Odnowienie licencji i inspekcje
1) Cel i obszar
Zapewnienie terminowego odnowienia obecnych licencji i pomyślnego zakończenia zaplanowanych/nieplanowanych inspekcji bez zakłóceń biznesowych i ryzyka dla marki/graczy. Zakres: licencje B2C/B2B, zezwolenia na gry/płatności, RG/AML/RODO/kontury bezpieczeństwa informacji, certyfikaty techniczne (RNG/PCI/SOC/ISO), lokalne zezwolenia reklamowe/podmioty powiązane.
2) Zasady
Zero ryzyka przestępczości. Terminy w kalendarzu, duplikaty przypomnień i właścicieli rezerwy.
Jedno źródło prawdy. Ujednolicony rejestr wymagań, wersji dokumentów i statusów.
Dowody. Każde oświadczenie jest potwierdzone artefaktem (numer pliku/dziennika/ekranu/biletu).
Ciągła gotowość. „Zawsze gotowy” do kontroli: deska rozdzielcza zgodności, bieżące zasady, dzienniki audytu.
Przejrzyste CAPA. Każdy komentarz regulatora jest zamykany przez mierzalne działania w SLA.
3) Role i RACI
Właściciel programu licencyjnego (Head of Compliance) - strategia, rejestr wymagań, kalendarz. A)
Radca prawny - formy prawne, oświadczenia, interpretacja norm. (R/C)
Finanse/CFO - opłaty/cła, gwarancje bankowe, sprawozdawczość. (R)
Oficer AML/RG Lead/DPO/CISO - znacząca korespondencja według kierunków. (R)
Płatności Ołów/Dostawcy gier Operacje - dowody na PSP/PCI i integralności gry. (R)
Audyt wewnętrzny - wstępna ocena, niezależne przeglądy, kontrola CAPA. (C/R)
Exec Sponsor (CEO/COO) - eskalacja S1, interakcja na wysokim poziomie. (I/A)
4) Cykl odnowienia licencji
dni T-120...T-90: audyt wymogów, audyt gotowości (analiza luk), potwierdzenie wskaźników finansowych/struktury własności/beneficjentów.
T-90...T-60: gromadzenie i aktualizowanie dokumentów (polityki, sprawozdania, certyfikaty), zatwierdzanie formularzy, przygotowywanie płatności i gwarancji.
T-60...T-30: przesyłanie pakietu do portalu/SFTP/pocztą, żądania wyjaśnień, ustalanie paragonów, wstępna rezerwacja na miejscu/zdalne sloty.
T-30...T-0: zamknięcie emisji regulatorów, potwierdzenie płatności, publikacja/otrzymanie nowego zaświadczenia/pisma o rozszerzeniu.
T +: po sprawdzeniu: prezentacje aktualizacji, statusy na stronie/w biurach partnerskich, zapisać artefakty, retro.
5) Rejestr wymagań (struktura kart)
LIC-ID: <code >/Jurisdiction: <regulator >/Type: B2C B2B other
Valid from <date> to <date >/Renewal Deadline: <date, TZ>
Compliance formulas: GGR/capital/guarantees/technical certs
List of documents: policies/reports/certificates/questionnaires/affidavits
Feed Channel: Portal API SFTP Mail/Format: PDF CSV XML XLSX
Fees/guarantees: amount, currency, invoice, payment terms
Regulator contacts: email/portal ID/phone
Special conditions: localization of language, certification, notary/apostille
Package version: vX. Y/Owner/Reserve/Last Check6) Dokumenty i dowody (typowy wykaz)
Przedsiębiorstwo: dokumenty ustawowe, struktura własności/beneficjenci (UBO), dobra pozycja.
Finanse: zbadane rachunki, dowód uiszczenia opłat/podatków, gwarancje bankowe/ubezpieczenia.
Operacje/zgodność: bieżące zasady (KYC/KYB, AML/CFT, RG, GDPR/PII, marketing/podmioty powiązane), dzienniki szkolenia personelu.
Bezpieczeństwo techniki/informacji: architektury strefy, segmentacja PCI, SOC/ISO, raporty pentest, luki ASV, dzienniki zmian/dostępu.
Uczciwość gry: RNG zarejestrować/zbudować wersje, raporty RTP, incydenty dostawcy i procedury zamrożenia.
Procesy incydentów: strona stanu, szablony powiadomień, raporty DPA/regulatora, dzienniki MTTA/MTTR/TTS.
Sprawozdania dla organów regulacyjnych: rejestr terminów, wpływów, uzgodnień z GL/PSP.
7) Inspekcje: formaty i oczekiwania
Zdalna recenzja: korespondencja/portal, sesje wideo, demonstracja systemów (screen-share), przesyłanie dzienników i konfiguracji.
Na miejscu: wywiady (Zgodność, AML, RG, DPO, Tech/Payments, IA), walkthrough demos, próbki przypadków (KYC, SAR/STR, DSAR, interwencje RG, obciążenia zwrotne), kontrole polityki dostępu, PCI strefy inspekcyjne/pomieszczenia DR.
Pobieranie próbek i dowody: regulator wybiera próbkę; chęć dostarczenia anonimizowanych/pseudonimizowanych danych, numerów biletów, zrzutów ekranu ze znacznikami czasu.
8) Listy kontrolne gotowości (skrócone)
8. 1 Ogólne przed podaniem
- Potwierdzony kalendarz i termin; Stworzono duplikat dunning (T-90/T-60/T-30).
- Opłacone opłaty/gwarancje; zaoszczędzone wpływy i porady bankowe.
- Wersje polityki/procedury są aktualne i podpisane.
- Certyfikaty (PCI/SOC/ISO/RNG) są ważne od daty przedłużenia.
- Pakiet jest zlokalizowany (język, format), gwarancje/apostille są zakończone.
- Wszystkie formularze są wypełniane bez luk; kontrola „czterech oczu”.
8. 2 Przez karcenie
AML/CFT: SAR/STR na czas; Dzienniki PEP/Sankcje; techniki punktacji; tablica KPI.
KYC/KYB: poziomy weryfikacji, DPA z dostawcami, kolejki ≤ SLA, dowody niepowodzeń/eskalacji.
RG: zsynchronizowane samodzielne wykluczenie/granice; szablony komunikacyjne; skuteczność interwencji.
RODO/DPO: RoPA, DSAR ≤ 30 dni, DPIA, umowy handlowe/SCC, incydenty i powiadomienia.
PCI/Płatności: segmentacja, tokenizacja, ASV/pentests, dzienniki dostępu, obciążenia zwrotne/spory, fallback PSP.
Szczerość gry: monitorowanie RTP-drift, wersje RNG/build, dzienniki incydentów dostawcy.
Sprawozdawczość: wpływy regulacyjne; Walidatory obwodów uzgodnień GL/PSP.
Incydenty: TTS/MTTR w SLA, potwierdzenia powiadomienia, pakiety artefaktowe.
9) Ryzyko i środki ostrożności
Opóźnienie odnowienia (S1): wyzwalacze T-90/T-60/T-30, właściciel kopii zapasowej; „plan B” (tymczasowe zawieszenie wprowadzania do obrotu/rejestracji w jurysdykcji, informowanie partnerów).
Niekompletne błędy pakietu/formularza: lista kontrolna wstępnej walidacji + sterowanie czterookiem, pilot piaskownicy, automatyczne lintery formatu.
Nieudane audyty/serty: wczesna analiza luk i CAPA z buforem ≥ 30 dni.
Zmiany menedżerskie/UBO: przygotowanie oświadczeń/notariuszy z wyprzedzeniem, śledzenie przez Legal.
Zmiany w krajobrazie technologii: notatki do wydania dla regulatora, mapa zgodności „co się zmieniło i dlaczego jest bezpieczne”.
10) CAPA na temat uwag z inspekcji
Karta znalezienia: fakt → kryterium → ryzyko → wpływ → rekomendacja → vorkplan → właściciel → termin → metryki sukcesu.
Zamknięcie SLA: S1 ≤ 30 dni; S2 ≤ 60; S3 ≤ 90; S4 - zgodnie z ustaleniami.
Weryfikacja: dowód wdrożenia (ekrany/dzienniki/polityki/wyniki testów), podpis audytu wewnętrznego, status zweryfikowany.
Eskalacja: S1/S2 opóźnień - do tygodniowego przeglądu zarządzania, kwartalnego sprawozdania dla Komisji Rewizyjnej.
11) Finansowanie odnowy
Opłaty/cła: tabela kursów, kursy wymiany walut, rachunki odbiorców, terminy płatności.
Gwarancje/ubezpieczenia: kwoty, rodzaj (gwarancja bankowa/gwarancja ubezpieczeniowa), data wygaśnięcia, warunki przedłużenia.
Budżet: kalendarz płatności według jurysdykcji, bufor nieplanowanych kontroli/tłumaczenia dokumentacji.
12) Deska rozdzielcza „Licencja & inspekcje”
Harmonogram licencji: okres ważności, terminy T-90/T-60/T-30, postęp pakietu (% dokumentów gotowych).
Kolejka inspekcji: nadchodzące wizyty/spotkania, listy kontrolne stanu.
Pokrycie dowodów: Odsetek pozycji z załączonymi artefaktami.
CAPA Progress Completed/In Progress/Expired, mediana czasu zamknięcia.
Mapa ryzyka: prawdopodobieństwo × wpływ według jurysdykcji/kierunku.
Wskaźnik gotowości: zintegrowany wynik gotowości (AML/KYC/RG/GDPR/PCI/Games/Reporting).
13) Szablony (szybkie wkładki)
A) List wyjaśniający (przedłużenie)
B) Odpowiedź na pytania (RFI/RFQ)
C) Program działań na miejscu
D) Aktualizacja po inspekcji
14) Zarządzanie dokumentami i prywatnością
DMS/Repo: strukturyzacja według jurysdykcji, wersji, klas dokumentów; Kontrola dostępu RBAC/ABAC.
PII/poufność: pseudonimizacja/maskowanie, oddzielny obszar przechowywania danych wrażliwych, szyfrowanie podczas odpoczynku/tranzytu.
Dzienniki dostępu: niezmienne, okresowe zmiany.
15) Procesy wzajemnie powiązane
Raporty regulacyjne i formaty danych - źródła przesyłania i pokwitowania.
Deska rozdzielcza zgodności - mierniki kontroli.
Playbooks incydentu/Powiadomienia - dowód aktualności.
Audyt wewnętrzny/zewnętrzny - wstępna ocena i gotowość do certyfikacji.
16) Częste błędy i jak ich uniknąć
Wyślij „zasady na papierze”, ale nie ma dzienników operacyjnych → zawsze stosować dowody działania (próbki, dzienniki, bilety).
Niespójności w terminach/terminach → wszystkie znaczniki czasowe w UTC, locale oddzielnie.
Wygasły certyfikat (PCI/SOC/ISO) w pakiecie → 60 dni bufor i przypomnienia.
Nieznane zmiany w architekturze changelogu → i mapie regulatora.
Brak właściciela kopii zapasowej → przypisanie właściciela kopii zapasowej dla każdej licencji.
17) Plan realizacji (30 dni)
Tydzień 1
1. Spis wszystkich licencji/zezwoleń i dat wygaśnięcia.
2. Utworzenie rejestru wymogów i kart (sekcja 5).
3. Ustalenie terminu i kalendarza przypomnień (T-90/T-60/T-30).
Tydzień 2
4. Analiza luki gotowości według kierunku (AML/KYC/RG/RODO/PCI/Games/Reporting).
5. Gromadzenie podstawowego pakietu dokumentów; wyrównanie formatów/lokalizacji.
6. Przygotowanie listu tytułowego/programu na miejscu/odpowiedzi na szablony zapytań.
Tydzień 3
7. Kontrola pilotażowa „sucha” (stół-top) i korekta szczelin.
8. Konfigurowanie tablicy rozdzielczej licencji i inspekcji oraz indeksu gotowości.
9. Tworzenie tras rejestru i uzgadniania CAPA.
Tydzień 4
10. Przesyłanie kolejnych rozszerzeń do piaskownicy/portalu (jeśli są dostępne).
11. Retro pilotem, edycje w pakietach i listach kontrolnych, homologacja v1. 0.
12. Zatwierdzenie rocznego kalendarza inspekcji i wyznaczenie właścicieli rezerwy.
- Sprawozdania regulacyjne i formaty danych
- Zawiadomienia o naruszeniach i terminach sprawozdawczych
- Deska rozdzielcza zgodności i monitorowanie
- Audyt wewnętrzny i audyt zewnętrzny
- Listy kontrolne i przeglądy
- Zarządzanie kryzysowe i komunikacja