本风险管理政策(“政策”)旨在定义涉及 Vixi Exchange、其员工和第三方的意识、评估、监控和风险管理的主要步骤。
适用于 Vixi Exchange 员工、第三方和业务合作伙伴, 从 2021 年 6 月 3 日起 。
员工:所有 Vixi Exchange 员工,以及与 Vixi Exchange 拥有职位、职能、公司关系、雇佣、商业、专业、合同或信任关系的所有人员,以及实习生和受训人员;
合规委员会:其任务是植根合规和道德文化,降低风险和损失,促进遵守现行法律;
控制:为确保实现业务目标以及防止、检测和补救不良事件而制定的任何政策、标准、流程、活动和机制;
政策:本风险管理政策。
风险:是任何可能对实现 Vixi Exchange 目标或特定业务流程产生负面影响的潜在事件;
第三方商品和服务的供应商和供应商、代表、中介代理人、律师、技术顾问、经纪人、外部合作者和/或代表 Vixi Exchange 的利益或利益行事的任何其他第三方;
4.1.1. 风险管理领域在季度会议上向合规委员会报告,旨在通过风险映射和评估、识别机会和支持业务实现目标来识别、评估和管理 Vixi Exchange 活动固有的风险。
4.1.2. 必须记录和存储有关 Vixi Exchange 易受影响的运营损失和风险的信息。
4.1.3. 根据工作目标、所涉及的问题和已识别缺陷的相关性,可使用不同的级别进行风险评估。
4.1.4. 能够对 Vixi Exchange 的活动产生积极影响的风险,称为机会,将每季度向合规与风险管理委员会报告。
4.2.1. 风险分类如下:
4.2.1.1.事件起源:用于风险响应的方法定义的决定因素。外部风险与组织运作的宏观经济、政治、社会、自然或部门环境有关,但是,一般来说,不可能干预这些事件,因此这些事件将具有主要的反应性行动。内部风险它们起源于组织的结构,通过其流程、员工或环境,以主动行动作为响应。
4.2.1.2.风险性质:它允许根据风险的性质(战略、运营、财务、合规)和受影响的领域整合风险,即:
战略风险:影响形象、声誉、运营连续性、社区、社会环境问题、生活和/或设施,以及与 IT 控制、实体级别控制和实现 CP、MP、LP 业务目标相关的风险。 战略风险还包括与高级管理层相关的反欺诈控制。
财务/运营风险:与资源的合理使用、内部控制的运作、业务流程的有效性和流程层面的财务风险有关,包括其他反欺诈控制。
合规风险:直接影响 Vixi Exchange 活动部门遵守法律、手册、规则以及内部和/或自我监管,包括但不限于反腐败、反贿赂、可疑交易报告、防止洗钱及相关。
4.3.1. Vixi Exchange 维护风险管理和预防的管理结构和内部控制。 Vixi Exchange 的内部区域与操作系统和安全功能一起执行维护和风险管理框架。
4.3.2. 内部控制将定期重新评估,以确保与 Vixi Exchange 开展的业务的性质、复杂性和风险保持一致。
4.3.3. 风险评估是联合进行的,涉及受影响区域和流程负责人,评估每个已识别风险的影响程度与发生概率,然后确定最佳保护工具,可以是:
避免:当产生风险的事件被消除时,例如,中止某个流程或退出某个特定市场。
减少:当应用内部控制(例如批准、审查、职责分离、对账、访问配置文件等)以显着降低风险的潜在损害时。
分享:当风险与外部交易对手分担时。 风险分担的例子是对冲操作和保险单。
接受:当风险的影响与概率被认为不相关时,决定接受风险,因为控制行动的成本将大于潜在风险本身。
4.4. 为了建立充分的风险管理控制机制,Vixi Exchange 将有一个程序分为几道防线:
第一道防线——行政和商业领域。员工和第三方负责绘制和管理与其活动相关的风险,在其工作流程中实施预防和检测控制;
第二道防线——风险管理、控制和合规。风险管理和内部控制领域帮助管理人员识别风险并制定控制措施以减轻其后果。 合规也是这道防线的一部分,负责集中合规风险管理计划;
第三道防线——内部审计; The third line of defense covers Vixi Exchange's Internal Audit, responsible for undertaking independent evaluations as to the effectiveness and efficiency of the administrative and business areas and risk management. The audits will be carried out annually or at intervals established by the Compliance Committee, and the conclusions will be substantiated in a specific report.
4.8. 风险管理和采取补救措施作为应对措施是所有管理人员的责任。
4.9. 任何关于本政策或风险管理的问题都必须通过电子邮件向合规部门澄清:compliance@vixiexchange.com.br。
5.1。 Vixi Exchange 将在其员工中定义负责风险管理的董事,以及负责每个阶段的评估、监控和缓解的专业人员。
根据适用的立法和最佳市场实践,在预防和打击洗钱和资助恐怖主义方面建立行为和控制标准。
适用于与 Vixi Exchange 相关的所有员工和第三方,从 2021 年 6 月 3 日起。本政策将每年更新一次。
通知 BCB 3,978:巴西中央银行 2020 年 1 月 23 日第 3,978 号通知;
员工:所有 Vixi Exchange 员工,以及与 Vixi Exchange 拥有职位、职能、公司关系、雇佣、商业、专业、合同或信任关系的所有人员,以及实习生和受训人员;
董事它是由 VIXI EXCHANGE 董事成员组成的团体。 执行官董事会负责监督公司的项目及其各自的结果,并根据公司的最佳利益审议和指导上述项目;
伙伴:与 Vixi Exchange 开展业务的个人或公司;
PLD/CFT:防止洗钱和打击资助恐怖主义;
政策:本防止洗钱和打击资助恐怖主义的政策;
第三方商品和服务的供应商和供应商、代表、中介代理人、律师、技术顾问、经纪人、外部合作者和/或代表 Vixi Exchange 的利益或利益行事的任何其他第三方;
4.1.1. Vixi Exchange 的执行官董事会高度致力于合规计划,并通过将主题纳入其演讲中,并将“合规”主题作为会议议程和决策指导方针。
4.1.2. 本政策旨在通过以下任何步骤遏制任何洗钱和恐怖主义融资行为:
放置犯罪分子通过存款、购买流通票据或货物将非法获得的金钱引入经济体系的阶段。 这是将资金从非法获得的地方移走,并将其纳入金融市场;
隐藏:犯罪分子进行具有洗钱罪特征的可疑交易的时刻。 在这个阶段,复杂的交易被配置为分离非法资金来源,使当局难以追踪来源。 鉴于调查资金来源的风险,目标是“打破”证据链;
一体化:资产正式纳入经济和金融体系。 从这一刻起,这笔钱就出现了合法的外观。
4.1.3. [加密资产交易所],例如 Vixi Exchange,在某些隐匿犯罪活动资金的过程中,特别是在洗钱过程的第二阶段,其目的是“断”链,可能会被无意中用作中介关于资金来源的证据(可追溯性)
4.2.1. 恐怖主义融资是指以任何方式对恐怖主义或鼓励、计划或实施恐怖主义的人提供财政支持。 它旨在为恐怖活动提供资金。
4.2.2. 这种筹款或资本可以采取多种形式,既可以来自合法来源(例如会员捐款、捐赠或商业活动的利润),也可以来自犯罪来源,例如贩毒、武器走私、卖淫、盗用商品和服务、有组织犯罪、欺诈、绑架、敲诈勒索等
4.2.3. 打击资助恐怖主义的斗争与打击洗钱密切相关,因为用于洗钱的技术与用于隐藏资助恐怖主义的来源和目的地的技术基本相同,因此来源不断发送没有正确识别的金额。
5.1. 执行委员会有责任向 Vixi Exchange 的组织结构、客户、合作伙伴和服务提供商宣传和传播本政策,以及监控和预防识别任何非法行为的良好做法。
5.2. 执行委员会应在组织内采用沟通、信息和认识 PLD/CFT 重要性的机制,包括为本政策引起的尽职调查提供组织结构和所有技术工具。
5.3. 执行委员会将负责建立由来自运营、法律和合规领域的专业人士组成的合规委员会。
5.4. 合规委员会负责监控本政策和相关流程中强调的活动,以及执行必要的步骤来监控和识别与 AML/CFT 相关的风险。
5.5. 合规部门负责监控 Vixi Exchange 的运营和财务活动。 对于任何偏差和发现,合规部门必须在适当的时候通知合规委员会,合规委员会将处理正当程序。
5.6. 如果出现洗钱行为和恐怖主义融资结构的偏差和/或企图,执行委员会将有责任在合规部门的支持下立即通知主管当局。
5.7. 所有 Vixi Exchange 合作者都有责任通过缓解工具监控他们的风险活动。 如果发生挪用公款和/或企图洗钱行为以及形成恐怖主义结构的情况,合作者必须立即通知其领导层和合规部门,后者将启动他的尽职调查。
6.1. Vixi Exchange 的董事会高度致力于其合规计划。 董事会通过在其演讲中纳入这一主题并将“合规”这一主题作为其会议议程来展示其对 AML/CFT 的承诺。
6.2. 涉及诸如 PLD/CFT、道德、预防腐败、欺诈预防、信息安全等主题的合规培训将至少每年向员工提供一次。 对于第三方,将根据需要提供培训。
6.3. 上述培训旨在促进 Vixi Exchange 的道德组织文化和 PLD/CFT。
6.4. 与 Vixi Exchange 团队合作的所有行动均以遵守道德准则为支持,该准则提交供所有员工、第三方、领导和执行委员会了解。
7.1. 为确保 Vixi Exchange 不被用于洗钱和恐怖主义融资活动,员工必须尽一切努力确定请求产品和/或 Vixi Exchange 服务的所有客户/合作伙伴的真实身份。
7.2. 严禁与未能提供身份证明或公司注册所需的任何其他文件和/或相关信息的第三方进行商业交易。
7.3. Vixi Exchange 按照最高道德标准开展业务,遵守适用于其活动和最佳市场实践的所有法律法规,尤其是在 PLD/CFT 方面。 为此,始终遵守和执行以下几个方面:
各层级成员的职责矩阵;
对客户、员工和第三方实施上述犯罪的风险进行内部评估;
根据本政策制定的指导方针,定义员工选拔、培训和定期评估的标准和活动;
对 Vixi Exchange 提供的产品和服务的上述犯罪行为风险进行内部评估;
分析交易和识别可疑交易的做法;
确认注册信息和确定最终受益人;
根据 BCB 3,978 号通知第 19 条,作为最佳实践的政治公众人物识别流程 - PEP,以及其分析中的区别;
与国外金融机构、代表或代理建立关系的说明,特别是在不采用类似于本政策中定义的注册和控制流程的国家、地区和设施;
就现行法规要求的信息,特别是与洗钱和资助恐怖主义活动有关的怀疑,向主管机构传达指示; 和
客户和商业伙伴注册中的注意事项,在注册和批准提案的行为中详细说明。
7.4. 所有 PLD/CFT 流程将在单独的正式文件中更详细地处理。
8.1. 只有当所有员工都意识到预防控制措施的重要性以及必须如何操作时,预防控制措施才能正常工作。 因此,每个人都必须了解与 PLD/CFT 相关的外部规范、内部规范和操作控制。
8.2. “了解您的员工”流程(Know Your Employee – KYE)是工作例程,包括执行所需的相应工具,旨在为机构提供有关其员工的充分知识,特别是在以下方面:
重点识别欺诈和勾结犯罪行为;
生活模式和行为的异常变化;
特别关注参与更脆弱流程的员工; 和
员工经营成果的异常修改。
8.3. 对于任何和所有招聘,必须遵循人力资源部门分析和收集文件的程序。 对于更易受攻击的领域/流程,必须根据“了解您的员工”程序对专业人员进行更详细的分析。 分析及其结果是合规部门的责任,并且必须保密。
9.1. Vixi Exchange 提供的所有产品和服务将根据其用于洗钱和恐怖主义融资的风险进行分析。
9.2. 产品或服务的风险将与使用它的客户和/或合作伙伴的风险一起进行分析。
9.3. 鉴于洗钱和恐怖主义融资的风险,KYPS 程序将包括对新产品和服务的评估和事先分析,以及新技术的使用。 在本分析范围内,合规领域将评估本政策是否足以提供新产品或服务和/或使用新的预期技术。
10.1. Vixi Exchange 将了解您的客户流程 - KYC(了解您的客户)和了解您的合作伙伴 - KYP(了解您的业务合作伙伴)作为其主要 PLD/CFT 程序。
10.2. 通过特定流程,Vixi Exchange 不仅力求了解其客户和潜在客户的真实身份,而且还追踪每个人的风险状况,建立更密切的关系,以了解他们对服务的真实期望和需求。
10.3. 这种关系概念可以识别客户/合作伙伴的真正目的,以防止那些以不合适的目标寻求公司的人的行为。
10.4. 所有员工都必须了解市场的主要概念以及与识别、预防和打击洗钱和资助恐怖主义有关的监管和自律机构的指示。 以下是非常重要的建议:
通过可靠和独立来源的文件、数据和信息识别客户/合作伙伴;
确定受益所有人并采取措施核实其真实身份;
保持对业务关系的持续监督,并仔细检查在此关系期间进行的操作,验证它们是否与机构对客户/合作伙伴、其业务、风险状况和资金来源的了解(如果适用)一致;
特别注意检查所有复杂的操作,大量的操作和所有不寻常的操作类型,没有明显的经济或合法原因; 和
向合规部门传达任何和所有虚假信息迹象、与财务状况不同的操作、与个人资料不同的操作或任何会产生违规嫌疑的非典型情况。
11.1. 在巴西,PEP 被认为是:
选举产生的联盟行政和立法权力的持有人;
在联邦行政权力中担任以下职务的人: (a) 国务部长或同等职位;(b) 特殊性质或同等性质; (c) 间接公共行政实体的总裁、副总裁和主任或同等职位; (d) 高级管理和咨询小组 (DAS),6 级或同等级别;
国家司法委员会、联邦最高法院、高等法院、联邦地区法院、地区劳工法院、地区选举法院、劳工司法高级委员会和联邦司法委员会的成员;
公共部全国委员会成员、共和国总检察长、共和国副总检察长、劳工总检察长、军事司法总检察长、共和国副总检察长和共和国总检察长州和联邦区法官;
联邦审计法院成员、联邦审计法院检察长和副检察长;各州和联邦区;
政党的总统和国家财务主管或同等职位;
州长和国务卿以及联邦地区、州和地区代表,间接州和地区公共行政实体的总统或同等人员,以及法院、军事法院、审计法院或同等机构的院长州和联邦区; 和
市政间接公共行政实体的市长、议员、市政秘书、总统或同等职位,以及会计法院院长或市政府同等职位。
11.2. 国外的政治公众人物也被考虑:
国家元首或政府首脑;
资深政治家;
担任更高级别政府职位的人;
司法机构的高级官员和高级官员;
上市公司的高级管理人员; 和
政党领袖。
11.3. 公共或私人国际法实体的高级管理人员也被视为 PEP。
11.4. PEP 条件必须在该人停止担任上述职位之日起的 5(五)年内适用。
11.5. PEP 家庭成员是:直系或旁系的直系亲属,直至二级,配偶,伴侣,继子女和继女。
11.6. PEP 的密切合作者被认为是: (a) 已知与 PEP 有任何类型密切关系的自然人,包括 (i) 共同参与受私法管辖的法人实体; (ii) 以代理人身份出庭,即使是通过第 (i) 项中提及的人的私人文书; (iii) 共同参与非法人安排; (b) 控制已知为 PEP 利益而创建的法人实体或非法人安排的个人。
11.7. 根据本政策的条款,涉及政治人物、其代表、家庭成员或密切合作者的交易或拟议交易将始终被视为值得特别关注。
11.8. 所有归类为 PEP、家庭成员或密切 PEP 合作者的客户的注册文件都必须转发到合规区域,在这些情况下,第三方尽职调查 (TDD) 的执行,详见本政策第 13 项,是强制性的。
11.9. 在为政治公众人物、家庭成员或政治公众人物的亲密合作者或代表他们开展业务时,合作者必须警惕任何洗钱或资助恐怖主义活动的迹象,即使是潜在的,如下所示:
请求将某种形式的保密与交易相关联,例如,代表未透露身份的其他人或公司记录交易;
除了隐瞒资金的性质、来源、所有权或控制之外,没有明显目的,通过不同的司法管辖区和/或金融机构指导交易;
PEP 账户中资源或资产价值的快速增加或减少,PEP 的家庭成员或关系密切的人,这不是由于账户中持有的投资工具的市场价值波动造成的;
频繁或过度使用资金转账或电汇转账至或源自 PEP、家庭成员或 PEP 的亲密伙伴的账户;
与客户的账户类型和合法资产或活动不一致且不成比例的大额存款或取款;
存在一种模式,在该模式下,账户收到存款或电汇后,资金会迅速以相同金额转移到另一家金融机构,特别是如果转移到离岸金融机构的账户或“秘密管辖权”; 和
PEP 就记录保存或报告要求或其他要求报告可疑交易的法规的例外情况进行咨询。
12.1. “媒体人”是指在媒体中流行的人,例如艺术家、运动员、记者,包括他们的“直系亲属”(父母、兄弟姐妹、配偶、子女和姻亲)和“亲密伙伴”' (广为人知的与媒体人保持非常密切关系的人,包括能够代表后者在国内和国际上进行金融交易的人)和合伙企业、公司或其他合法人由媒体人或为了媒体人的利益而成立的实体。
12.2. 当员工确定与媒体人员实际或潜在存在业务时,他必须立即将这一事实传达给合规部门进行分析。 在证明的情况下,必须采用与上述相同的 PEP 流程,但自我声明除外。
13.1. 第三方尽职调查是对与客户和合作伙伴相关的各种信息的更详细调查,这些信息需要按风险等级、交易量、经营部门、住宅或商业地址、关系网络、经营特征、员工、监管机构或外部人员、对违规交易的怀疑、媒体信息或任何其他证明此类研究合理的原因。
13.2. 这是一个具体程序,经过仔细研究,“in-loco”检查地址,包括原籍国,以及它是否包含在预防和打击洗钱和资助恐怖主义的任何具体实体名单中(例如COAF、FATF、联合国、透明国际、联邦调查局、国际刑警组织和国家执法机构)。
13.3. 与主管监管机构的任何和所有沟通都必须由合规部门专门进行,并在相关人员进行第三方尽职调查之前进行。
14.1. 合规部门负责监控例行程序,以识别洗钱和恐怖主义融资的迹象。 这些程序旨在识别交易对手反复出现的操作、不合理的转让、股权不相容的操作等。
14.2. 为了管理和处理洗钱证据以及控制运营以遏制滥用行为,Vixi Exchange 根据良好做法和市场认可的供应商使用手动/计算机化数据研究和交叉引用服务. 作为分析的一部分,还会对检查客户参与负面新闻、社交媒体行为或公共制裁名单的工具进行搜索。
14.3. 洗钱预防系统每天收集注册、运营和财务信息。 与系统中定义的规则不兼容的情况将生成警报,确定触发了哪些过滤器进行分析。
14.4. 一旦发生事件,由合规部门负责分析客户/合作伙伴及其操作,以确认是否存在洗钱和恐怖主义融资的证据。
14.5. 分析包括验证注册文件、财务/股权状况的演变、经营成果(主要是重复交易)、同一方之间的高经营率,包括具有相同委托人的各方、经营之间的兼容性、财务状况、专业职业和年龄。
14.6. 这些是可以采取的措施:要求更新注册、要求澄清、提交事件或立即与主管机构就已确定的非典型性进行沟通。
14.7. Vixi Exchange 的任何合作伙伴或客户均不得与 OFAC、联合国安理会或国际刑警组织限制性名单等所列的任何个人、实体、政府或地区开展业务。
14.8. Vixi Exchange 员工可随时联系 compliance@vixiexchange.com.br 以获得有关适用的 PLD/CFT 流程和控制的说明。
14.9。 根据本政策收集的所有数据和信息将由 Vixi Exchange 保存五年。
15.1. 自动通信是指未经 Vixi Exchange 进行价值判断分析并直接与 COAF 通信。 它们是:
金额等于或大于 R$ 50,000.00(五万雷亚尔)的现金存款或出资或现金提款;
与通过任何工具以现金支付金额等于或大于 50,000.00 雷亚尔(五万雷亚尔)的资金支付、收款和转移有关的交易; 和
要求提供金额等于或大于 R$ 50,000.00(五万雷亚尔)的现金提款。
15.2. 可疑交易和情况是指任何有证据表明该机构被用于实施洗钱和恐怖主义融资犯罪的交易或情况。 可疑操作被认为是:
所开展的业务和签订的合同产品和服务,考虑到所涉各方、金额、变现形式、使用的工具或缺乏经济或法律依据,可能构成洗钱或资助恐怖主义的证据,包括:
所执行的交易或提供的服务,由于其惯常性质、价值或形式,构成旨在规避识别、资格、注册、监督和选择流程的技巧;
实物存款或捐赠、实物提取或提供提取准备金的请求提供隐藏或隐藏货物、权利和价值的性质、来源、位置、处置、移动或所有权的证据;
所执行的操作和签订的产品和服务,考虑到当事方和所涉及的金额,与客户的财务能力不符,包括个人情况下的收入,或法人实体情况下的账单,以及遗产;
与巴西国籍的 PEP 以及 PEP 的代表、家庭成员或密切合作者开展业务;
与外国PEPs合作;
无法确定最终受益人的客户和业务;
源自或运往在执行金融行动小组 (FATF) 建议方面存在战略缺陷的国家或地区的业务;
无法及时更新客户注册信息的情况; 和
可能表明涉嫌资助恐怖主义的行动和情况。
15.3 通过 Vixi Exchange 平台的所有操作均受到监控。 在特定过程中定义的可疑操作会生成特殊分析。 对可疑交易进行分析并在档案中报告,该档案将得出结论,需要向 COAF 报告此类可疑交易。
15.4. 执行可疑交易分析流程的期限不超过 45(四十五)天,自选择交易或情况之日起计算。
16.1. 为了了解客户的真实身份、概况和愿望,Vixi Exchange 应用风险分类,其中包括以下信息:投资概况(保守、温和或激进)和易感性(高或低)。
16.2.投资概况是通过客户根据自己作为投资者的理解和实际情况回答的问卷调查获得的。 这项研究的结果是投资概况的定义,除其他行动外,它将指导产品的提供和风险的分类,具体如下:
保守的:主要目标是安全、保本和低风险承受能力。 保守的客户将安全作为其应用程序的决定性因素,甚至接受更低的盈利能力。 它将资源分配给固定收益证券(投资基金和财政部直接);
温和主要目标是获得高于市场上可用的固定收益标准的回报,同时将可变收益风险的敞口降至最低。 是投资者在固定收益中拥有很大一部分股权,但也希望参与可变收益的盈利。 证券起着重要的作用,高于市场平均水平的回报也是如此,并且通常持有中长期头寸。 倾向于作为捐赠者参与基金(Multimercados、股票和房地产)、信用证(LCI 和 LCA)、投资俱乐部、股权贷款(BTC)和股票现货市场,包括当日交易业务; 和
激进其目标是承担更大的风险,以实现其投资的最大盈利能力。 它寻求可变收入提供的良好盈利能力,保留其股权的最低部分用于最安全的投资。 激进的投资者寻求始终与时俱进,以利用可能的投资机会并具有短期回报的眼光。 其特点是在证券交易所管理的所有市场中运作,并投资于易受汇率波动和通货膨胀影响的产品。
16.3. 易感度每个客户是根据他们的注册信息定义的,根据分析批准。 对于易感性的分类,验证了三类信息:(i)业务板块, (ii) 客户来源和 (iii)专业功能。
16.4. 一旦确定客户处于任何被定义为更容易受到影响的情况,注册文件必须在其与 Vixi Exchange 开始运营之前转发到合规区域。 根据客户敏感性定义的方法建立了以下标准:
业务板块金融机构和保理公司(包括相关职位较多的个人)、交易所、经纪人和分销商、旅游、博彩、教堂、娱乐、政党、航空运输和保险公司;
客户来源必须考虑原籍国和当前居住地址。 以下被认为是高度敏感的:避税天堂、不合作的国家、最近有战争、游击队或贩毒历史的国家; 和
专业功能。政治公众人物、政治公众人物的家庭成员和亲密伙伴、其他政治人物和媒体人士。
16.4.1. 就本条款而言,“避税天堂”是指税收优惠或反对对法人实体的公司组成(RFB 上市)保密的国家。 反过来,“不合作国家”是指那些在打击洗钱和恐怖主义融资行为方面不采取行动或不合作的国家,因为它们拥有许可的立法,甚至缺乏对该行业进行检查和监管的法律工具. 容易受到洗钱和资助恐怖主义活动的影响(COAF 列表)。
17.1. 本政策的有效性将由合规领域每年进行评估,并将在特定报告中得到证实。
17.2. Vixi Exchange 将制定一项行动计划,通过评估其有效性来解决本政策和 PLD/CFT 流程中的任何缺陷。
17.3. 监测行动计划的实施将通过后续报告记录,由合规领域准备。
17.4. 有效性报告、行动计划和后续报告将在每年 6 月 30 日之前提交给 Vixi Exchange 董事。
17.8. Vixi Exchange 的信息系统将接受定期测试,以验证其是否符合本政策的指导方针。
本政策已获 Vixi Exchange 指示审批。
本信息和网络安全政策(简称“政策”)旨在为实施安全的技术和信息环境创建内部参考,促进对信息和相关流程的控制,包括服务合同活动。数据处理和存储和云计算,符合信息安全原则、适用法规和最佳市场实践。
本政策的指导方针还旨在根据 LGPD 保护 Vixi Exchange 处理的个人数据免遭未经授权的访问以及意外或非法的破坏、丢失、更改、通信或任何形式的不当或非法处理。
适用于 Vixi Exchange 员工和第三方,从 2021 年 6 月 3 日起。
员工:所有 Vixi Exchange 员工,以及与 Vixi Exchange 拥有职位、职能、公司关系、雇佣、商业、专业、合同或信任关系的所有人员,以及实习生和受训人员;
董事它是由 VIXI EXCHANGE 董事成员组成的团体。 执行官董事会负责监督公司的项目及其各自的结果,并根据公司的最佳利益审议和指导上述项目;
银行保密法:2001 年 1 月 10 日第 105 号补充法;
LGPD:2018 年 8 月 14 日第 13,709 号法律,称为《通用数据保护条例》;
政策:本信息和网络安全政策;
第三方商品和服务的供应商和供应商、代表、中介代理人、律师、技术顾问、货运代理、外部合作者和/或代表 Vixi Exchange 的利益或利益行事的任何其他第三方。
4.1.1. Vixi Exchange 的董事和信息安全部门负责确保其各自业务领域的所有员工都了解他们在信息安全方面的义务。
4.1.2. 信息安全旨在为利益相关者创造价值,以及加强公司治理和内部控制环境。
4.1.3. Vixi Exchange 的信息安全架构包括内部定义的模型,针对信息安全的风险监控技术和从属部门的专门人员
4.2.1. 信息是商业环境中最有价值的资产之一。 除了拥有结构化和质量信息是其战略目标之一之外,信息是我们的客户和合作伙伴提供的资产,必须按照现行法律以最高的技术水平、保密性和机密性进行处理。
4.2.2. 机密信息的示例:
必须受法律义务保护的客户信息,包括注册数据(经济部国家个人登记处的注册号 - CPF、RG、地址等)、交易数据、财务状况和资金流动;
显示 Vixi Exchange 市场竞争优势的产品和服务信息;
所有 Vixi Exchange 战略材料(印刷材料、存储在系统中、电子消息甚至以个人商业知识的形式);
Vixi Exchange 的任何信息在主管部门发布前不应对外披露的信息;
用于身份验证的系统、网络、站点和其他信息的所有类型的密码,记住它们是个人和不可转移的数据。
4.2.3. 质量信息流能够决定一个企业、一个项目和一个评价的成败。 然而,这种力量,加上越来越容易获得,使这种“资产”成为不断受到内部和外部威胁的目标。
4.2.4. 如果管理不当,这些风险和威胁可能会对 Vixi Exchange、合作伙伴和客户造成相当大的损害,从而削弱其增长和竞争优势。
4.2.5. 所有 Vixi Exchange 合作者必须确保其责任范围内的信息,主要注意以下几个方面:
诚信:保证信息保持其原始状态,旨在保护信息在保管或传输过程中不被不当、故意或意外更改;
机密性和保密性:根据 LGPD 和《银行保密法》的条款,保证仅由授权人员获取信息; 和
可用性:确保授权用户在必要时能够访问信息和相应的资产。
4.3.1. 我们根据用途对信息类型进行分类,例如:
公共信息:员工、客户、第三方和公众可以访问。
内部信息:只能由协作者访问。 它们具有一定程度的敏感性,可能会损害组织的形象和/或对目标和结果产生负面影响。 访问不受内部控制的限制。
机密信息:只有持有特别授权的组织员工才能访问。 未经授权的披露可能会影响 Vixi Exchange 的业务、客户、合作伙伴和/或声誉。 只有在确定工作需要并明确批准此类访问时才允许访问。
4.3.2. 一般来说,这取决于与 Vixi Exchange 相关的所有合作者和第三方:
忠实遵守本政策;
保护信息免遭未经授权的访问、修改、破坏或披露;
确保其掌握的技术资源、信息和系统仅用于确定和批准的目的;
遵守管理知识产权的法律法规,以及 LGPD 和保密法
不要分享任何类型的机密或敏感信息。
4.4.1. 在处理非结构化信息(语音和存储在电脑化系统之外)时,必须遵守以下预防措施:
您不得在公共场所或通过私人短信讨论或评论 Vixi Exchange 的机密事项;
口头传播的信息也必须是谨慎的对象,无论是在内部还是外部依赖的范围内;
每当员工在公共场所时,有必要采取能够确保信息机密性的做法(例如:不提及客户、合作伙伴和潜在客户的姓名);
另一个要采取的预防措施是在提及公司和个人时谨慎和客观,以及不提及敏感问题;
一般来说,目标、评论、策略、预算等。 它们必须在私人环境中进行讨论,例如内部会议和/或私人聊天室; 和
禁止出于任何目的非法获取信息(即违反适用的规则和法规)。
4.5.1. 授权用户对其密码和系统访问权限的正确拥有和使用以及因使用它们而产生的行为负全部责任。
4.5.2. 所有信息系统、网络目录、数据库和其他资源的访问和使用必须仅限于明确授权的人员,并根据其功能的需要,遵守“最小必要访问”规则。
4.5.3. Vixi Exchange 信息安全经理必须定期审查授予的访问权限。
4.5.4. 所有员工必须采取以下基本做法:
在服务器和共享网络上更新活动过程中开发的工作产品;
不要在本地电脑上保留文件的副本;
使用由字母、数字和符号组成的复杂密码,避免使用可能与用户有关的姓名、姓氏、证件号码、电话号码、日期,并定期更改密码;
在发送或接收包含机密/战略信息的数据时使用加密,遵守授权此类共享的需要;
使用互联网时,证明任何网站的来源以及在进行交易时使用安全(加密)连接;
检查进行活动所需访问的网站的完整性;
在浏览器中输入想要的地址,不要使用未知链接作为资源访问另一个目的地址;
不要打开文件或运行附加到电子邮件的程序,而不先用防病毒软件检查它们;
并且不要在压缩文件中使用可执行格式。
4.5.5. 本政策明确禁止以下活动:
将代码引入 IT 系统,以任何方式使用、促进或允许第三方进入;
泄露个人使用的识别、验证和授权代码(例如帐户、密码、私钥等)或允许第三方使用通过这些代码授权的资源;
披露或营销来自任何 IT 系统资源的产品、项目或服务;
试图在未经明确授权的情况下干预服务或交易;
更改系统事件日志;
修改数据通信协议;
获得未经授权的访问,或不当访问数据、系统或网络,包括任何调查、检查或测试漏洞的尝试;
监控或拦截 IT 系统上的数据流量;
未经主管职能授权,违反安全措施或认证;
向第三方提供有关 IT 系统上可用的用户或服务的信息,公共性质或明确授权的信息除外;
在属于 Vixi Exchange 环境的资源上存储或使用游戏; 和
使用未经批准和/或具有无效或未经授权许可的应用程序。
4.5.6. 访问请求必须遵循以下前提:
新用户标识和权限更改请求必须以书面形式提出并得到信息安全部门的批准,并根据每个协作者的工作范围映射其需求;
如果发生更改,用户必须证明需要更改其权限以及此类更改与所执行活动的关系;
如果在职专业人士作为合作者或合作伙伴工作,则必须在完成特定项目后立即撤销特权。 在终止或终止合同关系时必须遵守同样的规定,员工终止或合作伙伴对其逗留期间的活动和行为负全部责任;
信息安全部门必须每 12(十二)个月重新访问网络服务的所有用户的权限,或在必要时减少访问频率。
4.5.7. 员工必须遵守以下有关访问密码的准则:
访问密码是 Vixi Exchange 的 IT 环境系统的安全控制,是个人的、机密的和不可转让的;
如果怀疑有不当曝光,必须立即将事实告知信息安全部门,并且必须更改所有密码;
用户必须获得有关其访问密码的保密性以及滥用密码所涉及的责任的指导;
如果任何不可预见的事件证明 IT 环境的安全性受到损害,则必须修改所有访问密码;
同样,应审查所有最近对用户和系统权限的更改,以检测任何未经授权的数据修改; 和
所有用户都需要被识别,然后才能在 IT 环境中执行任何活动。
4.5.8. 关于通讯设备和资源的使用:
公司设备以及 Vixi Exchange 软件必须提供并获得信息安全部门的批准;
私人设备,例如可以存储和/或处理数据的计算机或任何便携式设备,不得用于存储或处理与业务相关的信息,也不得在未经事先授权的情况下连接到网络;
包含敏感和/或机密信息的电脑必须在员工缺席时关闭或锁定;
当协作者的设备或账户不使用时,必须立即封锁或断开连接;
禁止未经授权访问第三方邮箱,并且必须记录任何获取访问权限的尝试;
禁止向未经授权的个人或组织发送关键信息,并在适用时遵守机密信息指南;
禁止发送淫秽、非法或不道德的材料、广告、娱乐信息或与国籍、种族、性、宗教取向、政治信念或任何其他与工作范围无关的事项有关的任何性质的信息;
应避免同时向所有网络用户发送消息;
通信应用程序必须始终根据常识和法律规定使用;
授权用户工作产生的产品(数据和文件收集、系统、方法、结果等)是 Vixi Exchange 的财产。 在终止合同的情况下,这些用户必须返还因提供服务而产生和处理的所有机密信息,或发出销毁声明;
所有信息资产都必须得到妥善保护,尤其是纸质文件或可移动媒体。 文件打印或复印后不得丢弃; 和
遵循最佳法律指导,Vixi Exchange 保留在必要时监控设备、电子邮件和公司通信工具的权利,无论合作者是否事先进行了通信和/或授权。
4.6.1. Vixi Exchange 必须在其运营中维护本政策定义的场所,以及根据 Vixi Exchange 的业务结构、风险状况和活动性质确保数据和支持系统的机密性、完整性和可用性的控制措施。
4.6.2. 通信应用程序必须始终根据常识和法律规则使用。
4.6.3. 在与第三方签订处理、数据存储和云计算活动时,信息安全部门将负责对潜在签约合作伙伴进行尽职调查,以验证 (i) 其技术和运营能力,(ii)其系统的安全性和完整性,以及 (iii) 完全遵守本政策规定的可能性。
4.7.1. 将信息安全事件传达给主管区域的责任分配给所有 Vixi Exchange 员工。
4.7.2. 所有对信息安全场所产生负面影响的事件的沟通都必须及时传达给信息安全领域。
4.7.3. 信息安全部门负责收集对 Vixi Exchange 信息安全产生负面影响的事件的数据和证据。
4.7.4. 收集的所有证据必须通过磁性方式和/或访问受限的目录妥善归档并转发到 Vixi Exchange 合规区域。
4.7.5. 信息安全领域必须根据事件的根本原因进行分析,并在内部报告中记录事件的特征。
4.7.6. 相关代理人或识别事件的人员不得进行分析。
4.7.7. 应在内部报告中强调减轻实体确定的事件的行动计划,以及相关领域实施改进的日期。
4.7.8. 信息安全领域负责监控行动计划的实施,而合规领域则负责证明其有效性。
4.7.9. 所有事件分析都必须根据预期影响进行分类,如下所示:
高(严重影响):影响相关系统或关键信息的事件,可能对收入或客户产生负面影响,或危及 Vixi Exchange 的业务连续性;
中等(重大影响):由于流程中的意外错误或脆弱性导致的影响非关键系统或信息的事件,对收入或客户没有负面影响; 和
低(最小影响):可能的事件、非关键系统、事件或员工调查、涉及广泛研究和/或详细取证工作的长期调查。
4.7.10. 以下被归类为负面或不良事件:
任何与电脑系统或电脑网络以及相关物理和逻辑结构的安全相关的已确认或疑似不良事件,这些不良事件会危及组织环境的机密性、完整性和可用性;
恶意攻击导致技术环境不可用;
未经授权访问的安全事件或情况以及破坏、丢失、更改、通信或任何形式的不适当或非法处理的意外或非法情况;
内部或外部企图未经授权访问系统、数据,甚至危害 IT 环境;
违反安全政策;
未经授权使用或访问系统;
在负责经理不知情或事先同意的情况下对系统进行修改; 和
密码共享。
4.8.1 Security breaches must be reported to the Information Security area.
4.8.2. 任何违规或偏差将被适当调查以确定必要的措施,旨在纠正失败或重组流程。
4.8.3. 以下是一些可能导致行政、民事和刑事制裁的违规行为:
非法使用软件;
引入病毒或恶意程序(有意或无意);
试图访问未经授权的数据和系统;
共享机密/敏感商业信息; 和
披露来自客户、合作伙伴或合同运营商的信息。
4.8.4. 不遵守本政策的指导方针和违反衍生规则的行为将使违法者根据法律规定的条款承担民事和刑事责任,但不影响立即终止相关员工的服务合同。
4.8.5. 用户有责任了解和遵守法律,特别是《联邦宪法》第 5 条第 XII 号法律第 5 条规定的保密义务。 12,737/2012(计算机犯罪的犯罪类型)、Marco Civil da Internet(第 12,965/2014 号法律)、LGPD 和银行保密法的规定。
根据适用的内部和外部标准,定义用于管理与合规和相关领域相关的合规风险、角色和属性的结构和控制。
适用于 Vixi Exchange 员工和第三方,从 2021 年 6 月 3 日起。
道德与行为准则:这是道德和行为准则,其价值观、原则和行为标准应指导代表和/或为 Vixi Exchange 利益行事的所有管理人员、员工和第三方之间的关系;
员工:所有 Vixi Exchange 员工,以及与 Vixi Exchange 拥有职位、职能、公司关系、雇佣、商业、专业、合同或信任关系的所有人员,以及实习生和受训人员;
一致性遵守、满足、执行对其施加的规定,并执行对 Vixi Exchange的活动施加的内部和外部法规;
董事它是由 Vixi Exchange 董事成员组成的团体。 执行官董事负责监督公司的项目及其各自的结果,并根据公司的最佳利益审议和指导上述项目;
政策:本合规政策;
合规风险:由于不遵守或对外部规则(国内或国外监管和自律实体的法律、法规、建议和指导方针)处理不当而导致 Vixi Exchange 的声誉/形象受到制裁、财务损失或损害的可能性,以及/ 或指导 Vixi Exchange 业务的道德准则和其他内部政策; 和
第三方商品和服务的供应商和供应商、代表、中介代理人、律师、技术顾问、货运代理、外部合作者和/或代表 Vixi Exchange 的利益或利益行事的任何其他第三方。
4.1 本政策的规定适用于 Vixi Exchange 的员工、承诺和客户。
4.2. 员工有责任评估和解决 Vixi Exchange 可能面临的合规风险。 Vixi Exchange 的子公司、受控实体和关联实体可以编辑本政策的附加规则,旨在在其行动范围内对主体进行纪律处分。
4.3. 必须通过遵守内部和外部法律法规来避免合规风险,首先是每个员工的个人义务,以确保严格遵守适用的规则。
4.4. 合规领域必须与其他领域一起确保内部控制计划的充分性、加强和运作,寻求降低风险,以及传播控制文化,以确保遵守现有的法律和法规。
4.5. 合规区域必须提供举报渠道,以便员工和第三方可以举报低于适用的内部和外部法规和立法规定的行为标准的态度。 Vixi Exchange 不会容忍对善意举报和投诉违反内部和外部规则的员工和第三方进行任何形式的报复或歧视。
4.6. 合规部门必须提供沟通渠道,以解决与本政策相关的任何疑问。
4.7. Vixi Exchange 应设立一个区域进行内部审计,协助调查收到的投诉,对该区域的流程进行操作审计,并证实合规区域的剩余风险说明。
5.1。 根据《道德规范》,所有行为都必须不受限制并完全服从诚实、尊严、忠诚、尊重、目标明确和诚信等道德支柱。
5.2. 确保有效遵守 Vixi Exchange 捍卫的价值观、内部和外部规则(适用法律法规)是所有员工的责任。
5.3. Vixi Exchange 合规部将负责监督合规风险,与其他检查和控制领域协同合作。
5.4. 如果 Vixi Exchange 合规部发现员工或第三方可能违反道德准则或其他内部和外部 Vixi Exchange 规则,则可能会根据行为的严重性采取纪律措施。
6.1.1. Vixi Exchange 合规部在履行职责时享有自由获取信息和与所有员工直接联系的特权,无论其职位或层级如何。
6.1.2. 在 Vixi Exchange 的公司治理结构中,合规部必须定期向高级管理层报告其活动。 此外,它必须系统和及时地向董事会传达可能影响 Vixi Exchange 合规风险的情况。
6.1.3. 保持独立性和客观性的原则,Vixi Exchange 合规必须与内部审计、内部控制和风险管理职能协同工作。
6.2.1. Vixi Exchange 合规部负责管理和监控合规计划,包括政策、流程、培训和活动,以加强合规性和商业诚信,与法律和监管问题的合规性有关。
6.2.2. 合规部将负责内部控制,以防止、发现和阻止违反适用法律和法规的行为。
6.2.3. 合规计划必须以基于风险的方法为指导,以确保关注最相关和最关键的方面。
6.2.4. Vixi Exchange 合规必须为管理、行政和业务领域提供永久支持和建议,以识别、评估和处理合规风险,尊重其活动固有的适当独立性。
6.2.5. 合规风险管理必须包括测试所开发活动的遵守情况的行动,并定期向高级管理层报告其结果。
6.2.6. 与合规风险管理(合规)相关的活动摘要,包括其主要结论、建议和 Vixi Exchange 采取的措施,将包含在提交给董事的年度报告中。
7.1. Vixi Exchange 的内部检查和控制结构已在具体政策中正式确定,并包含三道不同的防线。 在风险管理战略中制定的合规风险管理也基于以下结构的独立和综合行动:
第一道防线——行政和商业领域
7.2. 第一道防线包括行政和业务领域本身的运营控制。
7.3. Vixi Exchange 员工和经理负责绘制和管理与其活动相关的合规风险,在其工作流程中实施预防和检测控制。
第二道防线——风险管理、控制和合规
7.4. 第二道防线包括综合风险管理活动,在其不同方面,除了内部控制单位。
7.5. 风险管理和内部控制领域帮助管理人员识别风险并制定控制措施以减轻其后果
7.6. 合规也在这道防线中,负责集中合规风险管理举措,应用高级管理层通过政策、流程和程序发布的原则和指导方针,以识别、处理和减轻本政策中规定的合规风险。
第三道防线——内部审计
7.7. 第三道防线包括 Vixi Exchange 的内部审计,负责对行政和业务领域以及风险管理的有效性和效率进行独立评估。
8.1. 高级管理层负责制定合规活动的指导方针,并确保本政策的有效性和妥善管理,提供必要的手段、材料和人力,以确保合规职责得到妥善履行。
8.2. 合规活动将定期(至少每季度)传达给运营风险管理和合规委员会。
8.3. 反过来,对发现的任何违规或失败以及可能影响 Vixi Exchange 合规风险的其他情况的评估,将系统地和及时地报告给运作中的治理委员会,视情况而定。
Vixi Exchange 的合规领域的归属于合规风险的识别、监控和评估:
管理本政策和相关文件中确立的原则的应用;
监控监管环境的趋势和变化,提供与合规风险相关的信息并为行政和业务领域提供建议;
协调内部政策和流程的制定,并监督任何计划,以使 Vixi Exchange 的结构适应监管环境的变化,集中处理和控制监管、自律和集体实体产生的法律和标准的过程;
与其他检查和控制结构一起测试和评估 Vixi Exchange 对法律框架、法律下监管、监管机构的建议以及道德准则和相关内部政策的遵守情况;
根据具体规定,监督独立审计师编制的不遵守法律和监管规定的报告中提出的问题的解决方案,以及其他检查和控制结构;
传播和应用与道德、行为和诚信相关的指导方针、准则和内部政策,使用确保所有员工和第三方都能接触到的机制;
促进有关道德、行为、诚信和其他与合规相关的事项的永久性内部文化适应,为员工、合作伙伴和相关外包服务提供商开展培训、指导和培训行动;
制定和采取行动,以酌情处理和减轻运营、产品和服务以及签约供应商和合作伙伴中的法律和形象/声誉风险;
实施和管理诚信计划,旨在预防和打击欺诈、贪污和其他非法行为,特别关注与政府机构和实体打交道的反腐败问题;
至少每年准备一份定期报告,提交给董事会,其中包含合规活动结果的摘要、主要结论、建议和采取的措施; 和
视情况向董事或其他高级管理机构提供支持和系统及时地报告涉及合规风险的情况。
10.1. 所有 Vixi Exchange 合作者和第三方在其运营所在的所有单位和国家/地区都有责任签署遵守本政策的条款,以证明他们的知识和协议。
10.2. 在合作者加入和与第三方建立关系时,Vixi Exchange 有责任收集和存储对本政策的遵守条款的接受。
10.3. 本政策的规定有效期为一年,届时将对其进行修改。
根据适用法律和最佳市场惯例,建立了解交易的步骤和控制措施并向主管当局报告。
适用于 Vixi Exchange 员工和第三方,从 2021 年 6 月 3 日起。
CNPJ: 公司税号法人国家登记号
COAF金融活动管制委员会;
员工: 所有 Vixi Exchange 员工,以及与 Vixi Exchange 拥有职位、职能、公司关系、雇佣、商业、专业、合同或信任关系的所有人员,以及实习生和受训人员;
CPF: 个人税号个人税务登记号
KYC了解您的客户流程,旨在了解、验证和分类 Vixi Exchange 的客户;
KYP了解您的合作伙伴流程,旨在了解、验证和分类合作伙伴;
伙伴:与 Vixi Exchange 开展业务的个人或公司;
PEP如 Vixi Exchange 的反洗钱和打击资助恐怖主义政策第 11 项所定义。
4.1.1. Vixi Exchange 负责调整其合作伙伴和客户的交易限额,由 个人税号 或 公司税号 单独分配。
4.1.2. 在确定交易限额时,Vixi Exchange 会考虑合作伙伴要求的金额、相关合作伙伴或客户的 KYP/KYC 结果,以及它认为相关的其他标准。
4.2.1. Vixi Exchange 记录和监控通过其平台进行的所有操作、合同产品和服务,并至少收集以下信息:
类型;
价值(如适用);
举行日期;
交易持有人和受益人的姓名和 个人税号 或 公司税号 注册号;
使用的财务渠道/操作。
4.2.2. 对于通过任何工具与资源的支付、接收和转移相关的操作,记录中包含以下信息:
寄件人或付款人在 个人税号 或 公司税号 中的姓名和注册号;
收款人或受益人的姓名和 个人税号 或 公司税号 登记号码;
支付结算或资金划转系统中参与经营的机构的识别码;
操作中涉及的依赖项和帐户的数量。
4.2.3. 对于单项价值超过 R$ 2,000.00(两千雷亚尔)的现金资源的运营情况,资源持有人的姓名和各自的 CPF 登记号将包含在记录中。
4.2.4. 对于单项价值超过 R$ 50,000.00(五万雷亚尔)的存款或实物捐助,记录中包含以下信息:
资源所有者的姓名和各自的 个人税号 或 公司税号注册号;
资源持有者的姓名和各自的 CPF 注册号;
存放或贡献资源的来源。
4.3.1. 根据进行的监测(第 4.2 项),某些操作、情况或提供的服务将被选为可疑,即:
可以配置存在洗钱或资助恐怖主义的证据,考虑相关各方、金额、变现形式、使用的工具或缺乏经济或法律依据;
由于它们的习惯性质、价值或形式,它们构成了一种旨在规避识别、资格、注册、监督和选择流程的技巧;
显示隐藏或隐藏商品、权利和价值的性质、来源、位置、处置、移动或所有权的证据;
与客户的财务能力不相符的,包括股权、收入(个人)或计费(公司);
与巴西国籍的 PEP 及其代表、家庭成员或密切合作者的业务(符合 Vixi Exchange 的防止洗钱和打击资助恐怖主义的政策);
与政治公众人物的代表、家庭成员或密切合作者的合作;
与外国政治人物的交易;
无法确定最终受益人的客户和业务;
源自或运往在执行金融行动特别工作组 (GAFI) 建议方面存在战略缺陷的国家或地区的业务;
无法更新客户注册信息的情况;
可能表明涉嫌资助恐怖主义的行动和情况。
4.3.2. 严禁以受制裁的个人或国家为当事方或最终受益人的交易。
4.4.1. 收到来自系统/平台的警报后,Vixi Exchange 合规区域将对可疑操作/情况进行分析。
4.4.2. 上述分析将考虑第 4.3 项中的信息,与相关合作伙伴/客户的 KYP/KYC 相关的信息,以及 Vixi Exchange 认为相关的其他点。
4.4.3. 上述分析将导致“可疑操作报告“,这将与讨论 ”合规委员会” 这将通过多数票确定是否向 COAF 传达行动或可疑情况。
4.4.4. 执行可疑交易分析流程的期限不超过 45(四十五)天,自选择交易或情况之日起计算。
4.4.5. “合规委员会”由以下成员组成:
CEO Vixi Exchange;
法律负责人;
合规负责人。
建立客户知识和预防洗钱的步骤和控制,适用于在数字平台上持有与 Vixi Exchange 关联的数字账户的个人和法人相关记录的登记和维护。
适用于 Vixi Exchange 员工和第三方,从 2021 年 6 月 3 日起。
BCB: 巴西中央银行;
通知 BCB 3,978: 巴西中央银行 2020 年 1 月 23 日第 3,978 号通知;
员工: 所有 Vixi Exchange 员工,以及与 Vixi Exchange 拥有职位、职能、公司关系、雇佣、商业、专业、合同或信任关系的所有人员,以及实习生和受训人员;
董事 它是由 VIXI EXCHANGE 董事成员组成的团体。 执行官董事会负责监督公司的项目及其各自的结果,并根据公司的最佳利益审议和指导上述项目;
PEP 根据 Vixi Exchange 的反洗钱和打击资助恐怖主义政策第 11 项的定义;
PLD/CFT: 防止洗钱和打击资助恐怖主义;
RFB: 巴西国税局
第三方 商品和服务的供应商和供应商、代表、中介代理人、律师、技术顾问、货运代理、外部合作者和/或代表 Vixi Exchange 的利益或利益行事的任何其他第三方。
4.1. 在其注册、KYC 和入职流程中,Vixi Exchange 遵守 BCB 法律法规中包含的所有规定以及加密资产领域自律实体的指导方针,作为最佳实践,采用确保识别、资格和分类的程序的客户。
4.2. 根据 1998 年 3 月 3 日第 9,613 号法律和 BCB 第 3,978 号通知的规定,为开设与 Vixi Exchange 平台相关的数字账户而完成客户注册,必须至少获得此处提供的信息。
4.3. 注册时要收集的数据:
全名;
母亲的全名;
出生日期;
经济部国家个人登记册(CPF)中的登记号;
家庭地址;
手机号码和直接长途拨号 (DDD) 代码;
电子邮件;
“政治公众人物 – PEP”的自我声明;
专业职业。
如果是居住在国外的自然人,无需在CPF 登记,则将收集旅行证件的类型和编号以及相应的签发国家。
公司名称;
注册办事处和/或分支机构的地址;
主要活动;
成立的形式和日期;
经济部国家法人登记册(公司税号)的注册号;
列出所有合伙人相关的自然人信息(专业职业和薪资范围除外)。
注释对于法人实体的资格认定过程,必须将所有股权持有人纳入分析,直至确定被归类为实体最终受益人的自然人,至少必须对其进行相同的验证和确认流程适用于最终受益人持有股权的法人客户的风险类别。
4.3.1. 就本 KYC 程序而言,最终受益人将是 i) 参与法人实体的企业利益链的自然人,其参与率等于或大于 20% 和 ii) 代表,包括实际代理人和代表,对法人实体的活动行使事实上的指挥权。
4.4. 注册时需要收集的文件:
同一身份证明文件(RG 或 CNH)的正面和背面照片;
持有相应文件的文件持有人的自拍照;
地址证明。
年度收入的自我申报;
PJ及其合伙人PJ的公司章程;
所有合作伙伴的同一身份证明文件(RG 或 CNH)的正面和背面照片;
持有相应文件的每个合作伙伴的自拍照;
所有合作伙伴的居住证明。
4.5. 在自拍中,持证人必须持有与双面照片相同的文件。 持用者不能佩戴遮挡脸部的物品。
4.6. 所有文件照片必须完全清晰。
4.7. 任何法人实体均不属于上市公司或非营利实体,因为注册信息应涵盖授权代表他们的人员,以及控制人、管理人员和董事(如果适用)。
4.8. 持有人为填写注册表而发送的文件必须清晰可辨,状况良好且没有擦除。 在这些条件之外提交的文件和信息将被拒绝,有可能危及持有人的真实身份。
4.9. 对于在国外注册成立或总部设在国外的企业客户:
注册号和/或公司标识;
公司总部和/或海外分支机构的地址;
客户关于外国金融机构对其风险评级的信函。
5.1. 客户对所提供信息的注册和分析是通过采用允许验证和验证持有人身份、所需信息的真实性以及与 PLD/CFT 相关的流程和控制进行的,包括将信息与在公共或私人数据库中可用。
5.2. 此类流程和控制是通过与某些数据库(例如但不限于公共记录、信用保护机构和 RFB)协商来实现的,以确认持有人提供的信息的真实性。 数据分析和交叉引用服务也用于数字环境(大数据),以便为所提供的数据寻求更高的安全性。
5.3. 除了公共数据库之外,Vixi Exchange 还使用合同工具来验证注册信息和后续更新,包括国家和国际数据。
5.4. 注册信息和附件中包含的信息在上述工具中自动验证手游的收据换来的工具 。
6.1. Vixi Exchange 的合规区域在客户注册时执行自动检查,并在进入平台后进行定期检查(通过 API)。
6.2. 在 KYC 分析中,合规领域特别检查:
负面媒体;
可能归类为 PEP;
加入限制性名单,主要有:OFAC、联合国安理会和国际刑警组织;
存在行政和/或司法程序。
6.3. 个人支票包括这些人在商业公司中的潜在股权。
6.4. 法人实体的检查包括其合作伙伴和这些合作伙伴拥有股权的其他公司。
7.1. 如果系统发现数据或任何警报点不一致(例如分类为 PEP、在限制性列表中注册或存在刑事诉讼),则会发送客户记录以供人工检查。
7.2. 人工分析由合规分析师进行,根据系统报告的情况,对客户的数据和信息进行更彻底的检查。
7.3. 对客户的人工分析总是会产生“分析报告 - KYC”,根据第 9 项,包含客户的数据、合规检查中发现的内容、分析师认为重要的其他信息、分析日期、分析师的姓名和客户的风险评分。
7.4. 对于导致 PEP 警报的客户,合规区域必须对 PEP 暴露级别进行分类。
7.5. 由于他们担任的职位,政治公众人物可能与逃税、贪污或腐败犯罪有关。 这是因为 PEP 是所有在过去 5(五)年内在巴西和国外履行或已经履行重要公共职能的人。
7.6. 对于导致 PEP 警报的客户,合规区域必须根据以下标准对 PEP 暴露级别进行分类:
PEP持有人:他们是政治家、法官、检察官、将军、外交官、行政或立法权的政治顾问;
相关PEP:与担任该职位的人关系密切的人,例如家人、朋友和员工;
关键 PEP:偷税、贪污犯罪的调查历史。 在这种情况下,根据本程序的第 8 项,分类将自动为“非常高”。
8.1. 在以下情况下,注册将被自动阻止:
CPF 包含与 RFB 的任何违规行为;
有死亡证明;
姓名或出生日期与数据库不一致; 和/或
出现在制裁名单上或参与金融犯罪(人工分析)。
9.1. 根据 BCB 3,978 号通函的规定,并根据 Vixi Exchange 的业务模式,我们建立了以下分类客户(包括个人和法人实体以及实体的最终受益人)风险状况的标准:
低的:不存在与客户相关的负面和相关财务因素;
中等的:与客户相关的一些负面和财务因素;
高的:各种负面和财务因素或任何重大负面因素;
很高:个人和/或法人实体参与金融犯罪或在制裁名单上的迹象/证据。
9.1.2. 所有客户都将获得风险评级。 未发送到手动分析的客户将始终被分配风险低的:
9.1.3. 根据第 7 项,每份“分析报告 - KYC”都将包含与客户相关的风险评级,该评级将由合规分析师指定。
9.1.4. Vixi Exchange 不允许为被归类为风险的客户开设账户“很高:”.
9.1.5. 合规部门将负责监控、审查和批准与每个客户相关的所有风险评分,并将整个咨询历史和分析结果存档至少 5(五)年。
10.1. 为了使记录保持最新并进行合规检查,Vixi Exchange 开发的系统必须定期在分析工具中检查其客户。
10.2. 根据与客户相关的风险定期进行更新和检查:
低的:每 9(九)个月;
中等的: 每 6(六)个月一次;
高的: 每 3(三)个月一次。
10.3. 如果最终客户的账户未通过系统进行的定期复查,Vixi Exchange 保留立即冻结和/或取消最终客户账户的权利。
10.4. 将指示客户随时更新其注册信息。 如果怀疑过时,无论第 10.1.2 项规定的频率如何,都可以进行重新检查。
10.5. 如果客户与 Vixi Exchange 之间的业务关系发生变化和/或客户的风险状况发生变化,则可能会进行新的检查。
定义识别和分类合作伙伴的活动、控制和标准,以防止洗钱、恐怖主义融资或隐藏资产、权利和价值的犯罪。
适用于 Vixi Exchange 员工和第三方,从 2021 年 6 月 3 日起。
BCB: 巴西中央银行;
通知 BCB 3,978:巴西中央银行 2020 年 1 月 23 日第 3,978 号通知;
KYP了解您的合作伙伴流程,旨在了解、验证和分类合作伙伴。
伙伴: 与 Vixi Exchange 开展业务的个人或法人实体。
PEP 根据 Vixi Exchange 的反洗钱和打击资助恐怖主义政策第 11 项的定义;
SFN: 国家金融系统;
4.1.1。 本文档具有以下主要目标:
证明良好的诚信记录;
确保根据预先定义和标准化的标准聘用合作伙伴;
确保与 Vixi Exchange 建立关系的适当经验和证书;
避免将SFN用于洗钱、恐怖主义融资、贩运和其他非法活动;
防止 Vixi Exchange 参与可能属于现行法律法规的行为,包括:
反腐败法 - 第 12,846 号,2013 年 8 月 1 日。
防止洗钱和资助恐怖主义法 - 第 9,613 号,1998 年 3 月 3 日。
通函 BCB 3,978;
4.1.2. 禁止以下与合作伙伴有关的情况:
与合作伙伴签订协议和/或合同: i) 涉及洗钱或恐怖主义融资案件; ii) 拥有符合 PEP 资格的经理或董事。
代表合作伙伴向政党捐款;
提供可能损害 Vixi Exchange 合规计划的数据; 和
将不正确或不真实的信息转发给审核流程。
4.1.3. 合规领域将对合作伙伴进行检查: i) 声誉,通过访问公共和私人签约数据库; ii) 可能出现在限制性列表中的抹黑信息。
4.1.4. Vixi Exchange 只会与信誉良好、具备足够技术资格并明确承诺对腐败、洗钱和恐怖主义融资采取与 Vixi Exchange 相同的零容忍政策的合作伙伴开展业务。
4.1.5. 分析流程将由合规领域定义,与 i) Vixi Exchange 在每次签约中面临的风险和 ii) 签约服务或合作对象的相关性成比例。
4.1.6. 选择和聘用合作伙伴的流程包括对 Vixi Exchange 至关重要的活动,既符合监管问题,又能降低财务、法律和声誉风险。
4.2.1. 为开始任何 KYP 分析,合作伙伴必须提供以下文件:
参与比例超过 20% 的公司管理人员在经济部国家个人登记册(CPF)中的姓名、RG 和注册号;
社会契约或章程和最后修正案;
营业地址证明;
合同/提案签署人的 RG 和 CPF 副本;
由代理人签字的,附有授权委托书的复印件;
公司及其分支机构的经济部(公司税号)国家法人登记卡复印件;
账单和/或资产负债表。
4.2.2. 上述数据和文件由 Vixi Exchange合规区域接收,这将始终导致生成“分析报告-KYP”,包含合作伙伴的数据、检查中发现的内容、相关信息、媒体数据、分析日期、风险分类和结论,根据第 4.3 项。 以下。
4.2.3. 出于内部审计目的和监管机构的最终要求,所有分析报告 - KYP 将在不少于 5(五)年的期限内以物理和/或电子媒体形式提交。
4.2.4. 严禁向提出请求的合作伙伴发送分析报告,只有负责联系合作伙伴的区域负责传达“批准”或“拒绝”状态。
4.2.5. 为了维持适当的内部控制环境,将根据第 4.3 项中定义的标准定期检查合作伙伴。
注释对于国际合作伙伴,可能需要调整必要的文件。
4.3.1. 基于检查中详述的所有方面 "分析报告-KYP”,必要时会进行调整,合作伙伴将根据以下标准进行分类:
| 分类 | 理性的 | 结论 | 复查 |
|---|---|---|---|
| 很高: | 公司、合作伙伴或代表参与金融犯罪和/或在制裁名单上的证据或强烈迹象。 | 未获批准 | 不适用。 |
| 高的: | 与公司、合作伙伴或代表有关的若干负面因素,或一些孤立的、具有重大相关性或反响的负面因素。 | “合规委员会”的决议。 | 如果获得批准,每 6(六)个月一次。 |
| 中等的: | 与公司、合作伙伴或代表相关的一些孤立的低相关性负面因素。 | 已获批准 | 每 9(九)个月。 |
| 低的: | 不存在与公司、合作伙伴或代表相关的负面因素。 | 已获批准 | 每 12(十二)个月。 |
4.3.2. 严禁与被归类为有风险的合作伙伴签订业务、合同或协议”很高:”.
4.3.3. 被归类为有风险的合作伙伴“高的:”必须立即提交给分析 "合规委员会”,以多数票决定批准或不批准。 如有必要,“合规委员会”可要求专业人士进行深入分析以支持该决定。
4.3.4. “合规委员会”由以下成员组成:
CEO Vixi Exchange;
法律负责人;
合规负责人。