GH GambleHub

Regla de viaje para pagos cripto

1) Qué es Travel Rule y por qué lo necesita

Travel Rule es un requisito reglamentario para que los proveedores de activos virtuales (VASP) intercambien la identidad del remitente y del destinatario en las transferencias de activos criptográficos. Objetivo: reducir los riesgos de AML/CTF, simplificar las investigaciones y aumentar la transparencia de las traducciones entre VASP, manteniendo la infraestructura de la cadena en funcionamiento.

Ideas clave:
  • Los datos «viajan» junto con la traducción (canal de comunicación off-chain VASP↔VASP).
  • Los requisitos y umbrales dependen de la jurisdicción; a menudo, el umbral está cerca del ~ 1000 (en el equivalente), pero en una serie de modos también se extiende a cantidades más pequeñas - fijar la norma local en su política.
  • Los requisitos distinguen entre las carteras hosted (castodial) y unhosted (independiente).

2) Objetos y zonas de aplicación

VASP → VASP (hosted ↔ hosted): intercambio completo de datos según el estándar (preferiblemente hasta el broadcast onchain).
VASP → Unhosted (autocastodia): recopilar/verificar la información del destinatario y el origen de los fondos según la política local de RBA; no hay intercambio con la «contraparte-VASP».
Cross-border: utilice Discovery/Directory y acuerdos de confianza para encontrar una contraparte y un canal seguro.

3) Qué datos se transmiten (composición mínima)

Acerca del remitente:
  • Nombre (o naim. empresa), identificador único del cliente (de su sistema),
  • Dirección/país o fecha de nacimiento (variable por país),
  • Número de cuenta/billetera (ID/dirección interna),
  • Contactos (si es necesario), ID de VASP (LEI/BIC/reg. número - cuando corresponda).
Sobre el destinatario (Beneficiario):
  • Nombre/nombre (si el destinatario está en otro VASP y está verificado),
  • ID de cuenta/billetera del beneficiario-VASP,
  • Con unhosted: información recopilada de un cliente según su política de RBA.
Sobre la traducción:
  • Activo/red (BTC, ETH/cadena), suma, timestamp,
  • Payment/Transfer ID, referencia en KUT/cribado de sanciones,
  • ID de sesión/mensaje de Travel Rule.
💡 Es conveniente normalizar el esquema de campos a través de IVMS101: un único diccionario de atributos para mensajes entre proveedores.

4) Normas y protocolos de intercambio

IVMS101 es un modelo de datos (qué y cómo nombrar).
TRISA/TRP/OpenVASP - Protocolos de red y «redes de confianza» (PKI, mTLS, directorios VASP, enrutamiento, confirmación de entrega).
Los hubs/agregadores comerciales pueden implementar compatibilidad (enfoque Gateway) y Discovery.

Recomendación: abstraer el transporte (capa adaptadora) y almacenar el IVMS101 como «modelo canónico» para cambiar libremente el proveedor/protocolo sin romper la API.

5) Arquitectura de implementación (referencia)

Componentes:

1. Travel Rule Gateway (microservicio): recepción/envío de mensajes IVMS101, firma/cifrado, retrés, cuotas.

2. Directory/Discovery: búsqueda contra-VASP (registro, PKI, política de confianza).

3. KYT/Sanctions Engine: cribado de direcciones/intercambios/clústeres, evaluación del riesgo antes del envío.

4. Compliance Engine (RBA): Decisión: allow/hold/reject/solicitud de dop.dannyh

5. Gestión de casos: casos, archivos adjuntos, SLA, escalaciones (L1/L2/L3).

6. PII Vault: almacenamiento seguro de datos personales (encriptación, tokenización, RBAC, auditoría).

Flujo (simplificado):

1. El cliente crea la traducción → 2) KUT/sanciones pre-cheque → 3) Discovery de la contraparte → 4) Intercambio de IVMS101 (antes de la cadena) → 5) Solución (allow/hold) → 6) Broadcast Onchain → 7) Post-Factum Reporting/Lógica.

6) Carteras desactivadas: política y validación

Recopilar información de la contraparte del cliente (nombre/país/relación), confirmación de la propiedad de la dirección (firma del mensaje, «transferencia pruff» menor, verificación en el intercambio).
Reglas de riesgo: prohibición/límites para direcciones de alto riesgo KYT (mezcladores, mercados «oscuros», clústeres sancionadores), prohibición de sitios P2P sin KYC según su política.
Listas de direcciones blancas (address book/whitelisting) con TTL y rugido.

7) Integración con CUT/sanciones y AML

KYT (Know Your Transaction): evaluación de riesgo de direcciones/intercambios, comunicaciones a N-hop con clústeres «malos», anomalías de volumen/rutas.
Sanciones: cribado del cliente/contraparte (KYC/KYB) e infraestructura (intercambios, castodianos).
Riesgo positivo → hold, solicitud de documentos (SoF/SoW) y/o rechazo, si es necesario - SAR/AMB.

8) Datos y privacidad (GDPR/seguridad)

Minimización: almacene sólo los campos de regla de viaje requeridos; separe la PII de las llaves/PAN de pago.
Cifrado: en reposo (KMS/HSM) y en tránsito (mTLS), rotación de claves.
Acceso: RBAC estricto, registro de acciones, principio «need-to-know».
Retiro: según la ley de la jurisdicción (a menudo 5 + años); expiración automática e informes de eliminación.
DSR: procedimientos de acceso/corrección/eliminación, cuando corresponda.

9) SLA, retraídas y degradación

SLA de procesamiento (puntos de referencia):
  • Pre-cheque (COT/sanciones): ≤ 5-15 c p95.
  • Discovery + Exchange (VASP↔VASP): ≤ 60-120 c p95 (incluyendo retraídas).
  • Solución (allow/hold/reject): ≤ 2-5 min p95 para casos automáticos; revisión manual de High-risk - ≤ 4 h.
Retraie/Feover:
  • Backoff + jitter exponencial; endpoints alternativos.
  • Problema de Sunrise (la contraparte no es compatible con Travel Rule): excepciones/límites RBA, intercambio manual a través de un canal cifrado (si la política/ley lo permite) o rechazo.

10) Patrones UX (sin romper la conversión)

Precarga los datos del destinatario para traducciones frecuentes (libreta de direcciones).
Mensajes claros: «Se requiere confirmación de dirección »/« Se necesitan datos del destinatario para cumplir con la regla».
Comprobaciones contextuales (firma de dirección, micro cambio) con consejos paso a paso.
Estados y temporizadores hold/check, expectativas transparentes.
Alternativas: «Obtener en el intercambio con KYC» al rechazar unhosted.

11) Métricas y control de calidad

Cumplimiento:
  • Cobertura de la regla de viaje% (porcentaje de transferencias VASP↔VASP con el intercambio exitoso de IVMS101).
  • La fracción es unhosted con la verificación de la dirección pasada y SoF (en el umbral).
  • SLA hit rate en el intercambio/soluciones; la proporción de casos manuales.
Riesgo:
  • KYT alta tasa de riesgo, denegación de sanciones, SAR-conversión.
  • alertas repetidas por direcciones/clústeres, compartir «falso positivo» por KYT.
Negocios/UX:
  • Tiempo hasta la traducción p50/p95, denegación debido a la regla de viaje (impact), conversión de traducciones repetidas (libreta de direcciones).

12) Matriz de soluciones (esbozo)

ScriptAcciónComentario
VASP↔VASP, intercambio de IVMS101 exitoso, KYT aproxAllowOnchain inmediatamente
VASP no se encuentra/no respondeHold/RetryBackoff; alertar al cliente
Unhosted, KYT promedio, hay confirmación de propiedadAllow/LimitLímites de cantidad/frecuencia
Unhosted, KYT alto/sancionesReject & EscalateCumplimiento, SAR/AMB por RBA
Datos incompletos/no coordinadosNeed MoreSolicitar campos/documentos

13) Anti-patrones

Enviar onchain hasta que se complete el intercambio de datos VASP↔VASP (en los modos en los que se requiere antes de la traducción).
Bloqueo «sordo» de todas las exclusiones sin RBA y verificación de direcciones.
Ausencia de Discovery/Directory → entrega inestable y false hold frecuente.
Almacenamiento de PII redundantes sin propósito/retén; registros no compartidos y PII.
Atadura rígida por proveedor de protocolo sin abstracción (vendor lock-in).

14) Lista de verificación de implementación

  • Política de regla de viaje: jurisdicciones, umbrales, hosted/unhosted, excepciones RBA.
  • Modelo canónico IVMS101 y capa adaptadora bajo TRISA/TRP/OpenVASP.
  • Directory/Discovery и PKI/mTLS; Administración de VASP de confianza.
  • Integración del CCT/sanciones en el pre-cheque; reglas hold/reject.
  • PII Vault: cifrado, RBAC, auditoría, retén/DSR.
  • SLA/retraídas/alertas, dashboards métricas; playbucks de degradación.
  • Procesos para unhosted: verificación de direcciones, solicitudes SoF, listas blancas.
  • Gestión de casos y plantillas de comunicación; Procedimientos SAR/NAT.
  • Stands de prueba: emulación de contraparte de VASP, scripts fallidos, prueba de carga.
  • Capacitación Payments/Risk/Compliance/Support y ejercicios regulares.

15) Resumen

Travel Rule no es «pro cripta», sino un intercambio de datos seguro de operación entre VASP. Construya una puerta de enlace con IVMS101 como modelo canónico, conecte Discovery/Directory, integre KUT/sanciones y soluciones RBA, proteja PII y defina SLA claras. Luego, las traducciones de VASP↔VASP y el trabajo con direcciones no alojadas serán rápidos, se ajustarán a los requisitos y no destruirán la conversión.

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.