安全、KYC與合規政策
Webrain OÜ – 愛沙尼亞共和國
| 版本 | 生效日期 | 下次審查 | 適用範圍 |
|---|---|---|---|
| 1.0 | 2025年8月1日 | 2026年8月1日 | Webrain OÜ營運的所有產品和品牌(is*hosting共享主機、VPS、專用伺服器、雲端和經銷商服務) |
縮寫
- AML – Anti-Money Laundering(反洗錢)
- CDD – Customer Due Diligence(客戶盡職調查)
- GDPR – General Data Protection Regulation(一般資料保護規範)
- KYC – Know Your Customer(認識您的客戶)
- MLTFPA – 愛沙尼亞洗錢和恐怖主義融資預防法
- PEP – Politically Exposed Person(政治敏感人員)
- STR – Suspicious Transaction Report(可疑交易報告)
1. 目的與政策聲明
本政策受適用的愛沙尼亞和歐盟法律約束。
本政策確立了(1)公司基礎設施和客戶保護的技術和組織安全措施,以及(2)基於風險的客戶驗證程序,以防止濫用並維護服務完整性。
⚠️ 重要通知:本政策無例外適用。任何試圖規避安全措施、提供虛假資訊或將我們的服務用於非法活動的行為,將導致立即服務限制和潛在的帳戶終止。
公司採取零容忍立場對於濫用、欺詐和非法活動。我們維護強大的安全控制措施,並在必要時與付款提供商和執法部門密切合作。
本政策作為我們的營運框架,展現我們對安全卓越和法規合規的承諾。
2. 適用範圍與法律框架
2.1 適用法律框架
| 層級 | 法規工具 | 適用的關鍵條款 |
|---|---|---|
| 國家級 | 愛沙尼亞洗錢和恐怖主義融資預防法(MLTFPA,RT I,17.12.2017,1) | 客戶盡職調查、記錄保存、可疑活動報告 |
| 歐盟 | GDPR(2016/679/EU)、歐盟制裁法規 | 資料保護、制裁合規 |
| 國際 | FATF建議、聯合國安理會決議 | 基於風險的方法、國際合作 |
2.2 監管機構
- 主要監管機構:Rahapesu andmebüroo(愛沙尼亞金融情報單位)- 警察和邊防部
- 聯絡方式:[email protected],+372 612 3000
- 資料保護:Andmekaitse Inspektsioon(愛沙尼亞資料保護局)
3. 安全原則
3.1 核心安全原則
- 基於風險的方法 – 安全措施與識別的風險成正比
- 透明度 – 與客戶就安全要求進行清晰溝通
- 持續監控 – 持續評估用戶行為和交易模式
- 協作解決 – 與客戶和合作夥伴合作解決安全問題
3.2 資料保護原則
- 資料最小化 – 僅收集安全和合規所需的必要資料
- 目的限制 – 資料僅用於既定的安全和合規目的
- 透明度 – 清楚告知資料處理活動
- 存儲限制 – 資料僅按法律要求保存
4. 風險評估考慮因素
4.1 地理風險因素
我們採用內部工具和方法來評估與客戶位置相關的地理和監管風險。我們的風險評估考慮各種區域特徵,包括:
- 適用的監管要求和合規義務
- 國際制裁和限制
- 金融犯罪預防措施
- 資料保護和隱私要求
- 跨境交易合規義務
風險分類根據國際標準、監管指導和安全情報定期更新。客戶可能會根據適用的地理風險因素經歷不同的服務級別或驗證要求。
4.2 動態風險評估
- 根據監管變化定期更新風險評估
- 在新的國際制裁後立即調整
- 對影響服務可用性的重大變化通知客戶
5. 客戶風險評估框架
5.1 自動化風險評估
客戶與我們平台的互動會啟動使用多個評估類別的自動化安全驗證系統:
評估資料來源: 我們的驗證系統僅分析:
- 客戶在平台上明確提供的資料(電子郵件、電話、姓名等)
- 客戶用於與我們平台互動的設備和軟體資訊(瀏覽器類型、作業系統、設備特徵)
| 評估類別 | 目的 | 資料點 |
|---|---|---|
| 電子郵件驗證 | 電子郵件聲譽和有效性評估 | 域名聲譽、信箱有效性、一次性電子郵件檢測 |
| 設備情報 | 設備指紋識別和行為分析 | 設備特徵、瀏覽模式、速度檢查 |
| 欺詐檢測 | 反欺詐情報 | IP聲譽、地理位置分析、風險指標 |
5.2 客戶狀態分類
| 客戶狀態 | 描述 | 服務級別 | KYC要求 |
|---|---|---|---|
| "已驗證" | 帳戶已完成KYC驗證 | 完全存取,無限制 | 已完成 |
| "良好狀態" | 識別出最小風險指標 | 完全存取,無限制 | 自願 |
| "建議驗證" | 存在中等風險指標 | 完全存取,導向KYC驗證 | 72小時內必需 |
| "受限存取" | 檢測到高風險指標 | 自動應用限制,KYC強制 | 72小時內必需 |
5.3 狀態確定和行動
客戶狀態根據以下因素自動確定:
- 來自多個驗證供應商的風險評估結果
- 行為分析和使用模式
- 付款方式和交易特徵
- 地理和監管風險因素
- 服務互動和使用歷史資料
自動行動:
- "建議驗證"/"受限存取"狀態:自動發送72小時期限的KYC邀請
- 驗證失敗:帳戶狀態保持不變;客戶可聯絡支援尋求澄清(驗證提供商提供失敗原因)
- 成功驗證:立即狀態升級為"已驗證"並移除限制
- 期限違反:帳戶狀態和限制保持生效;需要管理層手動審查
6. 認識您的客戶(KYC)程序
6.1 目的和理由
為了保護我們的基礎設施、守法客戶,並確保符合國際安全標準,我們實施了選擇性客戶身份識別(KYC)程序。
這項措施是由於服務濫用案例不斷增加而必需的,包括:
- 散佈惡意軟體和惡意程序
- 僵屍網路指令和控制操作
- 試圖規避技術限制
- 與加密貨幣相關的金融犯罪
- 其他形式的服務濫用和非法活動
6.2 KYC觸發標準
KYC驗證以選擇性基礎進行。決定基於我們的內部風險評估系統,該系統整合多個安全因素和合規指標,以維護服務完整性和監管合規。
重要通知:KYC請求不是指控,不應被視為歧視。這是為維護服務完整性而實施的標準安全預防措施。
常見觸發因素包括:
- 風險評估演算法結果
- 地理風險因素
- 付款方式特徵
- 異常服務使用模式
- AML系統警報
- 監管合規要求
6.3 KYC服務提供商和流程
所有身份識別僅通過我們認證的KYC平台進行 一個經過驗證的國際服務,符合GDPR、KYC/AML和其他安全標準。
驗證流程:
- 客戶通過安全通訊接收唯一驗證連結
- 文件上傳(政府發行的身份證件)
- 用於身份匹配的生物識別自拍
- 根據需要的額外驗證步驟
- 自動化處理和審查
- 完成後更新帳戶狀態
資料保護:我們公司不存儲或處理文件副本。所有資料傳輸和存儲都在KYC提供商的安全、加密伺服器上進行,具有適當的認證。
6.4 必需文件
個人客戶:
- 政府發行的照片身份證明(護照、國民身份證、駕駛執照)
- 90天內的地址證明(水電費帳單、銀行對帳單、政府通信)
- 生物識別自拍驗證
- 資金來源文件(當AML篩選觸發時)
企業客戶:
- 企業註冊和成立文件
- 實益擁有權資訊和公司結構
- 授權代表身份識別和權限證明
- 公司地址驗證
- 財務報表和商業活動文件(必要時)
6.5 驗證時間表和後果
時間表要求:
- 客戶必須在請求後72小時內完成驗證
- 如遇技術困難或特殊情況,可應客戶要求延長期限
- 未能在期限內完成可能導致管理層手動取消訂單
- 資金可能在無額外通知的情況下退回到內部帳戶餘額
- 新訂單可能只有在成功完成KYC後才能進行
處理時間:KYC驗證通常在文件提交後1-2個工作日內完成。
6.6 拒絕KYC的後果
當客戶拒絕完成驗證時,可能會發生以下後果,由我們的合規團隊酌情決定:
- 可能實施訂單取消和服務暫停
- 服務提供可能被終止直至合規
- 退款可能須遵循嚴格條件,符合付款系統要求和適用法律
所有關於應用這些後果的決定都由我們的合規團隊根據個別情況和監管要求逐案作出。
退款條件(適用時):
- 加密貨幣:退款可能需要完成KYC身份識別並提交書面申請
- 其他付款系統:退款可能僅通過原始付款系統的支援退款方式處理
- 管理費:最多10%的退款金額可能被保留以支付營運和驗證成本
6.7 AML觸發的增強驗證
當AML過濾器檢測到高風險活動時,可能需要額外文件:
- 詳細的資金來源說明及支持證據
- 顯示交易歷史的銀行對帳單
- 就業驗證或商業收入文件
- 加密貨幣獲取和交易目的說明
- 與合規團隊的視頻面談(必要時)
6.8 客戶接受和理解
通過下訂單,客戶:
- 確認他們已閱讀並同意本KYC政策
- 接受上述退款條件
- 認知安全程序合規的重要性
- 理解KYC要求旨在為所有用戶創造安全可靠的環境
7. 通過付款提供商的AML合規
7.1 付款提供商AML控制
我們依賴有執照的付款服務提供商進行金融交易的AML合規。每個付款閘道實施:
- 即時交易監控和篩選
- 區塊鏈分析和錢包風險評估
- 制裁名單檢查和合規
- 可疑活動檢測和報告
- 監管報告要求
7.2 客戶AML義務
通過使用我們的服務和進行付款,特別是使用加密貨幣,客戶確認他們:
- 僅使用來自合法和可追蹤來源的加密貨幣
- 不進行交易與匿名服務、暗網市場、混幣器或制裁地址相關
- 同意在要求時通過我們的KYC提供商進行驗證
- 認知被標記為高風險的付款可能被延遲、拒絕或阻止
- 保證所有用於付款的資金的合法來源
7.3 高風險錢包和禁止操作
我們保留拒絕或阻止與以下相關的任何交易的權利:
- 與犯罪活動、欺詐、勒索或恐怖主義相關的地址
- 匿名服務,包括混幣器、匿名器、無執照交易所
- 受到OFAC、歐盟或聯合國制裁的司法管轄區或個人
- 通過我們付款提供商的自動分析被認為不可靠的平台
- 被區塊鏈分析標記為高風險的加密貨幣錢包
7.4 AML觸發和增強盡職調查
當AML過濾器被觸發或檢測到可疑活動時,我們可能請求:
- 通過我們的驗證平台進行完整的KYC驗證
- 證明資金合法來源的文件
- 用於綜合風險評估的額外資訊
- 視頻驗證或增強身份確認
拒絕驗證的後果:
- 服務暫停或終止
- 調查期間凍結資金(定期審查)
- 拒絕退款請求直至滿足合規要求
- 帳戶限制直至完成驗證
7.5 付款提供商合作和調查流程
當付款提供商識別可疑交易時:
- 付款提供商立即凍結資金並啟動調查
- 我們收到通知並實施相應的帳戶限制
- 客戶被引導直接與付款提供商解決問題
- 我們完全配合付款提供商的調查
- 可能需要額外的KYC/EDD程序
- 帳戶限制保持直至解決
7.6 退款和AML延遲
AML相關交易阻止:
- 資金在調查完成前不會被退回或轉移
- 可能需要KYC驗證和資金來源文件
- 如有違規,資金可能根據法院命令或適用愛沙尼亞和歐盟法律的法律要求轉移給執法部門
- 處理可能因監管審查而延遲
退款政策:
- 退款僅通過用於原始付款的相同付款系統處理
- 須遵循我們的KYC/AML政策和退款政策合規
- 應用10%管理費以支付營運和驗證成本
- 退款可能因AML合規原因被拒絕
7.7 法律合作和保密
我們的AML程序:
- 完全符合資料保護法律要求,包括GDPR
- 確保個人資料僅在受監管平台內存儲和處理
- 包括在官方請求時準備與執法部門合作
- 在履行法律義務的同時保持嚴格保密
- 向客戶提供有關AML要求的透明溝通
8. 行為監控和安全
8.1 安全團隊運營
我們的安全團隊持續監控:
- 用戶行為模式和異常
- 服務使用特徵
- 潛在濫用指標
- 安全事件模式
8.2 異常檢測
監控重點:
- 異常帳戶活動模式和登錄行為
- 快速服務擴展或配置變更
- 付款異常、爭議或退款模式
- 存取模式中的地理不一致
- 潛在安全威脅的技術指標
回應程序:
- 針對異常模式的自動警報生成
- 安全團隊調查和分析
- 必要時聯絡客戶尋求澄清
- 基於風險評估的比例回應
- 記錄所有採取的行動
8.3 客戶溝通
當出現安全問題時:
- 與客戶直接溝通
- 清楚解釋問題
- 為客戶提供澄清機會
- 協作解決方法
- 未解決問題的升級程序
9. 禁止活動
9.1 絕對禁止
- 加密貨幣混合、翻轉或匿名化服務
- 暗網市場操作
- 勒索軟體相關活動
- 恐怖主義融資或支持
- 兒童剝削材料托管
- 非法賭博或博彩服務
- 制裁規避活動
- 洗錢計劃
- 欺詐性金融服務
- 惡意軟體或僵屍網路操作
9.2 執法方法
漸進式回應:
- 對輕微違規進行警告和教育
- 對中等違規進行服務限制
- 對嚴重違規進行帳戶暫停
- 對嚴重違規進行永久終止
- 對非法活動通知執法部門
9.3 正當程序
所有執法行動包括:
- 明確通知指控的違規
- 向客戶提供違規證據
- 為客戶提供回應和申訴機會
- 重大行動升級給高級管理層
- 記錄決策過程
10. 資料保護與GDPR合規
10.1 處理的法律基礎
- GDPR第6(1)(b)條 - 合約履行所需的處理
- GDPR第6(1)(f)條 - 合法利益(欺詐預防、安全)
- GDPR第6(1)(c)條 - 法律合規所需的處理(適用時)
10.2 資料主體權利
我們尊重所有GDPR權利,包括:
- 存取個人資料的權利
- 糾正不準確資料的權利
- 刪除權(有法律保留例外)
- 限制處理權
- 資料可攜權
回應時間表:權利請求最多30天
10.3 資料安全
- 傳輸和靜止資料的加密
- 存取控制和認證要求
- 定期安全評估
- 事件回應程序
- 供應商安全要求
11. 記錄保存
11.1 保存要求
| 記錄類型 | 保存期間 | 目的 |
|---|---|---|
| 客戶驗證記錄 | 帳戶關閉後5年 | 監管合規和AML要求 |
| AML交易記錄 | 交易後5年 | 金融犯罪預防和調查 |
| 安全事件記錄 | 事件後5年 | 調查和合規 |
| 資金來源文件 | 驗證後5年 | AML合規和審計軌跡 |
| 客戶溝通記錄 | 互動後3年 | 客戶服務和爭議解決 |
| 合規評估記錄 | 評估後3年 | 流程改進和審計軌跡 |
11.2 資料安全
- 所有保存記錄的加密存儲
- 基於業務需要的存取控制
- 定期備份和恢復程序
- 保存期後安全刪除
12. 培訓和意識
12.1 員工培訓要求
所有員工:
- 安全意識和最佳實踐
- 客戶溝通程序
- 升級協議
- 資料保護要求
安全團隊:
- 高級威脅檢測
- 調查技術
- 監管要求
- 客戶互動協議
12.2 持續教育
- 定期安全更新和簡報
- 行業最佳實踐分享
- 監管變更通知
- 案例研究分析和學習
13. 事件回應
13.1 事件類型和回應
安全事件:
- 立即遏制和調查
- 如受影響則通知客戶
- 證據保存
- 必要時通知監管機構
合規問題:
- 迅速調查和評估
- 客戶溝通和支援
- 與相關機構協調
- 實施流程改進
付款問題:
- 與付款提供商協調
- 客戶溝通和支援
- 遵循提供商要求
- 必要時進行監管報告
13.2 升級程序
- 不同事件類型的明確升級路徑
- 重大問題的高級管理參與
- 必要時的法律顧問諮詢
- 根據需要的外部機構通知
14. 供應商管理
14.1 安全供應商要求
所有安全和驗證供應商必須維護:
- 適當的合規認證
- 強大的資料保護措施
- 定期安全評估
- 事件報告能力
14.2 付款提供商標準
我們僅與維護以下條件的有執照和受監管的付款提供商合作:
- 完整的AML合規程序
- 制裁篩選能力
- 可疑活動監控
- 監管報告程序
15. 持續改進
15.1 程序增強
我們通過以下方式持續改進我們的安全和合規程序:
- 定期風險評估
- 技術升級和增強
- 基於經驗的流程優化
- 整合來自客戶和合作夥伴的反饋
15.2 監管適應
- 監控監管變化
- 根據需要更新政策
- 新要求的員工培訓
- 合規的系統增強
16. 客戶溝通和透明度
16.1 主動溝通
- 清楚解釋安全措施
- 政策變更通知
- 安全最佳實踐教育內容
- 安全增強的定期更新
16.2 申訴和爭議解決
申訴權:不同意我們安全或合規決定的客戶有權申訴和要求審查。
申訴流程:
- 直接聯繫我們的合規團隊,詳細說明您的關切
- 我們將徹底審查情況和決策過程
- 我們保持開放對話方法,致力於公平解決
- 每個案例都會根據所有相關因素進行個別評估
- 在合理時間內提供回應並說明結果
聯絡資訊:[email protected]
我們鼓勵直接溝通以解決任何誤解或處理有關我們安全程序的關切。
- 專門的合規和安全支援渠道
- 爭議的明確升級程序
- 調查期間的定期溝通
- 決定的透明解釋
17. 監管合作
17.1 機構參與
我們與以下機構保持合作關係:
- 愛沙尼亞金融情報單位
- 愛沙尼亞資料保護機構
- 執法機構
- 適當的國際監管機構
17.2 資訊分享
- 對合法監管請求和執法查詢的迅速回應
- 通過我們的監控或付款提供商警報識別時的可疑活動報告
- 與AML調查和金融犯罪預防努力的合作
- 所有監管互動和合規活動的記錄
- 根據適用愛沙尼亞和歐盟法律的法律要求和法院命令要求時向執法部門轉移資金
文件控制
文件標題:安全、KYC與合規政策
文件編號:POL-001-2025
版本:1.0
分類:公開
語言:繁體中文
批准矩陣:
- 作者:安全與合規團隊
- 審查者:高級管理層
- 批准者:主任
- 生效日期:2025年8月1日
- 下次審查:2026年8月1日
分發:
- 在公司網站上發佈
- 向所有客戶和利益相關者提供
- 應要求提供給監管機構
變更日誌:
| 版本 | 日期 | 作者 | 描述 |
|---|---|---|---|
| 1.0 | 2025年8月1日 | 安全與合規團隊 | 初始版本 |