Operatsiyalar va Komplayens → KYC-tartib-taomillar va tekshirish darajalari

KYC-tartib-taomillar va tekshirish darajalari

1) Nima uchun KYC kerak

KYC (Know Your Customer) - iGaming platformasidan mas’uliyatli va xavfsiz foydalanishning asosi: voyaga yetmaganlarning kirishiga yo’l qo’ymaydi, pul yuvish/yuvish xavfini kamaytiradi, litsenziyalar va to’lov sheriklari talablarini qo’llab-quvvatlaydi, obro’sini himoya qiladi.

• Shaxsini va yoshini tasdiqlash.
• O’yinchining bazaviy xavfini baholash va risk-based choralarini sozlash.
• Tranzaksiyalarning izlanuvchanligi va depozit chiqarib tashlash aloqasini ta’minlash.
• AML/Responsible Gaming va provayderlar/regulyatorlar talablarini qo’llab-quvvatlash.

2) KYC prinsiplari

1. Risk-Based Approach (RBA): tekshirish chuqurligi profilga (mamlakat, to’lov usullari, xulq-atvorga) bog’liq.
2. Progressive Disclosure: hozirgi xavf darajasida kerakli ma’lumotlarni to’playmiz.
3. Evidence-by-Design: barcha qarorlar va hujjatlar dalil sifatida saqlanadi (audit trail).
4. Privacy-first: minimallashtirish PDn, kamuflyaj, rol- va vaqt-cheklangan kirish.
5. Re-Verification: xavf hodisalarida takroriy tekshiruvlar (xulosalar, limitlarning o’sishi, rekvizitlarning o’zgarishi).
6. Explainable & Consistent: qoidalar va istisnolar hujjatlashtirilgan va tekshiriladi.

3) Tekshirish darajalari (Tiered KYC)

KYC0 - Ro’yxatdan o’tishdan oldin/Frikshen-light

Mamlakat, yoshni yig’ish (self-attest), email/telefon (OTP).
Nomi/telefoni/pochtasi bo’yicha dastlabki sanksiya/RER-skrining (past ishonch).
Cheklovlar: depozitlar/chiqishlarsiz, faqat stavkalarsiz kontent/bonuslar sharhi.

KYC1 - Bazaviy identifikatsiya

Shaxsiy hujjat (pasport/ID/suv. ) + selfi/biometric liveness (bozor bo’yicha).
MRZ/barkodni validatsiya qilish, amal qilish sanasini nazorat qilish, chiqarilgan mamlakat.
Yoshni tekshirish, birlamchi sanksiya/RER-skrining.
Depozitlar/stavkalar/xulosalar limitlari - bazaviy.

KYC2 - Manzilni tasdiqlash (PoA)

Manzilni tasdiqlovchi hujjat (utility bill/bank ko’chirmasi/reyestr), zarurat bo’lganda KBA.
Geo-muvofiqlik: IP/qurilma/to’lov usuli ≈ ro’yxatdan o’tkazish manzili.
Kengaytirilgan limitlar va xulosalardan foydalanish.

KYC3 - EDD (Kengaytirilgan tekshirish )/SoF/SoW

Xavf triggerlari bo’yicha: yirik oborotlar/xulosalar, VIP, shubhali patternlar, yuqori xavfli geo/usullar.
Mablag’manbai (SoF) va holatining kelib chiqishi (SoW): daromadlar to’g "risidagi ma’lumotnomalar, ish haqi, soliqlar, ko’chirmalar.
Ehtimol intervyu/yozma tushuntirishlar.
Yuqori limitlar/tezlashtirilgan xulosalardan foydalanish - ma’qullangandan keyin.

4) Darajani oshirish triggerlari/Re-KYC

Moliyaviy: yakka tartibda chiqarib tashlash summasi, davr uchun oborot, to’lov usullarining tez-tez o’zgarishi.
Xulq-atvor: g’ayritabiiy win/loss-profil, tungi faollik, ko’plab qisqa sessiyalar.
Texnik: IP/ASN qurilmalarini tez-tez almashtirish, proksi/yuqori xavfli tarmoqlar.
Profil: manbalar o’rtasida to’liq ismi/manzili/tug’ilgan sanasi nomuvofiqligi.
Hodisalar: to’lov rekvizitlarining o’zgarishi, limitlarning o’sishi, VIP-rejaning ulanishi.

5) Sanksiyalar, PEP va salbiy media

Skrining: ro’yxatdan o’tkazilganda, KYC1/2/3 tugallanganda, yirik xulosadan oldin, rekvizitlar o’zgarganda.
Ma’lumotnomalarni yangilashda revalidatsiya qilish (har kuni/haftalik).
Tasodiflar mantig’i: fuzzy match va chegara holatlarining qo’l triaji.
Manbalar/keyslarga havolalar - evidence.

6) Hujjatlar va muqobillar

ID/pasport/suv. huquqlar, PoA: kommunal hisob raqami, bank ko’chirmasi ≤ 3 oy.
Alternativalar: eID/BankID/provayderlarning proaktiv API, KBA (knowledge-based), mikrotranzaksiya bilan tasdiqlash.
Biometric: liveness-tekshirish bilan selfie; biometrika shablonlarini faqat zarurat bo’lganda va lokal normalar bo’yicha saqlash.
Chetga chiqish: oq-qora nusxalar, muddati o’tgan hujjatlar, noaniq fotosuratlar - auto chetga chiqish qoidalari.

7) Data & Privacy

Minimallashtirish: faqat zarur narsalarni so’raymiz; KYC-artefaktlar va o’yin/marketing ma’lumotlarini baham ko’ramiz.
Foydalanuvchilar: RBAC/ABAC, fayllarni oʻqish/chiqarish daftarlari, watermarks.
Retenshn: yurisdiksiya/litsenziya bo’yicha (odatda oxirgi operatsiyadan keyin 5 + yil).
Shifrlash: at rest/in transit, HSM/Vault kalitlari, koʻrish uchun vaqtinchalik URL.
Maʼlumot subʼektining soʻrovlari: Eksport/tuzatish/olib tashlash uchun SLA.

8) Controls-/Policy-as-Code (parchalar)

yaml policy_id: KYC-TIERING-001 tiers:
- name: KYC1 allow: deposits<=base_limit & withdrawals<=0 require: [id_doc, selfie_liveness, sanctions_check]
- name: KYC2 allow: deposits<=mid_limit & withdrawals<=mid_limit require: [proof_of_address, ip_geo_consistency]
- name: KYC3_EDD allow: deposits<=high_limit & withdrawals<=high_limit require: [source_of_funds, enhanced_screening]
overrides:
- country: <ISO>
set: {mid_limit: <amount>, high_limit: <amount>}
review_sla_days: 180 owner: head_of_compliance

yaml control_id: KYC-REVERIFY-PAYOUT scope: payouts trigger:
expr: payout_destination_changed==true actions:
- block: payout
- request: "kyc_level>=KYC2"
- notify: aml_ops evidence:
fields: [old_dest,new_dest,kyc_level,player_id]

yaml control_id: SANCTIONS-RESCREEN scope: player_profile trigger:
expr: sanctions_list_version_updated==true OR risk_band>=high actions:
- rescreen: full
- flag: manual_review_if_score>threshold

9) SOP (parchalar)

SOP: KYC1 verifikatsiyasi

1. Paketning to’liqligini tekshirish (ID + selfi, yuklash meta ma’lumotlari).
2. Hujjatni validatsiya qilish (MRZ/barkod, muddat, mamlakat), F.I.O./T.B.
3. Selfiyni solishtirish (face match, liveness).
4. Sanktsiyalarni/YaHni haydash; mos kelganda → triaj.
5. KYC1 berish, limitlarni yangilash, evidence yozish.

SOP: KYC2 (PoA)

1. Hujjatni 90 kundan ≤, manzilni ruxsat etilgan formatda/tilda tekshirish.
2. Manzilni IP/qurilma/toʻlov usullari bilan solishtirish.
3. KYC2 berish, limitlarni/xulosalarni kengaytirish, evidence yozish.

SOP: EDD/SoF (KYC3)

1. Hujjatlar ro’yxatini (ish haqi/soliqlar/ko’chirmalar) va tushuntirishlarni so’rash.
2. Miqdor/chastota/manbalarni aylanma va profil bilan solishtirish.
3. Qaror: ma’qullash/cheklash/yopish; gumon qilinganda - SAR/AML-jarayon.
4. Tavakkalchilik profilini yangilash, limitlar, evidence.

10) Integratsiya

KYC-provayderlar: IDV, PoA, biometrik, sanksiyalar/PER (batch + event-driven).
Payments: source-to-source control, velocity, xoldlar KYC tugagunga qadar.
AML/Case-management: o’yinchining qo’shma kartasi, maqomlar, SLA.
CRM/Support: aloqa namunalari, KYC, ETA va eslatmalar.
DWH/BI: KYC voqealari vitrinalari, litsenziya davrlari bo’yicha hisobot.

11) KPI/OKR

• KYC1 median TAT, KYC2 PoA TAT, EDD Turnaround, Re-KYC TAT.
• Auto-pass Rate (qo’l ishtirokisiz), Manual Tail (qo’l ulushi).
• Tasdiqlangan holatlar bo’yicha Sanctions/PEP Hit Rate va Precision.

• Hujjatlarning False Reject Rate, Doc Quality Fail%.
• Mismatch IP/Address chastotasi, Payout Blocked due to KYC (qulfni ochishdan oldin vaqt vositasi).
• Evidence Completeness ≥ 98%.

• KYC Drop-off qadamlar bo’yicha, CSAT/NPS KYC-jarayonlar bo’yicha.

12) Chek-varaqlar

• Ma’lumotlar siyosati qabul qilindi.
• Birlamchi sanksiya skrininingi o’tkazildi.
• Aloqa kanallari tasdiqlandi (OTP/email).

• Validen ID va selfie, o’tdi liveness.
• Mamlakatning F.I.O./DR/mos kelishi.
• Sanksiyalar/RER: «clear» yoki triajga yo’l.

• PoA yangi va o’qish mumkin; manzil normallashtirilgan.
• Geo-muvofiqlik (IP/qurilma/to’lov usuli).

• Hujjatlarning to’liq to’plami, summalar muomalaga mos keladi.
• Qaror va asoslar qayd etildi (evidence), tavakkalchilik profili yangilandi.

• Sababi va sanasi, blokirovka/limitlar to’g "ri qo’llanilgan.
• Aloqa oʻyinchiga yuborildi (ETA/qadamlar).

13) Anti-patternlar

Hamma uchun universal «og’ir» sinov - yuqori nosozlik va xarajatlar.
SLA/loglarsiz va ikki tomonlama nazoratsiz qoʻlda tekshirish.
Biometrikani/hujjatlarni qat’iy asoslarsiz va retenshnasiz saqlash.
To’lovlar bilan bog’liqlik yo’q: KYC2/3 gacha chiqarish mumkin.
Sanksiyalar va re-KYC hodisalari qayta skriningining yo’qligi.
Haqiqatning ikkita versiyasi: Excel’dagi KYC va DWH’dagi bitimlar.

14) 30/60/90 - joriy etish rejasi

• KYC (tiers, triggerlar, SLA, retenshn) siyosati tasdiqlansin.
• IDV/sanksiyalar/PEPni ulash, KYC1 va PoA-floularni ishga tushirish.
• Payout-change uchun Controls-as-Code: re-KYC moslamasini moslash.
• Evidence saqlash va RBACni yoqish.

• EDD/SoF jarayonlari, kommunikatsiya shamponi va case-management.
• To’lovlar bilan integratsiya (source-to-source, velocity), KYC2/3 gacha avto-blok.
• KPI dashbordlari (TAT, Auto-pass, Manual Tail, Hit-Rate).
• Uchuvchi biometric liveness/BankID (mavjud joylarda).

• Manual Tail ≥ 30%, KYC1 median TAT ≤ maqsadli, False Reject ↓.
• re-KYC va sanksiya qayta skrining reglamenti, muvofiqlik auditi.
• KPIni OKR buyruqlariga bogʻlash (Compliance/Ops/Payments/Support).

15) FAQ

Q: Manzilni qachon so’rash kerak?
A: Depozitlar/xulosalar chegarasiga yetganda, geo/usul yoki mamlakat/litsenziya talablariga muvofiq bo’lmaganda.

Q: SoF/SoW qachon kerak?
A: Yuqori aylanmalarda/VIP, anomaliyalarda, yuqori xavfli geo/usullarda, yirik chiqarishdan oldin.

Q: KYCdagi nosozliklarni qanday kamaytirish mumkin?
A: Mobil maslahatlar/ocr-validatsiya, fotosuratlarga bo’lgan tushunarli talablar, BankID/eIDni qo’llab-quvvatlash, qadamlarga bo’linish, tezkor fikr-mulohazalar.

Q: Maxfiylikni qanday himoya qilish mumkin?
A: Minimallashtirish, shifrlash, qat’iy RBAC/kirish jurnallari, avtomatik retenshn va olib tashlash siyosati.