GH GambleHub

Licença espanhola

1) Visão e posicionamento

O DGOY é um dos reguladores mais exigentes da UE. O regime é focado em alta proteção ao consumidor, como regras rígidas para o Sorriso Gaming, limites claros de publicidade e bônus, exigências maduras para o KYC/AML e controles de TI comprovados. A licença é valorizada por bancos/PSP e grandes vendedores de conteúdo, mas requer disciplina «evidence-first».

A quem é relevante:
  • Operadores que construem uma marca de longo prazo na UE com foco na complacência e reputação.
  • Plataformas B2B/agregadores/estúdios que funcionam com um pool europeu de operadoras.

2) Tipos de licenças e perímetro

B2C (operadora): cassinos/slots, apostas, poker, bingo e outros para os jogadores que estão na Espanha. Perímetro completo: caixa/pagamento, KYC/AML, RG, publicidade/afiliados, suporte, regulação e relatórios fiscais.
B2V/fornecedores: os requisitos dependem do papel (plataforma, conteúdo, hospedagem); a compatibilidade, os atos de integração e a exportação de telemetria para os licenciados são obrigatórios.
Papéis pessoais: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platford/SRE/Security/Payments).

💡 Com o portfólio B2C + B2B, os processos, registros e relatórios são divididos.

3) Resolvível Gaming (núcleo de modo)

RGIAJ - Sistema Nacional de Auto-Exclusão - o operador é obrigado a verificar cada jogador; o acesso é bloqueado durante a gravação ativa.
Ferramentas do jogador: limites de depósito/perda/tempo, realidade-cheques, tempo/refrigeração, histórico de atividade, restrições noturnas (políticas e requisitos internos).
Monitoramento comportamental: sinais iniciais de jogo problemático, protocolos de intervenção suave/severa, registro de contatos e resultados, escalação para RG.
Bónus e promoção: estritamente regulados; proibir mecânicos enganosos, transparentes T&C, restrições de retargos agressivos.

4) KYC/AML e sanções

KYC: verificação de identidade/idade dos cidadãos com DNI, estrangeiros com NIE/passaporte; endereço/residência - documentos/fontes.
Risk-based AML/CTF: perfis de jogadores/geo/métodos de pagamento, RER/listas de sanções, triggers EDD, registro de soluções, procedimentos TR/SAR.
Monitoramento transacional: velocity/anomalias, controle de fontes de recursos para suspeitas, regras sobre limites e modelos comportamentais.
Crypto/on-chain (se aplicável): política de carteiras, provedores de analistas, controle de conclusões.

5) Publicidade, afiliações e comunicações

Barreiras e locais de idade: controle rigoroso da meta; proibições de promessas enganosas, exigências de rotulagem.
Janelas temporárias e conteúdo: limitação do tempo de transmissão/formatos de publicidade; maior atenção à proteção de menores e grupos vulneráveis.
Afiliados: responsabilidade contratual por RG/AML/dados; canal white-list, auditoria de criações, procedimentos de stop e tráfego rastreável.
Influenciadores/striptease: requisitos adicionais de audiência, transparência de colocação e T & C.

6) Dados e privacidade (GDPR/AEPD)

Legalidade e minimização: DPIA para processos de alto risco; armazenamento de PII/PAN é mínimo e por finalidade; controle de acessibilidade e registro.
Direitos do sujeito: acesso/correção/remoção/portabilidade em prazos regulatórios; guias de procedimentos para suporte.
Incidentes/brechós: planos de notificação do regulador/entidades, registro de investigações e remunções.
Fluxo de fluxo: DPA com processadores, transmissões controladas e residência de conjuntos críticos de dados.

7) Normas técnicas: SDLC/observabilidade/segurança/DR

SDLC e lançamentos: staging-pipline, controle de alterações, assinaturas de artefatos e SBOM, política de reversão, «no humans in prod», diário de lançamento comprovado.
Observabilidade: logs estruturados (sem PAN ou PII a mais), métricas e traçados (OTel), SLO/SLI, verificações sintéticas de depósito/CUS/retirada, retenção controlada.
Segurança: segmentação, mTLS, WAF/bot management, SSO/MFA/PAM, SAST/SCA/DAST em CI/CD, pentesto regular e falta de critical/high vencidos.
DR./BCP: testes de restore regulares confirmados por RTO/RPO, atos de exercício e cenários de degradação (graceful).
Anti-abuse: protecção contra bónus-abjuz, acréscimo comportamental, device-signals, regras velocity, monitoramento de queixas.

8) Pagamentos e «caminho para a carteira»

Métodos: cartões, A2A/open banking (PSD2), roteiros instantâneos locais (incluindo soluções populares na Espanha), transferências bancárias.
Requisitos de integração: Idempotidade, assinaturas HMAC webhooks, DLQ/Replicações de Eventos, Monitoramento do Time-to-Wallet e Participação de Autorizações/Sucesso.
Sanções/RER e velocity: controle de fluxo de entrada/saída, procedimentos de retorno/marceback.

9) Relatórios, impostos e extensão (high-level)

Relatórios regulatórios: desempenho financeiro e GGR vertical, métricas RG, queixas/incidentes, mudanças de estrutura/Keu Persons, violações publicitárias e medidas.
Parte fiscal: construção baseada na renda do jogo; cruzamentos com revistas de jogos/pagamentos e dados de PSP/bancos.
Extensão/auditoria: verificações periódicas de políticas, controles técnicos, RG/AML e publicidade; pacotes «evidence-first» (lançamentos/SBOM, vulnerabilidades, DR Ats, telemetria RG).

💡 As taxas/formas e frequências específicas devem ser definidas de acordo com as normas atuais e a sua estrutura corporativa.

10) Processo de licenciamento: fases e indicações de prazo

1. Pré-fit & Gap (1-8 semanas): verticais/canais de destino, cartão de provedores (conteúdo/PSP/KYC), auditoria da preparação de TI, plano de remunções.
2. Conjunto de documentos (4-12 semanas): empresas/finanças/SoF/SoW, Key Persons, políticas AML/RG/publicidade/dados/incidentes/DR., contratos, arquitetura de TI.
3. Controle técnico (4-16 semanas): SDLC/observabilidade/segurança/DR., vulnerabilidades/pentest, atos de restore, requisitos de integração/laboratório (quando aplicável).
4. Revisão e Q&A: questões sobre beneficiários/políticas/TI/dados/publicidade; Entrevista Key Persons; demonstrações de revistas/dashboards e processos RG.
5. Emissão/entrada (2-6 semanas): inclusão de relatórios, on-boarding PSP/conteúdo, dry-run cenários RG/AML/pagamentos.
6. Pós-deveres: relatórios periódicos/auditorias, extensões, variações (beneficiários/vertical/localização).

Caminho crítico: Key Persons → políticas «vivas» → SDLC/observabilidade/DR. (evidence) → Q & A/demo.

11) Prós e contras DGJ

Benefícios

Alta confiança do consumidor e reconhecimento dos bancos/PSP/mídia.
Padrões claros de RG/publicidade; qualidade forte do KYC (DNI/NIE).
Além da capitalização da marca e das oportunidades de parceria na UE.

Contras

Restrições severas de bónus/publicidade e alta OPEX da complacência.
Prova severa de processos (políticas sem artefatos não funcionam).
Baixa tolerância a zonas cinzentas e marketing agressivo.

12) Folha de cheque pronta

12. 1 Definition of Ready (antes da alimentação)

  • Perímetro (vertical/canais/métodos de pagamento) definido; realidade de pagamento confirmada (PSP/bancos/roteiros locais).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); SoF/SoW e ajuda coletados.
  • As políticas AML/RG/publicidade/dados/incidentes/DR. foram aprovadas; treinamentos realizados, um diário de revisões.
  • SDLC: assinaturas de artefatos e SBOM, registro de lançamentos, «no humans in prod», política de reversão.
  • Observabilidade: SLO/SLI-dashboard, verificações sintéticas «depósito/CUS/retirada», retalhos dos logs.
  • Segurança: Pentest/scan encerrados; crítica/alta sem exceções vencidas.
  • Contratos de conteúdo/PSP/KYC/laboratórios/hospedagem; SLA/OLA estão alinhados.
  • Modelo promocional: white-list canais, auditoria de criações, procedimentos parados.
  • Integração com RGIAJ - artefatos técnicos e processuais estão prontos.

12. 2 Definition de Done (após a emissão)

  • Relatórios regulatórios/fiscais incluídos; os donos do KPI estão nomeados.
  • PSP/conteúdo da linha; webhooks assinados (HMAC), idempotidade e DLQ funcionam.
  • Ferramentas RG estão ativas; telemetria de intervenções e registro de decisões estão em andamento; solicitações para RGIAJ - em fluxo.
  • DR./BCP: Testes de restore realizados e atos feitos; O RTO/RPO está normal.
  • Publicidade/afiliados: listas brancas, auditoria de criativos, registro de violações e medidas.

13) RASI (exemplo)

ÁreaResponsibleAccountableConsultedInformed
AML/RG/dados/publicidade (políticas)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/observabilidade/DRPlatform/SRE LeadCTOSecurityTodos os comandos
Pentest/vulnerabilidadeSecurity LeadCTOVendors, SRECompliance
Contratos (PSP/KYC/conteúdo)Payments/Content OpsCOOLegal, SecurityFinance
Pacote/Q & A/demoProgram ManagerCOOTodos os LidsStakeholders

14) Riscos e mitigação

RiscoSinalMedida Mitigante
Atrasos em Key PersonsDop. consultas/entrevistasColeta antecipada, candidatos de reserva
Violações de publicidade/bónusQueixas/multasListas brancas, auditoria de criativos, rígidos T&C
Políticas de «papel» RGClarificações/prescriçõesTelemetria intervenções, relatórios, runbooks
Vulnerabilidades/pentestCritical/high vencidosSAST/SCA/DAST em CI, policy-as-código, fixação rápida
Incidentes de pagamentoPerda/dupla webhooksIdempotidade, HMAC, DLQ/réplicas, monitoramento TtW
RGIAJ falha de fluxoAcesso dos jogadores do registroVerificação online obrigatória, cenários fallback

15) Mapa de trânsito 90-180 dias (exemplo)

Mês 1-2: análise gap, atribuição de Key Persons, remunções de SDLC/observabilidade/segurança, reservas laboratoriais.
Mês 2-3: coleta de pacotes corporativos/políticas, pentest/scan, atos de DR., contratos com PSP/KYC/conteúdo, integração com RGIAJ.
Mês 3-4: inscrição, preparação para Q & A/entrevista, dry-run demonstrações (dashboards, revistas, RG/AML/anúncios-cenários).
Mês 4-6: Q & A/variações, finalização, on-boarding pagamentos/conteúdo, inclusão de relatórios.

Saída breve

A licença espanhola de DGJ é um regime rigoroso, mas previsível, com ênfase em Resolvível Gaming (RGIAJ), disciplina de publicidade/bônus, KYC/AML maduro e controladores de TI comprovados. Se você está preparado para a cultura «evidence-first» (SDLC/observabilidade/segurança/DR, telemetria RG, relatórios transparentes) e respeita as regras locais de marketing, a Espanha dá acesso a um ecossistema de alta confiança de pagamento e fortalece a capitalização da marca na UE.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.