GH GambleHub

Продовження та аудит ліцензій

1) Навіщо це важливо

Ліцензія - не статичний документ, а зобов'язання підтримувати стандарти RG/AML, безпеки, даних і звітності. Успішне продовження і аудит підтверджують керованість ризиків, зрілість процесів і готовність до масштабу.

Ключові принципи: evidence-first, no-humans-in-prod, policy-as-code, traceability.

2) Види продовжень і аудитів

Продовження ліцензії (renewal): за календарем (зазвичай щорічно/раз на N років) - подача форми, зборів і пакету доказів по контролях.
Варіації/зміни (variation): зміна бенефіціарів, додавання вертикалей, локацій хостингу, ключових осіб - вимагають окремого узгодження.
Регуляторний аудит: перевірка політики/звітності, маркетингу/афіліатів, RG/AML, журналів інцидентів.
Техаудит/лабораторії: RNG/RTP, SDLC/релізи, вразливості/пентест, DR/BCP, хостинг і логи.
Фінансовий аудит: GGR/податки/резерви, коректність бонусних списань, реєстри виплат.
GDPR/DPA аудит: DPIA, реєстр обробок, відповіді суб'єктам, витоки/повідомлення.
PCI DSS (якщо працюєте з PAN): сегментація, токенізація, журнали доступу, скани ASV.

3) Календар продовження: орієнтовна шкала

T-90...60 днів - gap-аналіз, оновлення політик, бронювання лабораторій/аудиторів.
T-60...30 - збір артефактів (логи, SBOM, звіти сканів/пентестів, DR-акти), підтвердження Key Persons.
T-30...14 - фінал пакету, внутрішня вибірка доказів (sampling), підготовка відповідальних до інтерв'ю.
T-14...0 - подача renewal-пакету, оплата зборів, SLA-вікна на відповіді регулятору.
T + 0... + 30 - Q & A/запити, ремедіації, підтвердження продовження.

💡 Критичний шлях: Key Persons → політики/процедури → техдокази (SDLC/логи/DR) → лабораторії/аудитори → Q&A.

4) Evidence-пакет: що готувати заздалегідь

Орг/право: структура володіння, SoF/SoW (при змінах), CV і довідки Key Persons, реєстр делегувань.
Політики: актуальні AML/CTF, RG, реклама/афіліати, захист даних (DPIA), інциденти, DR/BCP; журнал ревізій і тренінгів.

ІТ та релізи:
  • журнал релізів з SBOM і підписами артефактів;
  • звіти SAST/SCA/DAST, план ремедіації, відсутність «critical/high» без активних винятків;
  • спостережуваність: дашборди SLO/SLI, синтетичні перевірки «депозит/КУС/висновок»;
  • Логування: структуровані логи без PII/PAN, ретеншн і пошук;
  • DR/BCP: акти restore-тестів, RTO/RPO, протоколи аварійних навчань.
  • RG/AML: реєстр інтервенцій і результатів, self-exclusion (локальний/національний), звіти підозрілих операцій (STR/SAR), санкційний/РЕР-лог.
  • Маркетинг/афіліати: білі списки каналів, вибірка креативів з апрувалами, журнал порушень і заходів.
  • Фінанси/податки: звіти GGR по вертикалях, коригування бонусів/джекпотів, звірки з PSP/банками.

5) Формат і трасування

Кожна політика ↔ контролям ↔ доказам (скріншоти, вивантаження, звіти з хешем і датою).
Єдиний індекс «Evidence Map»: контроль → де зберігається → відповідальний → дата оновлення.
Версіонування пакета (Git/репозиторій) + контроль доступу, щоб аудитори могли вибірково переглядати артефакти.

6) Вимоги до ІТ/даних (що найчастіше дивляться)

SDLC/релізи: staging-пайплайни, ручні/авто-гейти якості, політика відкату, заборона прямих змін у проді.
Supply chain: підписи артефактів, SBOM, перевірка на admission, політика вразливостей.
Секрети та доступ: SSO/MFA/PAM, короткоживучі токени, журнали привілейованих сесій.
Мережа: сегментація, WAF/бот-менеджмент, DDoS, mTLS/egress-контроль.
Спостережуваність: OTel-трейси, SLO dashboards, алерти error-budget, SRM-чек в експериментах.
Дані: DPIA, мінімізація, дані по регіонах (residency), журнали доступу до PII/PAN.
DR/BCP: бекапи, регулярні restore з протоколами, навчання з перемикання.

7) Проходження аудиту: тактика

1. Kickoff и scope: узгодити периметр, список вибірок, формат доказів.
2. Data room: підготувати структурований доступ до Evidence Map.
3. Dry-run інтерв'ю: MLRO/DPO/RG-Lead/CTO/SRE - прогін Q&A і демонстрацій.
4. Live-сесії: показуємо логи, SLO-дашборди, релізні артефакти, DR-скрипти.
5. Ремедіація: узгодимо пріоритети і терміни, фіксуємо в трекері.
6. Closure: звіт аудиту, уроки, оновлення політик/контролів, ретро.

8) План ремедіації (шаблон)

IDЗнаходженняРизикДіїВласникТермінСтатус
SEC-01Відсутній підпис образів у 2 сервісахHighУвімкнути підписи та admission policyPlatform Lead15 днВ роботі
RG-02Неповна телеметрія інтервенційMediumРозширити події/дашборд, провести тренінгRG Lead10 днПлан
AML-03Прострочені 2 винятки по вразливостямHighЗакрити/оновити винятки, звіт в SIEMSecurity Lead7 днГотово

9) RACI (приклад: програма продовження)

ОбластьResponsibleAccountableConsultedInformed
Evidence Map і дата-румCompliance PMHead of ComplianceSecurity, Platform, DataExec
Політики та тренінгиCompliance LeadCOOLegal, HRAll
SDLC/релізи/SBOMPlatform/SRE LeadCTOSecurityCompliance
Пентест/вразливостіSecurity LeadCTOVendorsCompliance
RG/AML звітністьRG Lead / MLROCOOSupport, DataExec
Маркетинг/афіліатиMarketing OpsCMOLegal, ComplianceFinance
Фінанси/GGR/податкиFinance LeadCFOPSP, ContentExec

10) Чек-листи

10. 1 Definition of Ready (за 60-90 днів до дедлайну)

  • Оновлені політики AML/RG/реклама/дані/інциденти; проведено тренінги.
  • Підтверджені Key Persons, актуальні SoF/SoW (якщо потрібні).
  • Зібрані звіти SAST/SCA/DAST і пентест, закриті critical/high без прострочених винятків.
  • Журнали релізів з SBOM/підписами доступні; admission-policy в стані enforce.
  • Доступні дашборди SLO/SLI і звіти синтетичних перевірок «депозит/КУС/вивід».
  • Акти DR/restore-тестів в межах SLA RTO/RPO.
  • Реєстри RG/AML: інтервенції, SAR/STR, self-exclusion; звіти по санкціях/РЕР.
  • Маркетинг/афіліати: білі списки каналів, вибірка креативів з апрувалами.
  • Фінансова звітність GGR/податки звірена з PSP/банками.

10. 2 Definition of Done (після підтвердження продовження/аудиту)

  • Отримано лист/сертифікат продовження, оновлені реєстри/сайт/документи.
  • Закрито план ремедіації, оновлено політики та Evidence Map.
  • Проведено ретро: уроки, зміни в процесах, оновлено календар.
  • Відправлені повідомлення провайдерам/PSP (при необхідності).

11) Робота з афіліатами та рекламою в період аудиту

Підготуйте реєстр каналів, вибірку креативів, докази таргету 18 +/21 +, лог погоджень.
Процедура «stop-list» для порушуючих партнерів, умови в договорах про RG/AML-комплаєнс.
Дашборд частоти показу/обмежень і блок-листів.

12) Управління ризиками (registry)

РизикЙмовірність/ІмпактОзнакаКонтрольВласник
Прострочення критичних вразливостейM/HFindings> 14 днПолітика «no critical/high», автотрекінгSecurity
Неповні RG-журналиM/MПрогалини в подіяхКаталог подій, Data QARG Lead
Недостатня доказовість SDLCM/HПитання до релізівSBOM/підписи, журнал змінPlatform
Нестабільні DR-процедуриL/HRTO/RPO не досягнутіЩоквартальні restore-тестиSRE
Порушення реклами/афіліатівM/MСкарги, штрафиБілі списки, аудит креативівMarketing

13) Міні-шаблони

Шапка Evidence Map (CSV): 

Control,Policy Ref,Artifact,Location,Owner,Updated At,Retention
RG-Limits,RG §4.2,Dashboard URL,obs://rg/limits,RG Lead,2025-10-15,24m
SDLC-SBOM,SDLC §3.1,sbom_2025Q4.json,repo://release/sbom,Platform Lead,2025-10-30,36m
DR-Restore,BCP §5.3,restore_report_Q4.pdf,doc://dr/reports,SRE Lead,2025-10-20,36m
План аудиту (1 сторінка):
  • Scope/цілі
  • Список вибірок і формат доказів
  • Календар сесій/інтерв'ю
  • Ролі та контакти
  • Канал Q&A і SLA відповідей

14) Часті питання

Чи потрібно подавати всі артефакти відразу? Ні: подайте базу, а вибірки давайте за запитом - але тримайте все готовим.
Чи можна компенсувати відсутність частини логів? Тільки з поясненою причиною і планом виправлення (і термінами).
Що важливіше для регулятора - політика чи докази? Завжди докази, що підтверджують, що політика реально працює.

15) Короткий план на 30 днів (прискорений трек)

Тиждень 1: фінальний gap-аналіз, оновлення політик, завмер SLO/логів, бронь аудиторів.
Тиждень 2: збір SBOM/підписів/релізних журналів, звіти вразливостей/пентест, акти DR.
Тиждень 3: консолідація RG/AML/маркетингу, зведені дашборди, dry-run інтерв'ю.
Тиждень 4: подача, Q&A, швидкі ремедіації та підтвердження продовження.

Короткий висновок

Продовження і аудит - це не разова «здача звіту», а регулярна демонстрація зрілості процесів. Будуйте календар, ведіть Evidence Map, автоматизуйте контролі як код, тримайте спостережуваність і DR в тонусі. Тоді продовження перетвориться з ризику в рутину, а аудит - в джерело поліпшень і довіри з боку регуляторів, партнерів і гравців.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.