GH GambleHub

Перевірка віку та вікові фільтри

1) Мета і область

Виключити доступ неповнолітніх до продуктів, комунікацій і промо, забезпечити відповідність вимогам ліцензій і законів реклами/захисту споживачів. Охоплення: реєстрація/логін, гаманець/платежі, CRM/маркетинг, афіліати, партнери ігор, саппорт (CS), Risk/KYC, Legal/DPO, звітність.

2) Принципи

Zero Access для неповнолітніх. Ніякої гри, депозитів, бонусів і маркетингу.
Verify-before-Use. Повний доступ тільки після успішної перевірки віку/особистості.
Найменші дані. Збираємо тільки необхідне, використовуємо надійні джерела.
Нейтральні комунікації. Без стигматизації, без розкриття алгоритмів антифроду.
Доказовість. Артефакти і журнали придатні для аудиту та інспекцій.

3) Ролі та RACI

KYC Lead/Head of Compliance - політика, вендори, винятки. (A)

Risk/KYC Analysts - верифікація, ескалації, рішення і ретенція. (R)

CS/Trust & Safety - комунікації з гравцями, обробка апеляцій. (R)

Marketing/CRM/Affiliates - вікові фільтри і винятки з кампаній. (R)

Product/UX/Engineering - потоки реєстрації, що блокують контури, API до вендорів. (R)

Legal/DPO - локальні норми, приватність/PII, DPIA. (C)

Internal Audit - незалежні перевірки і CAPA. (C)

Exec Sponsor (COO/CEO) - ресурси, «tone from the top». (I/A)

4) Методи перевірки віку (ступінчасто)

Рівень 1 - Базовий (авто):
  • Матч ПІБ + ДР + адреса по гос/кредитним/телко-реєстрам (where allowed).
  • Банківська верифікація (open-banking/картка з KYC-банку → вік ≥ порогу).
  • Моб. оператор (KYC-SIM, дата народження в профілі).
Рівень 2 - Документи (селекція/ескалація):
  • Паспорт/ID/вод. посвідчення/загран + OCR/фейс-матч, перевірка жвавості (liveness).
  • Верифікація MRZ/баркодів, база загублених/вкрадених документів.
  • Зіставлення селфі з фото документа.
Рівень 3 - Доп. підтвердження (edge cases):
  • Нотаріальні/держ-підтвердження, довідки з держреєстрів (якщо дозволено).
  • Альтернативи для бездок-клієнтів (банківські листи, ID-картка резидента тощо) - тільки при доп. ризиках і дозволах.

Рішення: доступ «повний/обмежений/відмова» + причина і термін перегляду.

5) Вікові пороги та регіональні профілі

Ігровий доступ: 18 +, або 21 + (окремі ринки/вертикалі).
Маркетинг: сегментація з гарантованим 18 +/21 + таргетингом.
Афіліати: посадова відповідальність за фільтри і докази.
Профілі ринків ведуться в каталозі «Age Profiles»: пороги, допустимі джерела, SLA і звітні формати.

6) UX-потоки і копірайт

Реєстрація (до верифікації):
  • "Ми зобов'язані підтвердити ваш вік для безпечного доступу. Це займе кілька хвилин"
  • Пояснення, які дані потрібні і навіщо; посилання на політику приватності.
Після авто-матчу (успіх):
  • "Вік підтверджено. Повний доступ активовано"
Запит документів:
  • "Система не змогла автоматично підтвердити вік. Завантажте документ (ID/паспорт/права). Непотрібні поля можна приховати/замазати згідно з інструкцією"
Відмова/молодше порога:
  • "Ми не можемо надати доступ: вік нижче встановленого законом порогу. Аккаунт буде закритий, дані - видалені по політиці"
Апеляція (м'яко):
  • "Якщо ви вважаєте, що сталася помилка, подайте апеляцію з документами за посиланням. Ми відповімо протягом X днів"

7) Вікові фільтри в маркетингу/афіліатах

CRM: глобальні suppression-прапори 18-/21-, «unknown age» = виключити з усіх промо.
Платна реклама: обов'язкові вікові таргети/інтереси 18 +/21 +; аудит майданчиків; заборона look-alike на «молодіжні» сегменти.
Креативи: без підліткової стилістики/мови/образів; дисклеймери «18 +/21 +».
Афіліати: договірні зобов'язання: вікові фільтри, заборона молодіжних майданчиків, передача хітів маркетингу для вибіркових рев'ю; право аудиту та clawback.

8) Дані, приватність і ретенція

Модель даних (мінімум): `user_id, dob, age_check_level, sources[], decision{passfailinsufficient}, reason, reviewer_id, artifacts[], retention_until`.
Мінімізація: зберігати результат перевірки та контрольні суми документів; оригінали - за потребою і термінами.
Доступ: RBAC/ABAC, WORM-журнали, роздільне зберігання PII/артефактів.
Ретенція: за законом/ліцензією (часто 5-7 років) або коротше, якщо доступ не надано.
DPIA і права суб'єктів: прозорість, DSAR через DPO, видалення за терміном.

9) Прикордонні та особливі кейси

17 років 11 місяців: автоматична відмова і м'яка комунікація; блокування повторної реєстрації до дати 18/21 +.
Вік «невизначений»: заборона доступу, повторний запит джерел/доків.
Різні дати в доках/реєстрах: ескалація на ручний огляд.
Підозра на підміну/чужий документ: відмова + внутрішній фрод-прапор, при необхідності повідомлення регулятора.
«Сімейна» карта/телефон: не приймається як доказ віку.

10) Контрольні процедури

Pre-use gate: блок ігор/депозитів до верифікації віку.
Dual-control: ручні схвалення на спірних кейсах (два аналітика).
Document Forensics: лівнес-тести, анти-скрін, EXIF-аналіз, перевірка шрифтів/полів.
Spend-gate: при зміні статусу «unknown age» → «pass» оновлювати CRM/PSP/агрегатори.
Monitoring: алерти на повторні реєстрації/збіги пристроїв/адрес.
Vendor QA: регулярні тести вендорів (precision/recall, SLA).

11) KPI/KRI і дашборд

Age Pass Rate (авто/доки/ручний).
Time-to-Verify (медіана/95-й перцентиль).
False Accept/Reject (за вибірками).
Unknown-to-Pass Time (реєстр → повний доступ).
Promo Suppression Integrity (% неповнолітніх/unknown в промо = 0).
Auditability (% кейсів з повним пакетом артефактів).
Vendor SLA (частка відповідей ≤ X сек/хв).

12) Чек-листи

Перед запуском

  • Поріг віку по ринках, джерела і SLA узгоджені з Legal/DPO.
  • Потоки реєстрації/логіна блокують доступ до PASS.
  • CRM/Ads/Affiliates підключені до suppression-прапорів.
  • Вендор (и) налаштовані, тест-кейси (позитив/негатив/edge) пройдені.
  • Політика ретенції та інструкція з маскування доків опубліковані.

В операціях

  • Щоденна перевірка Unknown→Pass, гасіння підвислих кейсів.
  • Вибіркові рев'ю ручних рішень (≥ 10 %/квартал).
  • Розбір скарг і апеляцій SLA ≤ X днів.
  • Синхронізація статусів з провайдерами ігор/PSP.

Аудит/поліпшення

  • Квартальні A/B-тести копірайту і кроків реєстрації (без компромісу безпеки).
  • Звірка журналів зі звітами регуляторам.
  • CAPA за повторами інцидентів/зауважень.

13) Скрипти та шаблони

A) Запит документів (нейтрально):
💡 Щоб завершити доступ, підтвердіть вік документом (ID/паспорт/права). Необов'язкові поля можна приховати згідно з інструкцією. Це допомагає нам дотримуватися закону і захищати користувачів.
B) Відмова (нижче порога):
💡 Ми не можемо надати доступ, так як вік нижче встановленого законом порогу. Аккаунт закритий. Дані будуть видалені згідно з політикою.
C) Апеляція:
💡 Якщо ви вважаєте, що сталася помилка, подайте апеляцію і додайте документ. Ми відповімо до [дата].

D) Відповідь на питання «чому не можна грати відразу?»

Закон вимагає переконатися, що користувачі досягли мінімального віку. Зазвичай перевірка займає кілька хвилин після завантаження документа.

14) Технічний скелет

Події:
  • `age_check_started`, `age_check_auto_pass/fail`, `docs_requested`, `docs_received`, `manual_review_pass/fail`, `age_pass_synced_to_crm/psp/games`, `marketing_suppressed`.
API:
  • `POST /kyc/age-check`, `POST /kyc/docs`, `GET /kyc/status`, `POST /kyc/decision`, `POST /crm/suppress-age`, `POST /affiliates/age-policy-ack`.
Сховище:
  • Шифрування at-rest; EXIF-стрипінг; контрольні суми артефактів; WORM-журнали.
Фіче-прапори:
  • `age. gate. required`, `age. docs. level2`, `ads. suppress. unknown`, `affiliates. enforce_age_filters`.

15) Часті помилки і профілактика

Доступ до підтвердження. → Жорсткий pre-use gate.
«Unknown age» потрапляє в промо. → За замовчуванням suppress.
→ Liveness, фейс-матч, форензика.
Надлишковий збір даних. → Мінімізувати поля, маскувати непотрібне.
Довга ручна перевірка → SLA, черги, автоприоритети, воркфлоу-бот.
Неузгоджені афіліати. → Договірні клаузи, пост-бек-контроль, право аудиту.

16) Регіональні картки (шаблон)


Рынок: ______
Возрастной порог: 18+ / 21+
Допустимые источники: госреестр / банк / телко / документы
SLA: ack ≤ __ ч, решение ≤ __ дн
Отчетность: формат/частота
Особые требования: хранение локально, запрет биометрии и т.п.

17) 30-денний план впровадження

Тиждень 1

1. Затвердити пороги і джерела по ринках; DPIA.
2. Специфікувати потоки реєстрації/блокувань і модель даних/журналів.
3. Вибрати/законтрактувати вендора (ів) (реєстри/доки/телко/банк).

Тиждень 2

4) Реалізувати pre-use gate та інтеграції API; налаштувати CRM/Ads suppression.
5) Підготувати копірайт/локалі, інструкцію з маскування.
6) Навчити CS/KYC; випустити скрипти/FAQ.

Тиждень 3

7) Пілот (5-10%): метрики Pass Rate/TTVerify/False Reject.
8) Тюнінг порогів/таймаутів/UX.
9) Перевірка афіліатів і рекламних кабінетів на фільтри.

Тиждень 4

10) Повний реліз; дашборд KPI; щоденний моніторинг інцидентів.
11) Звіт керівництву; CAPA за зауваженнями.
12) План v1. 1: доп. джерела (open-banking/телко), auto-prioritization ручних кейсів.

Пов'язані розділи:
  • KYC-процедури та рівні перевірки
  • AML-політика і контроль транзакцій
  • Обізнаність персоналу про комплаєнс/Кодекс етики
  • Відповідальна гра та ліміти
  • Самовиключення і блокування акаунтів
  • Reality Checks та ігрові нагадування
  • Регуляторні звіти та формати даних
  • Внутрішній і зовнішній аудит/Аудиторські чек-листи
Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.