Налаштування ліцензування крипто VASP
Ліцензування VASP — багатомісячний процес із конкретними технічними та організаційними вимогами. Успіх залежить від належної підготовки: регулятори отримують тисячі заявок і швидко відсіюють ті, які не демонструють операційну готовність.
Вибір юрисдикції та типу ліцензії
Перше рішення — де отримати ліцензію. Ключові фактори:
Цільовий ринок: бізнес, орієнтований на ЄС → Естонія/Литва/Мальта (паспортизація ЄС). Близький Схід → Дубай VARA/DIFC. Азія → Сінгапур MAS. Глобальний → BVI/Кайманові острови для холдингу + операційні ліцензії за регіонами.
Тип діяльності: обмін крипто на фіат вимагає іншої ліцензії, ніж суто крипто-на-крипто. Депозитні послуги — окремі вимоги.
Часові рамки: Естонія 2-4 місяці, Сінгапур 12-18 місяців.
Естонія — найпопулярніша точка входу
FIU Естонії видає два типи ліцензій VASP:
- Exchange licence: обмін крипто на фіат та між крипто
- Wallet service licence: надання криптокошельків (депозит)
Технічні вимоги Естонії:
- AML Офіцер з досвідом (надається CV)
- Документ AML Policy (специфічний, не загальний)
- Система моніторингу транзакцій (опис правил)
- IT Security Policy
- Реальна присутність в Естонії (після 2022 - потрібен місцевий персонал або директор)
Дубай VARA — для ринку MENA
VARA (Virtual Assets Regulatory Authority) — регулятор Дубая, заснований у 2022 році.
Категорії діяльності VASP під VARA:
- Консультаційні послуги
- Послуги Broker-Dealer
- Послуги депозиту
- Послуги обміну
- Послуги позик та запозичення
- Послуги управління та інвестування
- Послуги трансферу та розрахунку
- Послуги видання VA
Кожна категорія вимагає окремого затвердження. VARA відомий детальними технологічними вимогами: звіти тестування проникнення, контролю безпеки хмари, плани DRP/BCP.
Технічні вимоги для більшості ліцензій
Управління ключами
Вимога: ключі депозиту в Hardware Security Module (HSM)
або Multi-Party Computation (MPC)
Рішення:
- Fireblocks MPC (SaaS, $50k-200k/рік)
- AWS CloudHSM ($1.6/година)
- Thales Luna HSM (on-premise, $30k+)
- Ledger Enterprise
Розділення активів клієнта
Більшість регуляторів вимагають розділення активів клієнта від операційних:
// Архітектура: окремі шляхи HD гаманця для клієнта та компанії
const PATHS = {
CLIENT_FUNDS: "m/44'/0'/1'/", // Розділені гаманці клієнта
OPERATIONAL: "m/44'/0'/2'/", // Операційна компанія
COLD_STORAGE: "m/44'/0'/3'/", // Холодне сховище
};
// Щоденна сверка
async function reconcileClientAssets(): Promise<ReconciliationReport> {
const onPlatformBalances = await db.sumAllUserBalances();
const walletBalances = await blockchain.getWalletBalances(CLIENT_WALLET_RANGE);
const discrepancy = Object.keys(onPlatformBalances).reduce((issues, asset) => {
const diff = Math.abs(onPlatformBalances[asset] - walletBalances[asset]);
if (diff > RECONCILIATION_TOLERANCE) {
issues.push({ asset, onPlatform: onPlatformBalances[asset], inWallet: walletBalances[asset] });
}
return issues;
}, [] as DiscrepancyItem[]);
const report = { timestamp: new Date(), discrepancies: discrepancy, passed: discrepancy.length === 0 };
await db.saveReconciliationReport(report);
if (!report.passed) await alertComplianceAndTech(discrepancy);
return report;
}
План безперервності бізнесу (BCP)
Технічний розділ BCP включає:
- RTO (Recovery Time Objective): максимальний час відновлення після інциденту
- RPO (Recovery Point Objective): максимально допустима втрата даних
- Hot/warm/cold standby: архітектура failover
- Залежності ключових осіб: що відбувається при звільненні ключових співробітників
Необхідно задокументувати реальну архітектуру з конкретними значеннями RTO/RPO.
Тестування проникнення (для VARA та кількох інших)
VARA вимагає щорічного pentestу від акредитованого постачальника:
- OWASP Top 10 для веб-додатків
- Аудит розумного контракту (якщо застосовується)
- Тестування інфраструктури
- Оцінка соціальної інженерії
Графік ліцензування
| Юрисдикція | Підготовка | Огляд | Всього |
|---|---|---|---|
| Естонія FIU | 1-2 міс | 2-4 міс | 3-6 міс |
| Литва FIU | 2-3 міс | 3-6 міс | 5-9 міс |
| Мальта MFSA | 3-4 міс | 6-12 міс | 9-16 міс |
| Дубай VARA | 3-6 міс | 6-12 міс | 9-18 міс |
| Сінгапур MAS | 6-9 міс | 12-18 міс | 18-27 міс |
Підтримка при ліцензуванні VASP включає вибір юрисдикції, підготовку документації, налаштування технічних систем та спілкування з регулятором.







