Transações e Complaens: Tipos de licenças e requisitos

Tipos de licenças e requisitos

1) Quadro de tipos de licenças

• B2C: direito de oferecer jogos aos usuários finais (casino, live, betting, poker, lotto, etc).
• B2B (fornecedor): direito de fornecer plataforma/conteúdo/serviço para operadoras (plataforma, jogos/RNG, estúdios ao vivo, pagamentos como provedor de tecnologia, hospedagem).

• Casino/Slots, Live Casino, Sportsbook (fixed-odds, in-play), Poker (P2P), Bingo/Lottery, Fantasy/Skill-based.

• Licença própria (operador/dono de marca).
• White-Label (B2C por meio de uma licença de plataforma com sublocação/permissão).
• Skin/Brand Autorization (conectar marcas adicionais a uma licença existente).
• Modelo distribuído (licença local + infraestrutura regional cruzada, espelhos/edge/localização de dados de acordo com as normas).

2) Requisitos: o que os reguladores perguntam (esqueleto)

Legais/Corporativos

Beneficiários, estrutura de posse, falta de sanções/antecedentes.
Presença local (pessoa jurídica/representação/oficial responsável).
Contratos com provedores (B2B), direitos de conteúdo, hospedagem/centro de dados.

Financeiro

Capital mínimo/reservas, garantias financeiras/garantias bancárias.
Contas individuais de clientes/segregação de fundos, procedimentos anti-chargeback.
Relatórios auditados, fontes de fundos de beneficiários (SoF/SoW).

Técnica (plataforma/infraestrutura)

Arquitetura, Logação/Observabilidade, Reserva, DR./BCP.
Jogos honestos RNG/matemática, certificação de conteúdo, controle de alterações de versões.
Segurança da Informação: criptografia at rest/in transit, IAM, registro de ação Admin.
Geo-limitação/localização de dados, proteção contra bots e fraudes.

RG/KYC/AML

Idade/verificação de identidade e endereço, RER/sanções, limites/auto-exclusão.
Monitorar transações e comportamentos (SoF), procedimentos EDD.
Registros de auto-exclusão/lista preta, treinamento de pessoal.

Marketing/publicidade/afiliações

Discricionários de idade, proibição de promessas «sem risco», restrição de canais/slots temporários.
KYB afiliados, biblioteca criativa, rastreamento UTM/fonte de tráfego.

Relatórios e auditorias

Descarga periódica/real-tempo (GGR, mala RG, queixas, AML/SAR).
Auditorias externas/internas: auditoria, auditoria do jogo/RNG, auditoria de segurança/privacidade.
Incidente-reportagem (SLA notificações reguladoras/bancos/jogadores).

3) Modelo de dados «registro de licenças» (YAML)

yaml license_id: B2C-CASINO-<COUNTRY>-<NNN>
role: b2c      # b2c      b2b verticals: [casino, live, betting]
jurisdiction: <ISO-2>
holder: <legal_entity>
brands: [brandA, brandB]
local_presence: required  # required      optional      none valid_from: YYYY-MM-DD valid_to: YYYY-MM-DD financial_guarantee: {type: bank_guarantee, amount: <currency_amount>}
tech_requirements:
rng_cert: true siem_logs: true dr_rto: "30m"
data_localization: false rg_kyc_aml:
kyc_levels: [basic, address, edd]
self_exclusion: registry aml_ruleset: "v3. 1"
ads_affiliates:
disclaimers: [age, wagering_conditions]
restricted_channels: [tv_daytime]
reporting:
frequency: monthly formats: [csv, api]
realtime: [rg_cases]
contacts:
compliance_officer: email@domain mlro: aml@domain review_sla_days: 180 status: active

4) Ciclo de vida da licença e obrigação

4. 1. Reclamação de licença (Aplicação)

Pré-DD: estrutura, SoF/SoW, empresa/agente local, contratos com B2B.
Pacote técnico: esquema arquitetônico, segurança, BCP/DR., processos de lançamento/alterações, loging/auditoria.
Conteúdo: RNG/matemática, lista de provedores, integração.
Políticos operacionais: RG/KYC/AML, incidentes, publicidade, queixas.
Finanças: capital/garantia, plano de negócios, previsão de relatórios e impostos.

4. 2. Fase operacional (Post-grant)

Cumprimento de Policy/Controls-as-Code.
Relatórios programados, registros (queixas, AML/mala RG, incidentes).
Concordâncias de mudanças: lançamentos, novos provedores, mudança de hospedagem/datacenter, novos métodos de pagamento.

4. 3. Extensão (Renewal)

Certificados de segurança RNG atualizados.
Auditoria do período, RG/AML, estatísticas de queixas.
Confirmação da sustentabilidade financeira/garantias.

4. 4. Alterações

Adição vertical/marca, white-label/skin, migração de plataforma.
Notificações de mudança de beneficiários/diretorias.
Mudanças na política publicitária e na rede afiliada.

5) Matriz de obrigação de papel/vertical (exemplo)

6) Folha de cheque do pedido (Aplicação Dossier)

Bloco corporativo

• Estrutura de propriedade/beneficiários/SoF/SoW.
• Direito/representante local, autoridade dos oficiais.

Finanças

• Relatório/plano auditado.
• Garantia bancária/seguro/depósito.

Técnica

• Arquitetura, observabilidade/loging/auditoria, CI/CD, gerenciamento de alterações.
• BCP/DR. (RTO/RPO, protocolos de teste), segurança (criptografia, IAM, segredos).
• RNG/certificação de conteúdo, controle de lançamentos de jogos.

Operações/políticas

• RG/KYC/AML, queixas, incidentes/reportagem, safort/SLA.
• Publicidade/afiliados: regras, modelos, biblioteca de criativos.

Relatórios

• Formatos de carregamento, frequências, arquivos de teste, contatos.

7) Controle de venda: Policy-/Controls-as-Code

yaml control_id: RG-LIMIT-LOSS-DAILY scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: player_template_rg_limit evidence:
fields: [loss_today, limit, messages_sent, ack]
overrides:
- country: <ISO>
set: {limit_loss_daily: <amount>, cool_off_hours: <N>}
owner: rg_officer review_sla_days: 180

yaml control_id: AML-VELOCITY-01 scope: deposits trigger:
expr: rolling_sum(amount, 1h) > baseline_30d3 OR count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: mlro evidence:
store: s3://evidence/aml-velocity/{player_id}/{ts}
owner: mlro

yaml policy_id: RELEASE-GATE-COMPLIANCE require:
- country_overrides_present: true
- report_schemas_valid: true
- rg_controls_enabled: true
- ads_templates_localized: true on_fail: block_release

8) Gerenciamento de alterações sob licença (SOP, fatias)

SOP: Adição de uma nova marca (skin)

1. Verificar os termos da licença (se a marca é autorizada).
2. Registrar marca/domínio/localização/marcas etárias.
3. Vincular RG/KYC/AML/Ads a políticas e relatórios.
4. Testar relatórios (brand-split) e incluir registros.
5. Notifique o regulador/banco (se necessário), anote a evidência.

SOP: Conexão do novo provedor de jogos

1. Verificar o status/certificados do provedor no registro.
2. Alinhar conteúdo-set/vertical, ajustar RNG/métricas/logs.
3. Atualizar relatórios (ID de jogo/provedor).
4. Lançar o lançamento pela policy-gate, recolher a evidência.

9) RACI (funções)

10) Calendário de compromissos (Compliance Calendar, por exemplo)

Todos os dias: RG/AML monitorização, incidente-reportagem nos factos.
Todos os dias: relatórios de integração de provedores/pagamentos, verificação de alertas.
Mensalmente: downloads regulatórios (GGR/bet/mala RG), verificações com DWH.
Quartal: auditoria/scan de segurança, relatórios de provedores, revezamento Policy/Controls.
semestre/ano: renovação de certificados RNG/IB, auditoria da eficiência dos controladores, renovação de licenças/autorizações.

11) Anti-pattern

«Licença é - processos depois»: falta de Controls-as-Code, relatórios e evidence.
Duas versões da verdade: relatórios Excel ≠ logs produtivos.
Falta de bond-split nos dados, «um monte» de métricas.
EDD manual sem regulamento/prazo ou registro.
Publicidade através de afiliados sem KYB e biblioteca de criativos.
Não há testes de DR./registros de alterações para RNG/jogos.

12) Métricas de maturidade

Controladores de coverage: ≥ 95% pontos críticos (registro/depósito/taxas/retirada/bônus).
Reporting SLA: tempo de descarga ≥ 98%, erros de esquema = 0.
Evidence completeness: ≥ 98% das malas com pacotes corretos.
RG/AML KPIs: proporção de malas evitadas/escaladas, Falso Positivo ↓ QoQ.
Auditoria de findings TTR: encerramento ≤ 90 dias.
Policy review SLA: revisões vencidas = 0.

13) 30/60/90 - plano de implementação

• Criar registro de licenças e taxonomia de requisitos de papéis/verticais.
• Elevar o conjunto básico do Controls-as-Code (RG/AML/relatórios).
• Montar os modelos de aplicação (corporativo/financeiro/ti/operacional).
• Incluir release-gate compliance em CI.

• Ligar vitrines de relatório e automatizar descarga (brand-split, country-split).
• Incorporar RG/KYC/AML aos flow de alimentos; iniciar evidence-by-design.
• Realizar a primeira auditoria interna e teste de DR./BCP sob RTO/RPO licenciados.

• Cobrir com controladores 95% dos pontos críticos, Reporting SLA 98%.
• Formalizar o RACI e o calendário de compromissos; vincular KPI a comandos OKR.
• Preparar o pacote para renovar/variar a licença (variações de marcas/verticais).

14) FAQ

Q: O que escolher uma licença própria ou white-label?
A: Sua licença é superior a SARECH/prazo, mas o controle e avaliação do negócio é maior. White-label - lançamento mais rápido, abaixo flexibilidade/avaliação, dependência do proprietário da licença.

Q: Como minimizar os riscos de rejeição?
A: Forte técnica (segurança/DR./observabilidade), garantias financeiras, SoF/SoW transparentes, processos RG/AML maduros e «evidence-by-design».

Q: Como gerenciar alterações de provedores/conteúdo?
A: Através de procedimentos variação: concordância prévia, controle de versões de jogos/RNG, relatórios e registros de lançamentos.