Операції та Комплаєнс → KYB-верифікація партнерів

KYB-верифікація партнерів

1) Навіщо KYB в iGaming

Партнери безпосередньо впливають на ризик-профіль платформи: якість трафіку і маркетингу, безпека платежів і чесність ігор, дотримання локальних норм. Коректний KYB знижує регуляторні та фінансові втрати (штрафи, блокування, chargeback), прискорює підключення нових ринків і підвищує стійкість ланцюжка поставок.

• Встановити особу компанії, бенефіціарів (UBO) і контроль над санкційними ризиками.
• Підтвердити право пропонувати послуги (ліцензії, сертифікації, доменні права).
• Зафіксувати договірні гвард-рейли (RG/Ads/Privacy/Security/SLA).
• Впровадити безперервний моніторинг та своєчасну реакцію на порушення.

2) Таксономія партнерів (хто проходить KYB)

Афіліати/видавці/інфлюенсери (трафік, креативи, воронки).
Платіжні провайдери/процесори/аквайєри (KYC/AML, повернення, звітність).
Провайдери ігор/агрегатори/студії (ліцензії, RNG/сертифікація, RGS).
Платформні/інфраструктурні вендори (хостинг, KMS/Vault, моніторинг).
Медіа- та performance-агентства (реклама, брендинг, закупівля трафіку).
Аутсорс-саппорт/kYC/AML bureaus (обробка ПДн, субпроцесори).

3) Принципи KYB

1. Risk-Based: глибина перевірки залежить від типу партнера, юрисдикції, обсягу трафіку/транзакцій.
2. Evidence-by-Design: всі висновки підкріплені документами/скріншотами/логами.
3. One Source of Truth: єдиний реєстр партнерів з версіями та аудитом.
4. Least Surprise: договір заздалегідь кодує очікування (SLA, RG/Ads, Privacy, Security).
5. Continuous Monitoring: переоцінка по події (зміна UBO, сплески chargeback, скарги).

4) Модель даних: реєстр партнерів (YAML)

yaml partner_id: AFF-2025-0197 type: affiliate     # affiliate    payment    game_provider    aggregator    infra    agency    outsourced_ops legal_name: "Acme Media Ltd."
registration:
country: MT number: C123456 registry_link: <ref>
ubo:
owners: [{name: "John Doe", share: 60%}, {name: "Jane Roe", share: 40%}]
sanctions_screened: true licenses:
- kind: marketing_agency
- jurisdiction: EU contact_points:
compliance: compliance@acme finance: billing@acme risk:
inherent: medium geo_scope: [EU, LATAM]
products: [casino, betting]
agreements:
sla: {kpi: ["lead_quality","complaints_rate"], remedies: ["traffic_pause","fee_adjustment"]}
ads_policy_ack: true data_processing_addendum: true monitoring:
kpis: {chargeback_rate: 0.3, complaint_rate: 0.2}
last_review: 2025-09-30 status: approved     # pending    approved    suspended    terminated review_sla_days: 180 owner: partner_compliance_team

5) Політики та контролі (as Code)

Політика risk-tiering партнерів

yaml policy_id: KYB-TIERING-001 tiers:
- name: low criteria: [type==infra AND handles_pii==false]
requirements: [registry_extract, tax_id, sanctions_ubo]
- name: medium criteria: [type in {affiliate,agency,game_provider}]
requirements: [registry_extract, tax_id, sanctions_ubo, domain_ownership, bank_details, references]
- name: high criteria: [type==payment OR handles_funds==true OR high_risk_geo==true]
requirements: [all_medium, pci_or_equal, aml_program, license_copy, financials, security_controls, incident_sla]
overrides:
- when: country in {UK,ES,IT,NL}
add: [local_license_proof, ads_local_rules_ack]

Контроль санкцій/негативних медіа для UBO/директорів

yaml control_id: KYB-SANCTIONS-UBO-01 scope: partner.onboard trigger: on_create OR ubo_changed==true actions:
- screen: sanctions_pep_adverse_media
- require: manual_review_if_score>threshold evidence:
fields: [sources, match_score, analyst_decision]

Контроль маркетингових порушень (афіліати)

yaml control_id: ADS-COMPLIANCE-02 scope: affiliate_creatives trigger:
expr: scan(creative.text    landing) contains banned_claims OR audience_targeting includes minors OR missing_disclaimers==true actions:
- pause: traffic
- notify: marketing_compliance
- issue: corrective_action_plan

Контроль платіжного ризику (провайдери)

yaml control_id: PSP-RISK-01 scope: payments trigger:
expr: chargeback_rate_30d > agreed_threshold OR downtime>sla_minutes actions:
- reduce: routing_weight 20%
- notify: vendor_risk
- open: incident_with_provider

6) Документи та підтвердження (за типами)

• Витяг з реєстру/статут/директора та UBO, податковий номер.
• Банківські реквізити (підтверджені), адреса, контактні особи.
• Політики безпеки/приватності, DPA/Угода обробника даних.

• Домен/акаунти (володіння/адмін-доступ), портфоліо майданчиків, джерела трафіку.
• Підпис Ads/Brand-гайдлайнів; чорний список формулювань; UTM-реєстр.

• Ліцензія/реєстрації, PCI DSS/еквівалент, звіт по аудитах.
• Договори мерчанта/аквайринг, правила chargeback/повернень, звітність.

• Ліцензії В2В/сертифікати RNG/тест-лаби; список ігор/математик.
• SLA аптайма/RGS, процес релізу/версій, журнал змін.

• Сертифікати (ISO 27001/SOC2), DPIA (при ПДн), перелік субпроцесорів.
• Процедури інцидентів і повідомлень.

7) Процес KYB: від заявки до моніторингу

1. Intake: заявка/опитувальник, збір документів, створення картки партнера.

2. Скринінг: UBO/директора - санкції/РЕР/адверс-медіа, перевірка реєстрів.

3. Оцінка ризику: тип, гео, обсяг, продукти, доступ до ПДн/фінансів.

4. Договір: включення гвард-рейлів (SLA, Ads, RG, Security, Privacy, audit rights).

5. Тех/контент онбординг: тести інтеграцій, білі списки доменів/креативів.

6. Моніторинг: KPI і алерти (ads violations, chargeback, downtime, скарги).

7. Рев'ю/ре-віра: по SLA або події (зміна UBO, сплески ризику, скарга регулятора).

8. Санкції/розірвання: plan→pause→terminate→report (при серйозних порушеннях).

8) RACI

9) KPI/OKR

Coverage: частка партнерів з повним пакетом KYB ≥ 98%.
Review SLA: своєчасне продовження/рев'ю ≥ 95%.
Ads Violations Rate (афіліати): ↓ QoQ; Time-to-Pause при порушенні ≤ 24 год.
Chargeback Contribution by PSP: в межах договірних порогів.
Downtime/Incident MTTR (провайдери): в межах SLA.
Evidence Completeness: ≥ 98% карток з коректними артефактами.
Audit Findings TTR: ≤ 90 днів.

10) Чек-листи

• Реєстр/статут, UBO, директори, податковий номер.
• Санкції/РЕР/адверс-медіа: clear/тріаж/винятки.
• Ліцензії/сертифікати/право надавати послуги.
• Договір + DPA + audit rights + SLA/Remedies.
• Політики Ads/RG/Privacy/Security підписані.
• Банківські реквізити підтверджені.
• Тех-чеки: домени/UTM/креативи/ендпоінти/логування.
• Картка в реєстрі заповнена, ризик-рівень присвоєно.

• Ads-сканер: немає заборонених креативів/таргетингу.
• KPI трафіку/якості/скарг в коридорах.
• PSP: чарджбеки/даунтайм/помилки в межах SLA.
• Ігри/контент: версії сертифіковані, релізи залоговані.
• Рев'ю по SLA, документальні оновлення отримані.

11) SOP (фрагменти)

SOP: Реакція на порушення афіліату

1. Автоскан → порушення (claim/таргетинг/дисклеймер).
2. Негайно'pause traffic'+ повідомлення партнера з шаблонним CAP (Corrective Action Plan).
3. Термін виправлення ≤ 48 год; Повторне сканування.
4. Повторне порушення → зниження ставок/розірвання; evidence до реєстру.

SOP: Ескалація по PSP

1. Тригер'chargeback _ rate _ 30d> threshold'або даунтайм> SLA.
2. Зниження ваги маршруту, інцидент з провайдером, постмортем.
3. Фін-вплив/компенсації за договором; звіт в Risk-комітет.

SOP: Ре-вера при зміні UBO/директора

1. Отримати оновлені документи, перезапустити санк-скринінг.
2. Перерахувати ризик, при необхідності - обмеження/пауза.
3. Оновити картку, повідомити залучені команди.

12) UX і автоматизація

Портал партнера: завантаження документів, статуси, нагадування про рев'ю.
Авто-скани реклами: текст/банер/лендінги на заборонені формулювання, вікові маркери, час показів.
Телеметрія провайдерів: аптайм, помилки, версії SDK/RGS, анотації релізів.
Алерти: сплески чарджбеків, скарг, CTR аномалій, санк-оновлення.
AI-зведення: кластеризація порушень по партнерах/гео, підказки CAP.

13) Безпека і приватність

RBAC/ABAC: доступи за ролями, watermarks для документів.
Шифрування: at rest/in transit, секрети в vault, тимчасові посилання.
Ретеншн: зберігання за законом/договором, авто-видалення за терміном.
Журналювання: всі зміни карток/документів/рішень - в аудит-лог.

14) Анти-патерни

KYB «для галочки»: немає UBO або перевірка тільки на старті, без моніторингу.
Відсутність DPA/аудит-прав - неможливість перевірити інциденти.
Нечіткі Remedies в договорі → нескінченні «листи щастя».
Універсальна глибина перевірки без урахування ризику/гео/типів послуг.
Розрізнені таблиці без SSOT і версій.
Підключення трафіку до підписання Ads/Brand-гайдлайнів.

15) 30/60/90 - план впровадження

• Затвердити політику KYB і risk-tiering за типами партнерів.
• Запустити реєстр партнерів (SSOT) і шаблони документів/опитувальників.
• Включити санк-скринінг UBO/директорів і базовий Ads-сканер.
• Стандартизувати договірні гвард-рейли (SLA/Remedies, DPA, audit rights).

• Підключити моніторинг KPI (ads violations, chargeback, downtime).
• Автоматизувати ре-веру по подіям (зміна UBO, сплески ризику).
• Розширити Ads-сканер (мови, формати), телеметрію провайдерів, звітність.

• Coverage KYB ≥ 98%, Review SLA ≥ 95%, Evidence ≥ 98%.
• Зниження Ads Violations Rate і Chargeback Contribution в цільові коридори.
• Провести внутрішній аудит KYB-процесів; зафіксувати OKR на наступний квартал.

16) FAQ

Q: Чи потрібно перевіряти субпідрядників партнера?
A: Так, якщо вони обробляють ваш трафік/ПДн/фінанси - вимагайте розкриття субпроцесорів і право аудиту.

Q: Як швидко реагувати на рекламні порушення?
A: У договорі закріпити'pause within ≤24h', CAP ≤48h і повторний аудит. Автоскан + алерт в #marketing -compliance.

Q: Що робити при спірних санк-збігах?
A: Ручний тріаж з джерелами/скорингом, ескалація в Head of Compliance; при критиці - тимчасова пауза співпраці.

Q: Коли переглядати ризик партнера?
A: За SLA (180 днів) або upon event: зміна UBO, сплески скарг/чарджбеків, прецеденти у регуляторів.