Комплаєнс афіліатів і партнерів

1) Мета і область

Забезпечити, щоб будь-який зовнішній трафік і маркетингова активність через афіліатів, стрімерів, агентства та медіа відповідали закону, ліцензіям і нашим внутрішнім стандартам (вік/реклама/RG/AML/дані/бренд). Охоплення: підписка партнерів, креативи, канали і таргетинг, UTM/постбеки, виплати та податкові форми, скарги та інциденти, аудити.

2) Ролі та RACI

Head of Affiliates (Owner) - стратегія, каталог партнерів, KPI, ескалації. (A)

Compliance/Legal - політика, договірні клаузи, суперечки, регіональні заборони. (R/A)

RG Lead - suppression у вразливих, сумісність з лімітами/SE. (C)

Brand/Creative - білий список формулювань, перевірка макетів. (R)

Performance/Tracking - UTM, постбеки, creative/version hash, антифрод-сигнали. (R)

InfoSec/DPO - DPIA, обробка та обмін даними, DPA/SSC. (C)

Finance - акти/інвойси, утримання, clawback. (R)

Internal Audit - вибірки, перевірки відповідності та CAPA. (C)

3) Онбординг партнера (KYB/Due Diligence)

• Реєстраційні дані, UBO/структура володіння, податковий статус.
• Санкції/РЕР/негативні ЗМІ (скринінги), гео-охоплення, портфель майданчиків.
• Політики: рекламна, RG, приватність, модерація афіліатів другого рівня.
• Джерела трафіку (перформанс/контент/стріми/соцмережі/ретаргетинг/ASO/SEO/брендовий PPC).
• Контакти відповідальних (compliance/tech/finance).
• Тестові макети та приклади креативів.

Класифікація ризику: Low/Med/High → глибина перевірки, періодика рев'ю (12/6/3 міс).

4) Ключові договірні клаузи (витяг)

1. Вік/таргетинг: обов'язкові фільтри 18 +/21 +; unknown age = exclude.
2. РГ-заборони: suppression гравців з SE/тайм-аут/високий ризик/affordability-перевірка.
3. Рекламні стандарти: заборона «без ризику/легкі гроші/гарантований виграш», чесний дисклеймер, відсутність youth-естетики.
4. Бренд і PPC: заборона brand-bidding і друкарських запитів; список негативних ключів; SEO-антидорами.
5. Версійність офферів: партнер зобов'язаний використовувати офіційний summary box і terms-hash, зміни - тільки через нову версію.
6. Креативи: тільки з каталогу whitelist; будь-які правки вимагають pre-approval.
7. Джерело трафіку: заборонені incent-трафік, боти, mis-leading prelanders, cookie-stuffing, forced clicks, iFrame/iframe-редиректи без згоди.
8. Суб-афіліати: тільки з письмовою роздільною здатністю і повною прозорістю майданчиків; партнер несе солідарну відповідальність.
9. Дані та приватність: DPA, мінімізація, заборона передачі персональних даних гравців без правової підстави, заборона «сегментів вразливості».
10. Аудит і логи: право аудиту креативів/майданчиків/логів; надання скріншотів, записів стрімів, вибірок показів.
11. Clawback/утримання: право утримання/повернення винагороди при порушеннях/фроді/штрафах регулятора; пост-термінаційні зобов'язання.
12. Takedown SLA: відключення проблемного креативу ≤ 2 годин за повідомленням.
13. Юр. відповідність: відповідальність за локальні рекламні норми, спонсорські та інфлюенсерські позначки, #ad/18 + і т.д.

5) Правила каналів і креативів

Платна реклама: вікові фільтри, виключення youth-аудиторій, заборона Look-Alike на «молодіжні» сегменти.
Контент/SEO: заборона клікбейту, помилкових порівнянь «офіційний сайт», покупних відгуків без позначки.
Соцмережі/стріми: чесний геймплей (включаючи програші), позначка реклами/18 +, заборона «гонок депозитів» і провокацій.
E-mail/Push: відправник і відписка; консистентність умов з лендінгом і terms-hash.

6) Технічні вимоги та атрибуція

• `click_id, partner_id, sub_id, offer_id, terms_hash, creative_hash, ts, geo, device, channel, placement_url`.
• Події: `registration`, `ftd`, `qualified_deposit`, `wr_progress`, `se_activated`, `rg_suppression_applied`, `refund/chargeback`.
• Валідації: дедуплікація click_id, анти-спуфінг підписом, таймаут атрибуції, дедуп між мережами.
• Каталоги: версії оферів/креативів з hash і датами публікації.

7) Антифрод і контроль джерел

Аномалії: високі CR із «заборонених» гео/годин, сплеск нових пристроїв/UA, «нульова» залученість, масові cancel withdrawal.
Зв'язності: IP/UA/пристрій/платіжні збіги, граф-аналіз.
Test buys/перегляди: вибіркові закупівлі трафіку і запис стрімів.
Sandbox-кліки: пастки для cookie-stuffing/прихованих редиректів.
Алгоритм реакції: прапор → hold виплати → розслідування → clawback/розрив → звіт партнеру/афіліату.

8) Виплати та утримання

Модель: CPA/RevShare/CPL/Hybrid - прозорі формули, капи, пост-бек-правила.
Hold/Reserve: для High-risk партнерів або при стрибках - резерв X% на T + N.
Clawback: фрод/порушення/регуляторні штрафи/chargeback - утримання за методом FIFO.
Інвойс/документи: податкові форми (за юрисдикцією), звірка зі звітами і GL.

9) Приватність та обмін даними

Мінімізація: в постбеках - тільки техдані, без PII гравця.
DPA/SSC: узгоджені положення, локалізація зберігання, заборона вторинного продажу сегментів.
Інциденти даних: SLA повідомлення, коридор доказів, CAPA; заборона передачі біометрії/чутливих атрибутів.

10) Скарги та інциденти

Канали: CS/Trust & Safety + форма для скарг на рекламу партнерів.
SLA: квитанція ≤ 24 год, розслідування ≤ 10 р.дн.
Заходи: Takedown, коригування, clawback, списки «чорних майданчиків».
Репорти регулятору: за локальними правилами, з додатком артефактів.

11) KPI/KRI і дашборд

Compliance Pass Rate: частка перевірених партнерів без зауважень.
Creative Version Match: збіг креативів/terms-hash у партнерів.
Complaint Rate / Reg Findings: скарги/зауваження на 1k кліків.
Takedown SLA: медіана часу відключення креативу.
Fraud/Clawback Ratio: утримання до виплат.
RG Suppression Integrity: % гравців з RG-прапорами, які отримали промо партнера (= 0).
Affiliate Consistency: відповідність офферів/UTM/гео правилам.

12) Чек-листи

A) Онбординг партнера

• KYB/UBO/санкції/PEP перевірені, ризик-клас присвоєно.
• Підписані договір, DPA, клауза суб-афіліатів.
• Затверджено список майданчиків/каналів, бренд- і PPC-правила.
• Доступ до каталогу креативів, summary box і terms-hash.
• Тест постбеків пройдено (підпис/дедуп/версійність).

B) Pre-flight кампанії

• Вікові фільтри і RG-suppression включені.
• Креативи в білому списку; ID/creative_hash/terms-hash проставлені.
• Гео/тимчасові обмеження ринку враховані.
• Суб-афіліати зареєстровані/схвалені.

C) Операції

• Моніторинг аномалій трафіку і скарг.
• Щотижнева вибірка лендінгів/стрімів і порівняння текстів.
• Виплати з урахуванням hold/clawback; розслідування задокументовано.

D) Аудит

• Квартальні вибірки партнерів і майданчиків.
• Звірка UTM/terms-hash/creative_hash/лендинг.
• CAPA за повторюваними порушеннями.

13) Шаблони (швидкі вставки)

A) Клауза «Версія умов і креативи»

B) Клауза «Sub-affiliate»

Залучення суб-афіліатів допускається виключно з письмової згоди. Партнер розкриває список майданчиків і несе солідарну відповідальність за їх дії.

C) Повідомлення про порушення (takedown)

D) Бриф для стримера (витримка)

Позначка #ad і 18 +/21 +.
Заборона обіцянок «без ризику/легких грошей».
Чесний геймплей, відсутність закликів обходити ліміти/SE.
Посилання на оффер з тією ж версією умов ('terms _ hash').

14) Модель даних (мінімум)

partner_id, risk_class, kyb_status, ubo[], sanctions_status, markets[],
approved_channels[], site_list[], sub_affiliates[],
dpa_signed_at, contract_signed_at,
creative_whitelist[], blocked_placements[],
offer_version{terms_hash, summary_box_url},
takedown_sla_hrs, rg_suppress_required,
payout_model{cpa    cpl    revshare    hybrid}, caps, hold_percent, reserve_days,
postback{secret, allowed_ips[], required_params[]},
audit_artifacts[], last_review_at, status{active    hold    terminated}

15) Інцидент-процес (коротко)

1. Сигнал (скарга/алерт/аудит) → 2) Тимчасовий hold виплат і повідомлення партнера → 3) Збір артефактів (скріншоти, логи, записи) → 4) Рішення (takedown, правки, clawback/розірвання) → 5) Звіт/регулятор при необхідності → 6) CAPA.

16) Регіональні профілі (каркас)

Market: ______
Forbidden channels/time windows:...
Required Disclaimers/Icons:...
Age threshold: 18 +/21 +
Bonus restrictions in advertising:...
Terms of notifications to the regulator:...
Special rules for influencers/offline:...

17) 30-денний план впровадження

Тиждень 1

1. Затвердити політику, матрицю заборон і шаблони договорів/DPA.
2. Налаштувати скринінги КУВ/санкції/РЕР і ризик-класи.
3. Випустити каталог схвалених креативів і формулювань.

Тиждень 2

4. Реалізувати постбеки (підпис, required params, terms/creative-hash).
5. Увімкнути RG/age-suppression в трекінгу і CRM.
6. Підготувати чек-листи і макроси повідомлень (takedown, порушення).

Тиждень 3

7. Пілот з 5-10 партнерами: моніторинг KPI/KRI, тест hold/clawback.
8. Аудит 10 випадкових лендінгів/стрімів і звірка хешів/версій.
9. Навчання акаунт-менеджерів та CS (1 година).

Тиждень 4

10. Повний реліз; щотижневі звіти та квартальні аудити.
11. CAPA щодо інцидентів/скарг; оновлення білих/чорних списків.
12. План v1. 1: авто-сканер партнерських сторінок, ML-сигнали аномалій, «panic-button» для миттєвого відключення.

• Рекламні стандарти та заборони
• Прозорість бонусних умов
• Перевірка віку та вікові фільтри
• Відповідальна гра та ліміти/Самовиключення та блокування акаунтів/Reality Checks
• AML-політика і контроль транзакцій/KYC-процедури
• Дашборд комплаєнсу та моніторинг/Регуляторні звіти та формати
• Внутрішній/зовнішній аудит та аудиторські чек-листи