GH GambleHub

Лицензия Испании

1) Обзор и позиционирование

DGOJ (Dirección General de Ordenación del Juego) — один из самых требовательных регуляторов ЕС. Режим ориентирован на высокую потребительскую защиту: строгие правила Responsible Gaming, четкие ограничения рекламы и бонусов, зрелые требования к KYC/AML и доказуемые ИТ-контроли. Лицензия ценится банками/PSP и крупными вендорами контента, но требует дисциплины «evidence-first».

Кому релевантна:
  • Операторам, строящим долгосрочный бренд в ЕС с упором на комплаенс и репутацию.
  • B2B-платформам/агрегаторам/студиям, работающим с европейским пулом операторов.

2) Типы лицензий и периметр

B2C (операторская): казино/слоты, ставки, покер, бинго и др. для игроков, находящихся в Испании. Полный периметр: касса/выплаты, KYC/AML, RG, реклама/аффилиаты, поддержка, регуляторная и фискальная отчетность.
B2B/поставщики: требования зависят от роли (платформа, контент, хостинг); обязательны совместимость, интеграционные акты и экспорт телеметрии для лицензиатов.
Персональные роли: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 При портфеле B2C + B2B процессы, журналы и отчетность разделяются.

3) Responsible Gaming (ядро режима)

RGIAJ — национальная система самоисключения: оператор обязан проверять каждого игрока; доступ блокируется при активной записи.
Инструменты игрока: лимиты депозитов/потерь/времени, реальность-чеки, тайм-ауты/охлаждение, история активности, ограничения ночной активности (по внутренним политикам и требованиям).
Поведенческий мониторинг: ранние признаки проблемной игры, протоколы мягких/жестких интервенций, журнал контактов и исходов, эскалации в службу RG.
Бонусы и промо: строго регламентированы; запрет вводящих в заблуждение механик, прозрачные T&C, ограничения агрессивного ретаргета.

4) KYC/AML и санкции

KYC: верификация личности/возраста граждан по DNI, иностранцев по NIE/паспорт; адрес/резиденция — по документам/источникам.
Risk-based AML/CTF: профили игроков/гео/методов оплаты, PEP/санкционные списки, EDD-триггеры, журнал решений, STR/SAR-процедуры.
Транзакционный мониторинг: velocity/аномалии, контроль источников средств при подозрениях, правила по лимитам и поведенческие модели.
Crypto/он-чейн (если применимо): политика кошельков, провайдеры аналитики, контроль выводов.

5) Реклама, аффилиаты и коммуникации

Возрастные барьеры и площадки: строгий контроль таргетинга; запреты на вводящие в заблуждение обещания, требования к маркировке.
Временные окна и контент: ограничение времени трансляции/форматов рекламы; повышенное внимание к защите несовершеннолетних и уязвимых групп.
Аффилиаты: договорная ответственность за RG/AML/данные; white-list каналов, аудит креативов, стоп-процедуры и трассируемость трафика.
Инфлюенсеры/стримы: дополнительные требования к аудитории, прозрачность размещений и T&C.

6) Данные и приватность (GDPR/AEPD)

Законность и минимизация: DPIA для высокорисковых процессов; хранение PII/PAN минимально и по целям; контроль доступов и журналирование.
Права субъекта: доступ/исправление/удаление/переносимость в регламентные сроки; процедурные гайды для поддержки.
Инциденты/брич: планы уведомления регулятора/субъектов, журнал расследований и ремедиаций.
Трансграничные потоки: DPA с процессорами, контролируемые передачи и резидентность критичных наборов данных.

7) Технические стандарты: SDLC/наблюдаемость/безопасность/DR

SDLC и релизы: staging-пайплайны, контроль изменений, подписи артефактов и SBOM, политика отката, «no humans in prod», доказуемый журнал релизов.
Observability: структурированные логи (без PAN и лишних PII), метрики и трассировки (OTel), SLO/SLI, синтетические проверки «депозит/KYC/вывод», управляемый ретеншн.
Security: сегментация, mTLS, WAF/бот-менеджмент, SSO/MFA/PAM, SAST/SCA/DAST в CI/CD, регулярный пентест и отсутствие просроченных critical/high.
DR/BCP: регулярные restore-тесты, подтвержденные RTO/RPO, акты учений и сценарии деградации (graceful).
Anti-abuse: защита от бонус-абьюза, поведенческий скоринг, device-signals, velocity-правила, мониторинг жалоб.

8) Платежи и «путь в кошелек»

Методы: карты, A2A/открытый банкинг (PSD2), локальные мгновенные рельсы (включая популярные в Испании решения), банковские переводы.
Требования к интеграциям: идемпотентность, HMAC-подписи webhooks, DLQ/реплей событий, мониторинг Time-to-Wallet и долей авторизаций/успеха.
Санкции/PEP и velocity: контроль входящих/исходящих потоков, спец-процедуры для возвратов/chargeback.

9) Отчетность, налоги и продление (high-level)

Регуляторная отчетность: финансовые показатели и GGR по вертикалям, RG-метрики, жалобы/инциденты, изменения структуры/Key Persons, рекламные нарушения и меры.
Фискальная часть: построение на базе игрового дохода; сверки с журналами игр/выплат и данными PSP/банков.
Продление/аудит: периодические проверки политик, техконтролей, RG/AML и рекламы; «evidence-first» пакеты (релизы/SBOM, уязвимости, DR-акты, телеметрия RG).

💡 Конкретные ставки/формы и частоты следует уточнять по актуальным нормам и вашей корпоративной структуре.

10) Процесс лицензирования: фазы и ориентиры сроков

1. Pre-fit & Gap (1–8 недель): целевые вертикали/каналы, карта провайдеров (контент/PSP/KYC), аудит ИТ-готовности, план ремедиаций.
2. Пакет документов (4–12 недель): корпоративные/финансы/SoF/SoW, Key Persons, политики AML/RG/реклама/данные/инциденты/DR, договоры, архитектура ИТ.
3. Техконтроли (4–16 недель): SDLC/наблюдаемость/безопасность/DR, уязвимости/пентест, акты restore-тестов, интеграционные/лабораторные требования (где применимо).
4. Рассмотрение и Q&A: вопросы по бенефициарам/политикам/ИТ/данным/рекламе; интервью Key Persons; демонстрации журналов/дашбордов и RG-процессов.
5. Выдача/ввод (2–6 недель): включение отчетности, on-boarding PSP/контента, dry-run сценариев RG/AML/платежей.
6. Пост-обязанности: периодические отчеты/аудиты, продление, вариации (бенефициары/вертикали/локации).

Критический путь: Key Persons → «живые» политики → SDLC/наблюдаемость/DR (evidence) → Q&A/демо.

11) Плюсы и минусы DGOJ

Плюсы

Высокая потребительская доверенность и признание у банков/PSP/медиа.
Четкие стандарты RG/рекламы; сильное качество KYC (DNI/NIE).
Плюс к капитализации бренда и партнерским возможностям в ЕС.

Минусы

Строгие бонусные/рекламные ограничения и высокий OPEX комплаенса.
Жесткая доказуемость процессов (политики без артефактов не работают).
Низкая толерантность к «серым зонам» и агрессивному маркетингу.

12) Чек-листы готовности

12.1 Definition of Ready (до подачи)

  • Периметр (вертикали/каналы/методы оплаты) определен; подтверждена платежная реальность (PSP/банки/локальные рельсы).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); собраны SoF/SoW и справки.
  • Политики AML/RG/реклама/данные/инциденты/DR утверждены; проведены тренинги, есть журнал ревизий.
  • SDLC: подписи артефактов и SBOM, журнал релизов, «no humans in prod», политика отката.
  • Observability: SLO/SLI-дашборды, синтетические проверки «депозит/KYC/вывод», ретеншн логов.
  • Security: пентест/сканы закрыты; критичные/высокие без просроченных исключений.
  • Договоры с контентом/PSP/KYC/лабораториями/хостингом; SLA/OLA согласованы.
  • Рекламная модель: white-list каналов, аудит креативов, стоп-процедуры.
  • Интеграция с RGIAJ — технические и процессные артефакты готовы.

12.2 Definition of Done (после выдачи)

  • Регуляторная/фискальная отчетность включена; владельцы KPI назначены.
  • PSP/контент онбордены; webhooks подписаны (HMAC), идемпотентность и DLQ работают.
  • RG-инструменты активны; телеметрия интервенций и журнал решений ведутся; запросы в RGIAJ — в потоке.
  • DR/BCP: проведены restore-тесты и оформлены акты; RTO/RPO в норме.
  • Реклама/аффилиаты: белые списки, аудит креативов, журнал нарушений и мер.

13) RACI (пример)

ОбластьResponsibleAccountableConsultedInformed
AML/RG/данные/реклама (политики)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/наблюдаемость/DRPlatform/SRE LeadCTOSecurityВсе команды
Пентест/уязвимостиSecurity LeadCTOVendors, SRECompliance
Договоры (PSP/KYC/контент)Payments/Content OpsCOOLegal, SecurityFinance
Пакет/Q&A/демоProgram ManagerCOOВсе LeadsStakeholders

14) Риски и смягчение

РискПризнакМитигирующая мера
Задержки по Key PersonsДоп. запросы/интервьюРанний сбор, резервные кандидаты
Нарушения рекламы/бонусовЖалобы/штрафыБелые списки, аудит креативов, жесткие T&C
«Бумажные» RG-политикиУточнения/предписанияТелеметрия интервенций, отчеты, runbooks
Уязвимости/пентестПросроченные critical/highSAST/SCA/DAST в CI, policy-as-code, быстрые фиксы
Платежные инцидентыПотеря/дубли webhooksИдемпотентность, HMAC, DLQ/реплей, мониторинг TtW
RGIAJ-сбой в потокеДоступ игрокам из реестраОбязательная онлайн-проверка, fallback-сценарии

15) Дорожная карта 90–180 дней (пример)

Месяц 1–2: gap-анализ, назначение Key Persons, ремедиации SDLC/наблюдаемости/безопасности, бронь лабораторий.
Месяц 2–3: сбор корпоративного пакета/политик, пентест/сканы, акты DR, договоры с PSP/KYC/контентом, интеграции с RGIAJ.
Месяц 3–4: подача заявки, подготовка к Q&A/интервью, dry-run демонстраций (дашборды, журналы, RG/AML/реклама-сценарии).
Месяц 4–6: Q&A/вариации, финальные доработки, on-boarding платежей/контента, включение отчетности.

Краткий вывод

Испанская лицензия DGOJ — строгий, но предсказуемый режим с акцентом на Responsible Gaming (RGIAJ), дисциплину рекламы/бонусов, зрелый KYC/AML и доказуемые ИТ-контроли. Если вы готовы к «evidence-first» культуре (SDLC/наблюдаемость/безопасность/DR, RG-телеметрия, прозрачная отчетность) и уважаете локальные правила маркетинга, Испания дает доступ к платежной экосистеме высокого доверия и укрепляет капитализацию бренда в ЕС.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.