GH GambleHub

Операції та Комплаєнс → Регуляторна карта iGaming-ринків

Регуляторна карта iGaming-ринків

1) Навіщо потрібна регуляторна карта

Робота на декількох ринках впирається в порівнянність і актуальність вимог. «Карта» - це єдиний каталог країн з нормалізованими полями: тип ліцензії, вимоги KYC/AML, RG-обмеження, правила реклами/афіліатів, платіжні методи, податкова модель, звітність, провайдери та локальні «червоні лінії».

Цілі:
  • Прискорити go-/no-go і пріоритизацію країн.
  • Спростити on-boarding провайдерів, рекламу і платежі під місцеві норми.
  • Знизити штрафні/репутаційні ризики і вартість комплаєнсу.
  • Давати Ops/Compliance єдине джерело правди (SSOT).

2) Таксономія полів (що фіксуємо по кожній країні)

Базові метадані

Країна/регіон, статус ринку (регулюється/сірий/заборонений), доступні вертикалі (casino, live, betting, poker, lotto).
Модель входу: локальна ліцензія/.com обмежений/партнерство з локальним утримувачем.

Ліцензування та нагляд

Регулятор (и), типи ліцензій (В2С/В2В/суб-категорії), вимоги до локальної присутності.
Процедури аудиту (технічний, фінансовий, RNG) і періодичність.

KYC/AML

Базова перевірка (identity, address), EDD-тригери, перевірка РЕР/санкцій, терміни зберігання даних.
Правила джерела засобів, velocity-обмеження та ескалації.

Responsible Gaming (RG)

Вікові обмеження, ліміти депозиту/програшу/часу, самовиключення, cooling-off, локальні реєстри.

Реклама та афіліати

Дозволені канали/тимчасові слоти/вікидки контенту, вікові маркери, заборони на «безризикові» формулювання.
Вимоги до афіліатів (договори, розкриття, реальні UTM, чорні списки практик).

Платежі та провайдери

Дозволені методи (карти, банки, гаманці, ваучери), локальні процесори, вимоги до чарджбеків/повернень.
Вимоги до B2B-провайдерів ігор/платежів (ліцензії, звітність, SLA).

Дані/Privacy і безпека

Режим персональних даних (GDPR-подібні норми/локальні).
Локалізація/транскордонна передача, терміни зберігання, права суб'єкта даних.

Податки та звітність

Податкова база (часто GGR/turnover/платіжні збори), звітні періоди, формати вивантажень.
Фінмоніторинг, обов'язкові звіти RG/AML, інцидент-репортинг.

Обмеження і «червоні лінії»

Чорні/сірі практики маркетингу, заборони на бонусні механіки, ліміти джекпотів, нічні обмеження тощо

3) Модель даних (каркас)

yaml country: <ISO-2>
market_status: regulated    restricted    prohibited    grey verticals: [casino, live, betting, poker, lotto]
entry_model: local_license    partner. com_limited regulator:
name: <...>
site: <ref>
licenses:
b2c: [<type_a>, <type_b>]
b2b: [<rng>, <platform>, <payment_provider>]
kyc_aml:
base: [id, address, pep_sanctions]
edd_triggers: [amount_spike, multiple_methods, high_risk_geo]
retention_days: <int>
rg:
limits: {deposit: required    optional, loss: required    optional, time: optional}
self_exclusion: registry    internal    none ads_affiliates:
allowed_channels: [tv, ooh, digital, influencer]
disclaimers_required: true    false affiliate_rules: [kyb_required, utm_registry]
payments:
methods_allowed: [cards, bank_transfer, wallet, voucher, cash]
withdrawals_rule: source_to_source    required_checks privacy_security:
regime: gdpr_like    local data_localization: required    not_required tax_reporting:
tax_model: ggr    turnover    mixed reporting: {frequency: monthly    quarterly    realtime, formats: [csv, api]}
providers:
game_providers_requirements: [license, testing, rng]
payment_providers_requirements: [local_presence, settlement_rules]
red_lines: [no_risk_free_claims, minors_targeting_ban]
last_review: YYYY-MM-DD owner: compliance_team

4) Карта ризиків і пріоритизація країн

Осі оцінки:
  • Regulatory Risk (жорсткість/невизначеність/штрафи).
  • Go-To-Market Effort (терміни ліцензій/локалізація/інтеграції).
  • Unit Economics (податкове навантаження/платіжні комісії/ARPPU прогноз).
  • Operational Complexity (RG-обмеження/звітність/вендори).

Скоринг (приклад): 'Score = (Economics - Risk - Complexity) × Readiness', де Readiness - зрілість наших процесів (KYC/AML/RG/Reporting) під конкретну юрисдикцію.

Кластери пріоритету: A (запуск 6-9 міс), B (підготовка), C (дослідження).

5) Матриця відповідності (conformance map)

Зіставляємо наші політики/контролі з вимогами країни:
Вимога країниНаша політика/контрольСтатусГеп/план
Самовиключення через держ-реєстрRG-POL-001 / CTRL:RG-EXC-002ЧастковоІнтеграція з реєстром, ETA Q1
Звіт AML по SAR в N днівAML-POL-003 / SOP:AML-SARВідповідає
Обмеження на креативиADS-POL-002Потребує уточненняШаблони/чек-лист по каналах

6) Controls-/Policy-as-Code (фрагменти)

Контроль RG лімітів (включаємо/налаштовуємо під країну): 
yaml control_id: RG-LIM-DAILY judgments: [""] # defaults, redefined in trigger country: loss_today> limit_loss_daily actions:
- block: betting
- notify: player_template_rg_7 overrides:
- when: country==<ISO>
set: {limit_loss_daily: <local_rule>, cool_off_hours: <N>}
Маркетингові застереження (disclaimer rules): 
yaml policy_id: ADS-DISCL-001 require:
- on_all_creatives: age_restriction
- on_bonus: wagering_conditions ban:
- wording: ["risk-free", "guaranteed win"]
overrides:
- country: <ISO>
additions: {time_window: "22:00-06:00 ban TV"}
Звітність (формати/частоти): 
yaml reporting:
frequency: monthly exports: [revenue_by_vertical, rg_cases, aml_sar]
transport: sftp    api overrides:
- country: <ISO>
frequency: realtime exports: [bet_level, session_level]

7) Дашборди регуляторної карти (що показувати)

Market Readiness: статус ліцензування/інтеграцій/політик по країнах.
Compliance Heatmap: KYC/AML/RG/Ads/Privacy - «зелений/жовтий/червоний».
Evidence Coverage: частка операцій з коректно зібраними доказами.
Reporting SLA: своєчасність вивантажень/помилки схем/валідації.
Risk Register: топ-ризики по країнах, план пом'якшення, ETA.

8) Процеси і RACI

SOP: Додавання або оновлення країни

1. Юр-оцінка і mаппінг вимог → картка країни.
2. Налаштування Policy-/Controls-as-Code та звітності.
3. Провайдери/платежі: due diligence і тести.
4. Battle-test на стейджі → пілот 1-5% трафіку.
5. Введення в експлуатацію + моніторинг KPI і регуляторних алертів.

RACI (фрагмент):
АктивністьRACI
Модель країни/карткаCompliance AnalystHead of ComplianceLegal, SecurityOps
Налаштування контролівSRE/PlatformHead of OpsComplianceDomains
ЗвітністьData/BIHead of ComplianceLegalFinance
Реклама/афіліатиMarketing ComplianceCMOLegal/BrandFinance

9) Чек-листи due diligence

Нова країна

  • Регулятор і тип ліцензії, вертикалі дозволені.
  • KYC/AML/RG маппінг і overrides в контролях.
  • Ads/Affiliates правила і шаблони застережень.
  • Privacy/локалізація даних, терміни зберігання.
  • Платежі: доступні методи, правила повернень/висновків.
  • Звітність: формати, транспорт, частоти; тест-вивантаження.
  • Провайдери: вимоги та аудит.
  • Ризики/« червоні лінії »зафіксовані.

Новий афіліат/канал

  • KYB, договір, UTM-реєстр, бібліотеки креативів.
  • Обмеження таргетингу (вік/гео).
  • Політика claim-ів і заборонених формулювань.
  • Механізм призупинення трафіку при порушеннях.

10) Анти-патерни

«Дві версії правди»: Excel-таблиці окремо від прод-контролів.
Неверифіковані локальні інтерпретації без юр-підтвердження.
Універсальні правила реклами без country-overrides.
Відсутність evidence-сховища і SLA звітності.
Карта без власників і регулярної ревізії.

11) Метрики зрілості

Coverage країн: картки країн із заповненими полями ≥ 90%.
Controls Alignment: частка контролів з country-overrides, де потрібно ≥ 95%.
Reporting SLA: своєчасність вивантажень ≥ 98%.
Evidence Completeness: заповненість наборів доказів ≥ 98%.
Audit Findings TTR: закриття зауважень ≤ 90 днів.
Incident Leakage: частка маркетингових/RG порушень → тренд до зниження.

12) Інтеграції

Docs-/Policy-/Controls-as-Code: єдиний репозиторій з рев'ю/CI-лінтом.
CRM/Payments/DWH: country-aware правила, звітні вітрини.
Observability: алерти на дрейф дотримання (контроль не спрацював, звіт не пішов).
AI-помічник комплаєнсу: пошук по картках країн, підказки по overrides і чернетки звітів.

13) 30/60/90 - план впровадження

30 днів (фундамент):
  • Затвердити таксономію полів і шаблон картки країни.
  • Розгорнути репозиторій «reg-map/» (docs/policies/controls/reports).
  • Занести 5-7 ключових країн на поточний портфель, налаштувати базові overrides.
  • Підняти дашборди Coverage/Heatmap/Reporting SLA.
60 днів (масштабування):
  • Додати платіжні/рекламні/провайдерські реєстри та зв'язки.
  • Увімкнути evidence-сховище для RG/AML/Ads.
  • Автоматизувати тест-експорт звітності та валідації схем.
  • Вбудувати алерти на регуляторні «дрейфи».
90 днів (закріплення):
  • Покрити ≥ 90% цільових країн, провести внутрішній аудит дизайну контролів.
  • Зв'язати KPI регуляторної карти з OKR (Reporting SLA, Evidence, Audit TTR).
  • Регулярні квартальні оновлення карток країн і процесів.

14) FAQ

Q: Як підтримувати актуальність карти?
A: Ревізія карток раз в 90-180 днів, CI-нагадування по'last _ review', алерти на невідповідності звітності/контролів.

Q: Що робити при протиріччях між нормами країн?
A: Застосовувати більш сувору норму або розділяти продуктові флоу по гео з окремими overrides.

Q: Як зв'язати карту з продуктом?
A: Через Controls-as-Code: правила включаються по'country '/' brand '/' vertical', а звітні вітрини автоматично збирають потрібні поля.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Telegram
@Gamble_GC
Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.