Операции и Комплаенс → KYB-верификация партнеров

KYB-верификация партнеров

1) Зачем KYB в iGaming

Партнеры напрямую влияют на риск-профиль платформы: качество трафика и маркетинга, безопасность платежей и честность игр, соблюдение локальных норм. Корректный KYB снижает регуляторные и финансовые потери (штрафы, блокировки, chargeback), ускоряет подключение новых рынков и повышает устойчивость цепочки поставок.

• Установить личность компании, бенефициаров (UBO) и контроль над санкционными рисками.
• Подтвердить право предлагать услуги (лицензии, сертификации, доменные права).
• Зафиксировать договорные гвард-рейлы (RG/Ads/Privacy/Security/SLA).
• Внедрить непрерывный мониторинг и своевременную реакцию на нарушения.

2) Таксономия партнеров (кто проходит KYB)

Аффилиаты/издатели/инфлюенсеры (трафик, креативы, воронки).
Платежные провайдеры/процессоры/аквайеры (KYC/AML, возвраты, отчетность).
Провайдеры игр/агрегаторы/студии (лицензии, RNG/сертификация, RGS).
Платформенные/инфраструктурные вендоры (хостинг, KMS/Vault, мониторинг).
Медиа- и performance-агентства (реклама, брендинг, закупка трафика).
Аутсорс-саппорт/kYC/AML bureaus (обработка ПДн, субпроцессоры).

3) Принципы KYB

1. Risk-Based: глубина проверки зависит от типа партнера, юрисдикции, объема трафика/транзакций.
2. Evidence-by-Design: все выводы подкреплены документами/скриншотами/логами.
3. One Source of Truth: единый реестр партнеров с версиями и аудитом.
4. Least Surprise: договор заранее кодирует ожидания (SLA, RG/Ads, Privacy, Security).
5. Continuous Monitoring: переоценка по событию (смена UBO, всплески chargeback, жалобы).

4) Модель данных: реестр партнеров (YAML)

yaml partner_id: AFF-2025-0197 type: affiliate     # affiliate    payment    game_provider    aggregator    infra    agency    outsourced_ops legal_name: "Acme Media Ltd."
registration:
country: MT number: C123456 registry_link: <ref>
ubo:
owners: [{name: "John Doe", share: 60%}, {name: "Jane Roe", share: 40%}]
sanctions_screened: true licenses:
- kind: marketing_agency
- jurisdiction: EU contact_points:
compliance: compliance@acme finance: billing@acme risk:
inherent: medium geo_scope: [EU, LATAM]
products: [casino, betting]
agreements:
sla: {kpi: ["lead_quality","complaints_rate"], remedies: ["traffic_pause","fee_adjustment"]}
ads_policy_ack: true data_processing_addendum: true monitoring:
kpis: {chargeback_rate: 0.3, complaint_rate: 0.2}
last_review: 2025-09-30 status: approved     # pending    approved    suspended    terminated review_sla_days: 180 owner: partner_compliance_team

5) Политики и контроли (as Code)

Политика risk-tiering партнеров

yaml policy_id: KYB-TIERING-001 tiers:
- name: low criteria: [type==infra AND handles_pii==false]
requirements: [registry_extract, tax_id, sanctions_ubo]
- name: medium criteria: [type in {affiliate,agency,game_provider}]
requirements: [registry_extract, tax_id, sanctions_ubo, domain_ownership, bank_details, references]
- name: high criteria: [type==payment OR handles_funds==true OR high_risk_geo==true]
requirements: [all_medium, pci_or_equal, aml_program, license_copy, financials, security_controls, incident_sla]
overrides:
- when: country in {UK,ES,IT,NL}
add: [local_license_proof, ads_local_rules_ack]

Контроль санкций/негативных медиа для UBO/директоров

yaml control_id: KYB-SANCTIONS-UBO-01 scope: partner.onboard trigger: on_create OR ubo_changed==true actions:
- screen: sanctions_pep_adverse_media
- require: manual_review_if_score>threshold evidence:
fields: [sources, match_score, analyst_decision]

Контроль маркетинговых нарушений (аффилиаты)

yaml control_id: ADS-COMPLIANCE-02 scope: affiliate_creatives trigger:
expr: scan(creative.text    landing) contains banned_claims OR audience_targeting includes minors OR missing_disclaimers==true actions:
- pause: traffic
- notify: marketing_compliance
- issue: corrective_action_plan

Контроль платежного риска (провайдеры)

yaml control_id: PSP-RISK-01 scope: payments trigger:
expr: chargeback_rate_30d > agreed_threshold OR downtime>sla_minutes actions:
- reduce: routing_weight 20%
- notify: vendor_risk
- open: incident_with_provider

6) Документы и подтверждения (по типам)

• Выписка из реестра/устав/директора и UBO, налоговый номер.
• Банковские реквизиты (подтвержденные), адрес, контактные лица.
• Политики безопасности/приватности, DPA/Соглашение обработчика данных.

• Домен/аккаунты (владение/админ-доступ), портфолио площадок, источники трафика.
• Подпись Ads/Brand-гайдлайнов; черный список формулировок; UTM-реестр.

• Лицензия/регистрации, PCI DSS/эквивалент, отчет по аудитам.
• Договоры мерчанта/аквайринг, правила chargeback/возвратов, отчетность.

• Лицензии B2B/сертификаты RNG/тест-лабы; список игр/математик.
• SLA аптайма/RGS, процесс релиза/версий, журнал изменений.

• Сертификаты (ISO 27001/SOC2), DPIA (при ПДн), перечень субпроцессоров.
• Процедуры инцидентов и уведомлений.

7) Процесс KYB: от заявки до мониторинга

1. Intake: заявка/опросник, сбор документов, создание карточки партнера.

2. Скрининг: UBO/директора — санкции/PEP/адверс-медиа, проверка реестров.

3. Оценка риска: тип, гео, объем, продукты, доступ к ПДн/финансам.

4. Договор: включение гвард-рейлов (SLA, Ads, RG, Security, Privacy, audit rights).

5. Тех/контент онбординг: тесты интеграций, белые списки доменов/креативов.

6. Мониторинг: KPI и алерты (ads violations, chargeback, downtime, жалобы).

7. Ревью/ре-вера: по SLA или событию (смена UBO, всплески риска, жалоба регулятора).

8. Санкции/расторжение: plan→pause→terminate→report (при серьезных нарушениях).

8) RACI

9) KPI/OKR

Coverage: доля партнеров с полным пакетом KYB ≥ 98%.
Review SLA: своевременное продление/ревью ≥ 95%.
Ads Violations Rate (аффилиаты): ↓ QoQ; Time-to-Pause при нарушении ≤ 24 ч.
Chargeback Contribution by PSP: в пределах договорных порогов.
Downtime/Incident MTTR (провайдеры): в пределах SLA.
Evidence Completeness: ≥ 98% карточек с корректными артефактами.
Audit Findings TTR: ≤ 90 дней.

10) Чек-листы

• Реестр/устав, UBO, директоры, налоговый номер.
• Санкции/PEP/адверс-медиа: clear/триаж/исключения.
• Лицензии/сертификаты/право предоставлять услуги.
• Договор + DPA + audit rights + SLA/Remedies.
• Политики Ads/RG/Privacy/Security подписаны.
• Банковские реквизиты подтверждены.
• Тех-чеки: домены/UTM/креативы/эндпоинты/логирование.
• Карточка в реестре заполнена, риск-уровень присвоен.

• Ads-сканер: нет запрещенных креативов/таргетинга.
• KPI трафика/качества/жалоб в коридорах.
• PSP: чарджбеки/даунтайм/ошибки в пределах SLA.
• Игры/контент: версии сертифицированы, релизы залогированы.
• Ревью по SLA, документальные обновления получены.

11) SOP (фрагменты)

SOP: Реакция на нарушение аффилиата

1. Автоскан → нарушение (claim/таргетинг/дисклеймер).
2. Немедленно `pause traffic` + уведомление партнера с шаблонным CAP (Corrective Action Plan).
3. Срок исправления ≤ 48 ч; повторное сканирование.
4. Повторное нарушение → снижение ставок/расторжение; evidence в реестр.

SOP: Эскалация по PSP

1. Триггер `chargeback_rate_30d>threshold` или даунтайм> SLA.
2. Снижение веса маршрута, инцидент с провайдером, постмортем.
3. Фин-влияние/компенсации по договору; отчет в Risk-комитет.

SOP: Ре-вера при смене UBO/директора

1. Получить обновленные документы, перезапустить санк-скрининг.
2. Пересчитать риск, при необходимости — ограничения/пауза.
3. Обновить карточку, уведомить вовлеченные команды.

12) UX и автоматизация

Портал партнера: загрузка документов, статусы, напоминания о ревью.
Авто-сканы рекламы: текст/баннер/лендинги на запретные формулировки, возрастные маркеры, время показов.
Телеметрия провайдеров: аптайм, ошибки, версии SDK/RGS, аннотации релизов.
Алерты: всплески чарджбеков, жалоб, CTR аномалий, санк-обновления.
AI-сводки: кластеризация нарушений по партнерам/гео, подсказки CAP.

13) Безопасность и приватность

RBAC/ABAC: доступы по ролям, watermarks для документов.
Шифрование: at rest/in transit, секреты в vault, временные ссылки.
Ретеншн: хранение по закону/договору, авто-удаление по сроку.
Журналирование: все изменения карточек/документов/решений — в аудит-лог.

14) Анти-паттерны

KYB «для галочки»: нет UBO или проверка только на старте, без мониторинга.
Отсутствие DPA/аудит-прав — невозможность проверить инциденты.
Нечеткие Remedies в договоре → бесконечные «письма счастья».
Универсальная глубина проверки без учета риска/гео/типов услуг.
Разрозненные таблицы без SSOT и версий.
Подключение трафика до подписания Ads/Brand-гайдлайнов.

15) 30/60/90 — план внедрения

• Утвердить политику KYB и risk-tiering по типам партнеров.
• Запустить реестр партнеров (SSOT) и шаблоны документов/опросников.
• Включить санк-скрининг UBO/директоров и базовый Ads-сканер.
• Стандартизовать договорные гвард-рейлы (SLA/Remedies, DPA, audit rights).

• Подключить мониторинг KPI (ads violations, chargeback, downtime).
• Автоматизировать ре-вeру по событиям (смена UBO, всплески риска).
• Расширить Ads-сканер (языки, форматы), телеметрию провайдеров, отчетность.

• Coverage KYB ≥ 98%, Review SLA ≥ 95%, Evidence ≥ 98%.
• Снижение Ads Violations Rate и Chargeback Contribution в целевые коридоры.
• Провести внутренний аудит KYB-процессов; зафиксировать OKR на следующий квартал.

16) FAQ

Q: Нужно ли проверять субподрядчиков партнера?
A: Да, если они обрабатывают ваш трафик/ПДн/финансы — требуйте раскрытия субпроцессоров и право аудита.

Q: Как быстро реагировать на рекламные нарушения?
A: В договоре закрепить `pause within ≤24h`, CAP ≤48h и повторный аудит. Автоскан + алерт в #marketing-compliance.

Q: Что делать при спорных санк-совпадениях?
A: Ручной триаж с источниками/скорингом, эскалация в Head of Compliance; при критике — временная пауза сотрудничества.

Q: Когда пересматривать риск партнера?
A: По SLA (180 дней) или upon event: смена UBO, всплески жалоб/чарджбеков, прецеденты у регуляторов.