Webrain OÜ – República de Estonia

ABREVIACIONES

• AML – Anti-Money Laundering (Anti-Lavado de Dinero)
• CDD – Customer Due Diligence (Debida Diligencia del Cliente)
• GDPR – General Data Protection Regulation (Reglamento General de Protección de Datos)
• KYC – Know Your Customer (Conoce a Tu Cliente)
• MLTFPA – Ley Estonia de Prevención del Lavado de Dinero y Financiamiento del Terrorismo
• PEP – Politically Exposed Person (Persona Políticamente Expuesta)
• STR – Suspicious Transaction Report (Reporte de Transacción Sospechosa)

---

1. PROPÓSITO Y DECLARACIÓN DE POLÍTICA

Esta Política está sujeta a las leyes aplicables de Estonia y la Unión Europea.

Esta Política establece (1) medidas técnicas y organizacionales de seguridad para la infraestructura de la Empresa y protección del cliente, y (2) procedimientos de verificación de cliente basados en riesgo para prevenir abuso y mantener la integridad del servicio.

⚠️ AVISO CRÍTICO: Esta política se aplica sin excepciones. Cualquier intento de eludir medidas de seguridad, proporcionar información falsa o usar nuestros servicios para actividades ilegales resultará en restricciones inmediatas del servicio y potencial terminación de la cuenta.

La Empresa adopta una postura de tolerancia cero hacia el abuso, fraude y actividades ilegales. Mantenemos controles de seguridad robustos y trabajamos en estrecha colaboración con proveedores de pago y autoridades policiales cuando es necesario.

Esta Política sirve como nuestro marco operacional y demuestra nuestro compromiso con la excelencia en seguridad y cumplimiento regulatorio.

---

2. ALCANCE Y MARCO LEGAL

2.1 Marco Legal Aplicable

2.2 Autoridades Regulatorias

• Supervisor Principal: Rahapesu andmebüroo (UIF Estonia) - Consejo de Policía y Guardia Fronteriza
• Contacto: [email protected], +372 612 3000
• Protección de Datos: Andmekaitse Inspektsioon (DPA Estonia)

---

3. PRINCIPIOS DE SEGURIDAD

3.1 Principios Fundamentales de Seguridad

• Enfoque Basado en Riesgo – Medidas de seguridad proporcionales a los riesgos identificados
• Transparencia – Comunicación clara con clientes sobre requisitos de seguridad
• Monitoreo Continuo – Evaluación continua del comportamiento del usuario y patrones de transacción
• Resolución Colaborativa – Trabajo con clientes y socios para resolver problemas de seguridad

3.2 Principios de Protección de Datos

• Minimización de Datos – Solo datos necesarios recolectados para seguridad y cumplimiento
• Limitación de Propósito – Datos usados solo para propósitos declarados de seguridad y cumplimiento
• Transparencia – Comunicación clara sobre actividades de procesamiento de datos
• Limitación de Almacenamiento – Datos retenidos solo según se requiera legalmente

---

4. CONSIDERACIONES DE EVALUACIÓN DE RIESGO

4.1 Factores de Riesgo Geográfico

Empleamos herramientas y metodologías internas para evaluar riesgos geográficos y regulatorios asociados con las ubicaciones de los clientes. Nuestra evaluación de riesgo considera varias características regionales incluyendo:

• Requisitos regulatorios aplicables y obligaciones de cumplimiento
• Sanciones y restricciones internacionales
• Medidas de prevención del crimen financiero
• Requisitos de protección de datos y privacidad
• Obligaciones de cumplimiento de transacciones transfronterizas

Las clasificaciones de riesgo se actualizan regularmente basándose en estándares internacionales, orientación regulatoria e inteligencia de seguridad. Los clientes pueden experimentar diferentes niveles de servicio o requisitos de verificación basándose en factores de riesgo geográfico aplicables.

4.2 Evaluación Dinámica de Riesgo

• Evaluaciones de riesgo actualizadas regularmente basándose en cambios regulatorios
• Ajustes inmediatos siguiendo nuevas sanciones internacionales
• Notificaciones a clientes por cambios significativos que afectan la disponibilidad del servicio

---

5. MARCO DE EVALUACIÓN DE RIESGO DEL CLIENTE

5.1 Evaluación Automatizada de Riesgo

Las interacciones de los clientes con nuestra plataforma activan sistemas automatizados de verificación de seguridad utilizando múltiples categorías de evaluación:

Fuentes de Datos para Evaluación: Nuestros sistemas de verificación analizan solo:

• Datos proporcionados explícitamente por clientes en la plataforma (email, teléfono, nombre, etc.)
• Información de dispositivo y software usada por clientes para interactuar con nuestra plataforma (tipo de navegador, sistema operativo, características del dispositivo)

5.2 Clasificaciones de Estado del Cliente

5.3 Determinación de Estado y Acciones

El estado del cliente se determina automáticamente basándose en:

• Resultados de evaluación de riesgo de múltiples proveedores de verificación
• Análisis comportamental y patrones de uso
• Características del método de pago y transacción
• Factores de riesgo geográfico y regulatorio
• Datos históricos de interacción y uso del servicio

Acciones Automáticas:

• Estado "Verificación Recomendada"/"Acceso Restringido": Invitación KYC automática enviada con plazo de 72 horas
• Verificación Fallida: El estado de la cuenta permanece sin cambios; clientes pueden contactar soporte para aclaración (proveedor de verificación proporciona razones de falla)
• Verificación Exitosa: Actualización inmediata del estado a "Verificado" y remoción de restricciones
• Violación de Plazo: Estado de la cuenta y restricciones permanecen en efecto; revisión manual por gerencia requerida

---

6. PROCEDIMIENTOS KNOW YOUR CUSTOMER (KYC)

6.1 Propósito y Justificación

Para proteger nuestra infraestructura, clientes que cumplen la ley y asegurar cumplimiento con estándares internacionales de seguridad, hemos implementado procedimientos selectivos de identificación de cliente (KYC).

Esta medida es necesaria debido a casos crecientes de abuso del servicio, incluyendo:

• Distribución de malware y software malicioso
• Operaciones de comando y control de botnet
• Intentos de eludir restricciones técnicas
• Crímenes financieros relacionados con criptomonedas
• Otras formas de abuso del servicio y actividades ilegales

6.2 Criterios de Activación KYC

La verificación KYC se conduce en base selectiva. La decisión se hace basándose en nuestro sistema interno de evaluación de riesgo, que incorpora múltiples factores de seguridad e indicadores de cumplimiento para mantener la integridad del servicio y cumplimiento regulatorio.

Aviso Importante: Una solicitud KYC no es una acusación y no debe ser percibida como discriminación. Esta es una precaución de seguridad estándar implementada para mantener la integridad del servicio.

Activadores Comunes Incluyen:

• Resultados del algoritmo de evaluación de riesgo
• Factores de riesgo geográfico
• Características del método de pago
• Patrones inusuales de uso del servicio
• Alertas del sistema AML
• Requisitos de cumplimiento regulatorio

6.3 Proveedor de Servicio KYC y Proceso

Toda identificación se conduce exclusivamente a través de nuestra plataforma KYC certificada — un servicio internacional verificado que cumple con GDPR, KYC/AML y otros estándares de seguridad.

Proceso de Verificación:

1. Cliente recibe enlace único de verificación vía comunicación segura
2. Carga de documentos (ID emitida por el gobierno)
3. Selfie biométrica para correspondencia de identidad
4. Pasos adicionales de verificación según se requiera
5. Procesamiento y revisión automatizados
6. Actualización del estado de la cuenta al completarse

Protección de Datos: Nuestra empresa no almacena ni procesa copias de documentos. Toda transmisión y almacenamiento de datos ocurre en los servidores seguros y encriptados del proveedor KYC con certificaciones apropiadas.

6.4 Documentación Requerida

Clientes Individuales:

• Identificación con foto emitida por el gobierno (pasaporte, ID nacional, licencia de manejo)
• Comprobante de domicilio fechado dentro de 90 días (factura de servicios, estado de cuenta bancario, correspondencia gubernamental)
• Verificación de selfie biométrica
• Documentación de origen de fondos (cuando se active por filtrado AML)

Clientes Empresariales:

• Documentos de registro e incorporación empresarial
• Información de propiedad beneficiaria y estructura corporativa
• Identificación del representante autorizado y prueba de autoridad
• Verificación de dirección de la empresa
• Estados financieros y documentación de actividad empresarial (cuando se requiera)

6.5 Cronograma de Verificación y Consecuencias

Requisitos de Cronograma:

• Clientes deben completar verificación dentro de 72 horas de la solicitud
• En caso de dificultades técnicas o circunstancias excepcionales, el plazo puede extenderse bajo solicitud del cliente
• Falla en completar dentro del plazo puede resultar en cancelación manual del pedido por gerencia
• Fondos pueden ser devueltos al saldo interno de la cuenta sin notificación adicional
• Nuevos pedidos pueden ser posibles solo después de completar exitosamente KYC

Tiempo de Procesamiento: La verificación KYC típicamente se completa dentro de 1-2 días hábiles de envío de documentos.

6.6 Consecuencias de Rechazo KYC

Cuando los clientes se niegan a completar la verificación, las siguientes consecuencias pueden ocurrir a discreción de nuestro equipo de cumplimiento:

• Cancelación de pedido y suspensión de servicio pueden implementarse
• Provisión de servicio puede terminarse hasta cumplimiento
• Reembolsos pueden estar sujetos a condiciones estrictas de acuerdo con requisitos del sistema de pago y ley aplicable

Todas las decisiones respecto a la aplicación de estas consecuencias se hacen caso por caso por nuestro equipo de cumplimiento, tomando en cuenta circunstancias individuales y requisitos regulatorios.

Condiciones de Reembolso (cuando aplique):

• Criptomoneda: Reembolsos pueden requerir completar identificación KYC y enviar aplicación por escrito
• Otros Sistemas de Pago: Reembolsos pueden procesarse solo a través de métodos de reembolso soportados del sistema de pago original
• Tarifa Administrativa: Hasta 10% del monto del reembolso puede retenerse para cubrir costos operacionales y de verificación

6.7 Verificación Mejorada Activada por AML

Cuando filtros AML detectan actividad de alto riesgo, documentación adicional puede requerirse:

• Explicación detallada del origen de fondos con evidencia de soporte
• Estados de cuenta bancarios mostrando historial de transacciones
• Verificación de empleo o documentación de ingresos empresariales
• Explicación de adquisición de criptomoneda y propósito de transacción
• Entrevista por video con equipo de cumplimiento (cuando sea necesario)

6.8 Aceptación y Entendimiento del Cliente

Al hacer un pedido, los clientes:

• Confirman que han leído y están de acuerdo con esta Política KYC
• Aceptan las condiciones de reembolso descritas arriba
• Reconocen la importancia del cumplimiento de procedimientos de seguridad
• Entienden que los requisitos KYC están diseñados para crear un ambiente seguro y confiable para todos los usuarios

---

7. CUMPLIMIENTO AML A TRAVÉS DE PROVEEDORES DE PAGO

7.1 Controles AML del Proveedor de Pago

Dependemos de proveedores de servicios de pago licenciados para cumplimiento AML en transacciones financieras. Cada gateway de pago implementa:

• Monitoreo y filtrado de transacciones en tiempo real
• Análisis de blockchain y evaluación de riesgo de billetera
• Verificación de lista de sanciones y cumplimiento
• Detección de actividad sospechosa y reporte
• Requisitos de reporte regulatorio

7.2 Obligaciones AML del Cliente

Al usar nuestros servicios y hacer pagos, especialmente en criptomoneda, clientes confirman que:

• Usan criptomoneda solo de fuentes legales y trazables
• No conducen transacciones relacionadas con servicios anónimos, mercados darknet, mixers o direcciones sancionadas
• Aceptan someterse a verificación a través de nuestro proveedor KYC cuando se solicite
• Reconocen que pagos marcados como alto riesgo pueden retrasarse, rechazarse o bloquearse
• Garantizan el origen legal de todos los fondos usados para pagos

7.3 Billeteras de Alto Riesgo y Operaciones Prohibidas

Nos reservamos el derecho de rechazar o bloquear cualquier transacción asociada con:

• Direcciones vinculadas a actividad criminal, fraude, extorsión o terrorismo
• Servicios anónimos incluyendo mixers, anonimizadores, exchanges sin licencia
• Jurisdicciones sancionadas o individuos sujetos a sanciones OFAC, UE o ONU
• Plataformas consideradas poco confiables a través de análisis automático por nuestros proveedores de pago
• Billeteras de criptomoneda marcadas por análisis de blockchain como alto riesgo

7.4 Activadores AML y Debida Diligencia Mejorada

Cuando filtros AML se activan o se detecta actividad sospechosa, podemos solicitar:

• Verificación KYC completa a través de nuestra plataforma de verificación
• Documentación probando el origen legal de fondos
• Información adicional para evaluación comprensiva de riesgo
• Verificación por video o confirmación de identidad mejorada

Consecuencias de Rechazo de Verificación:

• Suspensión o terminación de servicio
• Congelamiento de fondos pendiente investigación (con revisión periódica)
• Negación de solicitudes de reembolso hasta que se cumplan requisitos de cumplimiento
• Restricciones de cuenta hasta completar verificación

7.5 Cooperación con Proveedor de Pago y Proceso de Investigación

Cuando proveedores de pago identifican transacciones sospechosas:

1. Proveedor de pago inmediatamente congela fondos e inicia investigación
2. Recibimos notificación e implementamos restricciones de cuenta correspondientes
3. Cliente es dirigido a resolver asunto directamente con proveedor de pago
4. Cooperamos completamente con investigaciones del proveedor de pago
5. Procedimientos KYC/EDD adicionales pueden requerirse
6. Restricciones de cuenta permanecen hasta resolución

7.6 Reembolsos y Retrasos AML

Bloqueos de Transacción Relacionados con AML:

• Fondos no serán devueltos o transferidos hasta completar investigación
• Verificación KYC y documentación de origen de fondos pueden requerirse
• En caso de violaciones, fondos pueden transferirse a autoridades policiales según orden judicial o requisito legal bajo ley estonia y de la UE aplicable
• Procesamiento puede retrasarse pendiente revisión regulatoria

Política de Reembolso:

• Reembolsos procesados solo a través del mismo sistema de pago usado para pago original
• Sujeto a cumplimiento de nuestra política KYC/AML y política de reembolso
• Tarifa administrativa del 10% aplicada para cubrir costos operacionales y de verificación
• Reembolsos pueden negarse por razones de cumplimiento AML

7.7 Cooperación Legal y Confidencialidad

Nuestros procedimientos AML:

• Cumplen completamente con requisitos de legislación de protección de datos, incluyendo GDPR
• Aseguran almacenamiento y procesamiento de datos personales solo dentro de plataformas reguladas
• Incluyen preparación para cooperación con autoridades policiales bajo solicitud oficial
• Mantienen confidencialidad estricta mientras cumplen obligaciones legales
• Proporcionan comunicación transparente sobre requisitos AML a clientes

---

8. MONITOREO COMPORTAMENTAL Y SEGURIDAD

8.1 Operaciones del Equipo de Seguridad

Nuestro equipo de seguridad monitorea continuamente:

• Patrones de comportamiento del usuario y anomalías
• Características de uso del servicio
• Indicadores potenciales de abuso
• Patrones de incidentes de seguridad

8.2 Detección de Anomalías

Enfoque de Monitoreo:

• Patrones inusuales de actividad de cuenta y comportamientos de inicio de sesión
• Escalación rápida de servicio o cambios de configuración
• Anomalías de pago, disputas o patrones de contracargo
• Inconsistencias geográficas en patrones de acceso
• Indicadores técnicos de potenciales amenazas de seguridad

Procedimientos de Respuesta:

1. Generación automática de alerta para patrones inusuales
2. Investigación y análisis del equipo de seguridad
3. Contacto con cliente para aclaración cuando sea necesario
4. Respuesta proporcional basada en evaluación de riesgo
5. Documentación de todas las acciones tomadas

8.3 Comunicación con Cliente

Cuando surgen preocupaciones de seguridad:

• Comunicación directa con cliente
• Explicación clara de preocupaciones
• Oportunidad para que cliente proporcione aclaración
• Enfoque colaborativo para resolución
• Procedimientos de escalación para problemas no resueltos

---

9. ACTIVIDADES PROHIBIDAS

9.1 Prohibiciones Absolutas

• Servicios de mezcla, revuelto o anonimización de criptomonedas
• Operaciones de marketplace darknet
• Actividades relacionadas con ransomware
• Financiamiento o apoyo al terrorismo
• Hospedaje de material de explotación infantil
• Servicios de apuestas o juegos ilegales
• Actividades de evasión de sanciones
• Esquemas de lavado de dinero
• Servicios financieros fraudulentos
• Operaciones de malware o botnet

9.2 Enfoque de Aplicación

Respuesta Graduada:

• Advertencia y educación para violaciones menores
• Restricciones de servicio para violaciones moderadas
• Suspensión de cuenta para violaciones serias
• Terminación permanente para violaciones severas
• Notificación a autoridades policiales para actividades ilegales

9.3 Debido Proceso

Todas las acciones de aplicación incluyen:

• Notificación clara de violación alegada
• Evidencia de violación proporcionada al cliente
• Oportunidad para respuesta del cliente y apelación
• Escalación a alta gerencia para acciones significativas
• Documentación del proceso de toma de decisiones

---

10. PROTECCIÓN DE DATOS Y CUMPLIMIENTO GDPR

10.1 Base Legal para Procesamiento

• GDPR Artículo 6(1)(b) - procesamiento necesario para ejecución de contrato
• GDPR Artículo 6(1)(f) - intereses legítimos (prevención de fraude, seguridad)
• GDPR Artículo 6(1)(c) - procesamiento necesario para cumplimiento legal (cuando aplique)

10.2 Derechos del Titular de Datos

Respetamos todos los derechos GDPR incluyendo:

• Derecho de acceso a datos personales
• Derecho a rectificación de datos inexactos
• Derecho al borrado (con excepciones de retención legal)
• Derecho a restringir procesamiento
• Derecho a portabilidad de datos

Cronograma de Respuesta: Máximo 30 días para solicitudes de derechos

10.3 Seguridad de Datos

• Encriptación para datos en tránsito y en reposo
• Controles de acceso y requisitos de autenticación
• Evaluaciones regulares de seguridad
• Procedimientos de respuesta a incidentes
• Requisitos de seguridad de proveedores

---

11. MANTENIMIENTO DE REGISTROS

11.1 Requisitos de Retención

11.2 Seguridad de Datos

• Almacenamiento encriptado para todos los registros retenidos
• Controles de acceso basados en necesidad empresarial
• Procedimientos regulares de respaldo y recuperación
• Eliminación segura después del período de retención

---

12. ENTRENAMIENTO Y CONCIENCIACIÓN

12.1 Requisitos de Entrenamiento del Personal

Todo el Personal:

• Concienciación de seguridad y mejores prácticas
• Procedimientos de comunicación con cliente
• Protocolos de escalación
• Requisitos de protección de datos

Equipo de Seguridad:

• Detección avanzada de amenazas
• Técnicas de investigación
• Requisitos regulatorios
• Protocolos de interacción con cliente

12.2 Educación Continua

• Actualizaciones regulares de seguridad y briefings
• Compartir mejores prácticas de la industria
• Notificaciones de cambio regulatorio
• Análisis de casos de estudio y aprendizaje

---

13. RESPUESTA A INCIDENTES

13.1 Tipos de Incidente y Respuesta

Incidentes de Seguridad:

• Contención e investigación inmediatas
• Notificación al cliente si afectado
• Preservación de evidencia
• Notificación regulatoria si requerida

Problemas de Cumplimiento:

• Investigación y evaluación prontas
• Comunicación y soporte al cliente
• Coordinación con autoridades relevantes
• Implementación de mejora de proceso

Problemas de Pago:

• Coordinación con proveedores de pago
• Comunicación y soporte al cliente
• Cumplimiento con requisitos del proveedor
• Reporte regulatorio si necesario

13.2 Procedimientos de Escalación

• Rutas claras de escalación para diferentes tipos de incidente
• Involucramiento de alta gerencia para problemas significativos
• Consulta de consejo legal cuando sea necesario
• Notificación de autoridad externa según se requiera

---

14. GESTIÓN DE PROVEEDORES

14.1 Requisitos de Proveedores de Seguridad

Todos los proveedores de seguridad y verificación deben mantener:

• Certificaciones de cumplimiento apropiadas
• Medidas fuertes de protección de datos
• Evaluaciones regulares de seguridad
• Capacidades de reporte de incidentes

14.2 Estándares de Proveedor de Pago

Trabajamos solo con proveedores de pago licenciados y regulados que mantienen:

• Programas completos de cumplimiento AML
• Capacidades de filtrado de sanciones
• Monitoreo de actividad sospechosa
• Procedimientos de reporte regulatorio

---

15. MEJORA CONTINUA

15.1 Mejora del Programa

Mejoramos continuamente nuestro programa de seguridad y cumplimiento a través de:

• Evaluaciones regulares de riesgo
• Actualizaciones y mejoras de tecnología
• Optimización de proceso basada en experiencia
• Incorporación de retroalimentación de clientes y socios

15.2 Adaptación Regulatoria

• Monitoreo de cambios regulatorios
• Actualizaciones de política según se necesite
• Entrenamiento del personal sobre nuevos requisitos
• Mejoras del sistema para cumplimiento

---

16. COMUNICACIÓN CON CLIENTE Y TRANSPARENCIA

16.1 Comunicación Proactiva

• Explicación clara de medidas de seguridad
• Notificación de cambios de política
• Contenido educativo sobre mejores prácticas de seguridad
• Actualizaciones regulares sobre mejoras de seguridad

16.2 Apelaciones y Resolución de Disputas

Derecho de Apelación: Clientes que no están de acuerdo con nuestras decisiones de seguridad o cumplimiento tienen el derecho de apelar y solicitar revisión.

Proceso de Apelación:

• Contacte a nuestro equipo de cumplimiento directamente con explicación detallada de sus preocupaciones
• Revisaremos completamente las circunstancias y el proceso de toma de decisiones
• Mantenemos un enfoque de diálogo abierto y estamos comprometidos con resolución justa
• Cada caso se evalúa individualmente con consideración de todos los factores relevantes
• Respuesta proporcionada dentro de tiempo razonable con explicación de hallazgos

Información de Contacto: [email protected]

Alentamos comunicación directa para resolver cualquier malentendido o abordar preocupaciones sobre nuestros procedimientos de seguridad.

• Canales dedicados de soporte de cumplimiento y seguridad
• Procedimientos claros de escalación para disputas
• Comunicación regular durante investigaciones
• Explicación transparente de decisiones

---

17. COOPERACIÓN REGULATORIA

17.1 Compromiso con Autoridades

Mantenemos relaciones cooperativas con:

• Unidad de Inteligencia Financiera de Estonia
• Autoridad de Protección de Datos de Estonia
• Agencias de aplicación de la ley
• Organismos regulatorios internacionales según sea apropiado

17.2 Compartir Información

• Respuesta rápida a solicitudes regulatorias legítimas e investigaciones de aplicación de la ley
• Reporte de actividad sospechosa cuando se identifica a través de nuestro monitoreo o alertas de proveedor de pago
• Cooperación con investigaciones AML y esfuerzos de prevención de crimen financiero
• Documentación de todas las interacciones regulatorias y actividades de cumplimiento
• Transferencia de fondos a autoridades policiales cuando se requiera según requisitos legales y órdenes judiciales

---

CONTROL DE DOCUMENTO

Título del Documento: Política de Seguridad, KYC y Cumplimiento
ID del Documento: POL-001-2025
Versión: 1.0
Clasificación: Público
Idioma: Español Latinoamericano

Matriz de Aprobación:

• Autor: Equipo de Seguridad y Cumplimiento
• Revisor: Alta Gerencia
• Aprobador: Directora
• Fecha de Vigencia: 01 de agosto de 2025
• Próxima Revisión: 01 de agosto de 2026

Distribución:

• Publicado en el sitio web de la empresa
• Disponible para todos los clientes y partes interesadas
• Proporcionado a autoridades regulatorias bajo solicitud

Registro de Cambios: