Продовження ліцензій та інспекції

1) Мета і область

Забезпечити своєчасне продовження діючих ліцензій та успішне проходження планових/позапланових інспекцій без зупинки бізнесу та ризиків для бренду/гравців. Охоплення: B2C/B2B ліцензії, ігрові/платіжні дозволи, RG/AML/GDPR/ІБ-контури, технічні сертифікації (RNG/PCI/SOC/ISO), локальні дозволи на рекламу/афіліати.

2) Принципи

Нульовий ризик прострочення. Дедлайни в календарі, дублюючі нагадування і резервні власники.
Одне джерело істини. Єдиний реєстр вимог, версій документів і статусів.
Доказовість. Кожне твердження підтверджено артефактом (файл/лог/скрін/номер тікету).
Безперервна готовність. «Завжди готовий» до інспекції: дашборд комплаєнсу, актуальні політики, журнали аудиту.
Прозоре CAPA. Будь-яке зауваження регулятора закривається вимірюваними діями в SLA.

3) Ролі та RACI

License Program Owner (Head of Compliance) - стратегія, реєстр вимог, календар. (A)

Legal Counsel - юридичні форми, афідевіти, трактування норм. (R/C)

Finance/CFO - збори/мита, банківські гарантії, звітність. (R)

AML Officer/RG Lead/DPO/CISO - змістовна відповідність за напрямками. (R)

Payments Lead/Game Providers Ops - докази по PSP/PCI і чесності ігор. (R)

Internal Audit - pre-assessment, незалежні рев'ю, контроль CAPA. (C/R)

Exec Sponsor (CEO/COO) - ескалації S1, взаємодія високого рівня. (I/A)

4) Життєвий цикл продовження ліцензії

T-120...T-90 днів: ревізія вимог, аудит готовності (gap-аналіз), підтвердження фінансових показників/структури володіння/бенефіціарів.
T-90…T-60: збір та оновлення документів (політики, звіти, сертифікати), узгодження форм, підготовка платежів і гарантій.
T-60…T-30: завантаження пакету в портал/SFTP/поштою, запити роз'яснень, фіксування квитанцій, попереднє бронювання on-site/remote слотів.
T-30…T-0: закриття питань регулятора, підтвердження оплати, публікація/отримання нового сертифіката/листа про продовження.
T+: пост-перевірка: оновити вітрини, статуси на сайті/в кабінетах партнерів, зберегти артефакти, провести ретро.

5) Реєстр вимог (структура картки)

LIC-ID: <code >/Jurisdiction: <regulator >/Type: B2C    B2B    other
Valid from <date> to <date >/Renewal Deadline: <date, TZ>
Compliance formulas: GGR/capital/guarantees/technical certs
List of documents: policies/reports/certificates/questionnaires/affidavits
Feed Channel: Portal    API    SFTP    Mail/Format: PDF    CSV    XML    XLSX
Fees/guarantees: amount, currency, invoice, payment terms
Regulator contacts: email/portal ID/phone
Special conditions: localization of language, certification, notary/apostille
Package version: vX. Y/Owner/Reserve/Last Check

6) Документи та докази (типовий список)

Корпоративні: статутні документи, структура володіння/бенефіціари (UBO), Good Standing.
Фінанси: аудована звітність, підтвердження сплати зборів/податків, банківські гарантії/страховки.
Операції/Комплаєнс: актуальні політики (KYC/KYB, AML/CFT, RG, GDPR/PII, маркетинг/афіліати), журнали навчання персоналу.
Техніка/ІБ: архітектури зон, PCI-сегментація, SOC/ISO, пентест-звіти, вразливості ASV, журнали змін/доступів.
Ігрова чесність: реєстр RNG/версій білдів, RTP-звіти, інциденти провайдерів і freeze-процедури.
Процеси інцидентів: статус-сторінка, шаблони повідомлень, звіти DPA/регуляторам, журнали MTTA/MTTR/TTS.
Звіти регуляторам: реєстр дедлайнів, квитанції прийому, звірки з GL/PSP.

7) Інспекції: формати та очікування

Remote review: листування/портал, відеосесії, демонстрація систем (screen-share), вивантаження логів і конфігурацій.
On-site: інтерв'ю (Compliance, AML, RG, DPO, Tech/Payments, IA), walkthrough-демо, вибірки кейсів (KYC, SAR/STR, DSAR, RG-інтервенції, chargebacks), перевірка політики доступу, огляд PCI-зони/DR-приміщень.
Sampling & Evidence: регулятор вибирає вибірку; готовність надати анонімізовані/псевдонімізовані дані, номери тікетів, скріншоти з часовими мітками.

8) Чек-листи готовності (скорочено)

8. 1 Загальний перед подачею

• Календар і дедлайн підтверджені; дублікат-нагадування створено (T-90/T-60/T-30).
• Збори/гарантії оплачені; квитанції та bank advice збережені.
• Версії політик/процедур - актуальні і підписані.
• Сертифікати (PCI/SOC/ISO/RNG) дійсні на дату продовження.
• Пакет локалізований (мова, формат), запевнення/апостиль виконані.
• Всі форми заповнені без перепусток; контроль «чотирьох очей».

8. 2 За напрямками

AML/CFT: SAR/STR вчасно; PEP/Sanctions журнали; методики скорингу; caseboard KPI.
KYC/KYB: рівні перевірки, DPA з провайдерами, черги ≤ SLA, докази відмов/ескалацій.
RG: self-exclusion/ліміти синхронізовані; шаблони комунікацій; ефективність інтервенцій.
GDPR/DPO: RoPA, DSAR ≤ 30 днів, DPIA, договори з обробниками/SCC, інциденти та повідомлення.
PCI/Payments: сегментація, токенізація, ASV/пентести, журнали доступу, chargebacks/диспути, fallback PSP.
Ігрова чесність: RTP-drift моніторинг, версії RNG/білдів, журнали провайдер-інцидентів.
Звітність: квитанції регуляторів; звірки GL/PSP; валідатори схем.
Інциденти: TTS/MTTR в SLA, підтвердження повідомлень, пакети артефактів.

9) Ризики та запобіжні заходи

Прострочення продовження (S1): тригери T-90/T-60/T-30, резервний власник; «план Б» (тимчасове призупинення маркетингу/реєстрацій в юрисдикції, інформування партнерів).
Неповний пакет/помилки форм: pre-validation чек-лист + контроль «чотирьох очей», пілотне завантаження в пісочницю, автоматичні лінтери форматів.
Непройдені аудити/серти: ранній gap-аналіз і CAPA з буфером ≥ 30 днів.
Менеджерські зміни/UBO: підготовка афідевітів/нотаріату заздалегідь, трекінг по Legal.
Зміна тех-ландшафту: реліз-ноти для регулятора, карта відповідності «що змінилося і чому безпечно».

10) CAPA за зауваженнями інспекції

Finding Card: факт → критерій → ризик → вплив → рекомендація → воркплан → власник → термін → метрика успіху.
SLA закриття: S1 ≤ 30 днів; S2 ≤ 60; S3 ≤ 90; S4 - за погодженням.
Верифікація: докази впровадження (скріни/логи/політики/результати тестів), підпис Internal Audit, статус Verified.
Ескалація: прострочення S1/S2 - на щотижневий Management Review, квартальний звіт Аудит-комітету.

11) Фінанси продовження

Збори/мита: таблиця ставок, курси валют, рахунки одержувачів, дедлайни оплати.
Гарантії/страхування: суми, тип (bank guarantee/insurance bond), дата закінчення, умови продовження.
Бюджет: календар платежів за юрисдикціями, буфер на позапланові інспекції/перекази документації.

12) Дашборд «License & Inspections»

License Timeline: термін дії, дедлайни T-90/T-60/T-30, прогрес пакету (% готовності документів).
Inspection Queue: майбутні візити/зустрічі, чек-листи статусів.
Evidence Coverage: частка пунктів з прикріпленими артефактами.
CAPA Progress: виконано/в роботі/прострочено, медіана часу закриття.
Risk Heatmap: ймовірність × вплив за юрисдикціями/напрямками.
Readiness Index: інтегральний бал готовності (AML/KYC/RG/GDPR/PCI/Games/Reporting).

13) Шаблони (швидкі вставки)

A) Cover Letter (продовження)

B) Response to Queries (RFI/RFQ)

Дякуємо за запит №... від.... Нижче - відповіді по пунктах і посилання на артефакти. При необхідності готові надати додаткові докази і провести демонстрацію системи.

C) On-site Agenda

D) Post-Inspection Update

14) Управління документами та приватністю

DMS/Repo: структурування за юрисдикціями, версіями, класами документів; контроль доступу RBAC/ABAC.
PII/конфіденційність: псевдонімізація/маскування, окрема зона зберігання чутливих даних, шифрування at-rest/in-transit.
Журнали доступу: незмінювані, періодичні ревізії.

15) Взаємопов'язані процеси

Регуляторні звіти і формати даних - джерела вивантажень і квитанції.
Дашборд комплаєнсу - метрики для інспекції.
Інцидентні плейбуки/Повідомлення - докази своєчасності.
Внутрішній/зовнішній аудит - pre-assessment і готовність до сертифікацій.

16) Часті помилки і як їх уникнути

Надсилають «policy on paper», але немає операційних логів → завжди прикладати evidence of operation (вибірки, логи, тікети).
Нестикування дат/таймзон → всі таймстемпи в UTC, локаль окремо.
Закінчені сертифікати (PCI/SOC/ISO) в пакеті → буфер 60 днів і нагадування.
Невраховані зміни в архітектурі → changelog і карта відповідності для регулятора.
Відсутність резервного власника → призначити backup-owner за кожною ліцензією.

17) План впровадження (30 днів)

Тиждень 1

1. Інвентаризація всіх ліцензій/дозволів і дат закінчення.
2. Створення реєстру вимог та карток (розділ 5).
3. Налаштування календаря дедлайнів і нагадувань (T-90/T-60/T-30).

Тиждень 2

4. Gap-аналіз готовності за напрямками (AML/KYC/RG/GDPR/PCI/Games/Reporting).
5. Збір базового пакету документів; вирівнювання форматів/локалей.
6. Підготовка шаблонів Cover Letter/On-site Agenda/Response to Queries.

Тиждень 3

7. Пілотна «суха» інспекція (table-top) і виправлення прогалин.
8. Налаштування дашборду License & Inspections і показників Readiness Index.
9. Створення CAPA-реєстру та маршрутів узгодження.

Тиждень 4

10. Подача найближчих продовжень в «пісочницю »/портал (якщо доступно).
11. Ретро по пілоту, правки в пакетах і чек-листах, затвердження v1. 0.
12. Затвердження річного календаря інспекцій та призначення резервних власників.

• Регуляторні звіти та формати даних
• Повідомлення про порушення та терміни звітності
• Дашборд комплаєнсу та моніторинг
• Внутрішній аудит і зовнішній аудит
• Аудиторські чеклісти і рев'ю
• Кризове управління та комунікації