GH GambleHub

Процес ліцензування та терміни

1) Картина процесу (high-level)

Ліцензування - це не один «крок подачі», а керована програма з 6 фаз:

1. Pre-fit & Gap-аналіз

2. Збір та подача пакету

3. Техперевірки та сертифікації

4. Розгляд регулятором

5. Видача (часто умовна) і введення в експлуатацію

6. Пост-ліцензійні зобов'язання (звітність/аудити)

Цілі: знизити регуляторні ризики, забезпечити доказову «готовність до комплаєнсу», прискорити go-live без компромісів за RG/AML/даними.

2) Оціночні терміни (орієнтири)

Фактичні цифри залежать від юрисдикції та готовності заявника. Нижче - практичні діапазони.

ФазаОсновний змістДіапазон
1. Pre-fit & Gap-аналізвибір вертикалей/ринків, скоринг юрисдикцій, карта ризиків1-8 тижнів
2. Пакет документівкорпоративні/фінансові, Key Persons, політики, договори4-12 тижнів
3. Техперевірки/сертифікаціїRNG/RTP (де потрібно), пентести, SDLC/логування, DR/BCP4-16 тижнів
4. РозглядQ&A регулятора, інтерв'ю Key Persons, виправленняваріює
5. Введення в експлуатаціюпублікації, онбординг PSP/агрегаторів, запуск звітності2-6 тижнів
6. Після запускуперіодичні звіти, аудити, продовження/варіації ліцензіїза календарем

Критичний шлях зазвичай проходить через: Key Persons → політики/процедури → ІТ-артефакти (релізи/логи/DR) → лабораторні/аудиторські довідки → Q&A регулятора.

3) Що готувати заздалегідь (Pre-fit & Gap)

Стратегія та периметр: цільові ринки/мови/методи оплати, вертикалі (казино/live/ставки/покер).
Юридичні основи: структура володіння, SoF/SoW, реєстр бенефіціарів.
Оргмодель: роли MLRO/AMLO, DPO, RG-Lead, Security Lead, Release/Platform Lead.
Політики: AML/CTF, RG, реклама/афіліати, захист даних (DPIA), інциденти, DR/BCP.
ІТ-готовність: SDLC і контроль змін, staging-пайплайн, SBOM/підписи, спостережуваність (логи/метрики/трейси), журнал RG/AML подій, пентест/скани вразливостей.
Провайдери: чорнові договори з агрегаторами ігор, PSP, КУС/санкційними скрінерами, лабораторіями/аудиторами.

Результат фази - gap-звіт з планом ремедіації і календарем.

4) Пакет документів: склад і лайфхаки

Корпоративний блок: статутні, структура володіння, CV і довідки Key Persons, SoF/SoW.
Процедури та політики: AML/CTF, RG, реклама, приватність (включаючи DPIA), інциденти/брич, DR/BCP.
ІТ-архітектура: схеми потоків даних (data lineage), зони зберігання/резиденція, SDLC/релізи, спостережуваність, резервування і RTO/RPO.
Договірна база: агрегатори/студії, PSP, КУС/санкції, хостинг, лабораторії/аудитори, SLA/OLA.
Фінанси: резерви під виплати, страховки (якщо потрібні), план податкової звітності по GGR.

Лайфхаки прискорення

Підтримуйте «evidence-first» сховище (релізні журнали, SBOM, звіти сканів/пентестів) - це знімає десятки уточнюючих запитів.
Використовуйте шаблони для KYC/EDD кейсів, журналів RG-інтервенцій і рекламних апрувалів.

5) Техперевірки та сертифікації

Ігрове ПЗ: лабораторні звіти RNG/RTP (для контенту), сертифікати інтеграцій.
Безпека: пентести, управління вразливостями, політика патчів, секрет-менеджмент/KMS, SSO/MFA/PAM.
SDLC: staging-пайплайни, підписи образів, контроль змін, політика відкатів, evidence журналу релізів.
Спостережуваність: логи без PII/PAN, метрики SLO, наскрізні трасування OTel, синтетичні перевірки «депозит/КУС/вивід».
DR/BCP: бекапи, restore-тести, цілі RTO/RPO, акти випробувань.
Платежі: HMAC-підписи webhooks, ідемпотентність, DLQ і реплей подій, відсотки авторизацій/успіху, Time-to-Wallet.

Вихід фази - набір звітів і актів, які прикладаються до заявки або пред'являються на запит.

6) Розгляд регулятором (Q&A цикл)

Очікуйте:
  • Уточнюючі питання щодо бенефіціарів/фінансів, процедур RG/AML та даних.
  • Інтерв'ю Key Persons (часто MLRO/AMLO, DPO, Head of Compliance).
  • Технічні демонстрації: показ логів, релізних артефактів, алертів SLO, сценаріїв RG/AML, DR-вправ.
  • Варіації умов: уточнення в договорах, посилення процедур, доп. звіти лабораторій.

Практика: заведіть реєстр запитів регулятора (SLA відповідей, власник, статус, дата відправлення/підтвердження).

7) Видача та введення в експлуатацію

Часто ліцензія видається умовно (із зобов'язаннями виконати N вимог до go-live). Що робимо:
  • Публікуємо обов'язкові відомості і T&C, включаємо регуляторну звітність.
  • Завершуємо онбординг PSP/агрегаторів/KYC, проводимо «сухий прогін» платежів/інтервенцій RG.
  • Налаштовуємо DevPortal/операторські дашборди для контролю KPI (RG, AML, скарги, інциденти, Time-to-Wallet).
  • Призначаємо календар внутрішніх/зовнішніх аудитів.

8) Пост-ліцензійні зобов'язання

Періодична звітність (GGR по вертикалях, скарги, RG-метрики, інциденти даних/безпеки).
Зміни контролю/структури - заздалегідь повідомляти регулятора.
Регулярні пентести/скани, продовження лабораторних сертифікатів, ротації секретів.
Управління афіліатами/рекламою (реєстр каналів, стоп-листи, вибірки креативів для перевірки).

9) Паралелізація і критичний шлях

Що можна робити паралельно

Політики/процедури ↔ техперевірки/спостережуваність;

Договори з провайдерами ↔ лабораторні випробування;

Підготовка Key Persons ↔ пентест/SDLC-ремедіація.

Що утворює «вузькі місця»

Довідки та перевірка Key Persons, SoF/SoW;

Лабораторні/аудиторські слоти;

Відповіді на комплексні запити регулятора без заздалегідь зібраних артефактів.

10) RACI (приклад для програми ліцензування)

ОбластьResponsibleAccountableConsultedInformed
Політики AML/RG/даніCompliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Бенефіціари/SoF/SoW, Key PersonsLegal LeadCEOComplianceBoard
SDLC/спостережуваність/DRPlatform/SRE LeadCTOSecurityВсі команди
Пентест/вразливостіSecurity LeadCTOVendors, SRECompliance
Договори (PSP/KYC/контент)Payments/Content OpsCOOLegal, SecurityFinance
Пакет/Q & A з регуляторомProgram ManagerCOOВсі LeadsStakeholders

11) Check-list Definition of Ready (до подачі)

  • Юрисдикція/вертикалі підтверджені, узгоджені цільові ринки і методи оплати.
  • Призначені MLRO/AMLO, DPO, RG-Lead; підготовлені CV/довідки Key Persons.
  • Політики AML/CTF, RG, реклама/афіліати, захист даних (DPIA), інциденти, DR/BCP - затверджені і діють.
  • SDLC: staging-пайплайн, підписи артефактів, журнали релізів, план відкату; спостережуваність і синтетичні перевірки - включені.
  • Пентест/скани вразливостей виконані; remediation-план закритий.
  • Чорнові договори з агрегаторами/студіями/PSP/KYC/лабораторіями - узгоджені.
  • Фінансові гарантії/резерви розраховані; SoF/SoW зібрані.

12) Check-list Definition of Done (після видачі)

  • Включена регуляторна звітність; власники KPI призначені.
  • Онбординг PSP/KYC завершено; webhooks підписані (HMAC), ідемпотентність і DLQ - в експлуатації.
  • RG-інструменти активні (ліміти, тайм-аути, самовиключення), журнал інтервенцій ведеться.
  • Evidence-пакет доступний: релізи (SBOM/підписи), пентест/скани, DR-акти, звіти лабораторій.
  • Контур контролю афіліатів/реклами працює (білі списки, вибірки креативів).
  • Календар внутрішніх/зовнішніх аудитів затверджений.

13) Типові ризики і як їх знизити

РизикСимптомМітигуюча міра
Затримка по Key PersonsЗапити на додаткову інформацію, довгі перевіркиРанній збір пакета, резервні кандидати
«Паперові» політикиБагато уточнюючих питань, недовіраEvidence-first: логи, дашборди, runbooks, протоколи тестів
Вузькі місця лабораторійЗсув термінів сертифікаціїБронюйте слоти заздалегідь, виконуйте підготовку
Недостатня ІТ-готовністьЗауваження до SDLC/безпеки/логівШаблон релізного пайплайна, підписи і SLO-гейти до подачі
Слабка платіжна матрицяВідмови PSP/банківРанній pre-boarding у PSP, смарт-маршрутизація, альтернативні методи
Реклама/афіліатиСкарги/штрафиПолітики каналів, білі списки, аудит креативів, стоп-листи

14) Як прискорити програму (без втрати якості)

«Evidence-by-default»: все, що заявляєте в політиках, підтверджуйте артефактами (скріншоти/логи/звіти).
Пакет в одному репозиторії: версія документів, чек-листи і статуси завдань.
Єдині шаблони: для RG-інтервенцій, скарг, SAR/STR, рекламних апрувалів.
Синтетичні сценарії: регулярні «пробні» депозити/КУС/висновки зі звітами.
Паралелізація: техремедіації та договори - одночасно з підготовкою пакету.
Прев'ю-середовища: демостенд для інтерв'ю регулятора (без PII/PAN), включений трейсинг/дашборди.

15) Міні-план на 90 днів (приклад)

Тижні 1-2: фінальний вибір юрисдикції, призначення власників, запуск gap-ремедіацій.
Тижні 3-6: збір пакету (корпоративні/фінанси/політики), пентест/скани, налаштування SDLC/спостережуваності.
Тижні 7-10: лабораторні випробування (RNG/інтеграції), договори PSP/KYC/контент, акти DR-тестів.
Тижні 11-12: подача заявки, підготовка до Q&A, бронювання інтерв'ю Key Persons.

Короткий висновок

Процес ліцензування - це керована програма з чіткими артефактами і ролями. Зосередьтеся на критичному шляху (Key Persons → політики → ІТ-evidence → лабораторії → Q&A), паралелізуйте підготовку, ведіть «evidence-first» архів і тримайте платіжну/контентну екосистему готовою до онбордингу. Так ви перетворите терміни з «невідомого ризику» в прогнозований графік виходу на ринок.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.