Torrent Gear

Как выбрать платформу и провайдера: чеклист RFI/RFP

Как выбрать платформу и провайдера: чек-лист RFI/RFP

1) Подход: воронка отбора

1. RFI (2–3 недели): короткий опрос 10–15 вендоров → шорт-лист 3–5.

2. RFP (4–6 недель): детальная спецификация, демо, PoC, юридические и финансы.

3. BAFO/Negotiation (1–2 недели): Best And Final Offer → выбор победителя.

4. Due Diligence (1–2 недели): проверка референсов, секьюрити-аудит, финал контракта.

2) Обязательные критерии (go/no-go)

Юрисдикции и лицензии: страны запуска + планы расширения.

Игровой контент: студии/агрегаторы, локальные топы, live-столы.

Платежи: PSP по рынкам/методы (картовые, A2A, ваучеры, локальные).

Безопасность/комплаенс: ISO 27001/GDPR/PCI DSS (если касаются карт), аудит-трейлы.

Экспорт данных: сырые события в near-real-time (S3/Kafka), схема, ретеншен.

SLA/SLO: аптайм ≥ 99.9%, депозит/логин SLO, DR-план, RPO/RTO.

Стоимость и модель: прозрачный RevShare/фикс, прайс на кастомизации, предиктивность TCO.

Exit-клауза: сроки и формат миграции, помощь в переходе.

3) RFI: короткая форма (шаблон вопросов)

О компании

Год запуска/iGaming клиенты по регионам; текущие сертификации.

покрытие рынков (лицензия/сертификация) и планы на 12–24 мес.

Продукт и стек

Кошелёк (double-entry? холды? multi-wallet? валюты/FX?), лимиты ответственной игры.

Игры/агрегаторы: список, условия, эксклюзивы, time-to-enable.

Платежи/KYC/AML провайдеры; средние success-rate по странам.

Observability: доступ к метрикам/логам/трейсам заказчика.

Интеграции CRM/аффилиаты, турниры/миссии, антифрод/бот-менеджер.

Безопасность

Модель угроз, WAF/DDoS, TLS 1.3, HSTS, key management/ротация.

Доступы и аудит (RBAC/MFA), журнал изменений, WORM-хранилища.

Коммерция/условия

Модель ценообразования (RevShare/фикс/гибрид), минимальные коммиты, roadmap кастомизаций.

SLA/SLO/кредиты за даунтайм; выход и миграция.

4) RFP: расширенный вопросник (фрагменты)

4.1 Архитектура и эксплуатация

Диаграмма компонентов (edge/CDN/WAF → API → кошелёк/платежи → игры/провайдеры), изоляция брендов.

Автоскейлинг, лимиты соединений к БД/PSP, backpressure.

DR-схема: RPO/RTO, тесты восстановления (частота), результаты последних учений.

4.2 Кошелёк и финансы

Поддержка: CASH/BONUS/WAGER/FS/POINTS; идемпотентность `operation_id`.

Холды/резервы, partial settle, возвраты; FX и округления (minor units).

Reconciliation с PSP и провайдерами игр (частота/формат).

Сторнирующие операции и аудит.

4.3 Платежи и KYC/AML

PSP по странам (методы, 3DS, риски, cap/лимиты), fallback-маршрутизация.

KYC/AML провайдеры, верификация документов/санкции/PEP; ретеншен и DPA.

Показатели: deposit success, dispute/chargeback rate (анонимизированно).

4.4 Игры и промо

Список студий/агрегаторов, средний TTFS, частота инцидентов.

Турниры/миссии: формулы, тай-брейки, антиабьюз, нагрузка.

Джекпоты (локальные/сетевые), репорты.

4.5 Данные и BI

Экспорт событий в реальном времени (Kafka/S3), SLA доставки, схема (catalog).

Доступ к ClickHouse/BigQuery/Redshift? Канонические определения метрик.

Политика PII/псевдонимы, анонимизация, сроки хранения.

4.6 Безопасность

Pentest отчёт (последние 12 мес), уязвимости/ремедиации.

Политики секретов (KMS), ротация ключей/сертификатов.

WAF-правила/бот-скоринг; управление IP/ASN.

4.7 Сервисы и поддержка

On-call 24/7, целевое время реакции по SEV-1/2.

Каналы коммуникаций, шаблоны статуса инцидентов.

Обучение/документация/доступ в тест/песочницу.

4.8 Контракт/право

Exit-пакет данных (структуры, объёмы, формат, сроки).

Право подключать дополнительных PSP/провайдеров; SLA на интеграции.

IP/лицензии, субпроцессоры и их ответственность.

5) Сценарии демо и список «что показать»

1. Логин/депозит/ставка/сеттлмент/вывод — сквозной поток с метриками p95.

2. Флоу турнира: старт → начисление очков → лидерборд → выдача награды.

3. Отказ PSP: автоматический fallback-маршрут и отчёт.

4. Инцидент: дашборд SLO, алёрты, runbook, пост-мортем.

5. Экспорт данных: как в реальном времени попадает событие в S3/Kafka и BI.

6. Админка: промо, лимиты ответственной игры, аффилиаты.

6) PoC (2–4 недели): план проверки

Тех: подключение тестового домена, CDN/WAF, песочница PSP, 2 студии игр.

Метрики прохода: p95 логин ≤ 300 мс, deposit success тест ≥ 98%, TTFS игр ≤ 800 мс, экспорт событий T+60 сек.

Отказоустойчивость: симуляция падения PSP/игрового провайдера, подтверждение fallback.

Данные: сверка отчётов (разница < 0.5%).

Security gate: pentest-скан, проверка заголовков TLS/HSTS/OCSP, rBAC.

7) Весовая матрица оценки (пример)

Категория	Вес	Критерии
Продукт и контент	20%	студии/PSP/фичи турниров/CRM
Техника/производительность	20%	SLO, автоскейл, DR
Данные/BI	15%	экспорт событий, схема, латентность
Безопасность/комплаенс	15%	ISO/GDPR/PCI, аудиты, WAF
Стоимость/TCO	20%	модель, предсказуемость, стэпы
Поддержка/SLA	10%	24/7, процессы, статусы

Шкала 0–5 (0 — нет, 5 — лидирует на рынке).

Формула: `Score = Σ(Вес × (Балл/5))`.

8) Красные флаги (red flags)

Нет сырых экспортов или задержка > 24 ч.

Размытые SLA/SLO, нет DR-плана с доказательствами тестов.

Запрет на дополнительные PSP/провайдеров или «штрафы» за сторонние интеграции.

Непрозрачный RevShare, скрытые «обязательные модули».

Долгая очередь релизов/чейнджей (>60 дней на простое изменение).

Отсутствие недавнего pentest/сертификаций; слабая политика секретов.

9) Требования к предложению (RFP response format)

Executive summary: соответствие целям и рынкам.

Таблица соответствия: «требование → как закрывается → ссылка на раздел/скрин».

SLO/SLA: конкретные числа и proofs (скриншоты/лог-сниппеты).

Цены: фикс/RevShare/минимумы/кастомизации, прогноз TCO 3 года (Base/Optimistic/Stress).

Roadmap 12–24 мес: фичи и сроки.

Приложения: контракты, DPA, список субпроцессоров.

10) Коммерция и переговоры

Стэпы RevShare (понижение % при достижении оборота) и «most favored terms».

Cap на услуги кастомизации и прайс-лист с SLA на внедрение.

Сервис-кредиты за нарушение SLO (в т.ч. по депозитам/логину).

Exit-сценарий: экспорт данных, техподдержка миграции с фиксированным прайсом.

11) Юридические чек-листы

DPA/Privacy: роли controller/processor, сроки хранения, трансграничные передачи.

IP/лицензии: право использовать/модифицировать кастомы, исходники (если предоставляются).

Регуляторика: соответствие локальным правилам рекламы/возрастов/ответственной игры.

Налоги/levies: кто платит и как отражается в отчётности.

12) Оценочная таблица (CSV-рыба)


Vendor,Category,Weight,Criterion,Score(0-5),Notes
V1,Product,0.20,Studios coverage,5,"Top EU + LatAm"
V1,Tech,0.20,SLO deposit/login,4,"p95 280ms/99.9%"
V1,Data,0.15,Real-time exports,5,"Kafka T+30s"
V1,Security,0.15,Certifications,4,"ISO27001, PCI SAQ-A"
V1,Cost,0.20,TCO 3y,3,"Higher RevShare"
V1,Support,0.10,24/7 & war-room,4,"15m SEV-1"

13) План внедрения победителя

Kickoff (Нед 1): RACI, календарь интеграций, доступы.

Техблок (Нед 2–6): домены/CDN/WAF, PSP/KYC, 2–3 студии игр, экспорт данных.

UAT (Нед 7–8): SLO/нагрузка, синтетика депозита/ставок, DR-дрилл.

Маркет (Нед 9–10): аффилиаты/CRM, локализация/правила, контент.

Go-live (Нед 11–12): канареечный трафик, war-room, post-launch план.

14) Чек-лист принятия решения

Покрытие юрисдикций и контента подтверждено.
PSP/KYC по рынкам с fallback-маршрутизацией.
Док-прооф SLO/SLA/DR и on-call 24/7.
Экспорт сырых событий T+60с, схема согласована.
TCO 3 года в трёх сценариях + чувствительность к NGR.
Контрактные клаузы: сервис-кредиты, cap на кастомы, exit-пакет.
Успешный PoC и демо-сценарии, расхождения отчётов < 0.5%.
Reference-звонки с 2–3 клиентами в наших регионах.

Резюме

Сильный отбор — это не «две презентации и цена», а формализованный процесс: короткий RFI, детальный RFP с PoC, взвешенная матрица оценки, проверка SLO/DR/экспортов данных и «жёсткие» контрактные клаузы (стоимость, поддержка, выход). Следуя чек-листам и шаблонам выше, вы получите поставщика, который реально закрывает ваши рынки, выдерживает SLO по деньгам и не блокирует рост — ни технически, ни коммерчески.