanie, historia incydentów (manewry/przecieki).
Płatności: model opłat licencyjnych (RevShare/flat), uzgodnienie raportów, przeciwdziałanie manipulacjom z GGR/tagami.

8. 3 PSP/banki/orkiestry

Licencje płatnicze (EMI/PI/bankowość), procesy KYC/AML, limity, klasy MCC.
Blokowanie ryzyka: obciążenia zwrotne, zwroty, czarne listy; Plan obejścia incydentu (zakończenie awarii).
Śledzenie płatności: weryfikacja posiadacza rachunku, zasady tej samej metody, sprawozdawczość.

8. 4 Dostawcy usług (KYS - Poznaj swojego dostawcę)

Dostęp do PD/kont/kodebase → umowy o ochronę danych, prawa audytu, powiadomienia o incydentach, subproducentów.

9) Gwarancje umowne i kontrole

Klauzule AML/sankcje: gwarancja przestrzegania wszystkich reżimów, prawo do natychmiastowego wypowiedzenia w przypadku naruszenia.
Obowiązki KYC/KYB: dostarczanie dokumentów na żądanie, aktualizowanie przy zmianie UBO/dyrektorów.
Standardy reklamowe (dla podmiotów stowarzyszonych): zakaz sprzedaży błędów, obowiązkowe zastrzeżenia, lokalne ograniczenia.
Audyt i inspekcje: prawo do kontroli, dostęp do kłód/środków twórczych, grzywny/potrącenia za poważne naruszenia.
SLA/OLA: czas uptime, TAT na biletach, czas odpowiedzi na incydent, spóźnione opłaty.
IP/Treść: potwierdzenie praw, odpowiedzialność za roszczenia osób trzecich.
Dane i bezpieczeństwo: DPIA/DTIA, szyfrowanie, powiadamianie o naruszeniu ≤ 72 h, zakaz przekazywania do jurysdykcji „czerwonych” bez gwarancji.

10) Monitorowanie i przegląd (w toku)

Wyzwalacze Rev-KYB:
  • Zmiana danych UBO/dyrektorów/banków.
  • Zdarzenie sankcyjne/Media niepożądane.
  • Nieprawidłowy ruch/obciążenia zwrotne/kolce płatności.
  • Reklamacje użytkowników/dochodzenia regulacyjne.
  • Zmiana modelu biznesowego/geografii.

Proces: sygnał → sprawa → wniosek o dokumenty/wyjaśnienia → decyzja (save/freeze/terminate) → post-sea i aktualizacja zasad.

11) Macierz ryzyka (przykład)

CzynnikNiskiŚredniaWysoka
Geografia partnerskaNiskie ryzykoMieszaneSankcja/wysokie ryzyko
Rola w łańcuchuZawartość bez dostępu do PDPartnerstwo/MarketingPSP/orkiestrator/biała etykieta
Dostęp do danychUsługi publiczneOgraniczona liczba PDPełna PD/płatność
Historia incydentówNie, nie jestPojedynczePowtarzające się/układowe
Przepływy finansoweMałe/przezroczysteŚrednie wartościObwody wysokie/złożone
Wynik: Niski CDD →; Średnia wartość CDD → + docelowy EDD; Wysoka → Pełna EDD, twarde granice lub zwolnienie.

12) Wskaźniki KYB i KPI

Na pokładzie TAT (mediana/95 percentyl).
Wynik kompletności (odsetek profili kompletnych).
Auto-clear/Manual-review rate by alert.
Fałszywe pozytywne sankcje/PEP i czas rozliczeniowy.
Jakość ruchu (partnerzy): CR, FTD-jakość, WD-ratio, obciążenie zwrotne.
Częstotliwość incydentów - Time-To-Contain.
Wyniki kontroli zamknięte na czas.
Zgodność dostawcy SLA (czas uptime/reakcja).

13) Architektura i integracja

Ujednolicona dokumentacja partnerska: wykres własności UBO, dokumenty, sankcje/statusy PPE, licencje, domeny, szczegóły płatności.
Autobus wydarzeń: zmiany w szczegółach, wybuchy ruchu/obciążeń zwrotnych, aktualizacje sankcji → wpisy do systemu spraw.
Silnik decyzji: zasady + ML (podmioty powiązane z punktacją, ryzyko PSP, anomalie).
Rejestry i magazynowanie WORM: niezmienne wersje dokumentów, motywacje do podejmowania decyzji, ślady dostępu.
Dostęp i tajemnice: RBAC/ABAC, HSM/secret-vault, ograniczenie pobierania.
Degradacja: gdy dostawcy sankcji są niedostępni - kworum/retrai, tymczasowe zaostrzenie progów.

14) Listy kontrolne

Partner na pokładzie (krótki):
  • Dokumenty regulacyjne, statut spółki, adres rejestracji.
  • Dyrektorzy/UBO ≥ 25% + ACC/adres.
  • Sankcje/PEP/Adverse Media (osoba prawna/osoby).
  • Licencje, uprawnienie do produktów/treści.
  • Dane bankowe i dowód posiadania konta.
  • Polityka AML/KYC/KYB + bezpieczeństwo danych.
  • Dla podmiotów powiązanych: źródła ruchu, domeny, kreatywności, geo.
  • Umowa: klauzule AML, moc audytu, SLA, kary.
Przed pierwszą płatnością:
  • Ponowna kontrola sankcji.
  • Sprawdź beneficjenta rachunku = partner/UBO.
  • Uzgodnienie sprawozdania (ruch/gry/opłaty licencyjne).
  • Kontrole zwalczania nadużyć finansowych (anomalie, łańcuchy wielopoziomowe).
Przegląd okresowy (co 6-12 miesięcy lub według zdarzeń):
  • Aktualne dokumenty/licencje/UBO.
  • Podsumowanie incydentów/skarg/zapytań.
  • Zmiany w kanałach geo/ruchu/linii produktów.
  • Ponowna kalibracja ryzyka i limitów.

15) Typowe ryzyko i sposób ich pokrycia

Ukryta struktura UBO poprzez firmy offshore → wymaga łańcucha dla osób fizycznych, niezależnych rejestrów i potwierdzenia prawnego.
„Brudny” ruch podmiotów zależnych → zakazy umów, automatyczne monitorowanie domen, grzywny finansowe, lista zatrzymania.
Sankcja/ryzyko POP → dzienne rescreening, ręczne rozliczenie, eskalacja MLRO.
Zastąpienie szczegółów płatności (BEC-oszustwo) → potwierdzenie szczegółów z kanału umownego, zasada dwóch ludzi, zmiana kontroli dla 24-48 h quarentin.
Dostęp do PD przez osoby trzecie → DPIA, minimalizacja, kontrola śladów dostępu, bariery techniczne i umowne.

16) FAQ

Gdzie jest próg EDD? Wysokie ryzyko według geo/role/volume, dostęp do PD/money, złożona struktura UBO, negatywne media.
Jak często zmieniać dokumentację? Minimum rocznie; Plus niesamowite.
Czy możliwe jest wpłacenie partnera na konto osobiste? Niepożądane: mecz właściciela, link UBO, kontrola docelowa i lokalne zasady.
Co robić podczas kłótni o jakość ruchu? Zawarcie w umowie prawa do audytu, wybór tropów, metodologia przypisywania, korekta zatrzymania/obciążenia zwrotnego.

17) Szablon struktury polityki KYB (dla wiki)

1. Zakres i definicje

2. Rola i odpowiedzialność (RACI)

3. Metodologia RBA i progi EDD

4. Wymogi dotyczące dokumentów (osoba prawna/dyrektorzy/UBO)

5. Sankcje/PEP/Media niepożądane i częstotliwość rescreening

6. Specyfika według typu partnera (KYA/KYS/PSP/dostawcy gier)

7. Wymogi umowne (AML, SLA, audyt, IP, dane)

8. Monitorowanie i rev-KYB (wyzwalacze, zarządzanie sprawami)

9. Mierniki i sprawozdawczość dla zarządu

10. Przechowywanie danych, bezpieczeństwo, prywatność

11. Plan ciągłości i reakcja na incydenty

12. Dodatki: listy kontrolne, formularze, szablony pism i raportów

Wynik

Silna pętla KYB = prawidłowa głębokość kontroli przy wejściu, ciasne ramy umowne, ciągłe monitorowanie i przezroczyste mierniki. Ujednolicenie dokumentacji, zautomatyzowanie pętli sankcji, pomiar jakości ruchu i zgodności z SLA, regularne przeglądy stawek ryzyka partnerskiego - a Ty zmniejszysz ryzyko regulacyjne, finansowe i reputacyjne bez naruszania tempa biznesowego.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.