GH GambleHub

Ліцензія Іспанії

1) Огляд і позиціонування

DGOJ (Dirección General de Ordenación del Juego) - один з найвимогливіших регуляторів ЄС. Режим орієнтований на високий споживчий захист: суворі правила Responsible Gaming, чіткі обмеження реклами і бонусів, зрілі вимоги до KYC/AML і доказові ІТ-контролі. Ліцензія цінується банками/PSP і великими вендорами контенту, але вимагає дисципліни «evidence-first».

Кому релевантна:
  • Операторам, що будують довгостроковий бренд в ЄС з упором на комплаєнс і репутацію.
  • B2B-платформам/агрегаторам/студіям, що працюють з європейським пулом операторів.

2) Типи ліцензій і периметр

B2C (операторська): казино/слоти, ставки, покер, бінго та ін для гравців, що знаходяться в Іспанії. Повний периметр: каса/виплати, KYC/AML, RG, реклама/афіліати, підтримка, регуляторна та фіскальна звітність.
В2В/постачальники: вимоги залежать від ролі (платформа, контент, хостинг); обов'язкові сумісність, інтеграційні акти та експорт телеметрії для ліцензіатів.
Персональні ролі: MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments).

💡 При портфелі B2C + B2B процеси, журнали і звітність розділяються.

3) Responsible Gaming (ядро режиму)

RGIAJ - національна система самовиключення: оператор зобов'язаний перевіряти кожного гравця; доступ блокується при активному записі.
Інструменти гравця: ліміти депозитів/втрат/часу, реальність-чеки, тайм-аути/охолодження, історія активності, обмеження нічної активності (за внутрішніми політиками і вимогами).
Поведінковий моніторинг: ранні ознаки проблемної гри, протоколи м'яких/жорстких інтервенцій, журнал контактів і результатів, ескалації в службу RG.
Бонуси і промо: суворо регламентовані; заборона механік, що вводять в оману, прозорі T&C, обмеження агресивного ретаргету.

4) KYC/AML і санкції

KYC: верифікація особи/віку громадян за DNI, іноземців за NIE/паспорт; адреса/резиденція - за документами/джерелами.
Risk-based AML/CTF: профілі гравців/гео/методів оплати, РЕР/санкційні списки, EDD-тригери, журнал рішень, STR/SAR-процедури.
Транзакційний моніторинг: velocity/аномалії, контроль джерел коштів при підозрах, правила по лімітах і поведінкові моделі.
Crypto/он-чейн (якщо застосовується): політика гаманців, провайдери аналітики, контроль висновків.

5) Реклама, афіліати та комунікації

Вікові бар'єри та майданчики: суворий контроль таргетингу; заборони на що вводять в оману обіцянки, вимоги до маркування.
Тимчасові вікна та вміст: обмеження часу трансляції/форматів реклами; підвищена увага до захисту неповнолітніх і вразливих груп.
Афіліати: договірна відповідальність за RG/AML/дані; white-list каналів, аудит креативів, стоп-процедури і трасування трафіку.
Інфлюенсери/стріми: додаткові вимоги до аудиторії, прозорість розміщень і T&C.

6) Дані та приватність (GDPR/AEPD)

Законність і мінімізація: DPIA для високоризикових процесів; зберігання PII/PAN мінімально і по цілях; контроль доступів і журналювання.
Права суб'єкта: доступ/виправлення/видалення/переносимість в регламентні терміни; процедурні гайди для підтримки.
Інциденти/брич: плани повідомлення регулятора/суб'єктів, журнал розслідувань і ремедіацій.
Транскордонні потоки: DPA з процесорами, контрольовані передачі і резидентність критичних наборів даних.

7) Технічні стандарти: SDLC/спостережуваність/безпека/DR

SDLC і релізи: staging-пайплайни, контроль змін, підписи артефактів і SBOM, політика відкату, «no humans in prod», доказовий журнал релізів.
Observability: структуровані логи (без PAN і зайвих PII), метрики і трасування (OTel), SLO/SLI, синтетичні перевірки «депозит/КУС/вивід», керований ретеншн.
Security: сегментація, mTLS, WAF/бот-менеджмент, SSO/MFA/PAM, SAST/SCA/DAST в CI/CD, регулярний пентест і відсутність прострочених critical/high.
DR/BCP: регулярні restore-тести, підтверджені RTO/RPO, акти навчань і сценарії деградації (graceful).
Anti-abuse: захист від бонус-аб'юзу, поведінковий скоринг, device-signals, velocity-правила, моніторинг скарг.

8) Платежі і «шлях в гаманець»

Методи: картки, А2А/відкритий банкінг (PSD2), локальні миттєві рейки (включаючи популярні в Іспанії рішення), банківські перекази.
Вимоги до інтеграцій: ідемпотентність, HMAC-підписи webhooks, DLQ/реплей подій, моніторинг Time-to-Wallet і часткою авторизацій/успіху.
Санкції/РЕР і velocity: контроль вхідних/вихідних потоків, спец-процедури для повернень/chargeback.

9) Звітність, податки та продовження (high-level)

Регуляторна звітність: фінансові показники і GGR по вертикалях, RG-метрики, скарги/інциденти, зміни структури/Кеу Persons, рекламні порушення і заходи.
Фіскальна частина: побудова на базі ігрового доходу; звірки з журналами ігор/виплат і даними PSP/банків.
Продовження/аудит: періодичні перевірки політик, техконтролів, RG/AML і реклами; «evidence-first» пакети (релізи/SBOM, уразливості, DR-акти, телеметрія RG).

💡 Конкретні ставки/форми та частоти слід уточнювати за актуальними нормами та вашою корпоративною структурою.

10) Процес ліцензування: фази та орієнтири термінів

1. Pre-fit & Gap (1-8 тижнів): цільові вертикалі/канали, карта провайдерів (контент/PSP/KYC), аудит ІТ-готовності, план ремедіацій.
2. Пакет документів (4-12 тижнів): корпоративні/фінанси/SoF/SoW, Key Persons, політики AML/RG/реклама/дані/інциденти/DR, договори, архітектура ІТ.
3. Техконтролі (4-16 тижнів): SDLC/спостережуваність/безпека/DR, вразливості/пентест, акти restore-тестів, інтеграційні/лабораторні вимоги (де застосовується).
4. Розгляд і Q&A: питання щодо бенефіціарів/політиків/ІТ/даних/реклами; інтерв'ю Key Persons; демонстрації журналів/дашбордів і RG-процесів.
5. Видача/введення (2-6 тижнів): включення звітності, on-boarding PSP/контенту, dry-run сценаріїв RG/AML/платежів.
6. Пост-обов'язки: періодичні звіти/аудити, продовження, варіації (бенефіціари/вертикалі/локації).

Критичний шлях: Key Persons → «живі» політики → SDLC/спостережуваність/DR (evidence) → Q & A/демо.

11) Плюси і мінуси DGOJ

Плюси

Висока споживча довіреність і визнання у банків/PSP/медіа.
Чіткі стандарти RG/реклами; сильна якість KYC (DNI/NIE).
Плюс до капіталізації бренду і партнерських можливостей в ЄС.

Мінуси

Суворі бонусні/рекламні обмеження і високий OPEX комплаєнсу.
Жорстка доказовість процесів (політики без артефактів не працюють).
Низька толерантність до «сірих зон» і агресивного маркетингу.

12) Чек-листи готовності

12. 1 Definition of Ready (до подачі)

  • Периметр (вертикалі/канали/методи оплати) визначено; підтверджена платіжна реальність (PSP/банки/локальні рейки).
  • Назначены MLRO/AMLO, DPO, RG-Lead, Heads (Compliance/Platform/SRE/Security/Payments); зібрані SoF/SoW і довідки.
  • Політики AML/RG/реклама/дані/інциденти/DR затверджені; проведені тренінги, є журнал ревізій.
  • SDLC: підписи артефактів і SBOM, журнал релізів, «no humans in prod», політика відкату.
  • Observability: SLO/SLI-дашборди, синтетичні перевірки «депозит/КУС/вивід», ретеншн логів.
  • Security: пентест/скани закриті; критичні/високі без прострочених винятків.
  • Договори з контентом/PSP/KYC/лабораторіями/хостингом; SLA/OLA узгоджені.
  • Рекламна модель: white-list каналів, аудит креативів, стоп-процедури.
  • Інтеграція з RGIAJ - технічні та процесні артефакти готові.

12. 2 Definition of Done (після видачі)

  • Регуляторна/фіскальна звітність включена; власники KPI призначені.
  • PSP/контент онбордени; webhooks підписані (HMAC), ідемпотентність і DLQ працюють.
  • RG-інструменти активні; телеметрія інтервенцій і журнал рішень ведуться; запити в RGIAJ - в потоці.
  • DR/BCP: проведені restore-тести та оформлені акти; RTO/RPO в нормі.
  • Реклама/афіліати: білі списки, аудит креативів, журнал порушень і заходів.

13) RACI (приклад)

ОбластьResponsibleAccountableConsultedInformed
AML/RG/дані/реклама (політики)Compliance LeadCOO/Head of ComplianceLegal, SecurityProduct, Support
Key Persons/SoF/SoWLegal LeadCEOComplianceBoard
SDLC/спостережуваність/DRPlatform/SRE LeadCTOSecurityВсі команди
Пентест/вразливостіSecurity LeadCTOVendors, SRECompliance
Договори (PSP/KYC/контент)Payments/Content OpsCOOLegal, SecurityFinance
Пакет/Q & A/демоProgram ManagerCOOВсі LeadsStakeholders

14) Ризики та пом'якшення

РизикОзнакаМітигуюча міра
Затримки по Key PersonsДоп. запити/інтерв'юРанній збір, резервні кандидати
Порушення реклами/бонусівСкарги/штрафиБілі списки, аудит креативів, жорсткі T&C
«Паперові» RG-політикиУточнення/приписиТелеметрія інтервенцій, звіти, runbooks
Вразливості/пентестПрострочені critical/highSAST/SCA/DAST в CI, policy-as-code, швидкі фікси
Платіжні інцидентиВтрата/дублі webhooksІдемпотентність, HMAC, DLQ/реплей, моніторинг TtW
RGIAJ-збій в потоціДоступ гравцям з реєструОбов'язкова онлайн-перевірка, fallback-сценарії

15) Дорожня карта 90-180 днів (приклад)

Місяць 1-2: gap-аналіз, призначення Key Persons, ремедіації SDLC/спостережуваності/безпеки, бронь лабораторій.
Місяць 2-3: збір корпоративного пакету/політик, пентест/скани, акти DR, договори з PSP/KYC/контентом, інтеграції з RGIAJ.
Місяць 3-4: подача заявки, підготовка до Q & A/інтерв'ю, dry-run демонстрацій (дашборди, журнали, RG/AML/реклама-сценарії).
Місяць 4-6: Q & A/варіації, фінальні доопрацювання, on-boarding платежів/контенту, включення звітності.

Короткий висновок

Іспанська ліцензія DGOJ - суворий, але передбачуваний режим з акцентом на Responsible Gaming (RGIAJ), дисципліну реклами/бонусів, зрілий KYC/AML і доказові ІТ-контролі. Якщо ви готові до «evidence-first» культури (SDLC/спостережуваність/безпека/DR, RG-телеметрія, прозора звітність) і поважаєте локальні правила маркетингу, Іспанія дає доступ до платіжної екосистеми високої довіри і зміцнює капіталізацію бренду в ЄС.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.