業務和合規→ KYC程序和檢查級別

KYC程序和驗證級別

1）為什麼需要KYC

KYC（了解您的客戶）是iGaming平臺負責任、安全運營的基礎：防止未成年人進入,降低盜竊/洗錢風險,支持許可證和支付合作夥伴的要求,保護聲譽。

• 確認身份和年齡。
• 評估玩家的基本風險並設置基於風險的措施。
• 確保交易的可路由性和depozit↔vyvod通信。
• 支持AML/響應遊戲以及提供商/監管機構的要求。

2） KYC原則

1.基於風險的Approach （RBA）：驗證深度取決於配置文件（國家/地區、支付方法、行為）。
2.Progressive Disclosure：我們在當前風險級別中收集所需的數據。
3.逐項設計：所有決策和文檔都保留為證據（審核路徑）。
4.Privacy-first： PDn最小化、掩蔽、滾動和時間限制訪問。
5.Re-Verification：重復檢查風險事件（結論、限制增加、道具變更）。
6.Explainable&Consistent：規則和例外是可記錄和可驗證的。

3）驗證級別（Tiered KYC）

KYC0-預註冊/Frickshen-light

國家/地區收集，年齡（自我攻擊），電子郵件/電話（OTP）。
通過姓名/電話/郵件進行初步制裁/RER篩查（信心低）。
限制：沒有存款/提款,只審查內容/獎金無費率。

KYC1-基本識別

身份文件（護照/ID/水。ID）+自拍/生物計量生活（按市場）。
MRZ/barcode驗證，有效日期控制，發布國家/地區。
年齡檢查，主要制裁/RER篩選。
存款/利率/收款限額是基本限額。

KYC2-地址確認（PoA）

確認地址（utility bill/銀行對賬單/註冊表）的文件,如有必要。
地理一致性：IP/設備/支付方法 ≈註冊地址。
擴展限制和訪問結論。

KYC3-EDD （高級驗證）/SoF/SoW

按風險觸發因素：大失誤/結論，VIP，可疑模式，高風險地理/方法。
資金來源（SoF）和財富來源（SoW）：收入證明，工資，稅收，對賬單。
可能進行采訪/書面解釋。
獲得高限額/加速調查結果-一旦獲得批準。

4）升級觸發器/Re-KYC

財務：單一提款額、周轉期、經常變更的付款方法。
行為：異常的贏得/失落輪廓，夜間活動，許多短會話。
技術：頻繁更換設備/IP/ASN、代理/高風險網絡。
簡介：消息來源之間的FIO/地址/出生日期不一致。
事件：更改支付詳細信息，增加限制，連接VIP計劃。

5）制裁，PEP和負面媒體

在以下情況下進行篩選：註冊，完成KYC1/2/3，在重大檢出之前，更改詳細信息。
在更新參考資料時（每日/每周）重新驗證。
巧合的邏輯：即將進行的Fuzzy比賽，手工三重邊界案件。
消息來源/案例的引用在事件中。

6）文件和替代品

ID/護照/水域。權利，PoA：公用事業，銀行對賬單≤ 3個月。
替代方案包括：eID/BankID/提供商的主動 API，KBA（基於知識），通過微交易確認。
生物計量學：生活檢查自拍照；僅在必要時並按照當地規範存儲生物識別模板。
偏差：黑白副本，過期文件，模糊照片-自動偏差規則。

7) Data & Privacy

最小化：我們只要求必要的；共享KYC工件和遊戲/營銷數據。
可用性：RBAC/ABAC，文件閱讀/發行日誌，水廠。
重組：根據管轄權/許可（通常在上次手術後超過5年）。
加密：at rest/in transit、HSM/Vault中的密鑰、要查看的臨時URL。
數據對象請求：在有效範圍內導出/校正/刪除的SLA。

8） Controls -/Policy-as-Code（片段）

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9） SOP（片段）

SOP： 驗證KYC1

1.檢查包的完整性（ID+自拍、下載元數據）。
2.驗證文件（MRZ/barcode，截止日期，國家），核對FIO/DR。
3.匹配自拍（面對面匹配,liveness）。
4.驅趕制裁/RER；匹配時→三重奏。
5.分配KYC1，更新限制，記錄事件。

SOP: KYC2 (PoA)

1.檢查文檔≤ 90天，地址為有效格式/語言。
2.將地址映射到IP/設備/支付方法。
3.發布KYC2，擴展限制/結論，記錄事件。

SOP: EDD/SoF (KYC3)

1.請求一份文件清單（薪水/稅收/摘錄）和說明。
2.將總和/頻率/源映射到營業額和配置文件。
3.決定：批準/限制/關閉；懷疑-SAR/AML過程。
4.更新風險配置文件、限制、事件。

10）整合

KYC提供商：IDV，PoA，生物計量學，制裁/RER（batch+事件驅動器）。
Payments：源到源控制，velocity，hills直到KYC完成。
AML/案例管理：聯合球員卡，狀態，SLA。
CRM/支持：通信模板，KYC狀態，ETA和提醒。
DWH/BI：KYC事件展示，許可期報告。

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• 自動通過率（無手動參與），手動尾巴（手動份額）。
• Sanctions/PEP Hit Rate和Precision在確認的案例中。

• False Reject Rate文檔,Doc質量失敗%。
• Mismatch IP/地址頻率, Payout Blocked due to KYC（解鎖前時間中位數）。
• Evidence Completeness ≥ 98%.

• KYC下降步驟，CSAT/NPS上的KYC過程。

12）支票單

• 接受數據同意/政策。
• 進行了初步制裁篩選。
• 已確認通信鏈路（OTP/email）。

KYC1:

• Validen ID和自拍照，liveness通過。
• FIO/DR/國家匹配。
• 制裁/RER：「clear」或三重奏路徑。

KYC2:

• PoA新鮮可讀；地址已歸一化。
• 地理一致性（IP/設備/付款方法）。

KYC3 (EDD/SoF):

• 全套文件，金額與營業額相對應。
• 決定和理由是固定的（事實），風險簡介已更新。

• 原因和日期、鎖定/限制正確應用。
• 向玩家發送通信（ETA/步驟）。

13）反模式

對所有人來說，普遍的「沈重」檢查是高昂的故障和成本。
手動檢查，沒有SLA/登錄和雙重控制。
無嚴格依據地保留生物識別/文檔。
與付款無關：在KYC2/3之前可以撤回。
缺乏制裁和事件re-KYC的重新畫面。
真相的兩個版本：Excel中的KYC和DWH中的交易數據。

14）30/60/90-實施計劃

• 批準KYC政策（tiers，觸發器，SLA，重組）。
• 連接IDV/制裁/PEP，啟動KYC1和PoA流。
• 在付費更改中設置控制即代碼：re-KYC，制裁重播。
• 啟用事件存儲和RBAC。

• EDD/SoF過程，通信和案例管理的champlon。
• 與付款（源到源，velocity），自動單元集成到KYC2/3。
• KPI（TAT，Auto-pass，Manual Tail，Hit-Rate）行列板。
• Biometric liveness/BankID試點（可用）。

• 手動尾巴減少≥ 30%，KYC1 median TAT ≤目標False Reject ↓。
• re-KYC法規和制裁重播，合規審核。
• 將KPI綁定到OKR命令（Compliance/Ops/Payments/Support）。

15) FAQ

Q： 何時查詢地址（PoA）?

A：達到存款/結算閾值時，地理/方法不匹配或國家/許可要求。

Q： 什麼時候需要SoF/SoW?

答：在高轉速/VIP，異常，高風險地理/方法中，在主要推斷之前。

問：如何減少對KYC的故障？
答：移動提示/ocr驗證、清晰的照片要求、BankID/eID支持、分步、快速反饋。

問：如何保護隱私？
答：最小化、加密、嚴格的RBAC/訪問日誌、自動重構和刪除策略。