軟件和API許可
1)為什麼這對iGaming很重要
該平臺依賴於自己的代碼,第三方庫,遊戲/支付提供商的SDK以及公共/私有API。許可證中的錯誤會導致索賠,集成單元,IP泄漏和監管風險(隱私/制裁/密碼導出)。目的是建立一個透明的權限輪廓:可以發布,整合,傳遞給合作夥伴以及如何保護自己的API。
2)軟件許可模式(審查)
Proprietary(封閉許可證):供應商的獨家權利;B2B(操作員,工作室,PSP)。
Open Source (OSS):
Permissive: MIT, BSD, Apache-2.0(專利補助金)。
Copyleft:GPL/LGPL/AGPL-「感染」兼容性;在封閉的模塊中小心。
雙/多重許可:免費OSS分支+具有擴展權限/支持的商業許可證。
SaaS許可:作為服務訪問;代碼沒有傳輸,使用權沒有。
選擇規則:關鍵服務(遊戲引擎,反遊戲,計算)-避免copyleft;UI圖書館-永久性;內部tulza-隔離時可能存在GPL。
3)權利和限制: 在許可證中查看的內容
權利範圍(scope):領土,時限,用戶/裝置,環境(prod/stage/dev)。
修改和派生:是否可以加載、更改和分發。
子許可/轉讓:附屬機構/白標是否允許。
專利補助金和保護終端(Apache-2。0,MPL):專利風險和交叉許可。
審核和報告:供應商有權進行許可審核。
安全/出口:加密限制,國家/制裁。
Indemnity和賠償責任:誰涵蓋知識產權索賠/損失。
4)開源: 政策與控制
白名單: MIT/BSD/Apache-2。0, MPL-2.0.
黃色:LGPL-3。0(動態鏈接並滿足條件)。
紅色:AGPL/GPL-3。0在封閉式服務中,如果沒有隔離功能(服務邊界,network copyleft)。
SBOM (Software Bill of Materials):具有版本/許可證的強制性依賴項列表。
OSS提交程序:查詢→ yur/tech兼容性評估→註冊表提交→定期審核。
對OSS(上遊)的貢獻:CLA/DCO,IP披露驗證,與Legal協調。
5)SDK和提供商許可證(遊戲,付款,KYC)
典型要求包括:禁止反向開發,禁止在條件之外懸掛,控制徽標/品牌,最低版本,審核權。
數據:「運營商數據」與「提供商數據」的邊界,後者擁有度量標準和Derived Data。
出口/制裁限制:地理區塊,RER/制裁清單-必須在ToS/許可證中進行驗證。
支持/更新:修補程序的SLA、中斷更改、遷移時間表。
6)API: 授予訪問權限的法律條件(針對合作夥伴/附屬機構/B2B)
Terms API的關鍵部分是:- 訪問和身份驗證:OAuth2/HMAC/mutual-TLS;禁止將密鑰轉讓給第三方。
- 限額和配額:RPS/每分鐘/每天;「誠實使用」;政治動蕩。
- SLA和支持:可用性(例如,99.9%),服務窗口,事件/通信計劃。
- 驗證/撤銷:SemVer,EOL時限(例如,≥ 9-12個月),發送通知。
- 服務生成數據(徽標,度量)-由API所有者提供;
- 客戶/播放器數據-客戶/運營商;
- Derived Data-通過合同(允許/限制,匿名)。
- 緩存和存儲:什麼以及如何緩存(TTL,禁止存儲個人/敏感字段)。
- 隱私/AML/KYC:角色(控制器/處理器),DPA/DSA,跨境傳輸,高風險腳本的DPIA。
- 安全:過境/過境加密,秘密管理,27001 SOC2/ISO要求(如果適用)。
- 禁令:逆向工程,刮板,未經同意的測量/基準,API響應修改。
- 審核和日誌:審核權限,查詢日誌要求。
- 制裁和出口:禁止在國家/地區使用/與列表中的用戶,屏幕。
- 免責聲明和責任限制:cap(例如,12 ×平均值。付款)。
- 停止訪問:在安全/法律受到威脅時立即停止;數據輸出計劃。
7)驗證和互操作性政策
SemVer: MAJOR (breaking), MINOR (features), PATCH (fix).
電路合同:JSON 電路/OpenAPI;客戶合同測試。
Deprecation過程:宣布→兼容期(≥ 6個月)→ EOL →刪除;移民海德。
Feature flags:用於「軟」滾動。
8)出口管制,制裁,加密
導出密碼學:驗證本地規則;通知/ECS代碼/位長度。
制裁措施:禁止向次管轄區/個人居民提供服務/準入服務;定期重新剪輯。
立法容錯性:在監管風險下暫停服務的條款。
9)風險矩陣(RAG)
10)發布/集成前的支票清單
- SBOM組裝;已驗證許可證(不兼容)。
- Vendor/SDK許可證已簽名;數據和品牌權利。
- DPA/DSA已完成;控制器/處理器角色已定義。
- Terms/EULA API已更新;規定了rate limits/SLA/遞減。
- 程序中的制裁/出口篩選。
- 安全性:密鑰、旋轉、加密、日誌記錄。
- 事件計劃和訪問召回(killswitch)已準備就緒。
11)註冊表和工件(推薦格式)
11.1個SBOM/許可證註冊表
yaml component: "payment-gateway-sdk"
version: "4. 2. 1"
license: "Apache-2. 0"
source: "maven"
usage: "runtime"
notes: "requires notice file"
dependencies:
- name: "okhttp"
version: "4. 12. 0"
license: "Apache-2. 0"
- name: "commons-io"
version: "2. 16. 1"
license: "Apache-2. 0"
owner: "Engineering"11.2 API客戶端註冊表
yaml client_id: "aff-778"
app_name: "AffTrack"
scopes: ["reports:read","players:read_limited"]
rate_limit_rps: 5 quota_daily: 50_000 dpa_signed: true sanctions_screened_at: "2025-11-05"
status: "active"
owner: "API Ops"11.3 Registry SDK/供應商
yaml vendor: "GameProviderX"
agreement: "SDK-License-2025-10"
audit_rights: true brand_rules: true data_rights:
provider_metrics: "vendor"
operator_metrics: "shared"
derived_data: "anonymized_allowed"
sla:
incidents: "P1:2h,P2:8h"
updates: "quarterly"12)模板(片段)
12.1 EULA(內部片段)
12.2 Terms API(內部片段)
12.3大致代碼/碼的許可
13)隱私和數據(API/SDK)
最小化:不要放棄多余的字段(PII),使用「半透明」ID。
緩存TTL:嚴格固定;禁止本地復制完整的轉儲。
數據主體的權利:通過語句路由請求(access/erasure);協議。
別名/匿名:用於分析/衍生數據-在發布之前。
14)花花公子
P-LIC-01: 在prod服務中檢測到copyleft
SBOM審核→遷移/隔離選項→法律評估→發布計劃→回顧。
P-API-02: API密鑰泄漏
召回密鑰→通知客戶→ forenzik →輪換秘密→升級策略。
P-SDK-03: 供應商打破兼容性
過渡適配器→臨時API分支→談判延長窗口→發送給客戶。
P-XPORT-04: 制裁旗
比賽確認→自動鎖→法律評估→監管機構的文件。
15) KPI/度量
SBOM Coverage占已批準組件的百分比和份額。
許可事件關閉時間(copyleft/不兼容)。
Deprecation Compliance%(當前版本的客戶端)。
通過API事件泄露密鑰和MTTR的時間到復仇。
具有DPA/DSA簽名和通過滑冰篩選的客戶比例。
16)迷你常見問題
可以嵌入LGPL嗎?是的,在動態鏡頭和滿足條件的情況下,我們鎖定在SBOM中。
誰擁有API分析?默認情況下為API所有者(Service-Generated),客戶端為有限許可證。
可以在API數據上訓練ML?僅限於匿名/匯總的,如果允許ToS/DPA。
持有多少EOL?建議使用9-12個月的遷移蓋德。
17)結論
軟件許可和API不是「一次性簽名」,而是永久性循環:選擇兼容許可證,維護SBOM,明確的Terms API(數據/配額/SLA/撤銷),DPA/制裁以及操作花花公子。標準化註冊表和模板-減少法律風險、簡化集成並保護您自己的IP和玩家數據。