Операції та Комплаєнс → Комплаєнс-фреймворк Gamble Hub

Комплаєнс-фреймворк Gamble Hub

1) Мета і цінність

Gamble Hub - це єдиний операційно-комплаєнсний каркас для роботи в безлічі юрисдикцій. Він перетворює розрізнені вимоги регуляторів, банків, провайдерів і рекламних майданчиків в стандартизовані політики, процеси, автоматизовані перевірки і докази відповідності.

• Швидко підключати нові ринки без порушення вимог.
• Знижувати операційні ризики (штрафи/блокування/chargeback/відмивання).
• Робити комплаєнс відтворюваним: «як код», з рев'ю, трасуванням і audit trail.
• Зменшувати вартість дотримання (C/Compliance) при зростанні масштабів.

2) Область дії і терміни

Юрисдикції: ЄС/ЄЕЗ, Великобританія, Східна Європа, ЛатАм, деякі ринки АТР.
Домени: Ліцензування, KYC/AML, Responsible Gaming (RG), Реклама/Афіліати, Платежі, ПДн/Privаcy (GDPR-підхід), Безпека, Чесність ігор/RNG, Антифрод, Звітність регуляторам.
Артефакти: Policy, SOP/Runbook, Control, Evidence, Register, Report.

3) Принципи фреймворку

1. Policy-as-Code: правила і контролі описані формально (YAML), валідуються в CI.
2. Evidence-by-Design: будь-яка операція залишає доказ відповідності.
3. Least Effort for Ops: комплаєнс вшитий в продуктові флоу, мінімум ручних кроків.
4. Risk-based: пріоритизація за ризиком (країна/канал/метод оплати/поведінка).
5. Privacy-first: мінімізація даних, маскування, доступ за ролями, ретеншн.
6. Explainable & Auditable: кожне рішення можна пояснити, журналювати і відтворювати.
7. One Source of Truth: єдині реєстри та панелі; без дублюючих «тіньових» таблиць.

4) Архітектура Gamble Hub

Політики (Policies): ліцензії, KYC/AML, RG, реклама, виплати, дані, безпека.
Процеси (SOP/Runbook): онбординг гравця, ескалації AML, блокування, повернення.
Контролі (Controls): автоматичні перевірки в потоках (реєстрація/депозит/вивід/бонус).
Дані та реєстри (Registers): ліцензії/провайдери/афіліати/інциденти/скарги/SAR.
Моніторинг (Monitoring): дашборди комплаєнсу, алерти, KPI/OKR.
Звітність (Reporting): регулятори/платіжні партнери/податкові/вендори.
Аудит (Audit): періодичні перевірки, тести дизайну/ефективності контролів.

5) Юрисдикційна матриця (приблизна)

6) Контрольні точки по життєвому циклу

• Вік/гео/санкції/РЕР, дублі акаунтів, згоди на обробку даних.
• Гео-блокування неприпустимих країн, КВА/док-верифікація за ризиком.

• Джерело коштів (за тригерами), ліміти RG/бонусні правила, антифрод-сигнали.
• Повідомлення про ризик: різкі шипи суми/частоти, розбіжність гео/платежу.

• Re-KYC і AML-тригери, перевірка збігу імені/IBAN/карти, hold при червоних прапорах.

• Enhanced Due Diligence (EDD), походження коштів, перегляд раз на N місяців.

• Вікові та гео-обмеження креативів, заборона тригерного таргетингу вразливих груп, UTM-реєстр.

• Ліцензії, SLA, квоти, тести чесності/RNG, моніторинг інцидентів і перерв.

7) Політики (фрагменти)

• Базовий KYC для всіх, EDD по тригерів (сума/швидкість/патерни/санкції/РЕР).
• Автоблок/ескалація в MLRO при спрацьовуванні «червоних» правил.
• SAR/STR: термін формування/подання, формати доказів.

• Єдині ліміти: депозит/ставка/час; самовиключення, охолодження.
• Тригери RG-моніторингу: різке зростання частоти/суми/часток програшу, нічні патерни.
• Outbound-комунікації: коректна лексика, заборона «підштовхування».

• Верифікація партнерів (KYB), каталог креативів з віковими мітками.
• Заборона некоректних обіцянок виграшу/« безризикових »формулювань.
• Реєстр UTM і «source of customer» для аудиту.

• Тільки іменні методи; засоби виводяться на вихідний інструмент.
• Velocity-правила, 2-й фактор при зміні реквізитів, ретеншн логів.

• Data minimization, RBAC/тимчасові доступи, шифрування, ретеншн по юрисдикціях.
• Права суб'єкта даних: запит/виправлення/видалення - SLA і журнал.

• Секрети у vault, Zero-trust мережі, аудит доступу, журнал адмін-дій.
• Інциденти безпеки: класифікація/SLA повідомлень/плейбуки.

8) Controls-as-Code (приклад)

yaml control_id: AML-TR-011 name: "Velocity: unusual deposit spikes"
scope: deposits jurisdictions: ["EU","UK","LATAM-"]
trigger:
expr: avg_over(15m, amount) > baseline_30d 3 AND count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: "team:mlro"
evidence:
store: s3://compliance-evidence/aml-tr-011/{player_id}/{ts}
fields: [player_id, amounts_1h, devices, ip_geo, payment_methods, session_ids]
owner: mlro review_sla_days: 180

yaml control_id: RG-LIM-004 name: "Daily loss limit"
scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: "player:rg_message_template_7"
- log: rg_register evidence:
fields: [loss_today, limit, messages_sent, player_ack]
owner: rg_officer

9) Регістри та доказова база

License Register: номер/термін/країна/бренд/умови.
Provider Register: статуси аудитів, інциденти, квоти, SLA, контакти.
Affiliate Register: договори, UTM-пули, перевірки KYB, порушення.
Incident & Breach Register: тип/вплив/SLA/повідомлення/постмортеми.
SAR/STR Register: дати, причини, матеріали, результат.
Complaints Register: скарги гравців/відповіді/терміни/рішення.

Всі регістри - в єдиному сховищі з версіями, доступ за ролями, експорт для аудиту.

10) Моніторинг та алерти комплаєнсу

• Compliance Overview: порушення по доменах, тренди, топ-ризики.
• AML/RG Watch: повернення/chargeback, velocity, self-exclusion/ліміти.
• Privacy & Access: PII-доступи, аномальні вибірки, термін зберігання.
• Providers & Ads: інциденти провайдерів, якість трафіку афіліатів.

• RG: «3 попередження за 24ч без підтвердження гравцем» → пауза бонусів.
• AML: «введення різними картами + виведення на новий метод» → hold/EDD.
• Privacy: «bulk-експорт ПДн» → миттєва ескалація DPO.

11) Процеси і SOP

SOP: Підозра на AML → SAR

1. Автоспрацьовування AML-контролю → кейс в AML-воркфлоу.
2. Збір доказів (авто) → перевірка офіцером.
3. Рішення: SAR/hold/відхилення → журнал/повідомлення/терміни.

SOP: RG самовиключення

1. Підтвердження особи → негайне блокування продукту.
2. Синхронізація з реєстрами країни (якщо застосовується).
3. Комунікація і ретеншн подій, зняття після терміну охолодження.

SOP: Включення нової країни

1. Юридичний аналіз і ліцензія → маппінг вимог в Policies.
2. Локалізація KYC/Privacy/Реклама/податки → тест-стенд.
3. Battle-test контролів → пілот 1-5% трафіку → звіт і запуск.

12) Ролі та RACI

13) Документація як код

Репозиторій'compliance-hub/' з папками: `policies/`, `controls/`, `sop/`, `registers/`, `templates/`.
CI-валідація: обов'язкові поля ('owner/version/jurisdiction/review _ sla _ days'), лінтери YAML/Markdown.
Авто-публікація в портал, changelog і нагадування про ревізію (SLA 180 днів).

14) KPI/OKR комплаєнсу

• KYC Time-to-Verify (медіана), EDD Turnaround, SAR SLA.
• RG Interventions (частка кейсів з попередженим шкодою), Chargeback Rate.
• Affiliate Violation Rate, Provider Incident MTTR.

• Coverage критичних флоу ≥ 95%.
• False Positive Rate по AML/RG ↓ кв/кв. м
• Control Drift (невідповідності політиці) = 0.

• Audit Findings Resolved ≤ 90 дней, Evidence Completeness ≥ 98%.
• Privacy Violations = 0.

15) Чек-листи

• Ліцензія/авторизація та локальні обмеження (вік/твори/гео).
• Маппінг KYC/AML/RG/Privacy/Реклама в Policies.
• Провайдери/платежі (ліміти/квоти/доступність).
• Звітність (формати/частоти), тест-вивантаження.
• Тренінг саппорта і локалізовані шаблони повідомлень.

• RFC/PR включає impact-оцінку (KYC/RG/Privacy/Реклама).
• Контролі оновлені, тести в CI пройдені.
• Логи/евіденси підключені.
• План відкату і комунікації готові.

• КУВ/санкції/бенефіціари.
• Договір/правила креативів/UTM-пули.
• SLA/OLA і інцидент-процес.
• Періодичний аудит.

16) Шаблони

yaml policy_id: RG-POL-001 title: "Responsible Gaming — Limits & Exclusions"
jurisdictions: ["EU-","UK","LATAM-CL"]
owner: head_of_compliance version: "1. 6"
last_review: "2025-09-20"
next_review_due_days: 180 references: ["SOP-RG-EXC-002","CTRL:RG-LIM-004"]

SOP: AML EDD Review
Scope: Deposits > threshold, red flags
Steps: collection of evidence → request for documents → decision → SAR/hold/decline
DoD: solution and evidence in registry, notifications sent
SLA: EDD ≤ 48h, SAR filed ≤ X days
Owners: MLRO, AML Ops

Period: YYYY-MM
Metrics: active players, deposits/conclusions, RG cases, complaints
AML: SARs filed N, rejected M, average TAT
Incidents: Impact/Measures/Notifications
Signatures: MLRO/DPO/Head of Compliance

17) План впровадження 30/60/90

• Створити репозиторій'compliance-hub/' і базові Policies (KYC/AML, RG, Privacy, Ads, Payments).
• Оцифрувати топ-контролі (реєстрація, депозит, висновок, бонуси) як Controls-as-Code.
• Запустити регістри: ліцензій, провайдерів, SAR, інцидентів.
• Підняти панель Compliance Overview; домовитися про KPI.

• Інтегрувати контролі в продуктові флоу (веб/мобайл/CRM/платежі).
• Впровадити Evidence-by-Design (автозбір і зберігання).
• Налаштувати звітність по 2-3 ключовим юрисдикціям; автоматизувати вивантаження.
• Провести тренінги (AML/RG/Privacy) і «клініки комплаєнсу».

• Аудит дизайну та ефективності контролів; закрити findings.
• Знизити False-Positive AML ≥ 20% без втрати Recall.
• Нормувати процеси провайдерів/афіліатів; квартальні рев'ю.
• Включити комплаєнс-KPI в OKR продуктових/операційних команд.

18) Анти-патерни

«Комплаєнс як ручні чек-листи» без інтеграції у флоу.
Дві версії правди: звіти в Excel + окремі логи.
Немає доказової бази (evidence) і ретеншну.
Політики без ревізії, застарілі ліміти і посилання.
Сліпа монолітна фільтрація (море false-positive).
Відсутність контролю реклами/афіліатів → регуляторні санкції.

19) FAQ

Q: Як уникнути «гальмування» продукту комплаєнсом?
A: Контролі вшивати в UX (мікродози), risk-based маршрути, оборотні перевірки і асинхронні підтвердження.

Q: Що робити при конфлікті локальних норм?
A: Країна-специфічна конфігурація Policies, пріоритет більш суворого правила.

Q: Як масштабувати на нові ринки?
A: Шаблон «Нова країна»: юридичний маппінг → налаштування Policy/Controls → тести → пілот → звітність.