KYC gereksinimleri ve denetim seviyeleri

1) KYC nedir ve neden gereklidir

KYC (Müşterinizi Tanıyın), kara para aklama (AML), terörizmin finansmanı (CFT), dolandırıcılık ve yaptırım rejimlerinin ihlali risklerini azaltmak için bir dizi müşteri tanımlama ve doğrulama prosedürüdür. IGaming'de KYC, yaş doğrulaması, coğrafi kısıtlamalar, fon kaynakları ve sorumlu oyun (limitler, satın alınabilirlik) ile desteklenir.

• Oyuncunun kimliğini ve yaşını onaylayın.
• İkamet/adres belirleyin, coğrafi kabul edilebilirliği kontrol edin.
• Yaptırımları, terörist ve PEP risklerini hariç tutun.
• Yüksek limitlerde fon/servet kaynaklarını (SOF/SOW) anlayın.
• Sürekli izleme ve zamanında geri dönüşler sağlayın.

2) Risk bazlı yaklaşım (RBA)

• Coğrafya: kayıt/ikamet ülkesi, "yüksek riskli" yargı alanlarından girişler.
• Ödemeler: yöntem, kanal (kart, A2A, kripto-onramps), para yatırma/çekme modeli.
• Davranış: devir hızı, bahisler, bonus şemaları, çoklu hesaplama, IP/Cihaz anomalileri.
• Müşteri durumu: PEP, yaptırımlar, olumsuz medya (Olumsuz Medya).
• Ürün riski: casino/bahisler, yüksek limitler, P2P transferleri.

RBA, KYC seviyelerine (aşağıya bakınız), tırmanma tetikleyicilerine ve gözden geçirme sıklığına (CDD ↔ EDD) yansıtılır.

3) KYC seviyeleri (iGaming için örnek)

L0 - Temel tolerans (yaş ve coğrafi ön kontrol)

Hedef: Minimum sürtünme ile anında onboarding hunisi.
Veriler: e-posta/telefon, tam ad, doğum tarihi, ülke, onay.
Kontroller: Yaş (doğum tarihi + harici baz/SDK), IP/GeoIP, cihaz, temel izleme listesi.
Sınırlamalar: Düşük para yatırma/çekme limitleri, P2P yok, sınırlı bonuslar.
Tersine çevirme: ciro/çıkış eşiğine ulaşıldığında.

L1 - Standart Tanımlama (CDD)

Belgeler: 1 kimlik belgesi (pasaport/kimlik/su ruhsatı) + bazı ülkelerde selfie-canlılık - ayrı bir yaş doğrulaması.
Adres: adres beyanı + yumuşak kontrol (telefon eşleşmesi, toplayıcı bankalar, kredi dosyaları, posta DB).
Otomatik kontroller: yaptırımlar/PEP/Advers Medya, yinelenen cihazlar/ödemeler, davranışsal biyometri.
Limitler: Ortalama para yatırma/çekme limitleri; Turnuvalara/tanıtımlara katılma fırsatı.

L2 - Gelişmiş Doğrulama (EDD )/Kaynak Kullanımı (SOF)

Belgeler: adres kanıtı (fatura/banka hesap özeti ≤3 ay), gelir onayı (tablolar, gelir belgeleri, maaş bordroları, sözleşme), gerekirse - SOW (bir varlığın satışı, miras).
Görüşme/risk anketi: Fon kaynakları, istihdam, beklenen ciro hakkında kısa form.
Teknik kontrol: Gelişmiş AML izleme tetikleyicileri, yaptırımların/RAP'in daha sık yeniden doğrulanması.
Limitler: yüksek; VIP programlara erişim/oldukça likit ödemeler.

L3 - Ultra riskli profil/VIP Yüksek Roller/Sınır Ötesi

Ek olarak: denetlenmiş raporlar/varlıkların onaylanması, bankadan gelen mektuplar, beyannameler.
Manuel uyumluluk incelemesi + 4-gözler.
İzleme sıklığı: yüksek, işlem olay incelemeleri, ayrıntılı SOW.

4) Kimlik kontrolleri: yöntemler ve kalite

Dock doğrulama: OCR + MRZ + NFC (varsa), anti-kurcalama, portre karşılaştırması.
Selfie-canlılık: aktif (yüz ifadeleri/hareketleri) veya pasif; Anti-spoofing (maskeler, yeniden oynatma).
Biyometri: Yüz eşleştirme, bazen ses/davranış.
Belgesel olmayan doğrulama: bankalar/toplayıcılar (açık bankacılık), kredi büroları, mobil operatörler (SIM KYC) aracılığıyla.
Kalite: Çözünürlük, aydınlatma için minimum gereksinimler; Sapmalar - "gri levha" + manuel işleme.

5) Yaş, coğrafya ve kabul edilebilirlik

Yaş: Otomatik doğum tarihi kontrolü + harici kayıtlar/SDK, L1'de ikincil kontrol.
Geo: Yasaklı ülkelerin/devletlerin engellenmesi; IP mutabakatı, cihazın GPS/telemetrisi, haritanın BIN ülkesi, belgeden adres.
Bölgesel incelikler: farklı adres kanıtları/kimlik formatları (Latince/Kiril, isim çevirisi, birden fazla resmi dil, himaye).

6) Yaptırımlar, PEP ve olumsuz medya

Yaptırımlar: liste eşleştirme (UN/EU/OFAC/HMT ve yerel), otomatik güncelleme, özel eşik ile bulanık eşleştirme.
PEP: sınıflandırma (uluslararası/ulusal/yerel; PEP ile ilgili kişiler).
Olumsuz Medya: Önemli konularda (dolandırıcılık, yolsuzluk) olumsuz yayınlar.
Prosedürler: pozitif eşleşmeler - manuel doğrulama, yükseltme, uyumluluk raporu.

7) Fon Kaynağı (SOF) и Servet Kaynağı (SOW)

Gerektiğinde: para yatırma/çekme eşiklerini, VIP durumunu, nadir büyük işlemleri, risk bayraklarını aşmak.

• 3-6 aylık banka ekstreleri, gelir tabloları, vergi beyannameleri.
• Bir kerelik makbuzların kanıtı: gayrimenkul/hisse satışı, miras, temettü, kredi sözleşmesi.
• Durum onayları (PI/şirket), sözleşme, işveren mektubu.

8) KYB (tüccarlar/ortaklar/bağlı kuruluşlar için)

Kayıt belgeleri, ana sözleşme, yararlanıcılar (UBO), mülkiyet yapısı.
Yönetmenler/UBO: KYC, yaptırımlar/PEP.
Adres ve etkinlik kanıtı (site, sözleşmeler, hesaplar).
Ödeme ve trafik izleme (bağlı kuruluşlar için): anti-dolandırıcılık, kurşun kalitesi, coğrafi ve trafik kaynağı.

9) Yeniden değerleme tetikleyicileri (rev-KYC) ve olay EDD

Ciro/çıktı sınırlarına ulaşmak.
Tam isim/adres/ödeme araçlarının değiştirilmesi, şüpheli modeller (döngüsel mevduat/hızlı sonuçlar).
Negatif medya, yaptırım listelerindeki güncellemeler, yeni cihazlar/IP kümeleri.
Uzun süreli hareketsizlik + ani aktivite.
Veri "hijyeni": 1-3 yılda bir kez rev-KYC (RBA'ya bağlı).

10) Veri depolama, gizlilik ve güvenlik

Küçültme ve hedef: Sadece hedef için ihtiyacınız olanı toplayın (onboarding, AML, yaş, bölge).
Saklama süreleri: Genellikle hesap kapatma/son işlemden 5 yıl sonra (yerel olarak kontrol edin).
Şifreleme: dinlenme ve geçiş sırasında; HSM/satıcı kasasındaki sırlar.
Erişim: en az ayrıcalık ilkesi (RBAC/ABAC), denetim, erişim günlükleri.
Konu hakları: erişim/düzeltme/silme (varsa), işlemede şeffaflık.
Satıcılar: DPIA/UDPA, ülkeler arası veri transferleri, standart sözleşme hükümleri.

11) KYC Mimarisi ve Entegrasyonu

1. Kayıt (L0): e-posta/telefon - yaş/coğrafi ön kontrol - risk ön puanı.

2. L1: doc-verification + liveness - sanctions/POP - address (soft).

3. Açılış sınırları/işlevleri - işlemsel izleme (davranışsal/ödeme).

4. Tetikleyici L2/L3 yükseltme (eşikler, anomaliler, VIP).

5. Periyodik inceleme + olay EDD.

• Sağlayıcılar: Kimlik sağlayıcı, yaptırımlar/POP, adres veritabanları, cihaz parmak izi, davranışsal biyometri, açık bankacılık/PSP.
• Karar ağ geçidi: Kurallar + ML (risk puanlama, grafik bağlantıları, cihaz kümeleme).
• Uyumluluk konsolu: vaka kuyrukları, SLA'lar, dört göz, SAR/STR şablonları, dışa aktarma raporları.
• Günlükler ve denetim: değişmez depolama (WORM), profil sürümleri, belge arşivi.
• Kullanılabilirlik/kararlılık: varlık bölgeleri, geri çekilme/tekrarlar, harici satıcılar kullanılamadığında "yalnızca L0/L1" moduna düşme.

12) UX ve KYC dönüşümü

İlerleme çubuğu ve split-KYC: Önce L0/L1, sonra limitler arttıkça L2.
Yerelleştirme: dil, tarih/ad biçimi, belge ipuçları (örnek fotoğraf, parlama kontrolü).
Yeniden yükleme: "Kaydet ve daha sonra devam et", hatırlatıcılar, güvenli bağlantılar.
Kullanılabilirlik: Mobil SDK'lar, çevrimdışı taslak modu, görüntü sıkıştırma.
Fail-safe: Açıklama ile yumuşak arıza, manuel kontrol kanalı, durumlar için SLA.

13) KYC Kalite Ölçümleri

Doğrulama Zamanı (TTV): Medyan/95. persentil.
Otomatik geçiş oranı ve Otomatik hata oranı, manuel işlem payı.
Belgelerde İlk Geçiş Verimi (FPY).
Yanlış Yaptırımlar/PEP ile pozitif oran, uyarıların ortalama temizleme süresi.
UX yinelemelerinden sonra dönüşüm artışı.
Doğrulama Başına Maliyet ve kümülatif KYC OPEX.
SAR/STR oranı ve yükseltme performansı.
Re-KYC tamamlama oranı.

14) Politikalar ve şablonlar (örnek dil)

• L0: Ayda X €/₴/$/₹ kadar, para çekme veya mikro para çekme yok.
• L1: Y'ye kadar, standart sonuçlar.
• L2: Yüksek limitler + SOF gereksinimi.
• L3: premium limitler + SOW ve manuel uyumluluk.
• EDD tetikleyicileri: büyük bir kerelik mevduat, hızlandırılmış depozit - vyvod döngüleri, ödeme araçlarının sık değişimi, VPN/proxy, ülkelerin IP/BIN/belgeye göre uyumsuzluğu.
• Yaptırımlar/POP: Her ödemede onboarding taraması +; 24 saat içinde "borderline" maçlarının gözden geçirilmesi.
• Reverifikasyon: olay + periyodik (RBA'ya göre 12-36 ay).
• Eskalasyon ve SAR/STR: zorunlu senaryolar ve son teslim tarihleri, müşteri bildiriminin yasaklanması (devrilme).

15) Sık karşılaşılan riskler ve bunların nasıl ele alınacağı

Sentetik kişilikler - multisignal: belge + yüz karşılaştırması + cihaz grafiği + açık bankacılık.
Çok hesaplamalı - davranışsal biyometri, çerezsiz cihaz grafiği, adres/ödeme kümeleri.
Bonus bonus - KYC seviyesine kadar limitler, hız kuralları, kısmi "ertelenmiş bonus".
Belgelerle dolandırıcılık - çipin NFC okuması, pasif canlılık, doku analizi.
İnce dosya (ince dosya) - alternatif kaynaklar (telekomünikasyon verileri, açık bankacılık), manuel doğrulama.
Transliterasyon/takma adlar - tam adın normalleştirilmesi, yerel alfabeler, bulanık eşleşme.

16) Mini kontrol listeleri

• Yaş, Coğrafi, IP/Cihaz.
• Belge + selfie-canlılık.
• Yaptırımlar/PEP/Olumsuz Medya.
• Adres (yumuşak) - sınırda: adres (sert).
• Otomatik kurallar ve ML puanlama.
• Şeffaf iletişim, onay.

• Rev-tarama yaptırımlar/REP.
• SOF (eşik aşılırsa).
• Ödeme aracının sahibinin eşleşip eşleşmediğini kontrol eder.
• Davranış ve ödeme izleme (anomaliler).

• Kayıtların bütünlüğü ve belgelerin alaka düzeyi.
• Takım eğitimi ve denetim izi.
• Satıcı test planları (SLA, hata toleransı).
• DPIA/güvenlik ve erişim.

17) SSS (kısa)

L1'e kadar oynayabilir miyim? Evet, L0 ile sert limitler ve yaş/coğrafi kontrol - ancak çekilme/yüksek limitler sadece L1'den sonra.
SOF/SOW ne zaman gereklidir? Ciro/çıktı eşikleri aşılırsa, VIP durumu, şüpheli modeller veya düzenleyicinin talebi üzerine.
Her ödemede taramaya ihtiyacım var mı? Kısa yaptırım rescreening ve davranışsal izleme tavsiye edilir.
Dönüşüm nasıl "öldürülmez"? KYC'yi aşamalara bölün, UX'i geliştirin, alternatif veri kaynakları kullanın ve otomatik geçiş yapın.

Toplam

Etkili KYC, iş koruması ve pürüzsüz UX arasındaki dengedir. Risk profilinize L0-L3 seviyeleri oluşturun, taramayı otomatikleştirin, yüksek riskli için SOF/SOW'u uygulayın, kalite metriklerini ölçün ve değiştirilemez denetim sağlayın. Bu şekilde dönüşüm ve LTV kaybetmeden uyum içinde kalmak.