Operasyonlar ve Uyumluluk - Lisans Türleri ve Gereksinimleri

Lisans Türleri ve Gereksinimleri

1) Lisans türlerinin resmi

Rolüne göre:

B2C (operatör): Son kullanıcılara (casino, canlı, bahis, poker, loto vb.) oyun sunma hakkı.
B2B (sağlayıcı): Operatörlere (platform, oyunlar/RNG, canlı stüdyolar, teknoloji sağlayıcısı olarak ödemeler, barındırma) bir platform/içerik/hizmet sağlama hakkı.

Dikey olarak (genellikle ayrı alt lisanslar):

Casino/Slotlar, Canlı Casino, Spor Kitabı (sabit oranlı, oyun içi), Poker (P2P), Bingo/Piyango, Fantezi/Beceri tabanlı.

Mülkiyet/marka modeline göre:

Tescilli lisans (operatör/marka sahibi).
Beyaz Etiket (B2C, marka alt lisansı/yetkilendirmesi olan platform lisansı aracılığıyla).
Kaplama/Marka Yetkilendirmesi (ek markaları mevcut bir lisansa bağlama).
Dağıtılmış model (yerel lisans + bölgeler arası altyapı, aynalar/kenar/düzenleyici veri yerelleştirme).

2) Gereksinimler: düzenleyicilerin sorduğu (çerçeve)

Yasal/Kurumsal

Yararlanıcılar, mülkiyet yapısı, yaptırım/mahkumiyet yok.
Yerel mevcudiyet (tüzel kişilik/temsilcilik/görevli memur).
Sağlayıcı Sözleşmeleri (B2B), İçerik Hakları, Barındırma/Veri Merkezi.

Finansal

Minimum yetkili sermaye/rezerv, finansal garantiler/banka garantileri.
Ayrı müşteri hesapları/fonların ayrılması, ters ibraz karşıtı prosedürler.
Denetlenen hesaplar, yararlanıcı fon kaynakları (SoF/SoW).

Teknik (platform/altyapı)

Mimari, günlüğe kaydetme/gözlemlenebilirlik, artıklık, DR/BCP.
Oyun bütünlüğü: RNG/matematik, içerik sertifikası, sürüm değişikliği kontrolü.
Bilgi güvenliği: dinlenme/transit halinde şifreleme, IAM, yönetici etkinlik günlüğü.
Coğrafi kısıtlamalar/veri yerelleştirme, botlara ve dolandırıcılığa karşı koruma.

RG/KYC/AML

Yaş/kimlik ve adres doğrulama, POP/yaptırımlar, sınırlar/kendini dışlama.
İşlemlerin ve davranışların izlenmesi (hız, SoF), EDD prosedürleri.
Kendini dışlama kayıtları/kara listeler, personel eğitimi.

Pazarlama/Reklam/İştirakler

Yaş feragatnameleri, "risksiz" vaatlerin yasaklanması, kanalların/zaman aralıklarının sınırlandırılması.
KYB iştirakleri, yaratıcı kütüphane, UTM/trafik kaynağı izleme.

Raporlama ve denetim

Periyodik/gerçek zamanlı yüklemeler (GGR, RG vakaları, şikayetler, AML/SAR).
Dış/iç denetimler: teknoloji denetimleri, oyun/RNG denetimleri, güvenlik/gizlilik denetimleri.
Olay raporlama (regülatör/banka/oyuncuların SLA bildirimleri).

3) Lisans Kayıt Veri Modeli (YAML)

yaml license_id: B2C-CASINO-<COUNTRY>-<NNN>
role: b2c      # b2c      b2b verticals: [casino, live, betting]
jurisdiction: <ISO-2>
holder: <legal_entity>
brands: [brandA, brandB]
local_presence: required  # required      optional      none valid_from: YYYY-MM-DD valid_to: YYYY-MM-DD financial_guarantee: {type: bank_guarantee, amount: <currency_amount>}
tech_requirements:
rng_cert: true siem_logs: true dr_rto: "30m"
data_localization: false rg_kyc_aml:
kyc_levels: [basic, address, edd]
self_exclusion: registry aml_ruleset: "v3. 1"
ads_affiliates:
disclaimers: [age, wagering_conditions]
restricted_channels: [tv_daytime]
reporting:
frequency: monthly formats: [csv, api]
realtime: [rg_cases]
contacts:
compliance_officer: email@domain mlro: aml@domain review_sla_days: 180 status: active

4) Lisans yaşam döngüsü ve yükümlülükler

4. 1. Lisans Talebi (Başvuru)

DD öncesi: yapı, SoF/SoW, yerel şirket/acente, B2B sözleşmeleri.
Teknik paket: mimari şema, güvenlik, BCP/DR, sürüm/değişiklik süreçleri, günlüğe kaydetme/denetim.
İçerik: RNG/matematik, sağlayıcıların listesi, entegrasyonlar.
Operasyonel politikalar: RG/KYC/AML, olaylar, reklamlar, şikayetler.
Finans: Sermaye/Garantiler, İş Planı, Raporlama ve Vergi Tahmini.

4. 2. Hibe sonrası

Politika/Controls-as-Code uyumluluğu.
Zamanlama raporlaması, kayıt defteri bakımı (şikayetler, AML/RG vakaları, olaylar).
Değişikliklerin onaylanması: sürümler, yeni sağlayıcılar, barındırma/veri merkezi değişikliği, yeni ödeme yöntemleri.

4. 3. Yenileme

RNG/güvenlik sertifikaları güncellendi.
Dönem denetimi, RG/AML göstergeleri, şikayet istatistikleri.
Finansal istikrar/garantilerin onaylanması.

4. 4. Varyasyon

Dikey/marka ekleme, beyaz etiket/cilt, platform geçişi.
Yararlanıcıların/müdürlüklerin değişiklik bildirimi.
Reklam politikasındaki ve bağlı kuruluş ağındaki değişiklikler.

5) Rol/dikey taahhüt matrisi (örnek)

Yükümlülük	B2C Casino	B2C Bahisleri	B2B Platformu	B2B oyunları
İstemci araçları (segregasyon)	Evet	Evet	N/A	N/A
RNG/Matematik	Evet yaptım	N/A	N/A	Evet yaptım
Coğrafi engelleme	Evet yaptım	Evet	İsteğe bağlı olarak	İsteğe bağlı olarak
RG limitleri/kayıt defteri	Evet yaptım	Evet	İsteğe bağlı olarak	N/A
KYC/AML (operatör)	Evet	Evet	N/A	N/A
Teknik denetim/bilgi güvenliği	Evet yaptım	Evet	Evet	Evet
GGR Raporlama/Oranlar	Evet yaptım	Evet	N/A	N/A
Reklam/İştirakler	Evet yaptım	Evet	N/A	N/A

6) Başvuru Dosyası

Kurumsal birim

Mülkiyet Yapısı/Yararlanıcılar/SoF/SoW.
Yerel tüzel kişilik/temsilci, memurların yetkileri.

Finans

Denetlenmiş raporlama/plan.
Banka garantisi/sigorta/mevduat.

Teknik

Mimari, gözlenebilirlik/kayıt/denetim, CI/CD, değişim yönetimi.
BCP/DR (RTO/RPO, test protokolleri), güvenlik (şifreleme, IAM, sırlar).
RNG/içerik sertifikası, oyun yayın kontrolü.

Operasyonlar/Politikalar

RG/KYC/AML, şikayetler, olaylar/raporlama, destek/SLA.
Reklam/İştirakler: Kurallar, Şablonlar, Yaratıcı Kütüphane.

Raporlama

İndirme formatları, frekansları, test dosyaları, iletişim kişileri.

7) Satışta kontrol: Politika-/Controls-as-Code

Kayıp limitinin RG kontrolü örneği (ülkeye uyarlıyoruz):

yaml control_id: RG-LIMIT-LOSS-DAILY scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: player_template_rg_limit evidence:
fields: [loss_today, limit, messages_sent, ack]
overrides:
- country: <ISO>
set: {limit_loss_daily: <amount>, cool_off_hours: <N>}
owner: rg_officer review_sla_days: 180

AML hız kontrolü örneği (mevduat):

yaml control_id: AML-VELOCITY-01 scope: deposits trigger:
expr: rolling_sum(amount, 1h) > baseline_30d3 OR count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: mlro evidence:
store: s3://evidence/aml-velocity/{player_id}/{ts}
owner: mlro

Ülkeye/lisansa göre çıkış kapısı:

yaml policy_id: RELEASE-GATE-COMPLIANCE require:
- country_overrides_present: true
- report_schemas_valid: true
- rg_controls_enabled: true
- ads_templates_localized: true on_fail: block_release

8) Lisans Değişim Yönetimi (SOP, fragmanlar)

SOP: Yeni bir marka ekleme (cilt)

1. Lisans koşullarını kontrol edin (marka yetkilendirmesine izin verilip verilmediğini kontrol edin).
2. Marka/etki alanı/yerelleştirme/yaş etiketlerini kaydedin.
3. Bağlantı RG/KYC/AML/Reklam politikaları ve raporlama.
4. Test raporları (marka ayrımı), günlüğü etkinleştir.
5. Düzenleyiciyi/bankaları bilgilendirin (gerekirse), kanıt kaydedin.

SOP: Yeni bir oyun sağlayıcısı bağlama

1. Kayıt defterindeki sağlayıcının durumunu/sertifikalarını kontrol edin.
2. İçerik kümesi/dikey üzerinde anlaşın, RNG/metrics/logging'i yapılandırın.
3. Raporlamayı güncelleyin (oyun/satıcı kimlikleri).
4. Poliçe kapısından salıverin, kanıt toplayın.

9) RACI (fonksiyonlar)

Aktivite	R	A	C	BEN
Lisans Başvurusu/Yenileme	Uyumluluk Başkanı	COO	Hukuk/Finans	C seviyesi
Teknik paket/denetimler	Platform/SRE	CTO	Güvenlik/Uyumluluk	Yasal
RG/KYC/AML süreçleri	RG/AML Görevlileri	Uyumluluk Başkanı	Ürün/CRM	Destek
Reklam/İştirakler	Pazarlama Uyumluluğu	CMO	Yasal/Marka	Finans
Raporlama/Vergiler	Veri/BI	Uyumluluk Başkanı	Finans	C seviyesi

10) Uyumluluk Takvimi (örnek)

Günlük: RG/AML izleme, gerçeklerde olay raporlama.
Haftalık: ISS/Ödeme Entegrasyon Raporları, Uyarı Uygunluk Kontrolü.
Aylık: düzenleyici yüklemeler (GGR/beta/RG vakaları), DWH ile mutabakatlar.
Üç aylık: teknik denetimler/güvenlik taramaları, sağlayıcı raporları, Politika/Kontroller incelemesi.
Yarı yıl/yıl: RNG/IS sertifikalarının yenilenmesi, kontrollerin etkinliğinin denetimi, lisansların/yetkilerin yenilenmesi.

11) Anti-desenler

"Bir lisans var - daha sonra işler": Kod Olarak Denetim, rapor ve kanıt eksikliği.
Gerçeğin iki versiyonu: Excel raporları ≠ üretken günlükler.
Verilerde marka bölünmesi eksikliği, metriklerin "ortak yığını".
Düzenleme/zamanlama ve günlüğe kaydetme olmadan manuel EDD'ler.
KYB ve yaratıcı kütüphaneler olmadan bağlı kuruluşlar aracılığıyla reklam.
RNG/oyunlar için DR testleri/değişiklik günlükleri yok.

12) Olgunluk metrikleri

Kontrolün kapsamı: Kritik noktaların ≥ %95'i (kayıt/a mevduat/oranlar/sonuçlar/bonuslar).
Raporlama SLA: yüklemelerin zamanlaması ≥ %98, şematik hatalar = 0.
Kanıt bütünlüğü: Vakaların %98'ini doğru paketlerle ≥.
RG/AML KPI'ları: Önlenen/tırmanan vakaların oranı, Yanlış Pozitif ↓ QoQ.
Denetim bulguları TTR: 90 gün ≤ kapanış.
Politika incelemesi SLA Gecikmiş Revizyonlar = 0.

13) 30/60/90 - uygulama planı

30 gün (temel):

Roller/dikeylere göre lisansların bir kaydını ve gereksinimlerin taksonomisini oluşturun.
Temel Kod Olarak Kontroller kümesini yükseltin (RG/AML/raporlama).
Uygulama Dosyası şablonları oluşturun (kurumsal/finansal/teknik/operasyonel).
CI'da release-gate uyumluluğunu etkinleştirin.

60 gün (ölçeklendirme):

Raporlama vitrinlerini bağlayın ve yüklemeleri otomatikleştirin (marka ayrımı, ülke ayrımı).
RG/KYC/AML'yi ürün akışına entegre etmek; Kanıta göre tasarlayın.
Lisanslı RTO/RPO için ilk iç teknik denetim ve DR/BCP testini yapın.

90 gün (fiksasyon):

Kritik noktaların %95'ini ≥ kontrollerle kaplayın, Raporlama SLA'sı %98 ≥.
RACI ve taahhüt takvimini resmileştirmek; KPI'yı OKR komutlarına bağlayın.
Lisans uzantısı/varyasyonu (marka/dikey varyasyonlar) için paketi hazırlayın.

14) SSS

S: Ne seçmeli: kendi lisansınız veya beyaz etiketiniz?
C: Kendi lisansı - САРЕХ/term şeyden önce, ancak kontrol ve işletme değerlemesi daha yüksektir. Beyaz etiket - daha hızlı başlatma, daha düşük esneklik/derecelendirme, lisans sahibine bağımlılık.

S: Başvuruda reddedilme riskleri nasıl en aza indirilir?
C: Güçlü teknik paket (güvenlik/DR/gözlemlenebilirlik), finansal garantiler, şeffaf SoF/SoW, olgun RG/AML süreçleri ve tasarımın kanıtı.

S: Sağlayıcı/içerik değişiklikleri nasıl yönetilir?
C: Varyasyon prosedürleri aracılığıyla: ön onay, oyun/RNG sürüm kontrolü, raporlama ve sürüm günlüğü.