GH GambleHub

Wznowienia licencji i audyty

1) Dlaczego ma znaczenie

Licencja nie jest dokumentem statycznym, ale obowiązkiem utrzymania standardów RG/AML, bezpieczeństwa, danych i sprawozdawczości. Udane wznowienia i audyty potwierdzają możliwość zarządzania ryzykiem, dojrzałość procesu i gotowość na skalę.

Kluczowe zasady: po pierwsze dowód, brak ludzi w prodzie, polityka jako kod, identyfikowalność.

2) Rodzaje odnowienia i audytów

Odnowienie: według kalendarza (zwykle raz na rok/raz na rok N) - przedłożenie formularza, opłat i pakietu dowodów dotyczących kontroli.
Zmiany (zmiana): zmiana beneficjentów, dodanie pionów, lokalizacje hostingowe, kluczowe osoby - wymaga odrębnej koordynacji.
Audyt regulacyjny: przegląd polityki/sprawozdawczości, marketing/podmioty powiązane, RG/AML, dzienniki incydentów.
Audyt techniczny/laboratoria: RNG/RTP, SDLC/wydania, luki/pentest, DR/BCP, hosting i dzienniki.
Audyt finansowy: GGR/podatki/rezerwy, poprawność odpisów bonusowych, rejestry płatności.
RODO/DPA audyt: DPIA, rejestr przetwarzania, odpowiedzi na tematy, wycieki/powiadomienia.
PCI DSS (jeśli pracuje z PAN): segmentacja, tokenizacja, dzienniki dostępu, skanowanie ASV.

3) Kalendarz odnowienia: orientacyjna skala

T-90...60 dni - analiza luk, polityka aktualizacyjna, laboratoria rezerwacyjne/audytorzy.
T-60...30 - zbiór artefaktów (kłody, SBOM, raporty z badań skanowania/penetracji, akty DR), potwierdzenie osób kluczowych.
T-30...14 - pakiet końcowy, wewnętrzne pobieranie próbek dowodów, przygotowanie osób odpowiedzialnych za przesłuchanie.
T-14...0 - złożenie pakietu odnowienia, uiszczenie opłat, okna SLA za odpowiedzi do regulatora.
T + 0... + 30 - Q & A/wnioski, naprawy, potwierdzenie odnowienia.

💡 Ścieżka krytyczna: Kluczowe osoby → polityki/procedury → dowody techniczne (SDLC/logs/DR) → laboratoria/audytorzy → Q & A.

4) Pakiet dowodów: co gotować z góry

Org/right: struktura własności, SoF/SoW (jeżeli została zmieniona), CV i referencje kluczowych osób, rejestr delegacji.
Polityka: aktualna AML/CTF, RG, reklama/podmioty powiązane, ochrona danych (DPIA), incydenty, DR/BCP; dziennik audytów i szkoleń.

IT & Releases:
  • dziennik zwolnień z SBOM i podpisami artefaktowymi;
  • sprawozdania SAST/SCA/DAST, plan rekultywacji, brak krytycznych/wysokich bez aktywnych wyjątków;
  • obserwowalność: deski rozdzielcze SLO/SLI, kontrole syntetyczne „deposit/CCD/withdrawal”;
  • rejestrowanie: rejestry strukturyzowane bez PII/PAN, przechowywanie i wyszukiwanie;
  • DR/BCP: akty testów przywracania, RTO/RPO, protokoły ćwiczeń awaryjnych.
  • RG/AML: rejestr interwencji i wyników, samodzielne wykluczenie (lokalne/krajowe), podejrzane zgłoszenia transakcji (STR/SAR), dziennik sankcji/PEP.
  • Marketing/partnerzy: białe listy kanałów, wybór kreatywnych z aplikacjami, dziennik naruszeń i środków.
  • Finanse/Podatek: raporty pionowe GGR, korekty premii/jackpota, uzgodnienia PSP/banku.

5) Format i identyfikowalność

W każdej polityce kontrolowane są dowody (zrzuty ekranu, przesyłanie danych, raporty dotyczące skrótu i daty).
Pojedynczy indeks „Mapa dowodów”: kontrola, gdzie → → właściciel jest przechowywany → data aktualizacji.
Weryfikacja pakietu (Git/repozytorium) + kontrola dostępu, dzięki czemu audytorzy mogą selektywnie przeglądać artefakty.

6) Wymagania dotyczące IT/danych (co jest najbardziej oglądane)

SDLC/wydania: rurociągi postojowe, ręczne/automatyczne bramy jakości, polityka rollback, zakaz bezpośrednich zmian w sprzedaży.
Łańcuch dostaw: podpisy artefaktowe, SBOM, kontrola wstępu, polityka podatności na zagrożenia.
Sekrety i dostęp: SSO/MFA/PAM, krótkotrwałe żetony, uprzywilejowane dzienniki sesji.
Sieć: segmentacja, zarządzanie WAF/bot, DDoS, kontrola mTLS/egress.
Obserwowalność: OTel-trails, SLO deski rozdzielcze, alert błąd-budżet, SRM-check w eksperymentach.
Dane: DPIA, minimalizacja, dane według regionu (rezydencja), dzienniki dostępu PII/PAN.
DR/BCP: kopie zapasowe, regularne przywracanie protokołów, ćwiczenia przełączające.

7) Przejście kontroli: taktyka

1. Kickoff i zakres: uzgodnić obwód, wykaz próbek, format dowodów.
2. Pokój danych: przygotować ustrukturyzowany dostęp do mapy dowodów.
3. Wywiad na sucho: MLRO/DPO/RG-Lead/CTO/SRE - Q&A i demo run.
4. Sesje na żywo: pokazujemy dzienniki, deski rozdzielcze SLO, artefakty wydania, skrypty DR.
5. Rekultywacja: koordynować priorytety i terminy, ustawić w tracker.
6. Zamknięcie: raport z audytu, wyciągnięte wnioski, aktualizacje polityki/kontroli, retro.

8) Plan naprawy (szablon)

IDPobytRyzykoDziałaniaWłaścicielTerminStatus
SEC-01Brak podpisu wizerunkowego w 2 usługachWysokaWłączanie podpisów i zasad przyjmowaniaWiodąca platforma15 dniW eksploatacji
RG-02Niekompletna telemetria interwencyjnaMediumRozszerzenie imprez/deski rozdzielczej, prowadzenie szkoleniaOłów RG10 dniPlan
AML-03Wygasły 2 wyjątki dotyczące podatności na zagrożeniaWysokaZamknij/zaktualizuj wyjątki, zgłoś się do SIEMOłów bezpieczeństwa7 dniWykonane

9) RACI (przykład: program odnowienia)

ObszarOdpowiedzialnyOdpowiedzialnośćKonsultowanePoinformowany
Mapa dowodów i pokój danychZgodność z PMKierownik ds. zgodnościBezpieczeństwo, Platforma, DaneExec
Polityki i szkoleniaZgodność z przepisamiCOOLegalny, HRWszystkie
SDLC/Wydania/SBOMPlatforma/SRE LeadCTOBezpieczeństwoZgodność
Pentest/lukiOłów bezpieczeństwaCTOSprzedawcyZgodność
Raportowanie RG/AMLRG Lead/MLROCOOWsparcie techniczne, daneExec
Marketing/Podmioty zależneDziałania marketingoweWSPÓLNA ORGANIZACJA RYNKULegalne, ZgodnośćFinansowanie
Finanse/GGR/podatkiOłów finansowyCFOPSP, zawartośćExec

10) Listy kontrolne

10. 1 Definicja gotowości (60-90 dni przed terminem)

  • Zaktualizowana polityka AML/RG/Ad/Data/Incydent; odbyły się szkolenia.
  • Kluczowe osoby potwierdzone, SoF/SoW istotne (w razie potrzeby).
  • Zbierane raporty SAST/SCA/DAST i pentest, krytyczne/wysokie zamknięte bez wygasłych wyjątków.
  • Dostępne są dzienniki wydawania z SBOM/podpisami; polityka przyjmowania w państwie egzekwowania prawa.
  • Dostępne są tablice kontrolne SLO/SLI oraz raporty z kontroli depozytów syntetycznych/CCL/wypłat.
  • DR/przywrócenie raportów z badań w ramach SLA RTO/RPO.
  • Rejestry RG/AML: interwencje, SAR/STR, self-exclusion; sprawozdania dotyczące sankcji/PEP.
  • Marketing/podmioty powiązane: kanały whitelisting, próbki kreatywne z approwals.
  • Sprawozdania finansowe GGR/podatki uzgodnione z PSP/bankami.

10. 2 Definicja wykonana (po odnowieniu/potwierdzeniu audytu)

  • Otrzymane świadectwo pisma/odnowienia, rejestry/miejsce/dokumenty zaktualizowane.
  • Plan naprawy zamknięty, polityki i aktualizacja mapy dowodów.
  • Lekcje retro, zmiany procesu, aktualizacja kalendarza.
  • Powiadomienia przesłane dostawcom usług internetowych/dostawcom usług płatniczych (w razie potrzeby).

11) Praca z partnerami i reklama w okresie audytu

Przygotuj rejestr kanałów, próbkę kreatywnych, dowód celu 18 +/21 +, dziennik zatwierdzeń.
Procedura stop-lista naruszeń partnerów, warunki w umowach RG/AML zgodności.
Wyświetlanie częstotliwości/ograniczenia deski rozdzielczej i listy bloków.

12) Zarządzanie ryzykiem (rejestr)

RyzykoPrawdopodobieństwo/wpływZnakKontrolaWłaściciel
Opóźnione zagrożenia krytyczneM/HWyniki> 14 dnibrak krytycznej/wysokiej polityki, automatyczne śledzenieBezpieczeństwo
Niekompletne dzienniki RGM/MLuki w zdarzeniachKatalog zdarzeń, QA danychOłów RG
Niewystarczające dowody SDLCM/HUwolnij pytaniaSBOM/podpisy, dziennik zmianPlatforma
Niestabilne procedury DRL/HNie osiągnięto RTO/RPOKwartalne testy przywracaniaSRE
Reklama/Naruszenia partnerskieM/MSkargi, grzywnyWhitelisting, audyt kreatywnychWprowadzanie do obrotu

13) Mini szablony

Mapa dowodów (CSV) cap: 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
Plan audytu (1 strona):
  • Zakres/cele
  • Wykaz próbek i format dowodów
  • Kalendarz sesji/wywiadów
  • Role i kontakty
  • Odpowiedzi kanału Q&A i SLA

14) Częste pytania

Czy muszę składać wszystkie artefakty naraz? Nie: złożyć bazę i dać próbki na żądanie - ale zachować wszystko gotowe.
Czy możliwe jest zrekompensowanie braku niektórych kłód? Tylko z uzasadnionym planem przyczyny i rekultywacji (i linią czasową).
Co jest ważniejsze dla regulatora - polityka czy dowody? Zawsze istnieją dowody na to, że polityka faktycznie działa.

15) 30-dniowy krótki plan (szybka ścieżka)

Tydzień 1: analiza luki końcowej, aktualizacja polityki, pomiar SLO/dziennik, rezerwacja audytorów.
Tydzień 2: zbieranie SBOM/podpisów/dzienników wydawania, raportów podatności/testów penetracyjnych, działań DR.
Tydzień 3: RG/AML/konsolidacja marketingowa, podsumowanie desek rozdzielczych, wywiady na sucho.
Tydzień 4: Zgłoszenie, Q&A, szybkie naprawy i potwierdzenie odnowienia.

Krótki wniosek

Odnowienie i audyt nie jest jednorazowym „raportem”, lecz regularnym wykazaniem dojrzałości procesu. Zbuduj kalendarz, zachowaj Mapę Dowodów, zautomatyzuj sterowanie jak kod, zachowaj obserwowalność i DR w dobrej formie. Następnie rozszerzenie przekształci się z ryzyka w rutynowe, a audyt w źródło poprawy i zaufania ze strony organów regulacyjnych, partnerów i graczy.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.