GH GambleHub

Операции и Комплаенс → KYC-процедуры и уровни проверки

KYC-процедуры и уровни проверки

1) Зачем нужен KYC

KYC (Know Your Customer) — фундамент ответственной и безопасной эксплуатации iGaming-платформы: предотвращает доступ несовершеннолетних, снижает риски фрода/отмывания, поддерживает требования лицензий и платежных партнеров, защищает репутацию.

Цели:
  • Подтвердить личность и возраст.
  • Оценить базовый риск игрока и настроить risk-based меры.
  • Обеспечить трассируемость транзакций и связь депозит↔вывод.
  • Поддержать AML/Responsible Gaming и требования провайдеров/регуляторов.

2) Принципы KYC

1. Risk-Based Approach (RBA): глубина проверки зависит от профиля (страна, методы оплаты, поведение).
2. Progressive Disclosure: собираем ровно столько данных, сколько нужно на текущем уровне риска.
3. Evidence-by-Design: все решения и документы сохраняются как доказательства (audit trail).
4. Privacy-first: минимизация ПДн, маскирование, роль- и время-ограниченный доступ.
5. Re-Verification: повторные проверки при событиях риска (выводы, рост лимитов, смена реквизитов).
6. Explainable & Consistent: правила и исключения задокументированы и проверяемы.

3) Уровни проверки (Tiered KYC)

KYC0 — Предрегистрация / Фрикшен-лайт

Сбор страны, возраста (self-attest), email/телефон (OTP).
Предварительный санкционный/PEP-скрининг по имени/телефону/почте (низкая уверенность).
Ограничения: без депозитов/выводов, только обзор контента/бонусов без ставок.

KYC1 — Базовая идентификация

Документ личности (паспорт/ID/вод. удостоверение) + селфи/biometric liveness (по рынку).
Валидация MRZ/баркода, контроль даты действия, страна выпуска.
Проверка возраста, первичный санкционный/PEP-скрининг.
Лимиты депозитов/ставок/выводов — базовые.

KYC2 — Подтверждение адреса (PoA)

Документ, подтверждающий адрес (utility bill/банковская выписка/реестр), KBA при необходимости.
Гео-согласованность: IP/устройство/платежный метод ≈ адрес регистрации.
Расширенные лимиты и доступ к выводам.

KYC3 — EDD (Расширенная проверка) / SoF/SoW

По триггерам риска: крупные обороты/выводы, VIP, подозрительные паттерны, высокорисковые гео/методы.
Источник средств (SoF) и происхождение состояния (SoW): справки о доходах, зарплата, налоги, выписки.
Возможно интервью/письменные пояснения.
Доступ к высоким лимитам/ускоренным выводам — после одобрения.

4) Триггеры повышения уровня / Re-KYC

Финансовые: сумма одиночного вывода, оборот за период, частые изменения методов оплаты.
Поведенческие: аномальный win/loss-профиль, ночная активность, много коротких сессий.
Технические: частая смена устройств/IP/ASN, прокси/высокорисковые сети.
Профильные: несоответствия ФИО/адреса/даты рождения между источниками.
Событийные: изменение платежных реквизитов, рост лимитов, подключение VIP-плана.

5) Санкции, PEP и негативные медиа

Скрининг при: регистрации, завершении KYC1/2/3, перед крупным выводом, при изменении реквизитов.
Ревалидировать при обновлении справочников (ежедневно/еженедельно).
Логика совпадений: fuzzy match со скором, ручной триаж пограничных случаев.
Ссылки на источники/кейсы — в evidence.

6) Документы и альтернативы

ID/паспорт/вод. права, PoA: счет за коммунальные, банковская выписка ≤ 3 мес.
Альтернативы: eID/BankID/проактивные API провайдеров, KBA (knowledge-based), подтверждение микротранзакцией.
Biometric: селфи с liveness-проверкой; хранить шаблоны биометрики только при необходимости и по локальным нормам.
Отклонения: черно-белые копии, просроченные документы, размытые фото — правила авто-отклонения.

7) Data & Privacy

Минимизация: запрашиваем только необходимое; разделяем KYC-артефакты и игровые/маркетинговые данные.
Доступы: RBAC/ABAC, журналы чтения/выдачи файлов, watermarks.
Ретеншн: по юрисдикции/лицензии (обычно 5+ лет после последней операции).
Шифрование: at rest/in transit, ключи в HSM/Vault, временные URL для просмотра.
Запросы субъекта данных: SLA на экспорт/коррекцию/удаление в допустимых пределах.

8) Controls-/Policy-as-Code (фрагменты)

Политика уровней KYC: 
yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance
Триггер re-KYC при изменении реквизитов: 
yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]
Санкционный рескрининг: 
yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (фрагменты)

SOP: Верификация KYC1

1. Проверить полноту пакета (ID + селфи, метаданные загрузки).
2. Валидировать документ (MRZ/баркод, срок, страна), сверить ФИО/ДР.
3. Сопоставить селфи (face match, liveness).
4. Прогнать санкции/PEP; при совпадениях → триаж.
5. Присвоить KYC1, обновить лимиты, записать evidence.

SOP: KYC2 (PoA)

1. Проверить документ ≤ 90 дней, адрес в допустимом формате/языке.
2. Сопоставить адрес с IP/устройством/методами оплаты.
3. Выдать KYC2, расширить лимиты/выводы, записать evidence.

SOP: EDD/SoF (KYC3)

1. Запросить перечень документов (зарплата/налоги/выписки) и пояснения.
2. Сопоставить суммы/частоты/источники с оборотом и профилем.
3. Решение: одобрить/ограничить/закрыть; при подозрении — SAR/AML-процесс.
4. Обновить риск-профиль, лимиты, evidence.

10) Интеграции

KYC-провайдеры: IDV, PoA, biometric, санкции/PEP (batch + event-driven).
Payments: source-to-source контроль, velocity, холды до завершения KYC.
AML/Case-management: совместная карточка игрока, статусы, SLA.
CRM/Support: шаблоны коммуникаций, статусы KYC, ETA и напоминания.
DWH/BI: витрины KYC-событий, отчетность по лицензионным периодам.

11) KPI/OKR

Процессы:
  • KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
  • Auto-pass Rate (без ручного участия), Manual Tail (ручная доля).
  • Sanctions/PEP Hit Rate и Precision по подтвержденным кейсам.
Качество и риск:
  • False Reject Rate документов, Doc Quality Fail %.
  • Mismatch IP/Address частота, Payout Blocked due to KYC (медиана времени до разблокировки).
  • Evidence Completeness ≥ 98%.
Опыт игроков:
  • KYC Drop-off по шагам, CSAT/NPS по KYC-процессам.

12) Чек-листы

Старт KYC-флоу:
  • Согласия/политики данных приняты.
  • Проведен первичный санкционный скрининг.
  • Каналы связи подтверждены (OTP/email).
KYC1:
  • Валиден ID и селфи, пройден liveness.
  • Совпадение ФИО/ДР/страны.
  • Санкции/PEP: «clear» или путь на триаж.
KYC2:
  • PoA свежий и читаемый; адрес нормализован.
  • Гео-согласованность (IP/устройство/метод оплаты).
KYC3 (EDD/SoF):
  • Полный пакет документов, суммы соответствуют обороту.
  • Решение и обоснование зафиксированы (evidence), обновлен риск-профиль.
Re-KYC событие:
  • Причина и дата, блокировки/лимиты применены корректно.
  • Коммуникация игроку отправлена (ETA/шаги).

13) Анти-паттерны

Универсальная «тяжелая» проверка для всех — высокие отказы и издержки.
Ручные проверки без SLA/логов и двойного контроля.
Хранение биометрики/документов без строгих оснований и ретеншна.
Нет связи с платежами: вывод возможен до KYC2/3.
Отсутствие рескрининга санкций и событийного re-KYC.
Две версии правды: KYC в Excel и данные транзакций в DWH без стыковки.

14) 30/60/90 — план внедрения

30 дней (фундамент):
  • Утвердить политику KYC (tiers, триггеры, SLA, ретеншн).
  • Подключить IDV/санкции/PEP, запустить KYC1 и PoA-флоу.
  • Настроить Controls-as-Code: re-KYC при payout-change, санкционный рескрининг.
  • Включить evidence-хранилище и RBAC.
60 дней (масштабирование):
  • EDD/SoF процессы, шамплон коммуникаций и case-management.
  • Интеграция с платежами (source-to-source, velocity), авто-блок до KYC2/3.
  • Дашборды KPI (TAT, Auto-pass, Manual Tail, Hit-Rate).
  • Пилот biometric liveness/BankID (где доступно).
90 дней (закрепление):
  • Снижение Manual Tail ≥ 30%, KYC1 median TAT ≤ целевого, False Reject ↓.
  • Регламент re-KYC и санкционного рескрининга, аудит соответствия.
  • Привязка KPI к OKR команд (Compliance/Ops/Payments/Support).

15) FAQ

Q: Когда запрашивать адрес (PoA)?
A: При достижении порога депозитов/выводов, несоответствия гео/метода или по требованиям страны/лицензии.

Q: Когда нужен SoF/SoW?
A: При высоких оборотах/VIP, аномалиях, высокорисковых гео/методах, перед крупным выводом.

Q: Как уменьшить отказы на KYC?
A: Мобильные подсказки/ocr-валидация, понятные требования к фото, поддержка BankID/eID, разделение на шаги, быстрая обратная связь.

Q: Как защитить приватность?
A: Минимизация, шифрование, строгие RBAC/журналы доступа, автоматический ретеншн и политика удаления.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Telegram
@Gamble_GC
Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.