Крипто төлемдер үшін Travel Rule

1) Travel Rule дегеніміз не және ол не үшін қажет

Travel Rule - виртуалды активтердің (VASP) провайдерлері үшін криптоактивтерді аудару кезінде жөнелтуші мен алушының сәйкестендіру деректерімен алмасудың реттеуші талабы. Мақсаты: AML/CTF-тәуекелдерді төмендету, тергеуді жеңілдету және ончейн-инфрақұрылымның жұмыс қабілеттілігін сақтай отырып, кросс-VASP аударымдарының ашықтығын арттыру.

• Деректер аудармамен бірге «саяхаттайды» (VASP VASP off-chain байланыс арнасы).
• Талаптар мен шектер юрисдикцияға байланысты; көбінесе шегі 1000 ~ жақын (баламада), бірақ бірқатар режимдерде аз сомаға да қолданылады - өз саясатыңыздағы жергілікті норманы белгілеңіз.
• Талаптар hosted (кастодиандық) және unhosted (дербес) әмияндарды ажыратады.

2) Объектілер және қолдану аймақтары

VASP → VASP (hosted hosted): стандарт бойынша толық деректер алмасу (ончейн-броадкастқа дейін).
VASP → Unhosted (өзіндік астодия): жергілікті RBA саясаты бойынша қаражаттың мекенжайы және шығу тегі туралы мәліметтерді жинау/тексеру; «контрагент-VASP» -мен алмасу жоқ.
Cross-border: Қарсы агент пен қауіпсіз арнаны іздеу үшін Discovery/Directory және сенім келісімдерін пайдаланыңыз.

3) Қандай деректер беріледі (ең аз құрам)

• Аты (немесе атауы) компания), клиенттің бірегей сәйкестендіргіші (сіздің жүйеңізден),
• Мекен-жайы/туған елі немесе туған күні (ел бойынша вариативті),
• Шот/әмиян нөмірі (ішкі сәйкестендіргіш/мекенжайы),
• Байланыс (қажет болған жағдайда), VASP сәйкестендіргіші (LEI/BIC/рег. нөмірі - қайда қолдануға болады).

• Аты/атауы (егер алушы басқа VASP-да болса және верификацияланған болса),
• Бенефициар-VASP шотының/әмиянының сәйкестендіргіші,
• unhosted кезінде - сіздің RBA-саясатыңызға сәйкес клиенттен жиналған мәліметтер.

• Актив/желі (BTC, ETH/chain), сомасы, timestamp,
• Payment/Transfer ID, ЕҚТ-ға референс/санкциялық скрининг,
• Travel Rule сессиясының/хабарының идентификаторы.

4) Алмасу стандарттары мен хаттамалары

IVMS101 - деректер моделі (нені және қалай атау керек).
TRISA/TRP/OpenVASP - желілік хаттамалар және «сенім желілері» (PKI, mTLS, VASP каталогтары, бағыттау, жеткізуді растау).
Коммерциялық хабтар/агрегаторлар үйлесімділікті (Gateway-тәсіл) және Discovery жүзеге асыра алады.

Ұсыныс: көлікті (Adapter-қабат) абстракциялаңыз және провайдерді/хаттаманы API-ны бұзбай еркін өзгерту үшін IVMS101 «canonical model» ретінде сақтаңыз.

5) Енгізу архитектурасы (референс)

1. Travel Rule Gateway (микросервис): IVMS101-хабарламаларды қабылдау/жіберу, қолтаңба/шифрлау, ретра, квоталар.

2. Directory/Discovery: контр-VASP іздеу (тізілім, PKI, сенім саясаты).

3. KYT/Sanctions Engine: мекенжайлар/биржалар/кластерлер скринингі, жөнелту алдындағы тәуекелді бағалау.

4. Compliance Engine (RBA): шешім қабылдау: allow/hold/reject/қосымша деректерді сұрау.

5. Case Management: кейстер, тіркемелер, SLA, эскалациялар (L1/L2/L3).

6. PII Vault: дербес деректерді қауіпсіз сақтау (шифрлау, токенизация, RBAC, аудит).

1. Клиент аударма жасайды → 2) КУТ/санкциялар pre-check → 3) контрагенттің Discovery → 4) IVMS101 алмасу (ончейнге дейін) → 5) Шешім (allow/hold) → 6) Ончейн-броадкаст → 7) Постфактум есептілік/логика.

6) Unhosted әмияндар: саясат және тексеру

Клиенттен контрагент туралы мәліметтерді жинау (аты/елі/қатынасы), мекенжайды иеленуді растау (хабарламаға қол қою, ұсақ «пруф-трансфер», биржадағы верификация).
Тәуекел-ережелер: жоғары KYT-тәуекелі бар мекенжайлар үшін тыйым салу/лимиттер (миксерлер, «қараңғы» нарықтар, санкциялық кластерлер), сіздің саясатыңыз бойынша KYC-сіз P2P-алаңдарға тыйым салу.
TTL және ревю бар мекенжайлардың ақ тізімдері (address book/whitelisting).

7) КТБ/санкциялармен және AML-мен интеграция

KYT (Know Your Transaction): мекенжайларды/биржаларды тәуекел-бағалау, N-хопқа дейін «нашар» кластерлермен байланыстар, көлемнің/маршруттардың ауытқулары.
Санкциялар: клиенттің/контрагенттің (KYC/KYB) және инфрақұрылымның (биржалар, кастодиандар) скринингі.
Оң тәуекел → hold, құжаттарды сұрату (SoF/SoW) және/немесе бас тарту, қажет болған жағдайда - SAR/STR.

8) Деректер және құпиялылық (GDPR/қауіпсіздік)

Ең аз: тек қажетті Travel Rule өрістерін сақтаңыз; PII-ні төлем PAN/кілттерінен бөліңіз.
Шифрлау: тыныштықта (KMS/HSM) және транзитте (mTLS), кілттерді ротациялау.
Қол жеткізу: қатаң RBAC, әрекеттер журналы, «need-to-know» қағидаты.
Ретеншн: юрисдикция заңы бойынша (жиі 5 + жыл); автоматты экспирация және жою бойынша есептер.
DSR: қол жеткізу/түзету/жою процедуралары.

9) SLA, ретра және тозу

• Pre-check (КБТ/санкциялар): ≤ 5-15 c p95.
• Discovery + Exchange (VASP, VASP): ≤ 60-120 c p95 (ретрацияны қоса алғанда).
• Шешім (allow/hold/reject): авто-кейстер үшін ≤ 2-5 мин p95; қолмен шолу High-risk - ≤ 4 сағ.

• Экспоненциалды backoff + джиттер; баламалы эндпоинттер.
• Sunrise-проблема (қарсы агент Travel Rule қолдамайды): RBA-ерекшеліктер/лимиттер, шифрланған арна бойынша қолмен алмасу (егер саясат/заңмен рұқсат етілсе) немесе бас тарту.

10) UX-паттерндер (конверсияны бұзбай)

Жиі аудармалар үшін алушының деректерін алдын ала толтыру (мекенжай кітабы).
«Мекенжайды растау қажет »/« Ережеге сәйкес келуі үшін алушының деректері қажет» деген анық хабарламалар.
Қадамдық кеңестері бар контекстік тексерулер (мекенжайдың қолы, шағын аударма).
hold/тексеру бойынша мәртебелер мен таймерлер, ашық күту.
Баламалар: «KYC биржасында алу» бас тартқан жағдайда unhosted.

11) Метрика және сапаны бақылау

• Travel Rule coverage% (IVMS101 сәтті алмасуымен VASP, VASP аударымдарының үлесі).
• Мекенжайды және SoF верификациялаудан өткен unhosted үлесі (табалдырық бойынша).
• алмасу/шешімдер бойынша SLA hit rate; қол кейстерінің үлесі.

• KYT high-risk rate, санкциялар бойынша бас тартулар, SAR-conversion.
• KYT мекенжайлары/кластерлері бойынша қайталама алерталар, share «false positive».

• p50/p95 аудармасына дейінгі уақыт, Travel Rule (impact) себебінен істен шығу, қайталанған аудармаларды конверсиялау (мекенжай кітабы).

12) Шешімдер матрицасы (эскиз)

13) Қарсы үлгілер

VASP, VASP деректерімен алмасу аяқталғанға дейін ончейнді жіберу (аударуға дейін талап етілетін режимдерде).
RBA-ерекшеліктерсіз және мекенжайлық тексерусіз барлық unhosted «саңылаусыз» бұғаттау.
Discovery/Directory → тұрақсыз жеткізу және жиі false hold.
Мақсатынсыз/ретеншн артық PII сақтау; бөлінбеген логтар және PII.
Абстракциясыз (vendor lock-in) хаттаманың бір провайдеріне қатаң байлам.

14) Енгізу чек-парағы

• Travel Rule саясаты: юрисдикциялар, табалдырықтар, hosted/unhosted, RBA-ерекшеліктер.
• IVMS101 және Adapter-қабатының каноникалық моделі TRISA/TRP/OpenVASP.
• Directory/Discovery и PKI/mTLS; сенімді VASP басқару.
• ТКТ/санкцияларды pre-check-ке біріктіру; hold/reject ережелері.
• PII Vault: шифрлау, RBAC, аудит, ретеншн/DSR.
• SLA/ретраи/алерты, дэшборды метрик; деградация плейбуктері.
• Unhosted процестері: мекенжай тексеру, SoF сұраулары, ақ тізімдер.
• Case-менеджмент және коммуникация үлгілері; SAR/STR рәсімдері.
• Тест стендтері: VASP-контрагенттің эмуляциясы, failure-сценарийлер, load-тест.
• Payments/Risk/Compliance/Support оқыту және тұрақты жаттығулар.

15) Түйіндеме

Travel Rule - бұл «крипта туралы» емес, VASP арасындағы операциялық-қауіпсіз деректер алмасу туралы. Каноникалық модель ретінде IVMS101 бар шлюз жасаңыз, Discovery/Directory бағдарламасын қосыңыз, CTU/санкциялар мен RBA шешімдерін біріктіріңіз, PII-ні қорғаңыз және түсінікті SLA-ларды орнатыңыз. Сонда VASP VASP аударымдары мен unhosted-мекенжайлармен жұмыс тез, талаптарға сай болады және конверсияны бұзбайды.