GH GambleHub

Licencja Hiszpanii

1) Przegląd i pozycjonowanie

DGOJ (Dirección General de Ordenación del Juego) jest jednym z najbardziej wymagających organów regulacyjnych UE. Tryb skupia się na wysokiej ochronie konsumentów: surowych zasad odpowiedzialnego gier, jasnych ograniczeń reklamowych i bonusowych, dojrzałych wymagań KYC/AML i sprawdzalnych kontroli IT. Licencja jest wyceniana przez banki/dostawców usług płatniczych i głównych dostawców treści, ale wymaga dyscypliny dowodowej.

Dla kogo ma znaczenie:
  • Operatorzy budujący długoterminową markę w UE z naciskiem na zgodność i renomę.
  • Platformy/agregatory/studia B2B współpracujące z europejską pulą operatorów.

2) Rodzaje licencji i obwodu

B2C (operator): kasyno/automaty, zakłady, poker, bingo, itp. dla graczy z siedzibą w Hiszpanii. Pełny obwód: kasjer/wypłata, KYC/AML, RG, reklama/podmioty powiązane, wsparcie, sprawozdawczość regulacyjna i fiskalna.
B2B/suppliers: wymagania zależą od roli (platforma, zawartość, hosting); zgodność, akty integracji i eksport telemetrii dla licencjobiorców są obowiązkowe.
Role osobiste: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 Z portfolio B2C + B2B, procesy, dzienniki i sprawozdawczość są oddzielone.

3) Odpowiedzialna gra (rdzeń trybu)

RGNA - krajowy system samodzielnego wykluczenia: operator jest zobowiązany do sprawdzenia każdego gracza; dostęp jest zablokowany, gdy nagrywanie jest aktywne.
Narzędzia dla graczy: depozyt/strata/czas, kontrola rzeczywistości, czasy/chłodzenie, historia aktywności, ograniczenia aktywności w nocy (zgodnie z wewnętrznymi zasadami i wymaganiami).
Monitorowanie behawioralne: wczesne oznaki odtwarzania problemów, miękkie/twarde protokoły interwencji, dziennik kontaktów i wyników, eskalacja do usługi RG.
Premie i promocje: ściśle regulowane; zakaz wprowadzania w błąd mechaniki, przejrzystych T&C, agresywnych ograniczeń retargetu.

4) KYC/AML i sankcje

KYC: weryfikacja tożsamości/wieku obywateli przez DNI, cudzoziemców przez NIE/paszport; adres/miejsce zamieszkania - zgodnie z dokumentami/źródłami.
AML/CTF oparte na ryzyku: gracz/geo/profile metod płatności, listy PEP/sankcji, wyzwalacze EDD, dziennik decyzji, procedury STR/SAR.
Monitorowanie transakcji: prędkość/anomalie, kontrola źródeł środków na podejrzenia, ograniczenia zasad i modele behawioralne.
Crypto/on-chain (w stosownych przypadkach): polityka portfela, dostawcy analityki, kontrola ołowiu.

5) Reklama, podmioty powiązane i komunikacja

Bariery wiekowe i tereny: ścisłe ukierunkowanie kontroli; zakazy wprowadzania w błąd obietnic, wymagania dotyczące etykietowania.
Okna czasowe i zawartość: ograniczenie czasu transmisji/formatów reklam; zwiększona uwaga na ochronę małoletnich i słabszych grup społecznych.
Podmioty powiązane: odpowiedzialność umowna za RG/AML/dane; kanały białej listy, kreatywny audyt, procedury zatrzymania i identyfikowalność ruchu.
Influencery/strumienie: dodatkowe wymagania dla odbiorców, przejrzystość staży i T & C.

6) Dane i prywatność (RODO/AEPD)

Legalność i minimalizacja: DPIA dla procesów wysokiego ryzyka; Przechowywanie PII/PAN jest minimalne i do celów; kontrola dostępu i rejestrowanie.
Prawa podmiotu: dostęp/korekta/usunięcie/przenoszenie w planowanych ramach czasowych; przewodniki proceduralne dotyczące wsparcia.
Incydenty/naruszenia: plany powiadamiania organu regulacyjnego/podmiotu, dziennik badania i naprawy.
Przepływy transgraniczne: DPA z procesorami, kontrolowane transmisje i rezydencja krytycznych zbiorów danych.

7) Normy techniczne: SDLC/obserwowalność/bezpieczeństwo/DR

SDLC i wydania: rurociągi postojowe, kontrola zmian, artefakt i podpisy SBOM, polityka rollback, "no people in prod', udowodniony dziennik wydania.
Obserwowalność: rejestry strukturalne (bez PAN i niepotrzebnego PII), mierniki i ślady (OTel), SLO/SLI, syntetyczne kontrole „deposit/CCL/output”, kontrolowane zatrzymywanie.
Bezpieczeństwo: segmentacja, mTLS, WAF/bot management, SSO/MFA/PAM, SAST/SCA/DAST w CI/CD, regularny pentest i brak wygasłego krytycznego/wysokiego.
DR/BCP: regularne testy przywracania potwierdzone przez RTO/RPO, działania fizyczne i scenariusze degradacji (graceful).
Przeciwdziałanie nadużyciom: ochrona przed nadużyciami bonusowymi, punktacją behawioralną, sygnałami urządzeń, zasadami prędkości, monitorowaniem skarg.

8) Płatności i „droga do portfela”

Metody: karty, bankowość A2A/open (PSD2), lokalne szyny błyskawiczne (w tym popularne rozwiązania w Hiszpanii), przelewy bankowe.
Wymagania integracyjne: idempotencja, podpisy HMAC webhooks, DLQ/event replay, Time-to-Wallet monitorowania i autoryzacji/wskaźniki sukcesu.
Sankcje/PEP i prędkość: przychodząca/wychodząca kontrola przepływu, specjalne procedury dotyczące zwrotów/obciążenia zwrotnego.

9) Sprawozdawczość, podatki i odnowienie (wysoki poziom)

Sprawozdawczość regulacyjna: finanse i GGR według wertykalnych, metryki RG, skargi/incydenty, zmiany struktury/Kluczowe osoby, naruszenia reklamy i środki.
Część fiskalna: budowanie na podstawie dochodów z gier hazardowych; uzgodnienia z dziennikami gier/wypłat oraz danymi PSP/bankowymi.
odnowienie/audyt: okresowe kontrole polityk, kontrole techniczne, RG/AML i reklama; pakiety „evidence-first” (wydania/SBOM, luki, akty DR, telemetria RG).

💡 Szczegółowe stawki/formularze i częstotliwości powinny być wyjaśnione zgodnie z obowiązującymi przepisami i strukturą firmy.

10) Proces licencjonowania: fazy i linie czasowe

1. Pre-fit & Gap (1-8 tygodni): docelowe piony/kanały, mapa dostawcy (zawartość/PSP/KYC), audyt gotowości IT, plan naprawy.
2. Pakiet dokumentów (4-12 tygodni): korporacja/finanse/SoF/SoW, kluczowe osoby, polityka AML/RG/reklama/dane/incydenty/DR, umowy, architektura IT.
3. Kontrola techniczna (4-16 tygodni): SDLC/obserwowalność/bezpieczeństwo/DR, podatność/badania penetracyjne, akty badań przywracających, integracja/wymagania laboratoryjne (w stosownych przypadkach).
4. Przegląd i pytania i odpowiedzi: Beneficjent/Polityka/IT/Dane/Pytania reklamowe; Wywiad z kluczowymi osobami; demonstracja kłód/desek rozdzielczych i procesów RG.
5. Wyjście/wejście (2-6 tygodni): raportowanie, PSP/zawartość na pokładzie, suchy przebieg scenariuszy RG/AML/płatności.
6. Obowiązki: sprawozdania okresowe/audyty, wznowienia, zmiany (beneficjenci/pionowcy/lokalizacje).

Ścieżka krytyczna: Kluczowe osoby → żywi politycy → SDLC/obserwability/DR (dowody) → Q & A/demo.

11) Zalety i minusy DGOJ

Plusy

Wysoka pełnomocnictwo konsumentów i uznanie w bankach/PSP/mediach.
Clear RG/standardy reklamowe; silna jakość KYC (DNI/NIE).
Plus kapitalizacja marki i możliwości partnerstwa w UE.

Minusy

Ścisłe ograniczenia bonusowe/reklamowe i wysoka zgodność OPEX.
Sztywna sprawdzalność procesów (polityka bez artefaktów nie działa).
Niska tolerancja dla „szarych stref” i agresywnego marketingu.

12) Listy kontrolne gotowości

12. 1 Definicja gotowości

  • Obwód (pionowe/kanały/metody płatności) zdefiniowany; potwierdzona rzeczywistość płatności (PSP/banki/lokalne szyny).
  • Наднавена MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); zebrane SoF/SoW i odniesienia.
  • Zatwierdzona polityka AML/RG/reklama/dane/incydenty/DR; odbyły się szkolenia, jest dziennik audytu.
  • SDLC: artefakt i podpisy SBOM, dziennik wydania, "no people in prod', polityka rollback.
  • Obserwowalność: tablice kontrolne SLO/SLI, kontrole syntetyczne „deposit/CCL/output”, dzienniki retencji.
  • Bezpieczeństwo: pentest/skany zamknięte; krytyczny/wysoki bez zaległych wyjątków.
  • Treści/PSP/KYC/Lab/Umowy hostingowe; SLA/OLA uzgodnione.
  • Model reklamy: kanały białej listy, kreatywny audyt, procedury stop.
  • Integracja z RGZ - gotowe artefakty techniczne i procesowe.

12. 2 Definicja wykonana

  • W tym sprawozdawczość regulacyjna/fiskalna; Właściciele KPI są przypisani.
  • Zawartość PSP/onboarden; webhooks subskrybowane (HMAC), idempotencji i pracy DLQ.
  • Narzędzia RG są aktywne; utrzymywana jest telemetria interwencyjna i dziennik decyzji; żądania w RGI - w strumieniu.
  • DR/BCP: przeprowadzono testy przywracania i wydano certyfikaty; RTO/RPO jest normalne.
  • Reklama/podmioty powiązane: whitelisting, kreatywny audyt, naruszenie i dziennik działania.

13) RACI (przykład)

ObszarOdpowiedzialnyOdpowiedzialnośćKonsultowanePoinformowany
AML/RG/dane/reklama (polityka)Zgodność z przepisamiCOO/szef zgodnościPrawo, BezpieczeństwoProdukt, wsparcie
Kluczowe osoby/SoF/SoWPrzewodnictwo prawneDYREKTOR GENERALNYZgodnośćTablica
SDLC/obserwowalność/DRPlatforma/SRE LeadCTOBezpieczeństwoWszystkie zespoły
Pentest/lukiOłów bezpieczeństwaCTOSprzedawcy, SREZgodność
Umowy (PSP/KYC/Content)Płatności/Operacje treściCOOPrawo, BezpieczeństwoFinansowanie
Pakiet/Q & A/DemoMenedżer programówCOOWszystkie tropyZainteresowane strony

14) Ryzyko i łagodzenie

RyzykoZnakŚrodek łagodzący
Kluczowe opóźnienia osóbDodaj. zapytania/wywiadyWczesna zbiórka, rezerwowi kandydaci
Naruszenia w zakresie reklamy/premiiSkargi/grzywnyWhitelisting, audyt kreatywnych, twarde T&C
Polityka „papierowa” RGWyjaśnienia/receptyTelemetria interwencyjna, raporty, książki startowe
Luki/PentestWygasły krytyczny/wysokiSAST/SCA/DAST w CI, policy-as-code, szybkie poprawki
Incydenty płatniczeUtrata/bierze webhakiIdempotencja, HMAC, DLQ/replay, monitorowanie TtW
Awaria gwintu RGIDostęp do graczy z rejestruObowiązkowa weryfikacja online, skrypty awaryjne

15) 90-180 Day Roadmap (przykład)

Miesiąc 1-2: analiza luk, przydział kluczowych osób, SDLC/obserwowalność/naprawa bezpieczeństwa, rezerwacje laboratoryjne.
Miesiąc 2-3: zbiór pakietów/polityk korporacyjnych, pentest/skany, akty DR, umowy z PSP/KYC/zawartość, integracja z RGZ.
Miesiąc 3-4: złożenie wniosku, prep i wywiad, demo na sucho (deski rozdzielcze, czasopisma, RG/AML/skryptów reklamowych).
Miesiąc 4-6: Q & A/zmiany, finalizacja, płatności/zawartość na pokładzie, włączenie raportu.

Podsumowanie

Hiszpańska licencja DGOJ to surowy, ale przewidywalny tryb z naciskiem na Responsible Gaming (RGI), dyscyplinę reklamową/bonusową, dojrzałe sterowanie KYC/AML i sprawdzalne sterowanie IT. Jeśli jesteś gotowy do kultury „evidence-first” (SDLC/observability/security/DR, RG telemetry, przejrzyste raportowanie) i przestrzegać lokalnych przepisów marketingowych, Hiszpania daje dostęp do ekosystemu płatności o dużym zaufaniu i wzmacnia kapitalizację marki w UE.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.