Операции и Комплаенс → Типы лицензий и требования

Типы лицензий и требования

1) Картина видов лицензий

По роли:

B2C (операторская): право предлагать игры конечным пользователям (casino, live, betting, poker, lotto и др.).
B2B (поставщикская): право предоставлять платформу/контент/услуги операторам (платформа, игры/RNG, live-студии, платежи как технологический провайдер, хостинг).

По вертикалям (часто — отдельные суб-лицензии):

Casino/Slots, Live Casino, Sportsbook (fixed-odds, in-play), Poker (P2P), Bingo/Lottery, Fantasy/Skill-based.

По модели владения/бренда:

Собственная лицензия (оператор/бренд владелец).
White-Label (B2C-право через лицензию платформы с бренд-сублицензией/авторизацией).
Skin/Brand Authorization (подключение дополнительных брендов на существующую лицензию).
Распределенная модель (локальная лицензия + кросс-региональная инфраструктура, зеркала/edge/локализация данных по нормам).

2) Требования: что спрашивают регуляторы (каркас)

Юридические/корпоративные

Бенефициары, структура владения, отсутствие санкций/судимостей.
Местное присутствие (юридическое лицо/представительство/ответственный офицер).
Договоры с провайдерами (B2B), права на контент, хостинг/ЦОД.

Финансовые

Минимальный уставный капитал/резервы, финансовые гарантии/банковские гарантии.
Отдельные клиентские счета/сегрегация средств, анти-chargeback процедуры.
Аудированная отчетность, источники средств бенефициаров (SoF/SoW).

Технические (платформа/инфраструктура)

Архитектура, логирование/наблюдаемость, резервирование, DR/BCP.
Честность игр: RNG/математика, сертификация контента, контроль изменения версий.
Информационная безопасность: шифрование at rest/in transit, IAM, журнал админ-действий.
Гео-ограничения/локализация данных, защита от ботов и мошенничества.

RG/KYC/AML

Возраст/верификация личности и адреса, PEP/санкции, лимиты/самоисключение.
Мониторинг транзакций и поведения (velocity, SoF), EDD-процедуры.
Реестры самоисключения/черные списки, обучение персонала.

Маркетинг/реклама/аффилиаты

Возрастные дисклеймеры, запрет «безрисковых» обещаний, ограничение каналов/временных слотов.
KYB аффилиатов, библиотека креативов, трассировка UTM/источника трафика.

Отчетность и аудит

Периодические/реал-тайм выгрузки (GGR, RG-кейсы, жалобы, AML/SAR).
Внешние/внутренние аудиты: тех-аудит, аудит игры/RNG, аудит безопасности/приватности.
Инцидент-репортинг (SLA уведомлений регулятора/банков/игроков).

3) Модель данных «реестр лицензий» (YAML)

yaml license_id: B2C-CASINO-<COUNTRY>-<NNN>
role: b2c      # b2c      b2b verticals: [casino, live, betting]
jurisdiction: <ISO-2>
holder: <legal_entity>
brands: [brandA, brandB]
local_presence: required  # required      optional      none valid_from: YYYY-MM-DD valid_to: YYYY-MM-DD financial_guarantee: {type: bank_guarantee, amount: <currency_amount>}
tech_requirements:
rng_cert: true siem_logs: true dr_rto: "30m"
data_localization: false rg_kyc_aml:
kyc_levels: [basic, address, edd]
self_exclusion: registry aml_ruleset: "v3. 1"
ads_affiliates:
disclaimers: [age, wagering_conditions]
restricted_channels: [tv_daytime]
reporting:
frequency: monthly formats: [csv, api]
realtime: [rg_cases]
contacts:
compliance_officer: email@domain mlro: aml@domain review_sla_days: 180 status: active

4) Жизненный цикл лицензии и обязательства

4.1. Претензия на лицензию (Application)

Pre-DD: структура, SoF/SoW, локальная компания/агент, договоры с B2B.
Технический пакет: архитектурная схема, безопасность, BCP/DR, процессы релизов/изменений, логирование/аудит.
Контент: RNG/математика, перечень провайдеров, интеграции.
Операционные политики: RG/KYC/AML, инциденты, реклама, жалобы.
Финансы: капитал/гарантии, бизнес-план, прогноз отчетности и налогов.

4.2. Операционная стадия (Post-grant)

Соблюдение Policy/Controls-as-Code.
Отчетность по расписанию, ведение реестров (жалобы, AML/RG-кейсы, инциденты).
Согласования изменений: релизы, новые провайдеры, смена хостинга/датацентра, новые методы оплаты.

4.3. Продление (Renewal)

Обновленные сертификаты RNG/безопасности.
Аудит за период, показатели RG/AML, статистика жалоб.
Подтверждение финансовой устойчивости/гарантий.

4.4. Изменения (Variation)

Добавление вертикали/бренда, white-label/skin, миграция платформы.
Уведомления о смене бенефициаров/директоратов.
Изменения в рекламной политике и аффилиатной сети.

5) Матрица обязательств по роли/вертикали (пример)

Обязательство	B2C Casino	B2C Betting	B2B Platform	B2B Games
Клиентские средства (segregation)	Да	Да	Н/Д	Н/Д
RNG/математика	Да	Н/Д	Н/Д	Да
Гео-блокировки	Да	Да	Опционально	Опционально
RG лимиты/реестр	Да	Да	Опционально	Н/Д
KYC/AML (оператор)	Да	Да	Н/Д	Н/Д
Тех-аудит/ИБ	Да	Да	Да	Да
Отчетность GGR/ставки	Да	Да	Н/Д	Н/Д
Реклама/аффилиаты	Да	Да	Н/Д	Н/Д

6) Чек-лист заявки (Application Dossier)

Корпоративный блок

Структура владения/бенефициары/SoF/SoW.
Локальное юрлицо/представитель, полномочия офицеров.

Финансы

Аудированная отчетность/план.
Банковская гарантия/страхование/депозит.

Техника

Архитектура, наблюдаемость/логирование/аудит, CI/CD, управление изменениями.
BCP/DR (RTO/RPO, тест-протоколы), безопасность (шифрование, IAM, секреты).
RNG/сертификация контента, контроль релизов игр.

Операции/политики

RG/KYC/AML, жалобы, инциденты/репортинг, саппорт/SLA.
Реклама/аффилиаты: правила, шаблоны, библиотека креативов.

Отчетность

Форматы выгрузок, частоты, тестовые файлы, контактные лица.

7) Контроль в проде: Policy-/Controls-as-Code

Пример контроля RG лимита проигрыша (адаптируем под страну):

yaml control_id: RG-LIMIT-LOSS-DAILY scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: player_template_rg_limit evidence:
fields: [loss_today, limit, messages_sent, ack]
overrides:
- country: <ISO>
set: {limit_loss_daily: <amount>, cool_off_hours: <N>}
owner: rg_officer review_sla_days: 180

Пример контроля AML velocity (депозиты):

yaml control_id: AML-VELOCITY-01 scope: deposits trigger:
expr: rolling_sum(amount, 1h) > baseline_30d3 OR count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: mlro evidence:
store: s3://evidence/aml-velocity/{player_id}/{ts}
owner: mlro

Гейт релиза по стране/лицензии:

yaml policy_id: RELEASE-GATE-COMPLIANCE require:
- country_overrides_present: true
- report_schemas_valid: true
- rg_controls_enabled: true
- ads_templates_localized: true on_fail: block_release

8) Управление изменениями под лицензию (SOP, фрагменты)

SOP: Добавление нового бренда (skin)

1. Проверить условия лицензии (разрешен ли brand authorization).
2. Зарегистрировать бренд/домен/локализацию/возрастные метки.
3. Привязать RG/KYC/AML/Ads политики и отчетность.
4. Протестировать отчеты (brand-split), включить журналирование.
5. Уведомить регулятора/банки (если требуется), зафиксировать evidence.

SOP: Подключение нового провайдера игр

1. Проверить статус/сертификаты провайдера в реестре.
2. Согласовать контент-сет/вертикали, настроить RNG/метрики/логирование.
3. Обновить отчетность (идентификаторы игр/поставщика).
4. Выпустить релиз через policy-gate, собрать evidence.

9) RACI (функции)

Активность	R	A	C	I
Лицензионная заявка/продление	Head of Compliance	COO	Legal/Finance	C-level
Техпакет/аудиты	Platform/SRE	CTO	Security/Compliance	Legal
RG/KYC/AML процессы	RG/AML Officers	Head of Compliance	Product/CRM	Support
Реклама/аффилиаты	Marketing Compliance	CMO	Legal/Brand	Finance
Отчетность/налоги	Data/BI	Head of Compliance	Finance	C-level

10) Календарь обязательств (Compliance Calendar, пример)

Ежедневно: RG/AML мониторинг, инцидент-репортинг при фактах.
Еженедельно: интеграционные отчеты провайдеров/платежей, проверка алертов-соблюдения.
Ежемесячно: регуляторные выгрузки (GGR/беты/RG кейсы), сверки с DWH.
Квартально: тех-аудит/сканы безопасности, отчеты провайдеров, ревью Policy/Controls.
Полугодие/год: продление сертификатов RNG/ИБ, аудит эффективности контролей, продление лицензий/авторизаций.

11) Анти-паттерны

«Лицензия есть — процессы потом»: отсутствие Controls-as-Code, отчетов и evidence.
Две версии правды: Excel-отчеты ≠ продуктивные логи.
Отсутствие brand-split в данных, «общая куча» метрик.
Ручные EDD без регламента/сроков и журналирования.
Реклама через аффилиатов без KYB и библиотеки креативов.
Нет DR тестов/журналов изменений для RNG/игр.

12) Метрики зрелости

Coverage контролей: ≥ 95% критичных точек (регистрация/депозит/ставки/вывод/бонусы).
Reporting SLA: своевременность выгрузок ≥ 98%, схематические ошибки = 0.
Evidence completeness: ≥ 98% кейсов с корректными пакетами.
RG/AML KPIs: доля предотвращенных/эскалированных кейсов, False Positive ↓ QoQ.
Audit findings TTR: закрытие ≤ 90 дней.
Policy review SLA: просроченных ревизий = 0.

13) 30/60/90 — план внедрения

30 дней (фундамент):

Создать реестр лицензий и таксономию требований по ролям/вертикалям.
Поднять базовый набор Controls-as-Code (RG/AML/отчетность).
Собрать Application Dossier шаблоны (корпоративный/финансовый/тех/операционный).
Включить release-gate compliance в CI.

60 дней (масштабирование):

Подключить отчетные витрины и автоматизировать выгрузки (brand-split, country-split).
Встроить RG/KYC/AML в продуктовые флоу; запустить evidence-by-design.
Провести первый внутренний тех-аудит и тест DR/BCP под лицензионные RTO/RPO.

90 дней (закрепление):

Покрыть контролями ≥ 95% критичных точек, Reporting SLA ≥ 98%.
Формализовать RACI и календарь обязательств; привязать KPI к OKR команд.
Подготовить пакет к продлению/варьированию лицензии (вариации брендов/вертикалей).

14) FAQ

Q: Что выбрать: собственная лицензия или white-label?
A: Своя лицензия — выше CAPEX/срок, но контроль и оценка бизнеса выше. White-label — быстрее запуск, ниже гибкость/оценка, зависимость от владельца лицензии.

Q: Как минимизировать риски отказа в заявке?
A: Сильный техпакет (безопасность/DR/наблюдаемость), финансовые гарантии, прозрачные SoF/SoW, зрелые RG/AML процессы и «evidence-by-design».

Q: Как управлять изменениями провайдеров/контента?
A: Через variation-процедуры: предварительное согласование, контроль версий игр/RNG, отчетность и журналирование релизов.