Філіппіни - CEZA
(Розділ: «Ринки та Юрисдикції»)
1) Що таке CEZA і чим вона відрізняється від PAGCOR
CEZA (Cagayan Economic Zone Authority) - спеціальна економічна зона і фріпорт на півночі Лусона. В iGaming-контексті CEZA історично надає офшорні інтерактивні ліцензії (на експорт послуг), в той час як PAGCOR поєднує функції національного регулятора і оператора локального ринку (наземні казино, eGames/eBingo) і оформляє offshore категорії у власному контурі (POGO/IGL).
Ключова ідея CEZA: обслуговувати зарубіжні ринки і жорстко блокувати доступ для осіб, що знаходяться на території Філіппін.
2) Інституції та ролі
CEZA - видає/продовжує офшорні інтерактивні ліцензії, встановлює тех-/операційні стандарти, контролює відповідність.
Керуюча/акредитуюча компанія зони (історично - майстер-ліцензні/акредитаційні структури) - прийом заявок, аудит постачальників, моніторинг.
AMLC (Anti-Money Laundering Council) — ПОД/ФТ: CDD/EDD, STR/CTR, навчання, перевірки.
BIR/DOF - податки і збори (гральні/франчайз-збори, корпоративні, утримання).
NTC/телко - доменні/мережеві блок-заходи.
DOLE/Immigration/DILG/PNP - праця/міграція, інспекції майданчиків, правозастосування.
3) Що покриває CEZA-ліцензія
B2C-оператори (offshore iGaming): казино (RNG/LV), спортивні ставки, P2P-ігри, інші інтерактивні продукти, орієнтовані на іноземні юрисдикції.
B2B-провайдери: ігрові студії, платформи/агрегатори, ризик-/антифрод-модулі, хостинг/NOC/SOC, стрім-студії, BPO-центри, процесинг в рамках офшорного сервісу.
4) Гео-блок і комплаєнс таргета
Обов'язковий PH-блок: IP/ASN, мобільні мережі, GPS/лігація по пристроях; заборона філіппінських BIN/UPI-аналогів/локальних гаманців, фільтри по валютах.
Тести на витоки: регулярні «проколи» захисту, контроль дзеркал, пошук PH-доступу зі звітами та виправленнями.
Маркетинг: креативи/лендінги не повинні містити філіппінську локалізацію; заборонені PH-інфлюенсери і трафік-джерела, що б'ють в країну.
5) Ліцензійні категорії та акредитації (високий рівень)
Interactive Gaming Operator (IGO) - B2C-оператор на експорт.
Interactive Gaming Support/Service Provider (IGSP) - контент, платформа, студії, кол-центри, антифрод, хостинг.
Data Center/Studio/BPO Accreditation - майданчики та сервіси інфраструктури.
Всередині категорій - підвиди по продуктах: casino RNG/live, sportsbook, exchange, bingo/keno, p2p/skill и пр.
6) Технологічні вимоги
Сертифікація RNG/ігрових модулів і розрахункових рушіїв; контроль версій, SDLC з безпекою за замовчуванням.
WORM-логування ланцюжка «депозит/ставка → гра/розрахунок → виплата → коригування», NTP-синхронізація, хеш-прив'язки, ретеншн за нормативом.
SOC/NOC: моніторинг доступності/безпеки, IDS/IPS, DDoS-захист.
DR/BCP: цільові RPO/RTO, періодичні навчання.
Доступ нагляду: захищені API/вивантаження, тест-акаунти, SLA по інцидентах і запитах.
7) AML/KYC і захист споживачів (офшор)
KYC/EDD: ідентифікація клієнта, вікова перевірка, санкції/РЕР, SoF/SoW за тригерами (великі депозити, швидкі повторення, зв'язність пристроїв/карт).
Транзакційний моніторинг: профілі ризику, аномалії Р2Р/крипто-конвертерів, «дроблення» платежів.
STR/CTR: процедури ескалації в AMLC; журнал розслідувань.
Responsible Gaming: ліміти депозитів/втрат/часу, тайм-аут/« охолодження », самовиключення; заборона маркетингу вразливим/самовиключеним; видимі попередження про ризики.
8) Податки і збори (рамково)
Ліцензійні платежі CEZA: первинна/щорічна плата за категорією (оператор/провайдер/майданчик), гарантійні депозити/забезпечення.
Гральні збори/мита: для офшору - спеціальні режими на GGR і/або франчайз-збори в зв'язці з CEZA.
Корпоративний/персональний податок: ставки відповідно до діючої податкової рамкою, утримання по персоналу (вкл. іноземних фахівців), місцеві збори LGU (якщо застосовується).
Облік: роздільно по продуктах/географіях/каналах; коректне відображення бонусів, void/cashout, джекпотів.
Конкретика (ставки/формули) оновлюється - закладайте в моделювання «варіативний» блок і звіряйте параметри перед бюджетом.
9) Реклама, афіліати і контент-політика
Zero-PH-target: заборона будь-якої комунікації, зверненої до PH-аудиторії.
Країни призначення: креативи/лендінги/оферти відповідають місцевим законам таргет-ринку.
Афіліати: договори з geo-фільтрами, список «заборонених» майданчиків, журнал комплаєнсу (креативи/URL/дати/гео/таргет), механізм миттєвого відгуку, бан дзеркал/клоакінгу.
10) Правозастосування та блок-заходи
NTC/телко: блокування доменів/додатків/дзеркал, запити до CDN/хостингів.
Фінансові маршрути: припинення платежів на користь нелегалів, атака на «псевдо-мерчантів».
Інспекції: офіси/студії/ВРО, міграція та праця, охорона праці, пожежна безпека, CCTV/логування.
Санкції: штрафи, призупинення/скасування ліцензії/акредитації, чорні списки доменів/компаній, справи при обтяжуючих обставинах.
11) Дорожня карта входу (operator & provider playbook)
A) B2C-оператор (offshore IGO)
1. Структура: бенефіціари (fit & proper), капітал/депозит, офіс/майданчики (data center/studio при необхідності).
2. Гео-контур: доказовий PH-блок; карта країн-призначення, локальні правові вимоги; off-switch по країнах.
3. Техніка: сертифікація RNG/платформи, WORM-логи, SOC/NOC, DR/BCP, API для CEZA.
4. Payments/AML: тільки KYC-маршрути, анти «псевдо-мерчанти», SoF/SoW, STR/CTR в AMLC.
5. RG/Ads: ліміти/самовиключення, білі списки креативів/каналів, журнал комплаєнсу.
6. UAT/Go-Live: тести GGR/NGR/бонусів, стрес-тести DDoS/логування, перевірка дзеркал і PH-блоків.
B) B2B-провайдер (IGSP: контент/платформа/студії/ВРО/хостинг)
1. Акредитація: категорія/підкатегорія, SLA/версії/escrow, IP-права.
2. Безпека/дані: DPIA/DTIA, сегментація середовищ, журнал доступу, шифрування, кей-менеджмент.
3. Звітність: вітрини продуктивності та відповідності, аудит релізів/логів.
12) Тех-і ІБ-чек-листи
Техніка та ІБ
- Сертифікація RNG/модулів/платформи; SDLC с security gates
- WORM-логи, NTP, ретеншн; незмінні хеші подій
- Шифрування в спокої/в транзиті; RBAC/SoD; секрет-менеджмент
- SOC/NOC, IDS/IPS, DDoS-захист; DR/BCP-тести
- Захищені вивантаження/API для CEZA; SLA на інциденти
Geo/Ads
- Доказуваний PH-блок (IP/ASN/GPS/платежі/мови)
- Журнал комплаєнсу: креативи/URL/дати/гео/таргет
- Off-switch по країнах/майданчиках; заборона дзеркал/клоакінгу
AML/KYC & RG
- CDD/EDD, санкції/РЕР; SoF/SoW за тригерами
- STR/CTR-процедури в AMLC; навчання; Кейс-репорти
- Ліміти/тайм-аут/самовиключення; заборона промо самовиключеним
Податки/облік
- Актуальні ставки/збори підтверджені; депозити внесені
- Роздільний облік GGR/NGR/бонусів/void/cashout по гео/каналах
- Календар звітності/платежів; контроль розбіжності <0,5%
13) KPI першого року
Фіскальні: своєчасність подач ≥99%; розбіжність otchetnost↔billing <0,5%
AML/KYC: середній час KYC; частка валідних STR/CTR; зниження «анонімних» маршрутів
RG: частка акаунтів з активними лімітами; TTR блокування при самовиключенні <1 хв
ІБ/стійкість: MTTR інцидентів; закриття high-vulns вчасно; успішні DR-навчання
Маркетинг/гео: 0 PH-хітів; 100% відповідність geo/ads-гайдлайнам
14) FAQ
Чи можна за CEZA-ліцензією працювати з філіппінськими гравцями?
Ні, ні. CEZA - офшорний режим: сувора заборона PH-доступу і PH-таргету.
Чим CEZA відрізняється від PAGCOR?
CEZA - економзона з офшорною інтерактивною моделлю; PAGCOR - національний регулятор локалу і власний offshore-контур. Рамки, збори і процеси різняться.
Чи дозволені live-студії в CEZA?
Так, в рамках акредитації/категорії та при дотриманні ІБ/кадрових/міграційних вимог (майданчики, CCTV, доступ, праця/міграція).
Які ключові ризики?
Порушення PH-блоку, слабкі AML/KYC і «псевдо-мерчанти», дзеркала/клоакінг в маркетингу, недотримання ретеншну логів і SLA до регулятора.
Примітка
Таксономія категорій, фіскальні параметри, вимоги до техніки/маркетингу та практика правозастосування еволюціонують. Перед юридично значущими кроками необхідно звірити актуальні документи CEZA і сполучених органів (AMLC/BIR/NTC/імміграція/праця), а також підтвердити контури гео-блоку і звітності під цільові ринки.