Операции и Комплаенс → Комплаенс-фреймворк Gamble Hub

Комплаенс-фреймворк Gamble Hub

1) Цель и ценность

Gamble Hub — это единый операционно-комплаенсный каркас для работы во множестве юрисдикций. Он превращает разрозненные требования регуляторов, банков, провайдеров и рекламных площадок в стандартизированные политики, процессы, автоматизированные проверки и доказательства соответствия.

• Быстро подключать новые рынки без нарушения требований.
• Снижать операционные риски (штрафы/блокировки/chargeback/отмывание).
• Делать комплаенс воспроизводимым: «как код», с ревью, трассировкой и audit trail.
• Уменьшать стоимость соблюдения (C/Compliance) при росте масштабов.

2) Область действия и термины

Юрисдикции: ЕС/ЕЭЗ, Великобритания, Восточная Европа, ЛатАм, некоторые рынки АТР.
Домены: Лицензирование, KYC/AML, Responsible Gaming (RG), Реклама/Аффилиаты, Платежи, ПДн/Privаcy (GDPR-подход), Безопасность, Честность игр/RNG, Антифрод, Отчетность регуляторам.
Артефакты: Policy, SOP/Runbook, Control, Evidence, Register, Report.

3) Принципы фреймворка

1. Policy-as-Code: правила и контроли описаны формально (YAML), валидируются в CI.
2. Evidence-by-Design: любая операция оставляет доказательство соответствия.
3. Least Effort for Ops: комплаенс вшит в продуктовые флоу, минимум ручных шагов.
4. Risk-based: приоритизация по риску (страна/канал/метод оплаты/поведение).
5. Privacy-first: минимизация данных, маскирование, доступ по ролям, ретеншн.
6. Explainable & Auditable: каждое решение объяснимо, журналируется и воспроизводимо.
7. One Source of Truth: единые реестры и панели; без дублирующих «теневых» таблиц.

4) Архитектура Gamble Hub

Политики (Policies): лицензии, KYC/AML, RG, реклама, выплаты, данные, безопасность.
Процессы (SOP/Runbook): онбординг игрока, эскалации AML, блокировки, возвраты.
Контроли (Controls): автоматические проверки в потоках (регистрация/депозит/вывод/бонус).
Данные и реестры (Registers): лицензии/провайдеры/аффилиаты/инциденты/жалобы/SAR.
Мониторинг (Monitoring): дашборды комплаенса, алерты, KPI/OKR.
Отчетность (Reporting): регуляторы/платежные партнеры/налоговые/вендоры.
Аудит (Audit): периодические проверки, тесты дизайна/эффективности контролей.

5) Юрисдикционная матрица (примерная)

6) Контрольные точки по жизненному циклу

• Возраст/гео/санкции/PEP, дубли аккаунтов, согласия на обработку данных.
• Гео-блокировки недопустимых стран, KBA/док-верификация по риску.

• Источник средств (по триггерам), лимиты RG/бонусные правила, антифрод-сигналы.
• Уведомления о риске: резкие шипы суммы/частоты, несовпадение гео/платежа.

• Re-KYC и AML-триггеры, проверка совпадения имени/IBAN/карты, hold при красных флагах.

• Enhanced Due Diligence (EDD), происхождение средств, пересмотр раз в N месяцев.

• Возрастные и гео-ограничения креативов, запрет триггерного таргетинга уязвимых групп, UTM-реестр.

• Лицензии, SLA, квоты, тесты честности/RNG, мониторинг инцидентов и перерывов.

7) Политики (фрагменты)

• Базовый KYC для всех, EDD по триггерам (сумма/скорость/паттерны/санкции/PEP).
• Автоблок/эскалация в MLRO при срабатывании «красных» правил.
• SAR/STR: срок формирования/подачи, форматы доказательств.

• Единые лимиты: депозит/ставка/время; самоисключение, охлаждение.
• Триггеры RG-мониторинга: резкий рост частоты/суммы/долей проигрыша, ночные паттерны.
• Outbound-коммуникации: корректная лексика, запрет «подталкивания».

• Верификация партнеров (KYB), каталог креативов с возрастными метками.
• Запрет некорректных обещаний выигрыша/«безрисковых» формулировок.
• Реестр UTM и «source of customer» для аудита.

• Только именные методы; средства выводятся на исходный инструмент.
• Velocity-правила, 2-й фактор при изменении реквизитов, ретеншн логов.

• Data minimization, RBAC/временные доступы, шифрование, ретеншн по юрисдикциям.
• Права субъекта данных: запрос/исправление/удаление — SLA и журнал.

• Секреты во vault, Zero-trust сети, аудит доступа, журнал админ-действий.
• Инциденты безопасности: классификация/SLA уведомлений/плейбуки.

8) Controls-as-Code (пример)

yaml control_id: AML-TR-011 name: "Velocity: unusual deposit spikes"
scope: deposits jurisdictions: ["EU","UK","LATAM-"]
trigger:
expr: avg_over(15m, amount) > baseline_30d 3 AND count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: "team:mlro"
evidence:
store: s3://compliance-evidence/aml-tr-011/{player_id}/{ts}
fields: [player_id, amounts_1h, devices, ip_geo, payment_methods, session_ids]
owner: mlro review_sla_days: 180

yaml control_id: RG-LIM-004 name: "Daily loss limit"
scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: "player:rg_message_template_7"
- log: rg_register evidence:
fields: [loss_today, limit, messages_sent, player_ack]
owner: rg_officer

9) Регистры и доказательная база

License Register: номер/срок/страна/бренд/условия.
Provider Register: статусы аудитов, инциденты, квоты, SLA, контакты.
Affiliate Register: договоры, UTM-пулы, проверки KYB, нарушения.
Incident & Breach Register: тип/влияние/SLA/уведомления/постмортемы.
SAR/STR Register: даты, причины, материалы, исход.
Complaints Register: жалобы игроков/ответы/сроки/решения.

Все регистры — в едином хранилище с версиями, доступ по ролям, экспорт для аудита.

10) Мониторинг и алерты комплаенса

• Compliance Overview: нарушения по доменам, тренды, топ-риски.
• AML/RG Watch: возвраты/chargeback, velocity, self-exclusion/лимиты.
• Privacy & Access: PII-доступы, аномальные выборки, срок хранения.
• Providers & Ads: инциденты провайдеров, качество трафика аффилиатов.

• RG: «3 предупреждения за 24ч без подтверждения игроком» → пауза бонусов.
• AML: «ввод разными картами + вывод на новый метод» → hold/EDD.
• Privacy: «bulk-экспорт ПДн» → мгновенная эскалация DPO.

11) Процессы и SOP

SOP: Подозрение на AML → SAR

1. Автосрабатывание AML-контроля → кейс в AML-воркфлоу.
2. Сбор доказательств (авто) → проверка офицером.
3. Решение: SAR/hold/отклонение → журнал/уведомления/сроки.

SOP: RG самоисключение

1. Подтверждение личности → немедленная блокировка продукта.
2. Синхронизация с реестрами страны (если применимо).
3. Коммуникация и ретеншн событий, снятие после срока охлаждения.

SOP: Включение новой страны

1. Юридический анализ и лицензия → маппинг требований в Policies.
2. Локализация KYC/Privacy/Реклама/налоги → тест-стенд.
3. Battle-test контролей → пилот 1–5% трафика → отчет и запуск.

12) Роли и RACI

13) Документация как код

Репозиторий `compliance-hub/` с папками: `policies/`, `controls/`, `sop/`, `registers/`, `templates/`.
CI-валидация: обязательные поля (`owner/version/jurisdiction/review_sla_days`), линтеры YAML/Markdown.
Авто-публикация в портал, changelog и напоминания о ревизии (SLA 180 дней).

14) KPI/OKR комплаенса

• KYC Time-to-Verify (медиана), EDD Turnaround, SAR SLA.
• RG Interventions (доля кейсов с предотвращенным вредом), Chargeback Rate.
• Affiliate Violation Rate, Provider Incident MTTR.

• Coverage критичных флоу ≥ 95%.
• False Positive Rate по AML/RG ↓ кв/кв.
• Control Drift (несоответствия политике) = 0.

• Audit Findings Resolved ≤ 90 дней, Evidence Completeness ≥ 98%.
• Privacy Violations = 0.

15) Чек-листы

• Лицензия/авторизация и локальные ограничения (возраст/произведения/гео).
• Маппинг KYC/AML/RG/Privacy/Реклама в Policies.
• Провайдеры/платежи (лимиты/квоты/доступность).
• Отчетность (форматы/частоты), тест-выгрузка.
• Тренинг саппорта и локализованные шаблоны сообщений.

• RFC/PR включает impact-оценку (KYC/RG/Privacy/Реклама).
• Контроли обновлены, тесты в CI пройдены.
• Логи/эвиденсы подключены.
• План отката и коммуникации готовы.

• KYB/санкции/бенефициары.
• Договор/правила креативов/UTM-пулы.
• SLA/OLA и инцидент-процесс.
• Периодический аудит.

16) Шаблоны

yaml policy_id: RG-POL-001 title: "Responsible Gaming — Limits & Exclusions"
jurisdictions: ["EU-","UK","LATAM-CL"]
owner: head_of_compliance version: "1. 6"
last_review: "2025-09-20"
next_review_due_days: 180 references: ["SOP-RG-EXC-002","CTRL:RG-LIM-004"]

SOP: AML EDD Review
Scope: Deposits > threshold, red flags
Steps: collection of evidence → request for documents → decision → SAR/hold/decline
DoD: solution and evidence in registry, notifications sent
SLA: EDD ≤ 48h, SAR filed ≤ X days
Owners: MLRO, AML Ops

Period: YYYY-MM
Metrics: active players, deposits/conclusions, RG cases, complaints
AML: SARs filed N, rejected M, average TAT
Incidents: Impact/Measures/Notifications
Signatures: MLRO/DPO/Head of Compliance

17) План внедрения 30/60/90

• Создать репозиторий `compliance-hub/` и базовые Policies (KYC/AML, RG, Privacy, Ads, Payments).
• Оцифровать топ-контроли (регистрация, депозит, вывод, бонусы) как Controls-as-Code.
• Запустить регистры: лицензий, провайдеров, SAR, инцидентов.
• Поднять панель Compliance Overview; договориться о KPI.

• Интегрировать контролли в продуктовые флоу (веб/мобайл/CRM/платежи).
• Внедрить Evidence-by-Design (автосбор и хранение).
• Настроить отчетность по 2–3 ключевым юрисдикциям; автоматизировать выгрузки.
• Провести тренинги (AML/RG/Privacy) и «клиники комплаенса».

• Аудит дизайна и эффективности контролей; закрыть findings.
• Снизить False-Positive AML ≥ 20% без потери Recall.
• Нормировать процессы провайдеров/аффилиатов; квартальные ревью.
• Включить комплаенс-KPI в OKR продуктовых/операционных команд.

18) Анти-паттерны

«Комплаенс как ручные чек-листы» без интеграции в флоу.
Две версии правды: отчеты в Excel + отдельные логи.
Нет доказательной базы (evidence) и ретеншна.
Политики без ревизии, устаревшие лимиты и ссылкки.
Слепая монолитная фильтрация (море false-positive).
Отсутствие контроля рекламы/аффилиатов → регуляторные санкции.

19) FAQ

Q: Как избежать «торможения» продукта комплаенсом?
A: Контроли вшивать в UX (микродозы), risk-based маршруты, обратимые проверки и асинхронные подтверждения.

Q: Что делать при конфликте локальных норм?
A: Страна-специфичная конфигурация Policies, приоритет более строгого правила.

Q: Как масштабировать на новые рынки?
A: Шаблон «Новая страна»: юридический маппинг → настройка Policy/Controls → тесты → пилот → отчетность.