GH GambleHub

Komplayens xavfi matritsasi

1) Vazifasi va qamrovi

Maqsad: iGaming-da komplayens-tavakkalchiliklarni baholash va boshqarishni standartlashtirish, litsenziyalarni jarimaga tortish/chaqirib olish ehtimolini kamaytirish va barqaror operatsiyalarni ta’minlash.
Qamrov: AML/CFT, KYC/KYB, sanksiyalar/PER, to’lovlar va bonus-abuz, Responsible Gaming (RG), ma’lumotlarni himoya qilish/PII, reklama/marketing, sheriklar/affiliatlar/provayderlar, tartibga soluvchi hisobot.

2) Shkalalar va bazaviy 5 × 5-matritsalar

Ehtimollik (L, 1-5):
  • 1 - juda kam (1/yil ≤)· 2 - kamdan-kam (chorak)· 3 - vaqti-vaqti bilan (oy)· 4 - tez-tez (hafta)· 5 - juda tez-tez (kunlar)
Ta’sir (I, 1-5):
  • Moliya: 1: <€5k· 2: €5-25k· 3: €25-100k· 4: €100-500k· 5:> €500k
  • Regulyator: 1: harakatlar yo’q· 2: so’rov· 3: ko’rsatma· 4: yuqori jarima xavfi· 5: yuqori to’xtatib turish/chaqirib olish xavfi
  • Operatsiyalar/obro’: 1: minimal·...· 5: ommaviy salbiy/chiqib ketish

Yakuniy ball: R = L × I (1-25)

Zonalar va chegaralar:
  • 1-5 Yashil - maqbul, monitoring.
  • 6-10 Sariq - pasayish rejasi va egasi.
  • 11-15 To’q sariq - tezlashtirilgan CAPA, har hafta nazorat.
  • 16-25 Qizil - zudlik bilan eskalatsiya, voqea-brij, zarurat bo’lganda bildirishnomalar.

SLA eskalatsiyalar (misol): Sariq - 24 soat· To’q sariq - 4 soat· Qizil - 15 daqiqa.

3) Komplayens-tavakkalchilik toifalari (ssenariylar)

1. AML/CFT: smurfing, vositalarni aralashtirish, «mullar», structuring, bonuslar/kesh-autlar orqali yuvish.
2. Sanksiyalar/ER: yurisdiksiya cheklovlarini chetlab o’tish, soxta mos kelishlar, muddati o’tgan ro’yxatlar.
3. KYC/KYB: sintetiklar, hujjatlarni qalbakilashtirish, proksi foydalanuvchilar, soxta sheriklar.
4. To’lov frod/bonus-abuz: charjbeklar, multiakkaunting, qurilmalar fermalari, affiliatlarning CPA-frod.
5. RG (mas’uliyatli o’yin): limitlarning buzilishi, zararli o’yin faolligining ishlab chiqilmagan triggerlari.
6. Ma’lumotlarni himoya qilish/PII: sizib chiqish, noqonuniy ishlov berish, subyektlar huquqlarining buzilishi, transchegaraviy uzatmalar.
7. Reklama/marketing: taqiqlangan auditoriyalarga targeting, vijdonsiz reklama, mahalliy qoidalarga nomuvofiqlik.
8. Vendorlar/autsors: KYC provayderlari, hosting sheriklari, PSP muvaffaqiyatsizliklari; subprotsessorlar zanjiri.
9. Tartibga solish hisoboti: kechikishlar, to’liq bo’lmagan hisobotlar, ma’lumotlarning kelishib olinmasligi.

4) Komplayens xavflari matritsasi - taqdimot shabloni

KategoriyaSkriptLIRZonaKRI/KPIChegaraEgasiAmallarSLA
Sanksiyalar/TTBRoʻyxatlar yangilangandan keyin hit-rate va FPR oʻsishi3412Orange. Hit-rate %, FPR %> 3% hit-rate yoki FPR> 12%Head of ComplianceIkkilamchi provayder, qo’lda high-value tanlash, qoidalarni moslash4 soat
KYCXatolar liveness boʻyicha sakrash4312Orange. KYC fail %, TATfail%> 15% sutkaKYC LeadOstonalarni kalibrlash, fallback-provayder, qo’l keyslari4 soat
AMLAnormal xulosalar (bitta xarita/ko’p akk.)3515Orange. SAR/STR rate, Velocity> X xulosalar/xarita/sutkaAML LeadMuzlatish, EDD, STR, limitlar1 soat
To’lovlarChargeback-rate4416Krasn. CBR %, NFD %>1. 2%Payments/FRM3DS/AVS, hold, offbording sxemalarini kuchaytirish15 min
RGO’zini o’zi nazorat qilish limitlaridan oshib ketish3412Orange.% buzilishlar, TTR> + 50% bazagaRG OfficerO’yinchining aloqasi, vaqtinchalik limitlar/blok, hisobot4 soat
MaʼlumotlarPII-hodisa (tasdiqlangan)2510Sariq/Orange. #PII records, MTTR> 1000 yozuvlarDPOCheklash, xabarnomalar, CAPA24 soat/4 soat
ReklamaRegulyatorning promo ustidan shikoyati248Jelt. Shikoyatlar/100k ko’rsatkichlar> 2 × bazalarMarketing/LegalKreativni olib tashlash, tuzatishlar kiritish, hisobot24 soat

Agar 72 soatda xabar berishni talab qiladigan ma’lumotlar toifalariga ta’sir ko’rsatilgan bo’lsa - darhol eskalatsiya (qizil).

5) Metrika (KRI/KPI) va chegaralar mo’ljallari

AML/Sanksiyalar/PEP:
  • 1k ro’yxatga olish uchun Hit-rate sanksiyalar/PER; chegara:> 1. 5% (sariq),> 3% (toʻq sariq/qizil kontekstda)
  • FPR sanksiyalar/PER; chegara:> 8% (sariq),> 12% (to’q sariq)
  • SAR/STR per 10k aktiv; Time-to-Review (TTR) alerta
KYC/KYB:
  • KYC fail %, Liveness dropout %, avg TAT; chegaralar: fail%> 12% (sariq),> 15% (to’q sariq)
  • KYB: dolzarb benefitsiarlarsiz sheriklar foizi; chegara:> 3% (sariq),> 5% (to’q sariq)
To’lovlar/frod:
  • Chargeback Rate (CBR); chegara:> 0. 8% (sariq),> 1. 2% (qizil)
  • Net Fraud Loss % от GGR; chegara:> 0. 9% (toʻq sariq)
RG:
  • O’zini o’zi o’chirish ulushi; shikoyatlar/1000 o’yinchi; RG-triggerlar bo’yicha TTR
Maʼlumotlar/PII:
  • Backlog’dagi tanqidiy zaifliklar soni; MTTD/MTTR hodisasi; maʼlumotlar subʼektlarining SLAdagi soʻrovlari
Reklama/marketing:
  • Shikoyatlar/100k ko’rsatkich; moderatsiya orqali rad etilgan kreativlar ulushi; geo/yosh buzilishi
Vendorlar/hisobot:
  • komplayens provayderlarining SLA; tartibga solish hisobotlari muddati o’tkazib yuborilganda; DWH hisobot ma’lumotlari tafovutlari

6) Nazorat xaritasi va ularning samaradorligi

Preventiv: sanksiya/RER-skrining (onbording + to’lovlardan oldin), 2FA/WebAuthn, limitlar, device-fingerprinting, geo-cheklovlar, yoshga doir reklama siyosati/geo, yangi fich uchun DPIA.
Detektiv: real-time antifrod qoidalari, bir-birini takrorlovchi sanksiyalar provayderi, SIEM/SOAR korrelyatsiyalari, RG triggerlari, PII kirish loglari auditi.
Tuzatishlar: EDD/EDD +, hold/limitlar, xulosalarni muzlatish, promolarni vaqtincha uzib qo’yish, regulyator/banklarga bildirishnomalar, CAPA.

Samaradorlikni baholash:
  • Coverage% (stsenariylarni qamrab olish), FPR/FNR, Precision/Recall qoidalar/modellar uchun, TTR/MTTR, zonalar chegarasidan o’tgan hodisalar ulushi.

7) Tavakkalchilik-ishtaha va qabul qilish chegaralari

Risk Appetite Statement: masalan, pasayish rejalari mavjud bo’lganda sariq zonada umumiy xavf; to’q sariq/qizil ranglar - faqat vaqtinchalik kompensatsiya nazorati va chiqish rejasi bilan ≤ 30 kun.
Decision Gates: high-rollers> X xulosalari EDDsiz - taqiqlangan; shaffof bo’lmagan sheriklar - to’xtash; age-kafolatlarsiz reklama - to’xtash.

8) Eskalatsiya va kommunikatsiyalar (playbook)

Triggerlar: R ≥ 16; PII-hodisa; sanksiya keysi high-value; CBR> chegara; RG-xavf klasterlari.
Kanal: hodisa-brij (Compliance + Security + Payments + Legal + PR + Ops).
Qadamlar: 1) jilovlash 2) masshtabni tasdiqlash 3) majburiy bildirishnomalar (yurisdiksiya bo’yicha) 4) CAPA-reja 5) 72 soatlik post-mortem.

RACI:
  • Responsible: toifa egasi (AML/KYC/RG/Privacy/Ads/Payments)
  • Accountable: Head of Compliance
  • Consulted: Legal, DPO, Security, SRE, Finance
  • Informed: C-level, Support/VIP, sheriklar/PSP (zarurat bo’lganda)

9) Tavakkalchiliklar reyestri - yozuv tuzilmasi

ID· Kategoriya· Stsenariy· Sabablar/zaifliklar· L· I· R· Zona· KRI/KPI· Eskalatsiya chegarasi/shartlari· Joriy/rejalashtirilayotgan nazorat· Egasi (bizn ./tex.) · Maqom/SARA· Muddatlar· Qayta ko’rib chiqish sanasi

Misol:
ID: AML-012Turkum: SanksiyalarSkript: keshaut oldidagi PEPlar
L/I: 3 × 4 = 12 (to’q sariq)Chegara: hit-rate> 3% sutka → eskalatsiya
Nazorat: ikkinchi provayder, qoʻlda tekshirish, hold T + 1
CAPA: fuzzy-matchingni sozlash, qoʻlda tekshirish guruhini oʻrgatishMuddati: 14 kun

10) Domen namunalari (mini-playbook’i)

A. AML/Sanksiyalar

Shart: STR va sanksiya xitlarining g’ayritabiiy o’sishi.
Harakatlari: ikkilamchi provayderni kiritish; ro’yxatlarni aniqlashtirsin; past xavf uchun sezgirlikni kamaytirish/high-risk uchun kuchaytirish; klastyerlar bo’yicha EDD o’tkazish.

B. KYC/KYB

Shart: liveness-fail> 15%.
Amallar: fallbackga oʻtish; VIP uchun qo’l oqimi; SDK/kamerani tekshirish; vaqtinchalik limitlar.

S. To’lovlar/bonus-abuz

Shart: CBR> 1. 2% yoki multi-account.
Amallar: velocity/devays-signaturani kuchaytirish; 3DS majburiy; bonuslar uchun limitlar; affiliatlarning post-kampeyn auditi.

D. RG

Shart: o’yinchilar klasteridagi zararli faollik triggerlari.
Harakatlar: aloqa/maslahat, depozitlarni cheklash, vaqtinchalik blokirovka qilish, harakatlarni hujjatlashtirish.

E. ma’lumotlar/PII

Shart: tasdiqlanmagan oqish.
Amallar: containment (kalitlar/kirish), forenzika, DPIA, bildirishnomalar (agar talab qilinsa), majburiy post-mortem.

F. Reklama

Shart: voyaga yetmaganlarga reklama yuzasidan shikoyat.
Harakatlar: tezkor off, manba/target auditi, siyosatni yangilash, zarur hollarda regulyatorni xabardor qilish.

11) Vendorlar va uchinchi kontur

Onbordingdan oldin: due diligence, sanksiyalar/PER, SOC2/ISO27001, DPIA/DTIA, DPA/SCCs.
Foydalanishda: SLA monitoringi, hodisalar, subprotsessorlar, geo lokalizatsiya ma’lumotlari.
Offboarding: kirishni qaytarib olish, maʼlumotlarni olib tashlash/qaytarish, yopish dalolatnomasi.

12) Jarayonlarga qo’shish

CAB/Change-control: antifrod/komplayens qoidalaridagi o’zgarishlar KRI/FPR/FNR ta’sirini baholagan holda CAB orqali o’tadi.
CI/CD: payplaynlarda muvofiqlik testlari (policy-as-code); «qotillik» qoidalari - faqat feature-bayroqlar orqali.
Hisobot: har kuni KRIs snepshot; haftalik tavakkalchilik qo’mitasi; matritsani yangilagan holda har oylik retro.

13) Matritsaning yetuklik chek-varaqasi

  • L/I shkalalari tasdiqlandi va hujjatlashtirildi
  • Toifalar va stsenariylar o’tgan yilgi hodisalarning 95 foizini qamrab oladi
  • KRIs avtomatlashtirilgan (dashbordlar, alertlar, SLA reaksiyalar)
  • Sanktsiyalar uchun ikkinchi provayder/KUS va o’zgartirish rejasi mavjud
  • RACI tushunarli, aloqa roʻyxati va aloqa namunalari yangilandi
  • CAPA-treker yagona tizimda va o’z vaqtida yopiladi
  • Har chorakda risk appetite va chegaralarni qayta ko’rib chiqish

14) Joriy etish yo’l xaritasi (misol)

1-2 haftalar: xatarlarni xatlovdan o’tkazish, shkalalarni kelishish, matritsani chizish, egalarini tayinlash.
3-4 haftalar: KRIs avtomatlashtirish, alertlar integratsiyasi, RACI/eskalatsiyalar, hisobot shablonlari.
2-oy: ikkilamchi provayderlar, SOAR pleybuklarini ulash, jamoalarni o’qitish.
3 + oy: stress-testlar, samaradorlik auditi, chegaralar va siyosatga tuzatishlar kiritish.

TL; DR

Yagona 5 × 5 matritsasi + o’lchanadigan KRIs va aniq chegaralar → bashorat qilinadigan eskalatsiyalar va tez echimlar. Natija - jarima va hodisalar kamroq, barcha yurisdiksiyalarda barqarorlik va talablarga muvofiqlik yuqori.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.