GH GambleHub

Межцепной комплаенс

1) Зачем нужен межцепной комплаенс

Экосистема объединяет несколько «цепей» (операторы, студии/RGS, агрегаторы, аффилиаты/медиа, PSP/APM, KYC/AML-провайдеры, стримеры). Межцепной комплаенс гарантирует, что обмен данными, деньгами и трафиком между цепями соблюдает:
  • законы юрисдикций (игры, реклама, налоги, хранение ПДн);
  • правила приватности и RG (защита игроков);
  • стандарты безопасности и доказуемости (Zero Trust, аудит, оракулы);
  • единые определения метрик и атрибуции (без «двух истин»).

Результат — предсказуемые запуски, меньше споров, управляемые риски и масштабируемая сеть.

2) Онтология межцепного комплаенса

Сущности: `chainId`, `participantId`, `role` (operator/studio/affiliate/psp/kyc/stream), `jurisdiction`, `dataClass` (PII/финансы/операционные), `trustTier`, `contractId`, `policyId`, `exceptionId`, `traceId`.

Слои:

1. Правовой — разрешенные продукты, реклама, налоги/отчетность.

2. Приватность — ПДн/локализация/сроки хранения/правовые основания.

3. RG/этика — лимиты, самоисключение, предупреждения, возраст.

4. Транспорт — API/вебхуки/EDA/шлюзы, шифрование, подписи.

5. Данные — схемы событий, формулы метрик, атрибуция.

6. Финансы — выплаты, холды, чарджбеки, RevShare.

7. Аудит — WORM-журналы, оракулы, доказуемость.

3) Карта юрисдикций и локализация данных

Jurisdiction Map: матрица «рынок × тип активности (игры/реклама/платежи/данные/стриминг)» с статусами Allowed/Restricted/Prohibited + условия (дисклеймеры, лимиты, RTP-диапазоны).
Локализация данных: классы `dataClass` → где храним и обрабатываем; запрет трансграничного экспорта ПДн без DPA/DPIA и сейф-зон.
Сроки хранения: операционные события, финансовые данные, PII — отдельные политики TTL и механизмы авто-пуржа.

4) Идентичность и аттестации

KYP/KYB участников: юридические лица, бенефициары, владение доменами/каналами.
KYC/AML: уровни L0/L1/L2, fast-track для низкорисковых, ручной ревью спорных; согласованные SLA этапов.
Proof of Authorization: криптографическое подтверждение прав на интеграции (подписанные ключи, JWKS, PoP-токены).
Сегментация по ролям: доступы и обязанности в каждой цепи (ABAC/ReBAC, SoD).

5) Контракты данных и каноника метрик

Data Contracts: схемы событий (`click`, `registration`, `kyc_status`, `deposit`, `ftd`, `bet/spin`, `reward_granted`, `postback_received`, `rg_guardrail_hit`) с семантическими версиями в Schema Registry.
Metric Store: единые формулы GGR/NetRev/CR/ARPU/LTV, окна агрегации, владельцы.
Атрибуция: правило last eligible touch, окна по каналам/рынкам, кросс-девайс ститчинг без сырого ПДн (только токены), дедуп (±5 мин), курсорные выгрузки.
Несовместимость = Block: без подписанных схем и формул обмен запрещен.

6) Транспорт между цепями: безопасные мосты

API (REST/gRPC): версии `/vN`, mTLS, `Idempotency-Key`, машинные ошибки, лимитирование.
Вебхуки: JWS/HMAC подпись, `kid/timestamp`, backoff с джиттером, реестр переигровки.
EDA (шина): партиционирование по `traceId/chainId`, бизнес-идемпотентность («ровно один раз» по смыслу).
Трейсинг: W3C `traceparent`; сквозная корреляция до выплат/инвойсов.
Секьюрность периметра: egress-allow-list, короткоживущие токены, ротация ключей; запрет «серых» эндпоинтов.

7) RG и этика в межцепном обмене

Guardrails: обязательные элементы UI-предупреждений, лимиты интенсивности, исключение уязвимых сегментов.
Юридические тексты: локализованные формулы бонусов/рекламы и возрастные фильтры.
Стоп-кнопки: автоматическая пауза маршрутов при RG-флагах или санкциях рынка.

8) Финансы, RevShare и выплаты

Net Revenue (упрощенно): `GGR − BonusCost − Jackpot/PoolShare − PaymentFees − Chargebacks − Tax/Levy − FraudLosses`.
Сплиты «вклад × качество»: доли участников зависят от вклада (рейк/трафик/инфраструктура) и качества `Q` (SLO/RG/ATTR/SEC).
Reconciliation: оракулы с подписями, курсорные выгрузки, акты расхождений, статус инвойсов.
NET/холды/клау-бэки: условия по рынкам и рисковым профилям; чарджбеки связаны с атрибуцией и фрод-сигналами.

9) DPIA/DPA и политика исключений

DPIA: цели обработки, правовые основания, трансграничные потоки, меры минимизации (токенизация, псевдонимизация).
DPA: двусторонние/многосторонние соглашения по ПДн с приложениями по логам/аудиту.
Исключения (Justified Exception): владелец, причина, TTL, автоснятие, WORM-лог и обратная проверка.

10) Репутация и Trust Tiers

Композитный скоринг: `SLO/ATTR/RG/SEC/Finance/Auditability` → `Score` и `trustTier (T1–T4)`.
Управление доступом: лимиты трафика/APM-квоты/участие в пулах/право на пилоты зависят от Tier.
Auto bonus/malus: стабильность SLO → бонус; инциденты RG/SEC → малус/пауза.

11) Наблюдаемость, оракулы и аудит

Оракулы: подписанные сводки GGR/NetRev/SLO/RG с `traceId`, версиями формул и хэшами источников.
WORM-аудит: неизменяемые логи ключевых действий, формул, ставок, исключений.
Дашборды: панель межцепных потоков (лаг, p95, доставка вебхуков, спорные кейсы), scorecards участников, heatmap рисков.
SLA на трейс-пакет: 60–90 секунд для P1/P2.

12) SLI/SLO (целевые ориентиры)

Транспорт: доставка вебхуков ≥ 99.9%, p95 ≤ 1–2 c; API p95 ≤ 150–300 мс; шина: lag p95 ≤ 200–500 мс.
Платежи/KYC: CR по APM × гео в пределах коридора; SLA этапов KYC; auto cut-over при деградации.
Live/контент: e2e ≤ 2–3 c; packet loss ≤ 1%; аптайм SFU/CDN ≥ 99.9%.
Финансы: завершение reconciliation периода в целевом окне; спорность < X%.
Приватность: 0 утечек ПДн; 100% доступности audit-логов.

13) Операционные процессы

Change-calendar: зеленые/желтые/красные окна по рынкам; запрет на эксперименты в «красные».
Прогрессивные релизы: 1%→5%→25%→50%→100% с guardrails и авто-роллбеком.
War-room: матрица P1/P2, стоп-кнопки (трафик/оффер/маршрут/выплата), шаблон RCA «без поиска виноватых».
DR/хаос-учения: шлюзы, шина, казначейство, CDN/SFU; регулярные проверки ключей и JWKS.

14) RACI (пример)

Артефакт/решениеRACI
Jurisdiction Map / локализация данныхLegal/RiskEcosystem OwnerSecurity, DataВсе цепи
Data Contracts / Metric StoreData StewardProtocol CouncilProduct, FinanceИнтегранты
DPIA/DPA / ПДн-политикиPrivacy LeadLegal LeadSecurityПартнеры
Trust Tiers / санкцииGovernance BoardEcosystem OwnerSRE, RiskУчастники
Оракулы/инвойсыFinance OpsEcosystem OwnerData, LegalУчастники
Исключения/апелляцииRisk LeadEcosystem OwnerLegal, ProductВсе

15) Анти-паттерны

«Две истины» по GGR/NetRev/CR/FTD.
Зоопарк постбеков и неподписанные вебхуки → дубли/дыры/споры.
Offset-пагинация под нагрузкой вместо курсоров.
Экспорт ПДн в BI/вытяжки без токенизации и DPA/DPIA.
SPOF-шлюз редиректов/ассетов/инвойсинга без N+1/DR.
Исключения без TTL/аудита — «липкие» override-ы.
SLO «на бумаге» без алертов, авто-малуса/бонуса и стоп-кнопок.
Неотслеживаемая атрибуция (нет `traceId`) — расчеты недоказуемы.

16) Чек-листы

Проектирование

  • Jurisdiction Map, локализация, TTL хранения.
  • Data Contracts + Schema Registry; Metric Store (формулы, окна, владельцы).
  • DPIA/DPA; RG-политики; паспорт артефактов (офферы/игры/APM/KYC).
  • Шлюзы: mTLS, JWS/HMAC, egress-контроль, ключи/JWKS, лимиты.
  • Атрибуция: last eligible touch, дедуп, курсоры, кросс-девайс токены.
  • Оракулы/инвойсинг; WORM-аудит; дашборды/алерты.
  • Политика Trust Tiers, бонус/малус, стоп-кнопки.

Запуск

  • Песочница и conformance-тесты (API/EDA/вебхуки, подписи, идемпотентность).
  • Нагрузочные/хаос-прогоны; DR-план; change-calendar.
  • Канареечный трафик с auto-rollback; SLA на трейс-пакет 60–90 с.

Эксплуатация

  • Еженедельный reconciliation/акты; ревью спорных кейсов.
  • Ежемесячные чейнджлоги формул/весов/Tier.
  • Ротация ключей/сертификатов; ревью зависимостей/уязвимостей.
  • Регулярные RG/Privacy-аудиты и обновление DPIA/DPA.

17) Дорожная карта зрелости

v1 (Foundation): Jurisdiction Map, базовые Data Contracts и SLO, двусторонние соглашения, ручной инвойсинг/аудит.
v2 (Integration): оракулы/подписанные сводки, единая атрибуция и курсоры, scorecards и auto bonus/malus, общие дашборды.
v3 (Automation): предиктивный cut-over платежей/KYC, динамические лимиты по Tier, smart-reconciliation, авто-апелляции.
v4 (Networked Governance): федеративный обмен сигналами доверия/комплаенса между цепями, DAO-правила сплитов и прозрачные казначейства.

18) Метрики успеха

Право/приватность: 0 утечек ПДн, успешные DPIA/DPA-проверки, 100% доступность аудита.
Качество/риск: точность/своевременность постбеков, lag шины, MTTR инцидентов, спорность < X%.
Бизнес: uplift CR/FTD/ARPU/LTV от межцепных маршрутов, предсказуемость NetRev/кэша.
Техника: p95 API/вебхуков, аптайм шлюзов/CDN/SFU, покрытие трейcингом ≥ 95%.
Партнерство: доля узлов T3/T4, «время на трейс-пакет», % авто-reconciliation.

Краткое резюме

Межцепной комплаенс — это архитектура совместимости и доказуемости: единые контракты данных и формулы, безопасные мосты и сквозная атрибуция, строгие RG/Privacy-правила, оракулы и WORM-аудит, репутация и SLO-гардрейлы. Такой каркас превращает сеть из набора интеграций в само-регулируемую, масштабируемую и юридически устойчивую экосистему.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.