Секрет успеха — специальный руководитель проекта
Лучшим вариантом будет выбрать специального проджект-менеджера, который имеет опыт в IT и при этом готов читать длинные списки требований. Если у вас уже есть кто-то, подходящий под описание, все готово к началу работы. Если же нет, то, возможно, хорошим выбором станет кто-то из ваших отделов руководства проектами или разработки продуктов.
Не думайте, что ваш провайдер платформ все сделает за вас — многие вещи выходят за рамки функционала платформы. Наличие руководителя проекта, который сможет контролировать каждый этап, существенно упростит весь процесс.
Регулятивные требования — как в них разобраться
Первое, что мы делаем, — внимательно читаем все правила и обсуждаем все расплывчатые и неясные формулировки с регулятором. И если/когда регулятор скажет обращаться к испытательной лаборатории, нам необходимо будет выбрать правильного партнера. Хорошие новости заключаются в том, что есть несколько глобальных лабораторий, которые признают большинство регуляторов. Возможно, вы уже работали с ними ранее (даже если в этот раз это будет команда из другого региона, успешные проекты в прошлом упростят процесс).
После того, как мы разберемся с требованиями, мы создаем документ с анализом пробелов, перечислив все, что нужно добавить или изменить в системе, чтобы успешно пройти процесс сертификации. Если мы имеем дело с юрисдикцией, которая, как нам кажется, имеет большой потенциал для нашего бизнеса, мы можем даже отказаться от оплаты, снизив общую стоимость проекта для клиента.
B2B- и B2C-лицензии, сертификаты
Самая длинная часть процесса получения лицензии оператора — это юридический аудит. Вашим юристам нужно будет предоставить большое количество данных о конечных бенефициарах, а также нотариально заверенные копии подтверждающих документов.
Игорным провайдерам также обычно нужна лицензия (или по крайней мере сертификат), поскольку по местным правилам от игр могут требоваться различные модификации: например, ограничение максимальной ставки или максимального выигрыша, установка минимальной длительности вращения в видеослотах, введение новых правил касательно политики ответственной игры и пр.
Что касается самой платформы, для нее, как правило, не нужна отдельная B2B-лицензия. Она должна полностью соблюдать требования регулятора, однако ответственность за обеспечение этого лежит на операторе. Многие юрисдикции, впрочем, лицензируют или регистрируют доверенные третьи стороны, в основном, провайдеров платформ, — однако при этом также проводят KYC-процедуры и юридические аудиты провайдеров, платежных систем и т.д.
Примеры из нашего опыта работы: Великобритания и Мальта выдают B2B-лицензии платформам, Бельгия и Латвия — нет, а такие юрисдикции, как, например, Теннесси (штат США) проводят процедуру регистрации провайдеров платформ, что является более быстрым и дешевым процессом, чем получение лицензии оператора.
Скрытые расходы
Также можно встретиться с требованиями, которые приведут к существенным расходам. Например, регулятор может потребовать, чтобы весь хостинг располагался на территории юрисдикции. Как однажды сказал нам один консультант: “Регуляторам нравится иметь возможность отправить полицию и арестовать сервера, если случится что-то очень плохое”. Как обычно, вы делите стоимость серверов с другими операторами на платформе. Если у платформы еще нет инфраструктуры в данной юрисдикции, вам, возможно, придется взять сопутствующие расходы на себя.
Еще один пункт в скрытых затратах — ресертификация программного обеспечения. Современные платформы обычно выпускают обновления ежемесячно, еженедельно или даже ежедневно, однако некоторые юрисдикции не разрешают использовать новые версии, пока они не получат новые сертификаты. Этот процесс может занять немало времени, а также требует уплаты ресертификационного сбора и зачастую — одобрения регулятора. Это значит, что у вас не получится легко и быстро представить новый функционал, и вы дважды подумаете прежде, чем вносить какие-либо не особо значительные изменения.
Юрисдикция может указать конкретных аудиторов, к которым нужно будет обратиться, и им, как правило, нужно будет как платить ежегодные сборы, так и оплачивать отдельные проверки. Это довольно важно для работы в США, поскольку вам необходимо не только гарантировать, что ваши игроки из этой страны, но также и то, что они являются резидентами того или иного штата — а это весьма непросто.
Помимо этого, юрисдикция может потребовать нанять местный персонал, и это тоже нужно учесть при расчете бюджета. Другие локальные расходы включают в себя аренду офиса, бухгалтерское сопровождение, местных юристов и т.д. Еще вам, возможно, придется создать бизнес-план, и если у вас нет в этом опыта, хорошей идеей будет отдать его на аутсорс.
Также от вас может потребоваться получить сертификат ISO 27001 перед получением лицензии — обратите на это внимание при планировании времени. Кроме того, возможно, нужно будет отправить решение теста уязвимости (обычно это симуляция взлома “черного ящика”) — это можно сделать как в качестве части процесса сертификации, так и отдельно.
Наконец, от новых юрисдикций следует ожидать дополнительных требований (нам встречались юрисдикции, менявшие свои правила как минимум ежеквартально). Это требует дополнительной работы как со стороны оператора, так и со стороны платформы, и провайдер платформ может предъявить вам дополнительные счета за новые разработки, особенно, если есть строгие и сжатые сроки их реализации.
Новый функционал
К ответственной игре относятся различные блокировки/предупреждения игрокам, возможность установить самоограничение и так далее. По опыту можем сказать, что если вы уже разработали подобный функционал для 3-4 юрисдикций, то вы соблюдаете большинство требований, и, скорее всего, потребуются только небольшие изменения в системе.
KYC-процедуры и юридическое соответствие отличаются от юрисдикции к юрисдикции, но обычно требуют несложных изменений в программном обеспечении или интеграции с внешним провайдером. Некоторые регуляторы потребуют от вас интегрировать базу лиц, отстраненных от гэмблинга, чтобы не дать людям, имеющим проблемы с азартными играми, зайти на ваш сайт.
Что касается отчетов регуляторам, тут различия могут быть колоссальными. Одни требуют доступа к каждой ставке в реальном времени, вторые — отправки собранных данных в определенные периоды, третьи — специального API, через который они будут иметь возможность просмотреть любую информацию в любое время. Данные в отчетах также могут сильно отличаться. Каким-то регуляторам достаточно только основной информации, а другим нужны огромные массивы данных различного рода.
С информационной безопасностью обычно все просто, но и тут могут быть сюрпризы. С какими-то определенными запрещенными программными средствами мы не сталкивались, но попадались требования, реализация которых была очень затруднительна, что вызывало существенные задержки. Обычно требуются безопасное шифрование, надежное хранение конфиденциальной информации, резервное копирование и хранение необработанных данных в течение конкретного времени на удаленном хранилище — все это, чтобы избежать возможных проблем, вам придется осуществить в любом случае.
После начала работы
Одно из направлений, которому регуляторы по понятным причинам уделяют особое внимание — это предотвращение игры несовершеннолетними. В этом плане по всему миру вводятся все более и более строгие требования. То, что было разрешено еще несколько лет назад, сейчас уже вне закона.
Даже если весь процесс кажется вам пугающим, поверьте, со временем все станет проще. Когда ваши проджект-менеджеры и юристы наберутся опыта в этой сфере, выход на новые рынки станет отточенным и гораздо менее напряженным. Учреждение местных регуляторов сейчас становится все популярнее, и мы считаем, что операторы, инвестирующие в наработку подобного опыта, смогут занять ведущие позиции во многих привлекательных юрисдикциях.
Источник: EGR