Дашборд комплаєнсу та моніторинг

1) Призначення та зона відповідальності

Єдина панель для щоденного контролю дотримання вимог: ліцензії та регулятори, захист даних (GDPR/PII), платежі та PCI, AML/CFT, відповідальна гра (RG), маркетингова та афілійська політика, провайдери ігор, обов'язкові повідомлення та звітність. Дашборд служить джерелом істини для Compliance/Legal/Security/Payments/RG/AML і матеріалів для аудиту.

2) Ролі та RACI

Власник продукту (Head of Compliance) - бачення, пріоритети, випуск версій. (A)

Data Owner (DWH Lead) - схеми, SLA свіжості, lineage. (R)

Compliance Analysts/AML/RG - налаштування KPI/KRI, алертів, інтерпретація. (R)

Security/DPO - GDPR/PII/інциденти, права суб'єктів даних. (R)

Payments Lead - PSP/PCI, повернення, chargebacks. (R)

CS/CRM - комунікації порушеним клієнтам. (C)

Legal - трактування норм, узгодження текстів повідомлень. (C)

Engineering - збір телеметрії, інтеграції провайдерів. (R)

3) Каркас дашборду: розділи та ключові віджети

3. 1 KYC/KYB

KYC Completion Rate (D-1) = верифіковані акаунти/нові реєстрації.
Pending> SLA (шт.): заявки в черзі довше X годин.
Tier Escalations: переведення на підвищений рівень перевірки.
False Positive Rate (KYC фрод-прапори).
Документи, що закінчуються ≤30 днів (паспорт/адреса).

3. 2 AML/CFT

SAR/STR Queue: відкриті кейси за стадіями.
High-Risk Segments: % обороту клієнтів HR-країн/методів.
Unusual Patterns (velocity/structuring): детектор аномалій (денний).
PEP/Sanctions Hits: нові збіги, time-to-review.
Average Case Closure Time и % в SLA.

3. 3 Відповідальна гра (RG)

Self-Exclusion/Timeouts: нові/активні, повернення депозитів.
Loss/Session Limits Breaches: порушення,% оброблених повідомлень.
Vulnerable Players Outreach: охоплення і час контакту.
RG Interventions Efficacy: зниження втрат після втручання.

3. 4 Платежі та PCI

PSP Health: auth-rate, decline-rate, latency за методами/гео.
Chargeback Ratio (М-к), Refund SLA, Disputes Age.
PCI Events: скан вразливостей, ротація ключів, токенізація пан.
Anomalous Cashouts: перевищення порогів/скорингу.

3. 5 GDPR/PII та інциденти

Data Access Requests (DSAR): вхідні/в SLA, прострочення.
Privacy Incidents: відкриті/закриті, TTS (time-to-statement), MTTR.
PII Inventory Drift: зміни в реєстрі полів/ретенції.
Breach Notification Timeliness: % повідомлень вчасно.

3. 6 Регулятор/ліцензії

Обов'язкові звіти: календар дедлайнів (30/7/1 день).
Дотримання умов реклами/бонусів: прапори невідповідностей по ринках.
Журнал взаємодії з регуляторами: статус тікетів/запитів.

3. 7 Маркетинг/Афіліати

Attribution Integrity: розбіжності постбеків/пікселів, «missing clicks».
Compliance Flags: заборонені креативи/цільові групи.
Partner Score: індекс дисципліни партнера (KPI/дедлайни/скарги).

3. 8 Провайдери ігор і чесність

RTP Drift Monitor: відхилення від заявленого RTP (гранулярність тайтл/студія).
Fairness Incidents: зупинки/розсинхронізація раундів, баланс-помилки.
Game Provider Health: помилки API, частка недоступності.

4) Порогові значення і серйозність (приклад)

S1 (критичний): auth-rate по топ-PSP <60% ≥ 15 хв; підтверджений витік PII; масове порушення RG.
S2 (високий): chargeback ratio > 1. 5% за 7 днів; DSAR> SLA на 48 год; падіння конверсії KYC> 20% d/d.
S3 (середній): зростання відмов провайдера ігор> 5% годину до години; 2 + партнера із забороненими креативами.
S4 (низький): локальні дефекти, поодинокі скарги.

SLA оновлень: S1 - перше повідомлення ≤15 хв; S2 - ≤30 хв; S3 - за розкладом змін.

5) Правила алертів (скелет)

Detect: метрика X перевищує поріг Y у вікні Z.
Suppress/Dedupe: групування по ринку/методу/провайдеру.
Route: канал (war-room/он-колл/статус), одержувачі по RACI.
Escalate: авто-ескалація при тривалості> T або повторі N раз/добу.
Explain: посилання на плейбук і FAQ для CS.
Record: автологування в журнал інцидентів + снапшот графіків.

6) Джерела даних та архітектура

Транзакційні логи: депозити/висновки/ігрові сесії.
KYC/KYB провайдери: статуси перевірок, причини відмов.
AML системи/SIEM: альберти, кейси, скоринги.
PSP/Acquirer/Card Schemes: API звітів і статусів.
CRM/CS: звернення, макроси, вихідні повідомлення.
Статус-сторінка/інцидент-бот: таймлайни, тексти повідомлень.
Регістри GDPR/PII: DSAR, ретенції, обробники.
Game Providers: телеметрія API, RTP, статуси.

• Свіжість (Freshness SLA): KYC/PSP - ≤15 хв; AML/SIEM - ≤5 хв; DSAR — D-1; RTP — D-1; RG - ≤15 хв.
• Lineage: кожне поле із зазначенням джерела/перетворення.
• Якість: валідатори схем (обов'язкові поля, реєстри кодів, дедуплікація).

7) Формули та визначення KPI/KRI (вибірка)

Auth Rate (метод/гео): `approved / attempts`.
Chargeback Ratio (міс): `chargebacks / successful transactions`.
KYC Completion Rate: `verified_accounts / new_registrations`.
SAR Submission Timeliness: '% SAR, відправлених ≤ X годин після тригера'.
DSAR SLA: «% запитів, закритих ≤ 30 днів».
RTP Drift (тайтл): `|observed_RTP − declared_RTP|`.
RG Outreach SLA: `median(time_contacted − time_triggered)`.

8) Віджети (шаблони)

8. 1 «Регуляторні дедлайни» (календар):

Список звітів з дедлайном, власником, готовністю (%), ризиком прострочення.
Фільтри: юрисдикція, тип (ліцензія/AML/ігри).

8. 2 «PSP Map» (гео/методи):

Теплова карта auth-rate, latency, інциденти за 24 год.
Клік → деталізація по провайдеру/методу → посилання на плейбуки.

8. 3 “GDPR/DSAR Pipeline”:

Воронка: отримано → в роботі → очікує верифікацію → закрито.
Прострочення з причинами.

8. 4 “AML Caseboard”:

Канбан за стадіями: Detection → Review → SAR → Closed.
Таймер SLA, авто-підсвічування прострочень.

8. 5 “RG Risk Monitor”:

Ліміт-бричі, self-exclusions, контакти; ефективність втручань.

9) Політики доступу та аудит

RBAC/ABAC: аналітики бачать агрегати; доступ до PII - тільки через маскування/прошарок DPO.
Журнал дій: хто відкривав/змінював пороги і правила.
Версіонування: конфігурації алертів і формули KPI в Git; релізи з changelog.

10) Інтеграція з інцидент-процесом

Кнопка «Declare Incident» з віджету → передзаповнений тікет (ID, скріншоти, рівні S1-S4).
Автогенерація holding statement (статус-сторінка/CS макрос).
Лінки на: Інцидентні плейбуки, Повідомлення та терміни, Кризове управління.

11) Контроль якості даних (DQ)

Coverage: повнота подій vs. еталон (PSP звіт).
Consistency: суми/валюти/таймзони.
Outliers: IQR/3σ, візуальний прапор.
Backfill: процедури дозавантаження та позначки ретро-змін.
DQ-алерти: при падінні свіжості/частці null/розбіжності агрегатів.

12) Чек-листи

Перед релізом дашборду

• Затверджені KPI/KRI і формули.
• Налаштовані пороги і маршрутизація алертів.
• Прописані власники віджетів і SLA свіжості.
• Включено логування дій та експорт артефактів.

Щотижня

• Ревізія порогів щодо інцидентів тижня.
• Перевірка помилкових спрацьовувань/перепусток.
• Звірка зі звітами регуляторів/PSP.

Щоквартально

• Аудит доступу та маскування PII.
• Перегляд KPI/KRI під нові вимоги ліцензій.
• Тест навчань: AML SAR, GDPR DSAR, PSP збій.

13) Артефакти та експорти

Снепшоти дашбордів при S1/S2 (PNG/PDF).
Експорт KPI (CSV/Parquet) з хешами і підписом часу.
Журнали алертів з причиною/кнопкою «прив'язати до інциденту».
Реєстр дедлайнів/повідомлень (зв'язок з тікетами та підтвердженнями).

14) Набір сповіщень (приклад правил)

PSP. AuthRate <70% (15 хв, 3 зони) → S2, канал «Payments On-Call», ескалація через 30 хв.
GDPR. DSAR> 30 днів (≥10 штук) → S2, «DPO On-Call», звіт Legal.
AML. PEP Matches New> 0 (доба) → S3, AML канал, авто-створення кейсів.
RG. SelfExclusions Spike> p95 (доба) → S3, RG канал + CS бриф.
Game. RTP Drift > 0. 7 п.п. (7 днів) → S2, Provider Ops, freeze тайтла.
Compliance. Report Deadline ≤ 7 днів & Progress <50% → S3, Compliance канал.

15) Швидкий старт (30 днів)

Тиждень 1

1. Узгодити список KPI/KRI і порогів (розділи 3-7).
2. Визначити SLA свіжості і власників вітрин.
3. Підняти скелет дашборду (порожні віджети + джерела).

Тиждень 2

4. Підключити PSP/KYC/AML/RG потоки.
5. Налаштувати 6 критичних алертів (п.14).
6. Пов'язати з інцидент-ботом і статус-сторінкою.

Тиждень 3

7. Валідація якості даних (DQ-чек-лист).
8. Пілот на on-call тижні, збір зворотного зв'язку.
9. Документація формул/порогів в Git.

Тиждень 4

10. Реліз v1. 0, навчання користувачів.
11. Пост-релізне ретро, коригування порогів.
12. План v1. 1: нові віджети (RTP, Partners Score) і звіти.

• Інцидентні плейбуки та сценарії
• Повідомлення про порушення та терміни звітності
• Кризове управління та комунікації
• План безперервності бізнесу (BCP )/DRP
• Журнали аудиту операцій
• Система повідомлень і алертів