GH GambleHub

Operacje i zgodność → Procedury KYC i poziomy inspekcji

Procedury i poziomy kontroli KYC

1) Dlaczego KYC

KYC (Know Your Customer) - fundament odpowiedzialnej i bezpiecznej eksploatacji platformy iGaming: zapobiega dostępowi nieletnich, zmniejsza ryzyko oszustw/prania pieniędzy, wspiera wymagania licencji i partnerów płatniczych, chroni reputację.

Cele:
  • Potwierdź tożsamość i wiek.
  • Ocena ryzyka wyjściowego gracza i ustanowienie środków opartych na ryzyku.
  • Zapewnienie możliwości śledzenia transakcji i depozytu, a także łączności vyvod.
  • Obsługa wymagań AML/Responsible Gaming i dostawcy/regulatora.

2) Zasady KYC

1. Podejście oparte na ryzyku (RBA): głębokość weryfikacji zależy od profilu (kraju, metod płatności, zachowania).
2. Progresywne ujawnianie: Zbieraj dokładnie tyle danych, ile jest potrzebne na obecnym poziomie ryzyka.
3. Evidence-by-Design - Wszystkie decyzje i dokumenty są zapisywane jako ścieżka audytu.
4. Privacy-first: minimalizacja danych osobowych, maskowanie, rola i ograniczony w czasie dostęp.
5. Ponowna weryfikacja: powtarzające się kontrole podczas zdarzeń ryzyka (wnioski, wzrost limitów, zmiana szczegółów).
6. Explainable & Consistent - Zasady i wyjątki są udokumentowane i weryfikowalne.

3) Poziomy weryfikacji (KYC wielopoziomowe)

KYC0 - Wstępna rejestracja/światło tarcia

Kolekcja kraju, wieku (self-attest), e-mail/telefon (OTP).
Wstępne sankcje/POP przesiewowe według nazwy/telefonu/poczty (niskie zaufanie).
Ograniczenia: brak wpłat/wypłat, tylko przegląd treści/bonusu bez zakładów.

KYC1 - Podstawowa identyfikacja

Dokument tożsamości (paszport/ID/vod. wiarygodny) + selfie/biometryczna los (według rynku).
Walidacja MRZ/kodu kreskowego, kontrola daty ważności, kraj wydania.
Weryfikacja wieku, podstawowa kontrola sankcji/PEP.
Limity depozytów/stawek/wypłat są podstawowe.

KYC2 - potwierdzenie adresu (PoA)

Dokument potwierdzający adres (rachunek użytkowy/wyciąg bankowy/rejestr), w razie potrzeby KBA.

Geosynchronizacja: IP/urządzenie/metoda płatności

Rozszerzone granice i dostęp do pinów.

KYC3 - EDD/SoF/SoW

Przez wyzwalacze ryzyka: duże obroty/wnioski, VIP, podejrzane wzory, geo/metody wysokiego ryzyka.
Źródło funduszy (SoF) i pochodzenie majątku (SoW): zestawienia dochodów, wynagrodzenia, podatki, oświadczenia.
Wywiady/pisemne wyjaśnienia są możliwe.
Dostęp do wysokich limitów/przyspieszonych wniosków - po zatwierdzeniu.

4) Wyzwalacze wzrostu poziomu/Re-KYC

Środki finansowe: kwota jednorazowego wycofania, obrót w danym okresie, częste zmiany metod płatności.
Zachowanie: nieprawidłowy profil wygranej/utraty, aktywność nocna, wiele krótkich sesji.
Techniczne: częste zmiany urządzeń/IP/ASN, sieci proxy/wysokiego ryzyka.
Profil: nazwa/adres/data urodzenia rozbieżności między źródłami.
Wydarzenie: zmiana szczegółów płatności, wzrost limitów, podłączenie planu VIP.

5) Sankcje, PEP i negatywne media

Kontrola na: rejestracja, zakończenie KYC1/2/3, przed poważnym wycofaniem, przy zmianie szczegółów.
Przedłużyć okres aktualizacji ksiąg referencyjnych (dziennie/co tydzień).
Logika zbiegu okoliczności: mglisty mecz z zbliżającym się, ręczny triage przypadków pogranicza.
Odniesienia do źródeł/spraw - w dowodach.

6) Dokumenty i alternatywy

ID/paszport/woda. prawa, PoA: rachunek za usługi użyteczności publicznej, wyciąg bankowy ≤ 3 miesiące

Alternatywy: eID/BankID/proaktywni dostawcy API, KBA (oparte na wiedzy), potwierdzenie za pomocą mikrotransmisji.
Biometryczne: selfie z chęcią sprawdzenia; przechowywać szablony biometrii tylko w razie potrzeby i zgodnie z lokalnymi przepisami.
Odchylenia: czarno-białe kopie, utracone dokumenty, niewyraźne zdjęcia - zasady autodchylenia.

7) Dane i prywatność

Minimalizacja: żądamy tylko niezbędnych; oddzielne artefakty KYC i gry/dane marketingowe.
Dostęp: RBAC/ABAC, dzienniki odczytu/wydania pliku, znaki wodne.
Zatrzymanie: według jurysdykcji/licencji (zwykle 5 + lat po ostatniej operacji).
Szyfrowanie: w czasie odpoczynku/tranzytu, klucze w HSM/Skarbcu, tymczasowe adresy URL do oglądania.
Wniosek podmiotu danych: SLA do wywozu/korekty/usunięcia w dopuszczalnych granicach.

8) Kontroly-/Policy-as-Code (fragmenty)

Polityka na poziomie KYC: 
yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance
Wyzwalacz Re-KYC podczas zmiany tożsamości: 
yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]
Ratowanie sankcji: 
yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (fragmenty)

SOP: weryfikacja KYC1

1. Sprawdź kompletność pakietu (ID + selfie, pobierz metadane).
2. Zatwierdzenie dokumentu (MRZ/kod kreskowy, data, kraj), sprawdzenie pełnej nazwy/DR.
3. Mecz selfie (mecz twarzy, los).
4. wyrzucić sankcje/RAP; w przypadku meczów → triage.
5. Przypisz KYC1, limity aktualizacji, zapis dowodów.

SOP: KYC2 (PoA)

1. Sprawdź dokument ≤ 90 dni, adres w ważnym formacie/języku.
2. Dopasuj adres do IP/urządzenia/metod płatności.
3. Wydanie KYC2, rozszerzenie limitów/wyjść, zapis dowodów.

SOP: EDD/SOF (KYC3)

1. Proszę o wykaz dokumentów (wynagrodzenie/podatki/oświadczenia) i wyjaśnienia.
2. Dopasuj kwoty/częstotliwości/źródła do wielkości sprzedaży i profilu.
3. Rezolucja: zatwierdzenie/ograniczenie/zamknięcie; w sprawie podejrzenia - proces SAR/AML.
4. Zaktualizuj profil ryzyka, limity, dowody.

10) Integracje

Dostawcy KYC: IDV, PoA, biometryczne, sankcje/PEP (partia + imprezy).
Płatności: kontrola źródła do źródła, prędkość, utrzymuje do zakończenia KYC.
AML/Case-management: wspólna karta gracza, statusy, SLA.
CRM/Support: szablony komunikacyjne, KYC, ETA i statusy dunning.
DWH/BI: prezentacje wydarzeń KYC, raportowanie o okresach licencji.

11) KPI/OKR

Procesy:
  • KYC1 mediana TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
  • Auto-pass Rate (bez ręcznego udziału), Manual Tail (ręczny udział).
  • Sankcje/Wskaźnik trafień PEP i precyzja w potwierdzonych przypadkach.
Jakość i ryzyko:
  • Fałszywe odrzucić Wskaźnik dokumentów, Doc Jakość zawieść%.
  • Niedopasowanie częstotliwości IP/adresu, wypłata zablokowana z powodu KYC (mediana czasu do odblokowania).
  • Kompletność dowodów ≥ 98%.
Doświadczenie gracza:
  • KYC Drop-off krokami, CSAT/NPS procesami KYC.

12) Listy kontrolne

Początek przepływu KYC:
  • Przyjęte zezwolenia/polityki dotyczące danych.
  • Przeprowadzono wstępną kontrolę sankcji.
  • Kanały komunikacyjne są potwierdzone (OTP/e-mail).
KYC1:
  • Ważny ID i selfie, przeszedł los.
  • Nazwa/DR/country match.
  • Sankcje/REP: „jasne” lub droga do triage.
KYC2:
  • PoA jest świeży i czytelny; adres jest znormalizowany.
  • Spójność geograficzna (metoda IP/urządzenia/płatności).
KYC3 (EDD/SOF):
  • Pełny zestaw dokumentów, kwoty odpowiadają obrotowi.
  • Decyzja i uzasadnienie stałe (dowody), profil ryzyka zaktualizowany.
Wydarzenie re-KYC:
  • Przyczyna i data, zamki/limity stosowane poprawnie.
  • Komunikacja wysłana do gracza (ETA/kroki).

13) Anty-wzory

Uniwersalne „ciężkie” testy dla wszystkich - wysokie awarie i koszty.
Ręczne kontrole bez SLA/logów i podwójnej kontroli.
Przechowywanie biometrii/dokumentów bez ścisłych podstaw i przechowywania.
Nie ma połączenia z płatnościami: wypłata jest możliwa przed KYC2/3.
Brak ponownej kontroli sankcji i ponownej kontroli KYC.
Dwie wersje prawdy: KYC w Excel i dane transakcji w DWH bez dokowania.

14) 30/60/90 - plan realizacji

30 dni (fundacja):
  • Zatwierdzanie polityki KYC (poziomy, wyzwalacze, SLA, zatrzymywanie).
  • Podłącz IDV/sankcje/PEP, uruchom KYC1 i przepływ PoA.
  • Skonfiguruj system kontroli-as-Code: re-KYC za wypłatę-zmianę, rescreening sankcji.
  • Włącz przechowywanie dowodów i RBAC.
60 dni (skalowanie):
  • Procesy EDD/SOF, komunikacja champlon i zarządzanie sprawami.
  • Integracja z płatnościami (źródło do źródła, prędkość), automatyczne blokowanie do KYC2/3.
  • Deski rozdzielcze KPI (TAT, Auto-pass, Manual Tail, Hit-Rate).
  • Urywek biometryczny pilota/BankID (o ile jest dostępny).
90 dni (utrwalenie):
  • Ręczna redukcja ogona ≥ 30%, KYC1 mediana TAT ≤ docelowa, fałszywe odrzucenie
  • Ponowne KYC i przepisy dotyczące ponownego przeglądu sankcji, audyt zgodności.
  • Powiązanie interfejsu KPI z poleceniami OKR (Zgodność/Operacje/Płatności/Wsparcie).

15) FAQ

P: Kiedy zażądać adresu (PoA)?
Odp.: Po osiągnięciu progu depozytów/wniosków, geo/metoda nie spełnia lub zgodnie z wymogami kraju/licencji.

P: Kiedy potrzebny jest SoF/SoW?
Odp.: Przy wysokim RPM/VIP, anomalie, geo/metody wysokiego ryzyka, przed poważnym wycofaniem.

P: Jak zmniejszyć awarie na KYC?
Odp.: Mobile prompts/ocr validation, clear photo requirements, BankID/eID support, step separation, fast feedback.

P: Jak chronić prywatność?
Odp.: Minimalizacja, szyfrowanie, rygorystyczne dzienniki RBAC/dostępu, automatyczna polityka retencji i usuwania.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.