+ X: f& h. B/ O" v) L 6. 老客户的尽职调查(CDD)怎么搞?5 f3 N5 ?$ |2 H3 n
5 h7 X6 M1 M/ k3 W8 O' E
MAS 的说法:拿到执照后,得给老客户(在执照前合作的客户)重新做客户尽职调查(CDD),比如查身份、资金来源。完成时间由 MAS 根据客户风险决定。 " j$ e# N. Z( \/ v8 f) V# z6 N' Q! \, Z
企业的反馈:大家都同意要做 CDD,但时间)}担心时间不够,尤其是客户多的公司。建议按风险分阶段处理(高风险客户先查),还想知道能不能复用老资料。: |1 `6 p0 R. j- X# G' B. S; j
& u" U, K8 e! u
MAS 的回应:不给固定时间,按客户风险定时间表。企业得自己评估后续 CDD 需求,MAS 会出指引但不具体规定。 ) `, e, r2 g a) H. |3 l& J3 i
7. 可以找第三方帮忙做 CDD 吗?" F2 O& j9 S! M4 b& Q5 I$ H& v
% w0 I% Q! B( O6 q3 K# T$ Y6 Q MAS 的说法:可以找第三方做 CDD,但不能是支付服务公司(因为他们的合规水平不一)。得自己检查第三方是否靠谱。 0 _4 |. v8 r! l- @0 E' h7 R! z
企业的反馈:找第三方省事,建议允许用符合 FATF 标准的支付公司,还要明确的评估标准。 : {2 O) a# Z$ F2 Z0 N% Z1 N ; L* J0 ~. L* W* n5 v- X9 b MAS 的回应:不让步,支付公司不行。企业得自己建流程评估第三方。 - o3 p$ a0 |3 P% u v' I# I. [8 Y. D/ ]# Z
8. 账户服务和转账的规矩有多严? l' ~4 i% }7 G. z
1 v3 [: j& [+ Y$ X2 F3 c
MAS 的说法: # J5 ]2 T$ w8 c5 O 9 `" R1 H% O* }' P 账户服务:跟其他金融机构合作,得先查他们的反洗钱措施,确保没风险。 * z _( c, e: u& H, C( j5 T2 \) q' g( S- C
转账:转账得带上发起人和受益人信息(姓名、ID 号等),符合 FATF 标准。信息不全,得按风险决定能不能继续。 2 d- @$ c0 M' F- Y$ w. c! w7 w $ e' v* a8 f& s: H6 {4 I 企业的反馈:想要评估模板和统一的信息标准,比如加交易 ID、代币类型。担心信息不全卡交易,影响客户体验。+ J! u' u2 J4 W! R0 P
' }) P- V. F. V5 v+ a0 p' ] MAS 的回应:会给评估指引,但不规定技术标准,保持中立。信息得齐全,不然可能被拒。 7 O0 c% t$ Q7 {1 H% e2 m' S Y/ N4 T5 Y8 j$ ^: e% B7 h5 l: S8 T
9. 技术风险和网络安全要求好搞吗?( J0 k( \0 D. B
1 f! e( Z% g5 u" i0 m MAS 的说法: J) V+ `( X+ {, ]9 g$ M
% D. y2 Y7 p R p7 | `& q
技术风险:IT 系统得稳如泰山,客户数据不能泄露,重大事件 1 小时内报告 MAS。 ( L, O- D, |5 s: Q( K" Y. c5 E2 |: _2 f, ^
网络安全:保护账户、打补丁、装防火墙、防病毒、用多因素认证。 / S: @' t4 |4 G8 s, \$ c! V7 I3 R+ p; W) A7 }* C2 j" F9 s
企业的反馈:1 小时报告太赶,建议先简单报告,再详细跟进。还想加全球做法,比如定期渗透测试。1 T+ q, k$ k! |$ p$ d
, U! `- v6 \3 }# Q
MAS 的回应:1 小时报告必须有,确保 MAS 及时了解影响。网络安全是基本要求,未来可能加新措施。 0 v0 e; `( w8 W5 Q% ~7 R) B! _; J/ |& E
10. 行为和披露要求会不会太麻烦? , ~2 e( A4 \- a , @' R5 [8 g: Z MAS 的说法:8 {. H# Z$ x- H& [+ G$ F$ n$ D
# h; {9 X2 g/ n |8 J
行为:得记交易、发收据、公示汇率和费用,固定营业时间让客户能找到你。: x: u( j; I3 F4 j. \. B# |5 z* u
4 h2 K9 h, `5 y% O2 u F 披露:得发风险警示,提醒客户可能亏钱;别乱说自己受 MAS 监管的范围。& C+ ?0 F# w' l6 P
2 I* }1 Y+ j8 `/ U( r! j
企业的反馈:营业时间太死板,建议按公司大小灵活点。披露想用多语言和模板,处理错误披露需要指引。 9 m' g, _9 X( n# q/ b$ v' p4 b ?" U
MAS 的回应:营业时间不改,确保客户能联系你。披露语言自己定,错误披露得赶紧改。( k4 I8 O2 e; l+ D+ |) Z
' A6 M8 e: i$ S" R6 m
11. 指引够具体吗?能帮企业少走弯路吗?2 q7 ^' J! ^6 s9 ?
& }/ X7 z" {* P, O' f! k7 C. s MAS 的说法:DTSP 得遵守通用的金融指引(适当人选、技术风险、业务连续性、外包),未来可能出 DTSP 专属常见问题解答(FAQs)。3 W: W/ w: x4 w
- z' C6 r4 A2 ?& ^+ f! o/ ]) I- V
企业的担忧:想要 DTSP 专属的网络安全指引、高管能力清单和案例,觉得通用指引不够贴合。$ \% L% ?: t# I! F' E0 } a
) n9 L! Y2 E3 X/ x2 H, y
MAS 的态度:指引是原则性的,你得自己定制。会考虑加 FAQs,解决行业痛点。2 K- G4 ^6 M/ [- E& f
) h# f, ^; w) A& b 12. 即使你已有牌照或被豁免,FSMA 仍对所有 DTSP 相关业务提出了更高的合规要求:$ `* {" Y8 t2 H4 G9 b: k
8 s4 a0 j3 S) O7 ]/ @. e/ H, z
更严格的技术风险管理(TRM):需加强系统安全、网络风险防控,符合 MAS 的《技术风险管理指引》。 9 S/ T. X/ ~9 b4 k9 W% ^1 G) f; I) ]8 D5 R
年度审计报告提交:需定期向 MAS 提交独立审计报告,重点评估 AML/CFT(反洗钱和反恐怖融资)合规性。 9 i* u8 F! r" }8 ~$ Y) F 8 q3 t, W1 ~- F 更高的 AML/CFT 要求:包括客户尽职调查(CDD)、交易监控、筛选可疑活动等,需符合 MAS 的 PSN02 通知要求。 + A. T' _! x( U2 m) O! _1 q* m
/ w' W4 E; O! c I' W 重大安全事件快速上报:发生重大安全事件(如数据泄露、黑客攻击)需在 1 小时内向 MAS 报告(注:此时间要求可能根据具体指引调整,建议参考 MAS 最终通知)。 }& L7 C8 _ M. m2 i! h4 h
