Операції та Комплаєнс → Типи ліцензій та вимоги

Типи ліцензій та вимоги

1) Картина видів ліцензій

За роллю:

B2C (операторська): право пропонувати ігри кінцевим користувачам (casino, live, betting, poker, lotto та ін.).
B2B (постачальницька): право надавати платформу/контент/послуги операторам (платформа, ігри/RNG, live-студії, платежі як технологічний провайдер, хостинг).

За вертикалями (часто - окремі суб-ліцензії):

Casino/Slots, Live Casino, Sportsbook (fixed-odds, in-play), Poker (P2P), Bingo/Lottery, Fantasy/Skill-based.

За моделлю володіння/бренду:

Власна ліцензія (оператор/бренд власник).
White-Label (B2C-право через ліцензію платформи з бренд-субліцензією/авторизацією).
Skin/Brand Authorization (підключення додаткових брендів на існуючу ліцензію).
Розподілена модель (локальна ліцензія + крос-регіональна інфраструктура, дзеркала/edge/локалізація даних за нормами).

2) Вимоги: що запитують регулятори (каркас)

Юридичні/корпоративні

Бенефіціари, структура володіння, відсутність санкцій/судимостей.
Місцева присутність (юридична особа/представництво/відповідальний офіцер).
Договори з провайдерами (B2B), права на контент, хостинг/ЦОД.

Фінансові

Мінімальний статутний капітал/резерви, фінансові гарантії/банківські гарантії.
Окремі клієнтські рахунки/сегрегація коштів, анти-chargeback процедури.
Аудована звітність, джерела коштів бенефіціарів (SoF/SoW).

Технічні (платформа/інфраструктура)

Архітектура, логування/спостережуваність, резервування, DR/BCP.
Чесність ігор: RNG/математика, сертифікація контенту, контроль зміни версій.
Інформаційна безпека: шифрування at rest/in transit, IAM, журнал адмін-дій.
Гео-обмеження/локалізація даних, захист від ботів і шахрайства.

RG/KYC/AML

Вік/верифікація особистості та адреси, РЕР/санкції, ліміти/самовиключення.
Моніторинг транзакцій і поведінки (velocity, SoF), EDD-процедури.
Реєстри самовиключення/чорні списки, навчання персоналу.

Маркетинг/реклама/афіліати

Вікові дисклеймери, заборона «безризикових» обіцянок, обмеження каналів/тимчасових слотів.
KYB афіліатів, бібліотека креативів, трасування UTM/джерела трафіку.

Звітність та аудит

Періодичні/реал-тайм вивантаження (GGR, RG-кейси, скарги, AML/SAR).
Зовнішні/внутрішні аудити: тех-аудит, аудит гри/RNG, аудит безпеки/приватності.
Інцидент-репортинг (SLA повідомлень регулятора/банків/гравців).

3) Модель даних «реєстр ліцензій» (YAML)

yaml license_id: B2C-CASINO-<COUNTRY>-<NNN>
role: b2c      # b2c      b2b verticals: [casino, live, betting]
jurisdiction: <ISO-2>
holder: <legal_entity>
brands: [brandA, brandB]
local_presence: required  # required      optional      none valid_from: YYYY-MM-DD valid_to: YYYY-MM-DD financial_guarantee: {type: bank_guarantee, amount: <currency_amount>}
tech_requirements:
rng_cert: true siem_logs: true dr_rto: "30m"
data_localization: false rg_kyc_aml:
kyc_levels: [basic, address, edd]
self_exclusion: registry aml_ruleset: "v3. 1"
ads_affiliates:
disclaimers: [age, wagering_conditions]
restricted_channels: [tv_daytime]
reporting:
frequency: monthly formats: [csv, api]
realtime: [rg_cases]
contacts:
compliance_officer: email@domain mlro: aml@domain review_sla_days: 180 status: active

4) Життєвий цикл ліцензії та зобов'язання

4. 1. Претензія на ліцензію (Application)

Pre-DD: структура, SoF/SoW, локальна компанія/агент, договори з B2B.
Технічний пакет: архітектурна схема, безпека, BCP/DR, процеси релізів/змін, логування/аудит.
Контент: RNG/математика, перелік провайдерів, інтеграції.
Операційні політики: RG/KYC/AML, інциденти, реклама, скарги.
Фінанси: капітал/гарантії, бізнес-план, прогноз звітності та податків.

4. 2. Операційна стадія (Post-grant)

Дотримання Policy/Controls-as-Code.
Звітність за розкладом, ведення реєстрів (скарги, AML/RG-кейси, інциденти).
Узгодження змін: релізи, нові провайдери, зміна хостингу/датацентру, нові методи оплати.

4. 3. Продовження (Renewal)

Оновлені сертифікати RNG/безпеки.
Аудит за період, показники RG/AML, статистика скарг.
Підтвердження фінансової стійкості/гарантій.

4. 4. Зміни (Variation)

Додавання вертикалі/бренду, white-label/skin, міграція платформи.
Повідомлення про зміну бенефіціарів/директоратів.
Зміни в рекламній політиці та афіліатній мережі.

5) Матриця зобов'язань по ролі/вертикалі (приклад)

Зобов'язання	B2C Casino	B2C Betting	B2B Platform	B2B Games
Клієнтські засоби (segregation)	Так	Так	Н/Д	Н/Д
RNG/математика	Так	Н/Д	Н/Д	Так
Гео-блокування	Так	Так	Опціонально	Опціонально
RG ліміти/реєстр	Так	Так	Опціонально	Н/Д
KYC/AML (оператор)	Так	Так	Н/Д	Н/Д
Тех-аудит/ІБ	Так	Так	Так	Так
Звітність GGR/ставки	Так	Так	Н/Д	Н/Д
Реклама/афіліати	Так	Так	Н/Д	Н/Д

6) Чек-лист заявки (Application Dossier)

Корпоративний блок

Структура володіння/бенефіціари/SoF/SoW.
Локальна юрособа/представник, повноваження офіцерів.

Фінанси

Аудована звітність/план.
Банківська гарантія/страхування/депозит.

Техніка

Архітектура, спостережуваність/логування/аудит, CI/CD, управління змінами.
BCP/DR (RTO/RPO, тест-протоколи), безпека (шифрування, IAM, секрети).
RNG/сертифікація контенту, контроль релізів ігор.

Операції/політики

RG/KYC/AML, скарги, інциденти/репортинг, саппорт/SLA.
Реклама/афіліати: правила, шаблони, бібліотека креативів.

Звітність

Формати вивантажень, частоти, тестові файли, контактні особи.

7) Контроль у проді: Policy-/Controls-as-Code

Приклад контролю RG ліміту програшу (адаптуємо під країну):

yaml control_id: RG-LIMIT-LOSS-DAILY scope: bets trigger: loss_today > limit_loss_daily actions:
- block: further_bets
- notify: player_template_rg_limit evidence:
fields: [loss_today, limit, messages_sent, ack]
overrides:
- country: <ISO>
set: {limit_loss_daily: <amount>, cool_off_hours: <N>}
owner: rg_officer review_sla_days: 180

Приклад контролю AML velocity (депозити):

yaml control_id: AML-VELOCITY-01 scope: deposits trigger:
expr: rolling_sum(amount, 1h) > baseline_30d3 OR count_unique(payment_method,1h)>=3 actions:
- flag: aml_review
- limit: withdrawals "hold_24h"
- notify: mlro evidence:
store: s3://evidence/aml-velocity/{player_id}/{ts}
owner: mlro

Гейт релізу по країні/ліцензії:

yaml policy_id: RELEASE-GATE-COMPLIANCE require:
- country_overrides_present: true
- report_schemas_valid: true
- rg_controls_enabled: true
- ads_templates_localized: true on_fail: block_release

8) Управління змінами під ліцензію (SOP, фрагменти)

SOP: Додавання нового бренду (skin)

1. Перевірити умови ліцензії (чи дозволений brand authorization).
2. Зареєструвати бренд/домен/локалізацію/вікові мітки.
3. Прив'язати RG/KYC/AML/Ads політики і звітність.
4. Протестувати звіти (brand-split), включити журналювання.
5. Повідомити регулятора/банки (якщо потрібно), зафіксувати evidence.

SOP: Підключення нового провайдера ігор

1. Перевірити статус/сертифікати провайдера в реєстрі.
2. Узгодити контент-сет/вертикалі, налаштувати RNG/метрики/логування.
3. Оновити звітність (ідентифікатори ігор/постачальника).
4. Випустити реліз через policy-gate, зібрати evidence.

9) RACI (функції)

Активність	R	A	C	I
Ліцензійна заявка/продовження	Head of Compliance	COO	Legal/Finance	C-level
Техпакет/аудити	Platform/SRE	CTO	Security/Compliance	Legal
RG/KYC/AML процеси	RG/AML Officers	Head of Compliance	Product/CRM	Support
Реклама/афіліати	Marketing Compliance	CMO	Legal/Brand	Finance
Звітність/податки	Data/BI	Head of Compliance	Finance	C-level

10) Календар зобов'язань (Compliance Calendar, приклад)

Щодня: RG/AML моніторинг, інцидент-репортинг при фактах.
Щотижня: інтеграційні звіти провайдерів/платежів, перевірка алертів-дотримання.
Щомісяця: регуляторні вивантаження (GGR/бети/RG кейси), звірки з DWH.
Квартально: тех-аудит/скани безпеки, звіти провайдерів, рев'ю Policy/Controls.
Півріччя/рік: продовження сертифікатів RNG/ІБ, аудит ефективності контролів, продовження ліцензій/авторизацій.

11) Анти-патерни

«Ліцензія є - процеси потім»: відсутність Controls-as-Code, звітів і evidence.
Дві версії правди: Excel-звіти ≠ продуктивні логи.
Відсутність brand-split в даних, «загальна купа» метрик.
Ручні EDD без регламенту/термінів і журналювання.
Реклама через афіліатів без KYB і бібліотеки креативів.
Немає DR тестів/журналів змін для RNG/ігор.

12) Метрики зрілості

Coverage контролів: ≥ 95% критичних точок (реєстрація/депозит/ставки/виведення/бонуси).
Reporting SLA: своєчасність вивантажень ≥ 98%, схематичні помилки = 0.
Evidence completeness: ≥ 98% кейсів з коректними пакетами.
RG/AML KPIs: частка відвернених/ескалованих кейсів, False Positive ↓ QoQ.
Audit findings TTR: закриття ≤ 90 днів.
Policy review SLA: прострочених ревізій = 0.

13) 30/60/90 - план впровадження

30 днів (фундамент):

Створити реєстр ліцензій і таксономію вимог за ролями/вертикалями.
Підняти базовий набір Controls-as-Code (RG/AML/звітність).
Зібрати Application Dossier шаблони (корпоративний/фінансовий/тех/операційний).
Включити release-gate compliance в CI.

60 днів (масштабування):

Підключити звітні вітрини і автоматизувати вивантаження (brand-split, country-split).
Вбудувати RG/KYC/AML в продуктові флоу; запустити evidence-by-design.
Провести перший внутрішній тех-аудит і тест DR/BCP під ліцензійні RTO/RPO.

90 днів (закріплення):

Покрити контролями ≥ 95% критичних точок, Reporting SLA ≥ 98%.
Формалізувати RACI і календар зобов'язань; прив'язати KPI до OKR команд.
Підготувати пакет до продовження/варіювання ліцензії (варіації брендів/вертикалей).

14) FAQ

Q: Що вибрати: власна ліцензія або white-label?
A: Своя ліцензія - вище САРЕХ/термін, але контроль і оцінка бізнесу вище. White-label - швидше запуск, нижче гнучкість/оцінка, залежність від власника ліцензії.

Q: Як мінімізувати ризики відмови в заявці?
A: Сильний техпакет (безпека/DR/спостережуваність), фінансові гарантії, прозорі SoF/SoW, зрілі RG/AML процеси і «evidence-by-design».

Q: Як управляти змінами провайдерів/контенту?
A: Через variation-процедури: попереднє узгодження, контроль версій ігор/RNG, звітність і журналювання релізів.