Torrent Gear

Як вибрати платформу і провайдера: чеклист RFI/RFP

Як вибрати платформу і провайдера: чек-лист RFI/RFP

1) Підхід: воронка відбору

1. RFI (2-3 тижні): коротке опитування 10-15 вендорів → шорт-лист 3-5.

2. RFP (4-6 тижнів): детальна специфікація, демо, PoC, юридичні та фінанси.

3. BAFO/Negotiation (1-2 тижні): Best And Final Offer → вибір переможця.

4. Due Diligence (1-2 тижні): перевірка референсів, сек'юріті-аудит, фінал контракту.

2) Обов'язкові критерії (go/no-go)

Юрисдикції та ліцензії: країни запуску + плани розширення.

Ігровий контент: студії/агрегатори, локальні топи, live-столи.

Платежі: PSP по ринках/методи (картові, A2A, ваучери, локальні).

Безпека/комплаєнс: ISO 27001/GDPR/PCI DSS (якщо стосуються карт), аудит-трейли.

Експорт даних: сирі події в near-real-time (S3/Kafka), схема, ретеншен.

SLA/SLO: аптайм ≥ 99. 9%, депозит/логін SLO, DR-план, RPO/RTO.

Вартість і модель: прозорий RevShare/фікс, прайс на кастомізації, предиктивність TCO.

Exit-клауза: терміни і формат міграції, допомога в переході.

3) RFI: коротка форма (шаблон запитань)

Про компанію

Рік запуску/iGaming клієнти по регіонах; поточні сертифікації.

покриття ринків (ліцензія/сертифікація) і плани на 12-24 міс.

Продукт і стек

Гаманець (double-entry? холди? multi-wallet? валюти/FX?), ліміти відповідальної гри.

Ігри/агрегатори: список, умови, ексклюзиви, time-to-enable.

Платежі/KYC/AML провайдери; середні success-rate по країнах.

Observability: доступ до метриків/логів/трейсів замовника.

Інтеграції CRM/афіліати, турніри/місії, антифрод/бот-менеджер.

Безпека

Модель загроз, WAF/DDoS, TLS 1. 3, HSTS, key management/ротація.

Доступи та аудит (RBAC/MFA), журнал змін, WORM-сховища.

Комерція/умови

Модель ціноутворення (RevShare/фікс/гібрид), мінімальні коміти, roadmap кастомізацій.

SLA/SLO/кредити за даунтайм; вихід і міграція.

4) RFP: розширене питання (фрагменти)

4. 1 Архітектура та експлуатація

Діаграма компонентів (edge/CDN/WAF → API → гаманець/платежі → ігри/провайдери), ізоляція брендів.

Автоскейлінг, ліміти з'єднань до БД/PSP, backpressure.

DR-схема: RPO/RTO, тести відновлення (частота), результати останніх навчань.

4. 2 Гаманець і фінанси

Підтримка: CASH/BONUS/WAGER/FS/POINTS; ідемпотентність'operation _ id'.

Холди/резерви, partial settle, повернення; FX і округлення (minor units).

Reconciliation з PSP і провайдерами ігор (частота/формат).

Сторнуючі операції та аудит.

4. 3 Платежі та KYC/AML

PSP по країнах (методи, 3DS, ризики, сар/ліміти), fallback-маршрутизація.

KYC/AML провайдери, верифікація документів/санкції/РЕР; ретеншен і DPA.

Показники: deposit success, dispute/chargeback rate (анонімізовано).

4. 4 Ігри та промо

Список студій/агрегаторів, середній TTFS, частота інцидентів.

Турніри/місії: формули, тай-брейки, антиаб'юз, навантаження.

Джекпоти (локальні/мережеві), репорти.

4. 5 Дані та BI

Експорт подій в реальному часі (Kafka/S3), SLA доставки, схема (catalog).

Доступ до ClickHouse/BigQuery/Redshift? Канонічні визначення метрик.

Політика PII/псевдоніми, анонімізація, терміни зберігання.

4. 6 Безпека

Pentest звіт (останні 12 міс), уразливості/ремедіації.

Політики секретів (KMS), ротація ключів/сертифікатів.

WAF-правила/бот-скоринг; управління IP/ASN.

4. 7 Сервіси та підтримка

On-call 24/7, цільовий час реакції по SEV-1/2.

Канали комунікацій, шаблони статусу інцидентів.

Навчання/документація/доступ в тест/пісочницю.

4. 8 Контракт/право

Exit-пакет даних (структури, обсяги, формат, терміни).

Право підключати додаткових PSP/провайдерів; SLA на інтеграції.

IP/ліцензії, субпроцесори та їх відповідальність.

5) Сценарії демо і список «що показати»

1. Логін/депозит/ставка/сеттлмент/вивід - наскрізний потік з метриками p95.

2. Флоу турніру: старт → нарахування очок → лідерборд → видача нагороди.

3. Відмова PSP: автоматичний fallback-маршрут і звіт.

4. Інцидент: дашборд SLO, алерти, runbook, пост-мортем.

5. Експорт даних: як в реальному часі потрапляє подія в S3/Kafka і BI.

6. Адмінка: промо, ліміти відповідальної гри, афіліати.

6) PoC (2-4 тижні): план перевірки

Тих: підключення тестового домену, CDN/WAF, пісочниця PSP, 2 студії ігор.

Метрики проходу: p95 логін ≤ 300 мс, deposit success тест ≥ 98%, TTFS ігор ≤ 800 мс, експорт подій T + 60 сек.

Відмовостійкість: симуляція падіння PSP/ігрового провайдера, підтвердження fallback.

Дані: звірка звітів (різниця <0. 5%).

Security gate: pentest-скан, перевірка заголовків TLS/HSTS/OCSP, rBAC.

7) Вагова матриця оцінки (приклад)

Категорія	Вага	Критерії
Продукт і контент	20%	студії/PSP/фічі турнірів/CRM
Техніка/продуктивність	20%	SLO, автоскейл, DR
Дані/BI	15%	експорт подій, схема, латентність
Безпека/комплаєнс	15%	ISO/GDPR/PCI, аудити, WAF
Вартість/ТСО	20%	модель, передбачуваність, степи
Підтримка/SLA	10%	24/7, процеси, статуси

Шкала 0-5 (0 - ні, 5 - лідирує на ринку).

Формула: 'Score = Σ (Вага × (Бал/5))'.

8) Червоні прапори (red flags)

Немає сирих експортів або затримка> 24 год.

Розмиті SLA/SLO, немає DR-плану з доказами тестів.

Заборона на додаткові PSP/провайдерів або «штрафи» за сторонні інтеграції.

Непрозорий RevShare, приховані «обов'язкові модулі».

Довга черга релізів/чейнджів (> 60 днів на просту зміну).

Відсутність недавнього pentest/сертифікацій; слабка політика секретів.

9) Вимоги до пропозиції (RFP response format)

Executive summary: відповідність цілям і ринкам.

Таблиця відповідності: «вимога → як закривається → посилання на розділ/скрін».

SLO/SLA: конкретні числа і proofs (скріншоти/лог-сніпети).

Ціни: фікс/RevShare/мінімуми/кастомізації, прогноз TCO 3 роки (Base/Optimistic/Stress).

Roadmap 12-24 міс: фічі і терміни.

Додатки: контракти, DPA, список субпроцесорів.

10) Комерція і переговори

Степи RevShare (зниження% при досягненні обороту) і «most favored terms».

Cap на послуги кастомізації і прайс-лист з SLA на впровадження.

Сервіс-кредити за порушення SLO (в т.ч. за депозитами/логіном).

Exit-сценарій: експорт даних, техпідтримка міграції з фіксованим прайсом.

11) Юридичні чек-листи

DPA/Privacy: ролі controller/processor, терміни зберігання, транскордонні передачі.

IP/ліцензії: право використовувати/модифікувати кастоми, вихідні дані (якщо надаються).

Регуляторика: відповідність локальним правилам реклами/віку/відповідальної гри.

Податки/levies: хто платить і як відображається у звітності.

12) Оціночна таблиця (CSV-риба)


Vendor,Category,Weight,Criterion,Score(0-5),Notes
V1,Product,0. 20,Studios coverage,5,"Top EU + LatAm"
V1,Tech,0. 20,SLO deposit/login,4,"p95 280ms/99. 9%"
V1,Data,0. 15,Real-time exports,5,"Kafka T+30s"
V1,Security,0. 15,Certifications,4,"ISO27001, PCI SAQ-A"
V1,Cost,0. 20,TCO 3y,3,"Higher RevShare"
V1,Support,0. 10,24/7 & war-room,4,"15m SEV-1"

13) План впровадження переможця

Kickoff (Нед 1): RACI, календар інтеграцій, доступи.

Техблок (Нед 2-6): домени/CDN/WAF, PSP/KYC, 2-3 студії ігор, експорт даних.

UAT (Нед 7-8): SLO/навантаження, синтетика депозиту/ставок, DR-дрил.

Маркет (Нед 9-10): афіліати/CRM, локалізація/правила, контент.

Go-live (Нед 11-12): канарний трафік, war-room, post-launch план.

14) Чек-лист прийняття рішення

Покриття юрисдикцій і контенту підтверджено.
PSP/KYC по ринках з fallback-маршрутизацією.
Док-прооф SLO/SLA/DR і on-call 24/7.
Експорт сирих подій Т + 60с, схема узгоджена.
TCO 3 роки в трьох сценаріях + чутливість до NGR.
Контрактні клаузи: сервіс-кредити, cap на кастоми, exit-пакет.
Успішний PoC і демо-сценарії, розбіжності звітів <0. 5%.
Reference-дзвінки з 2-3 клієнтами в наших регіонах.

Резюме

Сильний відбір - це не «дві презентації і ціна», а формалізований процес: короткий RFI, детальний RFP з PoC, зважена матриця оцінки, перевірка SLO/DR/експортів даних і «жорсткі» контрактні клаузи (вартість, підтримка, вихід). Дотримуючись чек-листів і шаблонів вище, ви отримаєте постачальника, який реально закриває ваші ринки, витримує SLO по грошах і не блокує зростання - ні технічно, ні комерційно.