GH GambleHub

Ліцензія Гібралтару

1) Огляд і позиціонування

Gibraltar Gambling Commissioner (GGC) історично вважається одним з найвибагливіших європейських регуляторів для iGaming. Ліцензія цінується банками/PSP і провідними вендорами контенту, передбачає високі стандарти due diligence, «живий» комплаєнс (RG/AML/дані/реклама) і зрілі ІТ-контролі. Підходить для міжнародних операторів і B2B-провайдерів з довгим горизонтом зростання.

2) Типи ліцензій і периметр

2. 1 B2C (оператор)

Периметр: фронт/бек-офіс, каса/виплати, KYC/AML, Responsible Gaming, договори з контентом/PSP/KYC, реклама/афіліати, підтримка, регуляторна/фіскальна звітність.

2. 2 B2B (постачальник)

Периметр: платформа, агрегація контенту, студії (включаючи live), API/SDK та інтеграції, хостинг, SLA/OLA, експорт метрик/логів операторам, безпечний SDLC і управління релізами.

💡 У змішаній моделі B2C + B2B потрібен жорсткий поділ процесів, журналів і артефактів.

3) Вимоги до заявника: ядро due diligence

Бенефіціари/структура: прозорий ланцюжок володіння, Source of Funds/Wealth, репутація.
Key Persons: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments) — опыт и «fit and proper».
Політики/процедури: AML/CTF (risk-based), RG, реклама/афіліати, приватність та інциденти, DR/BCP, vendor management.
Договори: студії/агрегатори, PSP/банки, КУС/санкційні скрінери, хостинг/лабораторії/аудитори (SLA/OLA).
ІТ-архітектура: резидентність/потоки даних, сегментація мереж, SDLC/спостережуваність/безпека/DR, заходи проти зловживань (anti-abuse).

4) Технічні стандарти та ІТ-контролі (essentials)

SDLC/релізи: staging-пайплайни, контроль змін, підписи артефактів і SBOM, політика відкатів, заборона «ручних» змін у проді, повний журнал релізів.
Observability: структуровані логи (без PAN і зайвих PII), метрики, трасування (наприклад, OTel), SLO/SLI, синтетичні перевірки «депозит/КУС/вивід», керований ретеншн логів.
Security: mTLS/сегментація, WAF/бот-менеджмент, SSO/MFA/PAM, SAST/SCA/DAST в CI/CD, уразливості без прострочених critical/high, регулярний Пентест.
Дані/приватність: DPIA, мінімізація і розмежування доступів, журналювання і DSR-процедури (access/erasure/portability) з дотриманням термінів.
DR/BCP: бекапи, періодичні restore-тести, цільові RTO/RPO з актами навчань.
Платежі: ідемпотентність, HMAC-підписи webhooks, DLQ/реплей подій, моніторинг Time-to-Wallet і авторизацій, санкційний/РЕР-скринінг.

5) AML/KYC и Responsible Gaming

Risk-Based AML/CTF: профілі клієнтів/гео/методів; тригери EDD; STR/SAR-процедури; санкції/РЕР-скринінг.
KYC: вік/особистість/адреса; re-KYC по тригерам і періодичний; селфі/лiveness при необхідності.
Responsible Gaming: ліміти депозитів/втрат/часу, тайм-аути, самовиключення (включаючи нац. реєстри там, де застосовується), реальність-чеки, поведінкові тригери і протоколи інтервенцій з телеметрією.

6) Реклама та афіліати

Вікові бар'єри, заборона вводять в оману креативів, прозорі T&C промо, контроль частоти і майданчиків.
Афіліати: договірні обов'язки щодо RG/AML/даних, white-list каналів, аудит креативів, стоп-процедури, трасування трафіку.

7) Податки та звітність (high-level)

Фіскальна база будується навколо GGR (з деталізацією по вертикалях і коригуваннями бонусів/джекпотів), паралельно - регуляторні збори.
Регуляторна звітність: фінанси, RG-метрики, скарги/інциденти, зміни структури/Кеу Persons, маркетингові порушення та заходи.
Звірки: звіти ↔ журнали ігор/виплат ↔ дані PSP/банків.

(Конкретні ставки/форми залежать від структури бізнесу і уточнюються при підготовці пакета.)

8) Плюси і мінуси Гібралтару

Плюси

Високе визнання у банків/PSP і провідних контент-вендорів.
Сувора, але передбачувана практика аудитів і Q&A - «менше сюрпризів» при хорошому пакеті.
Підходить для мультибренд/міжнародної стратегії, посилює капіталізацію і довіру інвесторів.

Мінуси

Більш високий TCO і тривала підготовка в порівнянні з «легкими» режимами.
Вимоги «evidence-first»: документи без артефактів (логи/дашборди/акти DR) не спрацюють.
Жорстка дисципліна реклами та афіліатів; підвищена публічна відповідальність.

9) Коли вибирати Гібралтар

Вибирати, якщо:
  • Потрібен стабільний доступ до платіжної екосистеми і топ-контенту; фокус на довгий горизонт.
  • Планується мультиліцензування/експансія по Європі та за її межами.
  • Команда готова підтримувати зрілий SDLC/спостережуваність/безпеку і «evidence-first» культуру.
Подумати двічі, якщо:
  • Мета - ультра-швидкий MVP з мінімальним бюджетом.
  • Цільові ринки/канали не вимагають «важкої» ліцензії на старті, і ви плануєте «легкий» трек з подальшим апгрейдом.

10) Процес ліцензування: фази та орієнтири термінів

ФазаЗмістОрієнтири
1. Pre-fit & Gapвертикалі/гео/методи оплати, карта провайдерів, аудит ІТ-готовності, план ремедіацій1-8 тижнів
2. Пакет документівкорпоративні/фінанси/SoF/SoW, Key Persons, політики, договори, архітектура ІТ/даних, DR/BCP4-12 тижнів
3. ТехконтроліSDLC/спостережуваність/безпека, пентест/скани, акти DR, інтеграції/лабораторії (де потрібно)4-16 тижнів
4. Розгляд/Q & Aпитання щодо бенефіціарів/політиків/ІТ/даних/реклами; інтерв'ю Key Persons; демо журналів/дашбордівзалежить
5. Видача/введеннявключення звітності, on-boarding PSP/контенту, dry-run RG/AML/платежів2-6 тижнів
6. Пост-обов'язкиперіодичні звіти/аудити, продовження, варіації (бенефіціари/вертикалі/локації)за календарем

Критичний шлях: Key Persons → «живі» політики → SDLC/спостережуваність/DR (evidence) → лабораторії/аудит → Q & A.

11) Чек-листи готовності

11. 1 Definition of Ready (до подачі)

  • Периметр (вертикалі/гео/методи оплати) визначено, платіжна реальність підтверджена (PSP/банки).
  • Key Persons призначені; зібрані SoF/SoW і довідки.
  • Політики AML/RG/реклама/дані/інциденти/DR затверджені; є журнал ревізій і тренінгів.
  • SDLC: підписи + SBOM, журнал релізів, «no humans in prod», політика відкату.
  • Observability: SLO/SLI-дашборди, синтетичні перевірки «депозит/КУС/вивід», ретеншн логів.
  • Security: пентест/скани закриті; немає прострочених critical/high винятків.
  • Договори з контентом/PSP/KYC/лабораторіями/хостингом; SLA/OLA узгоджені.
  • Реклама/афіліати: white-list каналів, аудит креативів, стоп-процедури.

11. 2 Definition of Done (після видачі)

  • Регуляторна/фіскальна звітність включена; власники KPI призначені.
  • PSP/контент онбордени; webhooks підписані (HMAC), ідемпотентність і DLQ працюють.
  • RG-інструменти активні; телеметрія інтервенцій і журнал рішень ведуться.
  • DR/BCP: проведені restore-тести з актами; RTO/RPO в нормі.
  • Реклама/афіліати: білі списки, аудит креативів, журнал порушень і заходів.

12) RACI (приклад)

ОбластьResponsibleAccountableConsultedInformed
Політики AML/RG/дані/рекламаCompliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/спостережуваність/DRPlatform/SRE LeadCTOSecurityВсі команди
Пентест/вразливостіSecurity LeadCTOVendors, SRECompliance
Договори (PSP/KYC/контент)Payments/Content OpsCOOLegal, SecurityFinance
Пакет/Q & A/демоProgram ManagerCOOВсі LeadsStakeholders

13) Ризики і як їх пом'якшити

РизикОзнакаМітигуюча міра
Затримки по Key PersonsДоп. запити/інтерв'юРанній збір пакета, резервні кандидати
«Паперові» політикиПитання аудитораEvidence-first: журнали, дашборди, акти DR
Вузькі місця лабораторійЗсув сертифікаційБронь слотів заздалегідь, підготовка
УразливостіПрострочені critical/highSAST/SCA/DAST в CI, policy-as-code, швидкі фікси
Платіжні інцидентиВтрата/дубль webhooksІдемпотентність, HMAC, DLQ/реплей, моніторинг TtW
Реклама/афіліатиСкарги/штрафиБілі списки, аудит креативів, стоп-процедури

14) Дорожня карта на 90-180 днів (приклад)

Місяць 1-2: gap-аналіз, призначення Key Persons, ремедіації SDLC/спостережуваності/безпеки, бронювання лабораторій.
Місяць 2-3: збір корпоративного пакету/політик, пентест/скани, акти DR, договори з провайдерами.
Місяць 3-4: подача, підготовка до Q & A/інтерв'ю, dry-run демонстрацій (дашборди, журнали, RG/AML сценарії).
Місяць 4-6: Q & A/варіації, фінальні доопрацювання, on-boarding PSP/контенту, включення звітності.

15) FAQ (коротко)

Чи потрібен локальний хостинг? Можливі різні моделі; ключове - контрольовані потоки даних, безпека і доказовість DR/логів.
Чи можна поєднувати B2B і B2C? Так, при поділі ліцензій/процесів/журналів і управлінні конфліктом інтересів.
Що критично на інтерв'ю? Реальні RG/AML/реклама-процеси, SDLC/спостережуваність/DR з артефактами, а не просто документи.

Короткий висновок

Ліцензія Гібралтару - це «вхідний квиток» в зрілу екосистему платежів, контенту і партнерств. Ціна - дисципліна evidence-first: SDLC з підписами і SBOM, спостережуваність і DR, жорсткий RG/AML і контрольована реклама/афіліати. Якщо ви будуєте міжнародний, масштабований бренд або B2B-портфель, Гібралтар забезпечує надійний фундамент і підвищує капіталізацію - за умови зрілих процесів і прозорої звітності.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.