Настройка лицензирования криптодеятельности (VASP)

Проектируем и разрабатываем блокчейн-решения полного цикла: от архитектуры смарт-контрактов до запуска DeFi-протоколов, NFT-маркетплейсов и криптобирж. Аудит безопасности, токеномика, интеграция с существующей инфраструктурой.
8+Лет на рынке900+Реализованных проектов100+Разработчиков в штате19+Партнеров
Предлагаемые услуги
Показано 1 из 1 услугВсе 1306 услуг
Настройка лицензирования криптодеятельности (VASP)
Сложная
постоянная поддержка
Часто задаваемые вопросы
Направления блокчейн-разработки
Этапы блокчейн-разработки
Последние работы
  • image_website-b2b-advance_0.png
    Разработка сайта компании B2B ADVANCE
    1258
  • image_web-applications_feedme_466_0.webp
    Разработка веб-приложения для компании FEEDME
    1170
  • image_websites_belfingroup_462_0.webp
    Разработка веб-сайта для компании БЕЛФИНГРУПП
    873
  • image_ecommerce_furnoro_435_0.webp
    Разработка интернет магазина для компании FURNORO
    1092
  • image_logo-advance_0.png
    Разработка логотипа компании B2B Advance
    563
  • image_crm_enviok_479_0.webp
    Разработка веб-приложения для компании Enviok
    830
Показать больше работ

Настройка лицензирования криптодеятельности (VASP)

VASP лицензирование — многомесячный процесс с конкретными техническими и организационными требованиями. Успех зависит от правильной подготовки: регуляторы получают тысячи заявок и быстро отсеивают те, которые не демонстрируют operational readiness.

Выбор юрисдикции и типа лицензии

Первое решение — где лицензироваться. Ключевые факторы:

Целевой рынок: EU-ориентированный бизнес → Эстония/Литва/Мальта (EU passporting). Ближний Восток → Дубай VARA/DIFC. Азия → Сингапур MAS. Глобальный → BVI/Каймановы для холдинга + операционные лицензии по регионам.

Тип деятельности: обмен крипто-фиат требует другой лицензии чем чисто crypto-to-crypto. Кастодиальные сервисы — отдельные требования.

Временные рамки: Эстония 2-4 месяца, Сингапур 12-18 месяцев.

Эстония — наиболее popular entry point

FIU Эстонии выдаёт два типа лицензий VASP:

  • Exchange licence: обмен криптовалют на фиат и между криптовалютами
  • Wallet service licence: предоставление криптовалютных кошельков (кастодия)

Технические требования Эстонии:

  • AML Officer с опытом (CV предоставляется)
  • AML Policy документ (специфичный, не generic)
  • Transaction monitoring система (описание rules)
  • IT Security Policy
  • Наличие реального бизнеса в Эстонии (после 2022 ужесточение — нужен local staff или director)

Dubai VARA — для MENA рынка

VARA (Virtual Assets Regulatory Authority) — регулятор Дубая, запущен в 2022.

Категории VASP деятельности под VARA:

  1. VA Issuance Services
  2. VA Broker-Dealer Services
  3. VA Custody Services
  4. VA Exchange Services
  5. VA Lending and Borrowing Services
  6. VA Management and Investment Services

Каждая категория требует отдельного одобрения. VARA известен детальными технологическими требованиями: penetration testing отчёты, cloud security controls, DRP/BCP планы.

Технические требования для большинства лицензий

Key Management

Требование: custody keys в Hardware Security Module (HSM)
или Multi-Party Computation (MPC)

Решения:
- Fireblocks MPC (SaaS, $50k-200k/год)
- AWS CloudHSM ($1.6/час)
- Thales Luna HSM (on-premise, $30k+)
- Ledger Enterprise

Segregation of client assets

Большинство регуляторов требуют отделить клиентские активы от операционных:

// Архитектура: отдельные HD wallet пути для клиента vs компании
const PATHS = {
  CLIENT_FUNDS: "m/44'/0'/1'/", // Client segregated wallets
  OPERATIONAL: "m/44'/0'/2'/",  // Company operational
  COLD_STORAGE: "m/44'/0'/3'/", // Cold storage
};

// Ежедневная reconciliation
async function reconcileClientAssets(): Promise<ReconciliationReport> {
  const onPlatformBalances = await db.sumAllUserBalances();
  const walletBalances = await blockchain.getWalletBalances(CLIENT_WALLET_RANGE);
  
  const discrepancy = Object.keys(onPlatformBalances).reduce((issues, asset) => {
    const diff = Math.abs(onPlatformBalances[asset] - walletBalances[asset]);
    if (diff > RECONCILIATION_TOLERANCE) {
      issues.push({ asset, onPlatform: onPlatformBalances[asset], inWallet: walletBalances[asset] });
    }
    return issues;
  }, [] as DiscrepancyItem[]);
  
  const report = { timestamp: new Date(), discrepancies: discrepancy, passed: discrepancy.length === 0 };
  await db.saveReconciliationReport(report);
  
  if (!report.passed) await alertComplianceAndTech(discrepancy);
  return report;
}

Business Continuity Plan (BCP)

Технический раздел BCP включает:

  • RTO (Recovery Time Objective): максимальное время восстановления после инцидента
  • RPO (Recovery Point Objective): максимально допустимая потеря данных
  • Hot/warm/cold standby: архитектура failover
  • Key person dependencies: что происходит при уходе ключевых сотрудников

Документировать нужно реальную архитектуру с конкретными RTO/RPO значениями.

Penetration Testing (для VARA и ряда других)

VARA требует annual pentest от аккредитованного провайдера:

  • OWASP Top 10 для web приложений
  • Smart contract audit (если используется)
  • Infrastructure pentest
  • Social engineering assessment

Timeline лицензирования

Юрисдикция Подготовка Рассмотрение Итого
Эстония FIU 1-2 мес 2-4 мес 3-6 мес
Литва FIU 2-3 мес 3-6 мес 5-9 мес
Мальта MFSA 3-4 мес 6-12 мес 9-16 мес
Дубай VARA 3-6 мес 6-12 мес 9-18 мес
Сингапур MAS 6-9 мес 12-18 мес 18-27 мес

Поддержка при VASP лицензировании включает выбор юрисдикции, подготовку документации, настройку технических систем и коммуникацию с регулятором.