GH GambleHub

Продление и аудит лицензий

1) Зачем это важно

Лицензия — не статический документ, а обязательство поддерживать стандарты RG/AML, безопасности, данных и отчетности. Успешное продление и аудит подтверждают управляемость рисков, зрелость процессов и готовность к масштабу.

Ключевые принципы: evidence-first, no-humans-in-prod, policy-as-code, traceability.

2) Виды продлений и аудитов

Продление лицензии (renewal): по календарю (обычно ежегодно/раз в N лет) — подача формы, сборов и пакета доказательств по контролям.
Вариации/изменения (variation): смена бенефициаров, добавление вертикалей, локаций хостинга, ключевых лиц — требуют отдельного согласования.
Регуляторный аудит: проверка политики/отчетности, маркетинга/аффилиатов, RG/AML, журналов инцидентов.
Техаудит/лаборатории: RNG/RTP, SDLC/релизы, уязвимости/пентест, DR/BCP, хостинг и логи.
Финансовый аудит: GGR/налоги/резервы, корректность бонусных списаний, реестры выплат.
GDPR/DPA аудит: DPIA, реестр обработок, ответы субъектам, утечки/уведомления.
PCI DSS (если работаете с PAN): сегментация, токенизация, журналы доступа, сканы ASV.

3) Календарь продления: ориентировочная шкала

T–90…60 дней — gap-анализ, обновление политик, бронирование лабораторий/аудиторов.
T–60…30 — сбор артефактов (логи, SBOM, отчеты сканов/пентестов, DR-акты), подтвердение Key Persons.
T–30…14 — финал пакета, внутренняя выборка доказательств (sampling), подготовка ответственных к интервью.
T–14…0 — подача renewal-пакета, оплата сборов, SLA-окна на ответы регулятору.
T+0…+30 — Q&A/запросы, ремедиации, подтверждение продления.

💡 Критический путь: Key Persons → политики/процедуры → техдоказательства (SDLC/логи/DR) → лаборатории/аудиторы → Q&A.

4) Evidence-пакет: что готовить заранее

Орг/право: структура владения, SoF/SoW (при изменениях), CV и справки Key Persons, реестр делегирований.
Политики: актуальные AML/CTF, RG, реклама/аффилиаты, защита данных (DPIA), инциденты, DR/BCP; журнал ревизий и тренингов.

ИТ и релизы:
  • журнал релизов с SBOM и подписями артефактов;
  • отчеты SAST/SCA/DAST, план ремедиации, отсутствие «critical/high» без активных исключений;
  • наблюдаемость: дашборды SLO/SLI, синтетические проверки «депозит/KYC/вывод»;
  • логирование: структурированные логи без PII/PAN, ретеншн и поиск;
  • DR/BCP: акты restore-тестов, RTO/RPO, протоколы аварийных учений.
  • RG/AML: реестр интервенций и исходов, self-exclusion (локальный/национальный), отчеты подозрительных операций (STR/SAR), санкционный/PEP-лог.
  • Маркетинг/аффилиаты: белые списки каналов, выборка креативов с аппрувалами, журнал нарушений и мер.
  • Финансы/налоги: отчеты GGR по вертикалям, корректировки бонусов/джекпотов, сверки с PSP/банками.

5) Формат и трассируемость

Каждая политика ↔ контролям ↔ доказательствам (скриншоты, выгрузки, отчеты с хешем и датой).
Единый индекс «Evidence Map»: контроль → где хранится → ответственный → дата обновления.
Версионирование пакета (Git/репозиторий) + контроль доступа, чтобы аудиторы могли выборочно просматривать артефакты.

6) Требования к ИТ/данным (что чаще всего смотрят)

SDLC/релизы: staging-пайплайны, ручные/авто-гейты качества, политика отката, запрет прямых изменений в проде.
Supply chain: подписи артефактов, SBOM, проверка на admission, политика уязвимостей.
Секреты и доступ: SSO/MFA/PAM, короткоживущие токены, журналы привилегированных сессий.
Сеть: сегментация, WAF/бот-менеджмент, DDoS, mTLS/egress-контроль.
Наблюдаемость: OTel-трейсы, SLO dashboards, алерты error-budget, SRM-чек в экспериментах.
Данные: DPIA, минимизация, данные по регионам (residency), журналы доступа к PII/PAN.
DR/BCP: бэкапы, регулярные restore с протоколами, учения по переключению.

7) Прохождение аудита: тактика

1. Kickoff и scope: согласовать периметр, список выборок, формат доказательств.
2. Data room: подготовить структурированный доступ к Evidence Map.
3. Dry-run интервью: MLRO/DPO/RG-Lead/CTO/SRE — прогон Q&A и демонстраций.
4. Live-сессии: показываем логи, SLO-дашборды, релизные артефакты, DR-скрипты.
5. Ремедиация: согласуем приоритеты и сроки, фиксируем в трекере.
6. Closure: отчет аудита, уроки, обновление политик/контролей, ретро.

8) План ремедиации (шаблон)

IDНахождениеРискДействияВладелецСрокСтатус
SEC-01Отсутствует подпись образов в 2 сервисахHighВключить подписи и admission policyPlatform Lead15 днВ работе
RG-02Неполная телеметрия интервенцийMediumРасширить события/дашборд, провести тренингRG Lead10 днПлан
AML-03Просрочены 2 исключения по уязвимостямHighЗакрыть/обновить исключения, отчет в SIEMSecurity Lead7 днГотово

9) RACI (пример: программа продления)

ОбластьResponsibleAccountableConsultedInformed
Evidence Map и дата-румCompliance PMHead of ComplianceSecurity, Platform, DataExec
Политики и тренингиCompliance LeadCOOLegal, HRAll
SDLC/релизы/SBOMPlatform/SRE LeadCTOSecurityCompliance
Пентест/уязвимостиSecurity LeadCTOVendorsCompliance
RG/AML отчетностьRG Lead / MLROCOOSupport, DataExec
Маркетинг/аффилиатыMarketing OpsCMOLegal, ComplianceFinance
Финансы/GGR/налогиFinance LeadCFOPSP, ContentExec

10) Чек-листы

10.1 Definition of Ready (за 60–90 дней до дедлайна)

  • Обновлены политики AML/RG/реклама/данные/инциденты; проведены тренинги.
  • Подтверждены Key Persons, актуальны SoF/SoW (если требуются).
  • Собраны отчеты SAST/SCA/DAST и пентест, закрыты critical/high без просроченных исключений.
  • Журналы релизов со SBOM/подписями доступны; admission-policy в состоянии enforce.
  • Доступны дашборды SLO/SLI и отчеты синтетических проверок «депозит/KYC/вывод».
  • Акты DR/restore-тестов в пределах SLA RTO/RPO.
  • Реестры RG/AML: интервенции, SAR/STR, self-exclusion; отчеты по санкциям/PEP.
  • Маркетинг/аффилиаты: белые списки каналов, выборка креативов с аппрувалами.
  • Финансовая отчетность GGR/налоги сверена с PSP/банками.

10.2 Definition of Done (после подтверждения продления/аудита)

  • Получено письмо/сертификат продления, обновлены реестры/сайт/документы.
  • Закрыт план ремедиации, обновлены политики и Evidence Map.
  • Проведено ретро: уроки, изменения в процессах, обновлен календарь.
  • Отправлены уведомления провайдерам/PSP (при необходимости).

11) Работа с аффилиатами и рекламой в период аудита

Подготовьте реестр каналов, выборку креативов, доказательства таргета 18+/21+, лог согласований.
Процедура «stop-list» для нарушающих партнеров, условия в договорах о RG/AML-комплаенсе.
Дашборд частоты показа/ограничений и блок-листов.

12) Управление рисками (registry)

РискВероятность/ИмпактПризнакКонтрольВладелец
Просрочка критичных уязвимостейM/HFindings > 14 днПолитика «no critical/high», автотрекингSecurity
Неполные RG-журналыM/MПробелы в событияхКаталог событий, Data QARG Lead
Недостаточная доказуемость SDLCM/HВопросы к релизамSBOM/подписи, журнал измененийPlatform
Нестабильные DR-процедурыL/HRTO/RPO не достигнутыЕжеквартальные restore-тестыSRE
Нарушения рекламы/аффилиатовM/MЖалобы, штрафыБелые списки, аудит креативовMarketing

13) Мини-шаблоны

Шапка Evidence Map (CSV): 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
План аудита (1 страница):
  • Scope/цели
  • Список выборок и формат доказательств
  • Календарь сессий/интервью
  • Роли и контакты
  • Канал Q&A и SLA ответов

14) Частые вопросы

Нужно ли подавать все артефакты сразу? Нет: подайте базу, а выборки давайте по запросу — но держите все готовым.
Можно ли компенсировать отсутствие части логов? Только с объяснимой причиной и планом исправления (и сроками).
Что важнее для регулятора — политика или доказательства? Всегда доказательства, подтверждающие, что политика реально работает.

15) Краткий план на 30 дней (ускоренный трек)

Неделя 1: финальный gap-анализ, обновление политик, замер SLO/логов, бронь аудиторов.
Неделя 2: сбор SBOM/подписей/релизных журналов, отчеты уязвимостей/пентест, акты DR.
Неделя 3: консолидация RG/AML/маркетинга, сводные дашборды, dry-run интервью.
Неделя 4: подача, Q&A, быстрые ремедиации и подтверждение продления.

Краткий вывод

Продление и аудит — это не разовая «сдача отчета», а регулярная демонстрация зрелости процессов. Стройте календарь, ведите Evidence Map, автоматизируйте контроли как код, держите наблюдаемость и DR в тонусе. Тогда продление превратится из риска в рутину, а аудит — в источник улучшений и доверия со стороны регуляторов, партнеров и игроков.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.