GH GambleHub

Operações e Complaens → tratamentos KYC e níveis de verificação

Procedimentos KYC e níveis de verificação

1) Para quê o KYC

A KYC (Know Your Customer) é a base de uma plataforma iGaming responsável e segura: impede o acesso de menores, reduz os riscos de frod/lavagem, apoia as exigências de licenças e parceiros de pagamento, protege a reputação.

Objetivos:
  • Confirmar identidade e idade.
  • Avaliar o risco básico do jogador e ajustar medidas risk-based.
  • Garantir que as transações sejam rastreáveis e depozit↔vyvod.
  • Suporte à AML/Resolvível Gaming e às exigências dos provedores/reguladores.

2) Princípios KYC

1. Risk-Based Approach (RBA): A profundidade da verificação depende do perfil (país, métodos de pagamento, comportamento).
2. Progressive Disclosure: Coletamos exatamente o número de dados que você precisa no nível de risco atual.
3. Evidence-by-Design: Todas as soluções e documentos são salvos como provas (auditoria trail).
4. Privaciy-first: Minimização de PDN, camuflagem, tempo e acesso limitado.
5. Re-Verification: Reexaminação de eventos de risco (conclusões, aumento de limites, mudança de adereços).
6. Explorável & Consistent: Regras e exceções documentadas e verificáveis.

3) Níveis de verificação (Tiered KYC)

KYC0 - Pré-registo/Fricchen-light

Coleta país, idade (self-attest), email/telefone (OTP).
Pré-sanção/RR screening por nome/telefone/correio (baixa confiança).
Restrições: sem depósitos/conclusões, apenas revisão de conteúdo/bônus sem taxas.

KYC1 - Identificação básica

Documento de identidade (passaporte/ID/água. identificação) + selfie/biometric liveness (pelo mercado).
Validação MRZ/Barkod, controle de data de validade, país de lançamento.
Verificação de idade, sanção primária/RR screening.
Os limites de depósito/taxa/conclusão são básicos.

KYC2 - Confirmação de endereço (PoA)

Documento que confirma o endereço (utility bill/extrato bancário/registro), KBA, se necessário.
Geo-coerência IP/dispositivo/método de pagamento ≈ endereço de registro.
Limites avançados e acesso a saques.

KYC3 - EDD/ SoF/SoW

Grandes rotações/conclusões, VIP, pattern suspeitos, geo de alto risco/técnicas.
Fonte de fundos (SoF) e origem da fortuna (SoW): atestados de rendimentos, salários, impostos, saques.
Talvez entrevistas ou explicações escritas.
Acesso a limites elevados/saques acelerados após aprovação.

4) Desencadeadores de elevação/Re-KYC

Financeiro: montante de saques solitários, rotação por período, mudanças frequentes de métodos de pagamento.
Comportamentos: perfil anormal win/loss, atividade noturna, muitas sessões curtas.
Técnica: alteração frequente de dispositivos/IP/ASN, proxy/redes de alto risco.
Perfil: discrepâncias FIO/endereço/data de nascimento entre as fontes.
Eventos: alteração de adereços de pagamento, aumento de limites, conexão de plano VIP.

5) Sanções, PEP e mídia negativa

Screening para: inscrição, conclusão do KYC1/2/3, antes da grande retirada, quando os adereços forem alterados.
Revalidar ao atualizar guias (diárias/semanais).
A lógica das coincidências é fuzzy match, em breve, tríplice manual de casos fronteiriços.
Links de fontes/malas - em evidence.

6) Documentos e alternativas

ID/passaporte/água. direito, PoA, conta comunitária, extrato bancário ≤ 3 mil dólares.
Alternativas: eID/BankID/API pró-ativa do provedor, KBA (knowledge-based), confirmação de microtranação.
Biometric: selfies com verificação liveness; armazenar modelos de biometria apenas se necessário e de acordo com normas locais.
Desvios: cópias em preto e branco, documentos vencidos, fotos desfocadas - regras de desvio automático.

7) Data & Privacy

Minimização: Solicitamos apenas o necessário; compartilhamos os artefatos KYC e os dados de jogo/marketing.
Disponíveis: RBAC/ABAC, registros de leitura/emissão de arquivos, watermarks.
Retensschn: por jurisdição/licença (normalmente 5 + anos após a última operação).
Criptografia: at rest/in transit, chaves no HSM/Vault, URL temporário para visualização.
Solicitações de dados SLA para exportação/correção/remoção dentro de limites válidos.

8) Control-/Policy-as-Code (fragmentos)

Política de níveis KYC: 
yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance
Trigger re-KYC quando os adereços são alterados: 
yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]
Recriação de sanções: 
yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (fatias)

SOP: Verificação KYC1

1. Verificar a totalidade do pacote (ID + selfies, metadados de download).
2. Validar documento (MRZ/Barkod, data limite, país), verificar FIO/DR.
3. Mapear selfies (face match, liveness).
4. Expulsar sanções/RER; as coincidências → triagens.
5. Atribuir KYC1, atualizar limites, gravar evidence.

SOP: KYC2 (PoA)

1. Verificar o documento ≤ 90 dias, o endereço no formato/idioma válido.
2. Mapear endereço com IP/dispositivo/métodos de pagamento.
3. Emitir KYC2, ampliar limites/conclusões, gravar evidence.

SOP: EDD/SoF (KYC3)

1. Pedir uma lista de documentos (salários/impostos/saques) e explicações.
2. Mapear somas/frequências/fontes com circulação e perfil.
3. Decisão: aprovar/limitar/fechar; quando suspeito, processo SAR/AML.
4. Atualizar perfil de risco, limites, evidence.

10) Integração

Provedores KYC: IDV, PoA, biometric, sanções/RER (batch + event-driven).
Payments: Controle de fonte, velocidade, colinas até a conclusão do KYC.
AML/Case Management: cartão colaborativo do jogador, estatais, SLA.
CRM/Apoio: modelos de comunicação, estatais KYC, ETA e lembretes.
DWH/BI: Vitrines de eventos KYC, relatórios de períodos de licenciamento.

11) KPI/OKR

Processos:
  • KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
  • Auto-pass Rate (sem participação manual), Manual Tail (parte manual).
  • Sanções/PEP Hit Rate e Precision sobre as malas confirmadas.
Qualidade e risco:
  • Falso Reject Rate documentos, Doc Quality Fail%.
  • Mismatch IP/Address frequência, Payout Blocked du KYC (mediana do tempo até o desbloqueio).
  • Evidence Completeness ≥ 98%.
Experiência dos jogadores:
  • KYC Drop-off em passos, CSAT/NPS em processos KYC.

12) Folhas de cheque

Arranque KYC-flow:
  • Concordâncias/políticas de dados adotadas.
  • Foi feito um screening inicial de sanções.
  • Os canais de comunicação estão confirmados (OTP/email).
KYC1:
  • Validen ID e selfie, extraviado liveness.
  • Coincidência FIO/DR./país.
  • Sanções/RER: «clear» ou caminho para triagem.
KYC2:
  • PoA fresco e lido; o endereço está normal.
  • Coerência geo (IP/dispositivo/método de pagamento).
KYC3 (EDD/SoF):
  • Conjunto completo de documentos, os valores correspondem à rotação.
  • A solução e a justificativa foram registradas (evidence) e o perfil de risco foi atualizado.
Evento RE-KYC:
  • Razão e data, bloqueios/limites aplicados corretamente.
  • A comunicação ao jogador foi enviada (ETA/passos).

13) Anti-pattern

Uma verificação «pesada» universal para todos - alta rejeição e custos.
Verificações manuais sem SLA/logs ou duplo controle.
Armazenamento de biométricos/documentos sem fundamento estrito e retensivo.
Nenhum vínculo com pagamentos: é possível retirar até KYC2/3.
Não há um recall de sanções e eventos de ré-KYC.
Duas versões da verdade: KYC em Excel e dados de transações em DWH sem acoplamento.

14) 30/60/90 - plano de implementação

30 dias (fundações):
  • Aprovar política KYC (tiers, desencadeadores, SLA, retenss).
  • Ligar IDV/sanções/PEP, executar KYC1 e PoA-flow.
  • Configure o Controls-as-Code: re-KYC para payout-mudança, recriação de sanções.
  • Incluir armazenamento de evidence e RBAC.
60 dias (escala):
  • Processos, champlon de comunicação e case-management.
  • Integração com pagamentos (fonte-to-nature, velocity), unidade automática até KYC2/3.
  • Dashboards KPI (TAT, Auto-pass, Manual Tail, Hit-Rate).
  • Piloto biométrico liveness/BankID (onde disponível).
90 dias (fixação):
  • A redução do Manual Tail ≥ de 30% e do KYC1 median TAT ≤ alvo, Falso Rejt ↓.
  • Regulamento da re-KYC e do recall de sanções, auditoria da conformidade.
  • Vincular KPI a comandos OKR (Compliance/Ops/Payments/Apoio).

15) FAQ

Q: Quando pedir o endereço (PoA)?
A: Ao atingir o limite de depósito/conclusão, inadequação de geo/método ou sob os requisitos do país/licença.

Quando é que precisas de SoF/SoW?
A: Em alta rotação/VIP, anomalias, geo de alto risco/métodos, antes de uma grande conclusão.

Q: Como reduzir a rejeição de KYC?
A: Dicas de celular/ocr-validação, exigências de fotos compreensíveis, suporte de BankID/eID, divisão em passos, reversão rápida.

Como proteger a privacidade?
A: Minimização, criptografia, RBAC rigoroso/registros de acesso, retenções automáticas e políticas de remoção.

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.