GH GambleHub

Ліцензія Румунії

1) Огляд і позиціонування

ONJN - Oficiul Naţional pentru Jocuri de Noroc - національний регулятор азартних ігор Румунії. Режим вважається суворим і практичним: висока планка Responsible Gaming, чіткі правила реклами/бонусів, зрілі вимоги до AML/KYC, технічних контролів і звітності. Ліцензія цінується банками/PSP і великими контент-вендорами, підходить для довгострокової присутності в ЄС і мультибренд-стратегій.

Кому релевантна:
  • B2C-операторам, орієнтованим на стійке зростання і передбачувані регуляторні практики.
  • B2B-платформам/агрегаторам/студіям, що працюють з європейськими портфелями і вимагають визнаного статусу.

2) Типи ліцензій і периметр

B2C (операторська ліцензія): казино/слоти, ставки, покер, бінго та ін. Периметр: каса/виплати, KYC/AML, RG, реклама/афіліати, підтримка, регуляторна та фіскальна звітність.
B2B (клас II - постачальники): платформа, контент/агрегація, хостинг, live-студії, PSP-шлюзи, KYC/AML-провайдери; вимоги до сумісності, сертифікації та експорту телеметрії.
Ключові ролі: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

У змішаній моделі (B2C + B2B) - жорсткий поділ процесів, журналів і артефактів.

3) Responsible Gaming (ядро режиму)

Самовиключення (національний реєстр): оператор зобов'язаний онлайн-перевіряти статус кожного гравця; доступ блокується при активному записі.
Інструменти гравця: ліміти депозитів/втрат/часу, тайм-аути, cooling-off, reality-checks, історія активності.
Поведінкова аналітика: ранні ознаки проблемної гри, матриця м'яких/жорстких інтервенцій, журнал контактів і результатів, ескалації в RG-команду.
Комунікація: заборона маніпулятивних формулювань, захист неповнолітніх і вразливих груп, прозорі T&C.

4) AML/KYC і санкції

KYC: підтвердження особи/віку за національним документом/паспортом; верифікація адреси/резиденції допустимими джерелами; тригерний і періодичний re-KYC.
Risk-based AML/CTF: профілі клієнтів/методів/гео, РЕР/санкційні списки, EDD-тригери, STR/SAR-процедури, журнал рішень і аудиторський слід.
Транзакційний моніторинг: velocity/аномалії, джерела коштів при підозрах, case-менеджмент і ретро-перевірки.
Crypto/он-чейн (якщо застосовується): політика гаманців, провайдери аналітики, ліміти, ручні перевірки, трассируемость.

5) Реклама, афіліати та комунікації

Вікові бар'єри/майданчики: суворі вимоги до таргетингу та форматів; заборона обіцянок, що вводять в оману, і «легких виграшів».
Бонусна політика: обмежена і регулюється; T&C - ясні, без прихованих обмежень; заборонено агресивний ретаргет.
Афіліати: договірна відповідальність за RG/AML/дані; white-list каналів, аудит креативів, стоп-процедури, трасування трафіку.
Інфлюенсери/стріми: маркування, контроль аудиторії/контенту, документування розміщень.

6) Дані та приватність (GDPR/DPA)

Законність і мінімізація: DPIA для високоризикових процесів; обмеження зберігання PII/PAN; розмежування доступів і журналювання.
Права суб'єкта: доступ/виправлення/видалення/переносимість з дотриманням термінів; шаблони відповідей і процес ескалацій.
Інциденти/брич: плани повідомлення регулятора/суб'єктів, журнал розслідувань, заходи ремедіації.
Транскордонні потоки: DPA з процесорами, контрольовані передачі і резидентність критичних датасетів.

7) Техтребування: SDLC/спостережуваність/безпека/DR

SDLC і релізи: staging-пайплайни, контроль змін, підписи артефактів і SBOM, політика відкату, «no humans in prod», доказовий журнал релізів.
Observability: структуровані логи (без PAN/зайвих PII), метрики і трасування (OTel), SLO/SLI (latency p95/p99, error-rate), синтетичні перевірки «депозит/КУС/вивід», керований ретеншн.
Security: сегментація, mTLS, WAF/бот-менеджмент, SSO/MFA/PAM, SAST/SCA/DAST в CI/CD, регулярний пентест і відсутність прострочених critical/high.
DR/BCP: регулярні restore-тести, підтверджені RTO/RPO, акти навчань; сценарії graceful-degradation.
Anti-abuse: захист від бонус-аб'юзу і фроду, device-signals, velocity-правила, поведінковий скоринг.

8) Платежі і «шлях в гаманець»

Методи: банківські картки (3-D Secure), А2А/відкритий банкінг (PSD2), локальні instant-рішення та банківські перекази; прийом і виведення на банківські реквізити.
Інтеграції: ідемпотентність, HMAC-підписи webhooks, DLQ/реплей подій, моніторинг Time-to-Wallet, авторизацій і часткою успіху, детальна звітність по поверненнях/chargeback.
Санкції/РЕР і velocity: контроль вхідних/вихідних потоків, ліміти і ручні перевірки по тригерів.

9) Звітність, податки та продовження (high-level)

Регуляторна звітність: фінанси і GGR по вертикалях, RG-метрики, скарги/інциденти, зміни структури/Кеу Persons, рекламні порушення і заходи.
Фіскальна частина: розрахунки на базі ігрового доходу з урахуванням коригувань (бонуси/джекпоти); звірки з журналами ігор/виплат і даними PSP/банків.
Продовження/аудит: періодичні перевірки політик, техконтролів, RG/AML і реклами; «evidence-first» пакети (релізи/SBOM, уразливості, DR-акти, RG-телеметрія).

💡 Конкретні ставки/форми та частоти уточнюйте під вашу корпоративну структуру та актуальні норми.

10) Процес ліцензування: фази та орієнтири термінів

1. Pre-fit & Gap (1-8 тижнів): вертикалі/канали, карта провайдерів (контент/PSP/KYC), аудит ІТ-готовності, план ремедіацій.
2. Пакет документів (4-12 тижнів): корпоративні/фінанси/SoF/SoW, Key Persons, політики AML/RG/реклама/дані/інциденти/DR, договори, архітектура ІТ.
3. Техконтролі (4-16 тижнів): SDLC/спостережуваність/безпека/DR, вразливості/пентест, акти restore-тестів, інтеграційні/лабораторні вимоги (де застосовується).
4. Розгляд і Q&A: питання щодо бенефіціарів/політиків/ІТ/даних/реклами; інтерв'ю Key Persons; демонстрації журналів/дашбордів і RG-процесів.
5. Видача/введення (2-6 тижнів): включення звітності, on-boarding PSP/контенту, dry-run сценаріїв RG/AML/платежів.
6. Пост-обов'язки: періодичні звіти/аудити, продовження, варіації (бенефіціари/вертикалі/локації).

Критичний шлях: Key Persons → «живі» політики → SDLC/спостережуваність/DR (evidence) → Q & A/демо.

11) Плюси і мінуси ONJN

Плюси

Висока довіреність у банків/PSP/медіа; міцна репутація в ЄС.
Чіткі стандарти RG/реклами та зрілі практики AML/KYC.
Плюс до капіталізації бренду і B2B-можливостям.

Мінуси

Високий OPEX комплаєнсу і сувора доказовість процесів.
Жорсткий контроль рекламних активностей і афіліатів.
Низька толерантність до «сірих зон» і «паперових» політиків.

12) Чек-листи готовності

12. 1 Definition of Ready (до подачі)

  • Периметр (вертикалі/канали/методи оплати) визначено; платіжна реальність підтверджена (PSP/банки/локальні рейки).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); зібрані SoF/SoW і довідки.
  • Політики AML/RG/реклама/дані/інциденти/DR затверджені; тренінги і журнал ревізій є.
  • SDLC: підписи артефактів + SBOM, журнал релізів, «no humans in prod», політика відкату.
  • Observability: SLO/SLI-дашборди, синтетичні перевірки «депозит/КУС/вивід», ретеншн логів.
  • Security: пентест/скани закриті; немає прострочених critical/high винятків.
  • Договори з контентом/PSP/KYC/лабораторіями/хостингом; SLA/OLA узгоджені.
  • Реклама/афіліати: white-list каналів, аудит креативів, стоп-процедури.
  • Інтеграція з національним контуром самовиключення - дизайн і артефакти готові.

12. 2 Definition of Done (після видачі)

  • Регуляторна/фіскальна звітність включена; KPI-власники призначені.
  • PSP/контент онбордени; webhooks підписані (HMAC), ідемпотентність і DLQ працюють.
  • RG-інструменти активні; телеметрія інтервенцій і журнал рішень ведуться; перевірки самовиключення - в «онлайн-потоці».
  • DR/BCP: проведені restore-тести та оформлені акти; RTO/RPO досягнуті.
  • Реклама/афіліати: білі списки, аудит креативів, журнал порушень і заходів.

13) RACI (приклад)

ОбластьResponsibleAccountableConsultedInformed
AML/RG/дані/реклама (політики)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/спостережуваність/DRPlatform/SRE LeadCTOSecurityВсі команди
Пентест/вразливостіSecurity LeadCTOVendors, SRECompliance
Договори (PSP/KYC/контент)Payments/Content OpsCOOLegal, SecurityFinance
Пакет/Q & A/демоProgram ManagerCOOВсі LeadsStakeholders

14) Ризики та пом'якшення

РизикОзнакаМітигуюча міра
«Паперові» політикиБагато уточнень/приписівEvidence-first: журнали, дашборди, DR-акти
Вразливості/пентестПрострочені critical/highSAST/SCA/DAST в CI, policy-as-code, швидкі фікси
Рекламні порушенняСкарги/штрафиБілі списки, аудит креативів, стоп-процедури
Платіжні інцидентиВтрата/дублі webhooksІдемпотентність, HMAC, DLQ/реплей, моніторинг TtW
Збій у перевірці самовиключенняДоступ заблокованимОбов'язкова онлайн-перевірка, fallback-сценарії

15) Дорожня карта 90-180 днів (приклад)

Місяць 1-2: gap-аналіз, призначення Key Persons, ремедіації SDLC/спостережуваності/безпеки, бронь лабораторій.
Місяць 2-3: збір корпоративного пакету/політик, пентест/скани, акти DR, договори з PSP/KYC/контентом, проект інтеграції з реєстром самовиключення.
Місяць 3-4: подача, підготовка до Q & A/інтерв'ю, dry-run демонстрацій (дашборди, журнали, RG/AML/реклама-сценарії).
Місяць 4-6: Q & A/варіації, фінальні доопрацювання, on-boarding платежів/контенту, включення звітності.

Короткий висновок

Румунська ліцензія ONJN - суворий, але передбачуваний режим з акцентом на Responsible Gaming, дисципліну реклами/бонусів, зрілий AML/KYC і доказові ІТ-контролі. Побудуйте «evidence-first» культуру (SDLC/спостережуваність/безпека/DR, RG-телеметрія, прозора звітність), тримайте афіліатів під контролем і заздалегідь плануйте інтеграції та тести. Такий підхід відкриває доступ до платіжної екосистеми високої довіри і зміцнює капіталізацію бренду в ЄС.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.