GH GambleHub

Операції та Комплаєнс → KYC-процедури та рівні перевірки

KYC-процедури та рівні перевірки

1) Навіщо потрібен KYC

KYC (Know Your Customer) - фундамент відповідальної та безпечної експлуатації iGaming-платформи: запобігає доступу неповнолітніх, знижує ризики фроду/відмивання, підтримує вимоги ліцензій і платіжних партнерів, захищає репутацію.

Цілі:
  • Підтвердити особистість і вік.
  • Оцінити базовий ризик гравця і налаштувати risk-based заходи.
  • Забезпечити трасування транзакцій і зв'язок depozit↔vyvod.
  • Підтримати AML/Responsible Gaming і вимоги провайдерів/регуляторів.

2) Принципи KYC

1. Risk-Based Approach (RBA): глибина перевірки залежить від профілю (країна, методи оплати, поведінка).
2. Progressive Disclosure: збираємо рівно стільки даних, скільки потрібно на поточному рівні ризику.
3. Evidence-by-Design: всі рішення і документи зберігаються як докази (audit trail).
4. Privacy-first: мінімізація ПДн, маскування, роль- і час-обмежений доступ.
5. Re-Verification: повторні перевірки при подіях ризику (висновки, зростання лімітів, зміна реквізитів).
6. Explainable & Consistent: правила і винятки задокументовані і перевіряються.

3) Рівні перевірки (Tiered KYC)

KYC0 - Передреєстрація/Фрікшен-лайт

Збір країни, віку (self-attest), email/телефон (OTP).
Попередній санкційний/РЕР-скринінг по імені/телефону/пошті (низька впевненість).
Обмеження: без депозитів/висновків, тільки огляд контенту/бонусів без ставок.

KYC1 - Базова ідентифікація

Документ особи (паспорт/ID/вод. посвідчення) + селфі/biometric liveness (по ринку).
Валідація MRZ/баркоду, контроль дати дії, країна випуску.
Перевірка віку, первинний санкційний/РЕР-скринінг.
Ліміти депозитів/ставок/висновків - базові.

KYC2 - Підтвердження адреси (PoA)

Документ, що підтверджує адресу (utility bill/банківська виписка/реєстр), KBA при необхідності.
Гео-узгодженість: IP/пристрій/платіжний метод ≈ адреса реєстрації.
Розширені ліміти і доступ до висновків.

KYC3 - EDD (Розширена перевірка )/SoF/SoW

За тригерами ризику: великі оберти/висновки, VIP, підозрілі патерни, високоризикові гео/методи.
Джерело коштів (SoF) і походження стану (SoW): довідки про доходи, зарплата, податки, виписки.
Можливо інтерв'ю/письмові пояснення.
Доступ до високих лімітів/прискорених висновків - після схвалення.

4) Тригери підвищення рівня/Re-KYC

Фінансові: сума одиночного виведення, оборот за період, часті зміни методів оплати.
Поведінкові: аномальний win/loss-профіль, нічна активність, багато коротких сесій.
Технічні: часта зміна пристроїв/IP/ASN, проксі/високоризикові мережі.
Профільні: невідповідності ПІБ/адреси/дати народження між джерелами.
Подієві: зміна платіжних реквізитів, зростання лімітів, підключення VIP-плану.

5) Санкції, PEP і негативні медіа

Скринінг при: реєстрації, завершення KYC1/2/3, перед великим висновком, при зміні реквізитів.
Ревалідувати при оновленні довідників (щодня/щотижня).
Логіка збігів: fuzzy match зі швидким, ручний тріаж прикордонних випадків.
Посилання на джерела/кейси - в evidence.

6) Документи та альтернативи

ID/паспорт/вод. права, PoA: рахунок за комунальні, банківська виписка ≤ 3 міс.
Альтернативи: eID/BankID/проактивні API провайдерів, KBA (knowledge-based), підтвердження мікротранзакцією.
Biometric: селфі з liveness-перевіркою; зберігати шаблони біометрики тільки при необхідності і за локальними нормами.
Відхилення: чорно-білі копії, прострочені документи, розмиті фото - правила авто-відхилення.

7) Data & Privacy

Мінімізація: запитуємо тільки необхідне; поділяємо KYC-артефакти та ігрові/маркетингові дані.
Доступи: RBAC/ABAC, журнали читання/видачі файлів, watermarks.
Ретеншн: за юрисдикцією/ліцензією (зазвичай 5 + років після останньої операції).
Шифрування: at rest/in transit, ключі в HSM/Vault, тимчасові URL для перегляду.
Запити суб'єкта даних: SLA на експорт/корекцію/видалення в допустимих межах.

8) Controls-/Policy-as-Code (фрагменти)

Політика рівнів KYC: 
yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance
Тригер re-KYC при зміні реквізитів: 
yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]
Санкційний рескринінг: 
yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (фрагменти)

SOP: Верифікація KYC1

1. Перевірити повноту пакета (ID + селфі, метадані завантаження).
2. Валідувати документ (MRZ/баркод, термін, країна), звірити ПІБ/ДР.
3. Зіставити селфі (face match, liveness).
4. Прогнати санкції/РЕР; при збігах → тріаж.
5. Присвоїти KYC1, оновити ліміти, записати evidence.

SOP: KYC2 (PoA)

1. Перевірити документ ≤ 90 днів, адресу в допустимому форматі/мові.
2. Зіставити адресу з IP/пристроєм/методами оплати.
3. Видати KYC2, розширити ліміти/висновки, записати evidence.

SOP: EDD/SoF (KYC3)

1. Запитати перелік документів (зарплата/податки/виписки) і пояснення.
2. Зіставити суми/частоти/джерела з оборотом і профілем.
3. Рішення: схвалити/обмежити/закрити; при підозрі - SAR/AML-процес.
4. Оновити ризик-профіль, ліміти, evidence.

10) Інтеграції

KYC-провайдери: IDV, PoA, biometric, санкції/РЕР (batch + event-driven).
Payments: source-to-source контроль, velocity, холди до завершення KYC.
AML/Case-management: спільна картка гравця, статуси, SLA.
CRM/Support: шаблони комунікацій, статуси KYC, ETA і нагадування.
DWH/BI: вітрини KYC-подій, звітність за ліцензійними періодами.

11) KPI/OKR

Процеси:
  • KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
  • Auto-pass Rate (без ручної участі), Manual Tail (ручна частка).
  • Sanctions/PEP Hit Rate і Precision за підтвердженими кейсами.
Якість і ризик:
  • False Reject Rate документів, Doc Quality Fail%.
  • Mismatch IP/Address частота, Payout Blocked due to KYC (медіана часу до розблокування).
  • Evidence Completeness ≥ 98%.
Досвід гравців:
  • KYC Drop-off по кроках, CSAT/NPS по KYC-процесах.

12) Чек-листи

Старт KYC-флоу:
  • Згоди/політики даних прийняті.
  • Проведено первинний санкційний скринінг.
  • Канали зв'язку підтверджені (OTP/email).
KYC1:
  • Валіден ID і селфі, пройдений liveness.
  • Збіг ПІБ/ДР/країни.
  • Санкції/РЕР: «clear» або шлях на тріаж.
KYC2:
  • PoA свіжий і читається; адреса нормалізована.
  • Гео-узгодженість (IP/пристрій/метод оплати).
KYC3 (EDD/SoF):
  • Повний пакет документів, суми відповідають обороту.
  • Рішення та обґрунтування зафіксовані (evidence), оновлений ризик-профіль.
Re-KYC подія:
  • Причина і дата, блокування/ліміти застосовані коректно.
  • Комунікація гравцеві відправлена (ЕТА/кроки).

13) Анти-патерни

Універсальна «важка» перевірка для всіх - високі відмови і витрати.
Ручні перевірки без SLA/логів і подвійного контролю.
Зберігання біометрики/документів без строгих підстав і ретеншну.
Немає зв'язку з платежами: висновок можливий до KYC2/3.
Відсутність рескринінгу санкцій і подієвого re-KYC.
Дві версії правди: KYC в Excel і дані транзакцій в DWH без стикування.

14) 30/60/90 - план впровадження

30 днів (фундамент):
  • Затвердити політику KYC (tiers, тригери, SLA, ретеншн).
  • Підключити IDV/санкції/PEP, запустити KYC1 і PoA-флоу.
  • Налаштувати Controls-as-Code: re-KYC при payout-change, санкційний рескринінг.
  • Увімкнути evidence-сховище і RBAC.
60 днів (масштабування):
  • EDD/SoF процеси, шамплон комунікацій і case-management.
  • Інтеграція з платежами (source-to-source, velocity), авто-блок до KYC2/3.
  • Дашборди KPI (TAT, Auto-pass, Manual Tail, Hit-Rate).
  • Пілот biometric liveness/BankID (де доступно).
90 днів (закріплення):
  • Зниження Manual Tail ≥ 30%, KYC1 median TAT ≤ цільового, False Reject ↓.
  • Регламент re-KYC і санкційного рескринінгу, аудит відповідності.
  • Прив'язка KPI до OKR команд (Compliance/Ops/Payments/Support).

15) FAQ

Q: Коли запитувати адресу (PoA)?
A: При досягненні порогу депозитів/висновків, невідповідності гео/методу або за вимогами країни/ліцензії.

Q: Коли потрібен SoF/SoW?
A: При високих оборотах/VIP, аномаліях, високоризикових гео/методах, перед великим виведенням.

Q: Як зменшити відмови на KYC?
A: Мобільні підказки/ocr-валідація, зрозумілі вимоги до фото, підтримка BankID/eID, поділ на кроки, швидкий зворотний зв'язок.

Q: Як захистити приватність?
A: Мінімізація, шифрування, суворі RBAC/журнали доступу, автоматичний ретеншн і політика видалення.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.