1.1. Правовая основа

Настоящие Правила работы криптообменника “TENGRIX” (далее – Криптообменник) Товарищества с ограниченной ответственностью «TENGRI-CRYPTO» разработаны в соответствии с:

1.2. Статус и деятельность Криптообменника

Криптообменник осуществляет деятельность по организации обмена необеспеченных цифровых активов на фиатные деньги и обратно, выступая стороной сделки по купле-продаже цифровых активов за собственные средства или средства клиента.

Услуги предоставляются исключительно физическим лицам – резидентам и нерезидентам Республики Казахстан при условии соблюдения требований законодательства их страны резидентства.

Обслуживание неидентифицированных клиентов не допускается. Идентификация и верификация клиентов осуществляются с использованием цифровых решений, включая биометрию и проверку по государственным и международным AML-базам.

1.3. Срок действия и рамки регулирования

Криптообменник осуществляет деятельность в рамках особого режима регулирования, установленного Постановлением Правления Национального Банка Республики Казахстан от 25 июля 2025 года № 43.

Срок действия договора участия в особом режиме — до 31 декабря 2028 года. Деятельность осуществляется в пределах и на условиях, установленных договором участия и приложениями к нему.

1.4. Термины и определения

В настоящих Правилах применяются следующие термины и определения:

2.1. Криптообменник предоставляет услуги по обмену цифровых активов и фиатных денег в рамках особого режима регулирования, установленного Постановлением правления НБРК № 43 от 25.07.2025.

3.1.3 предоставления субъекту информации об оказываемых Оператором услугах, о разработке Оператором новых продуктов и услуг; информирования субъекта о
предложениях по продуктам и услугам Оператора;

2.3. Перечень доступных валютных пар, а также возможные ограничения по суммам, лимитам или типам операций определяется внутренними документами Криптообменника и/или условиями договора об участии в особом режиме регулирования, и может изменяться без внесения изменений в настоящие Правила

2.5. Услуги предоставляются только идентифицированным Пользователям. Обслуживание анонимных клиентов не допускается.

2.6. Криптообменник вправе взимать комиссию и/или включать вознаграждение в виде спреда между курсами покупки и продажи цифровых активов. Размер вознаграждения, порядок его расчета и условия оплаты определяются в Главе 4 настоящих Правил.

2.8. Криптообменник может предоставлять дополнительные услуги, связанные с обменом цифровых активов (например, интеграция с банками и финтех-организациями, подключение API для партнеров, проведение KYT-аналитики и пр.), при условии, что такие услуги не противоречат законодательству Республики Казахстан и условиям особого режима регулирования.

3.1. Общие условия

3.1.1. Услуги Криптообменника предоставляются Пользователям, прошедшим процедуру идентификации и проверки в соответствии с требованиями законодательства Республики Казахстан, условий особого режима регулирования и внутренних процедур Криптообменника, направленных на выполнение требований AML/CFT/KYC/KYT.

3.1.2. При регистрации на ресурсе Криптообменника и акцепте Оферты Пользователь подтверждает, что ознакомился и согласен с настоящими Правилами и иными документами Криптообменника, размещенными в Мобильном приложении и/или на Веб-сайте Криптообменника.

3.2. Проверка по санкционным спискам

3.2.1. Криптообменник осуществляет проверку Пользователя по международным и национальным санкционным спискам, включая, но не ограничиваясь: списками
Управления по контролю за иностранными активами (OFAC), Европейского союза (ЕС), Организации Объединенных Наций (ООН), Великобритании, а также перечнями, утвержденными уполномоченными органами Республики Казахстан.

3.2.2. В случае обнаружения совпадений или оснований, установленных законодательством или внутренними документами Криптообменника, Криптообменник вправе приостановить предоставление услуг или отказать в их оказании.

3.3. Привязка платежных средств и криптокошельков

3.3.1. Для проведения онлайн-операций с использованием фиатных денег
Пользователь обязан привязать банковскую карту, эмитированную банком второго уровня Республики Казахстан, с обязательным применением технологии 3D Secure. Для проведения операций в направлении «фиат → криптовалюта» Криптообменник использует операции типа AFT, а в направлении «криптовалюта → фиат» — операции типа OCT.

3.3.3. AML/KYT-проверка привязанных криптокошельков осуществляется через
специализированные сервисы, определенные Криптообменником.

3.3.4. При использовании некостодиального или костодиального криптокошелька, выпущенного не Криптоообменником, приватные ключи и иные средства доступа к активам не хранятся Криптообменником, и Пользователь несет полную ответственность за их сохранность.

3.3.5. Критерии предоставления костодиальных кошельков могут изменяться Криптообменником без внесения изменений в настоящие Правила.

3.4. Доступ к операциям

3.4.1. Доступ к операциям предоставляется после выполнения всех требований,
установленных пунктами 3.1–3.3 настоящих Правил.

3.4.2. Операции с использованием платежных средств осуществляются только с банковских карт, принадлежащих Пользователю.

3.5. Сроки зачисления средств и исполнения операций

3.5.1. Сроки зачисления фиатных денег или цифровых активов зависят от особенностей работы банков, платежных систем, сетей блокчейна, а также от времени, необходимого для проведения процедур AML/KYT-проверки, и могут составлять от нескольких минут до 3 (трех) рабочих дней.

3.5.2. В случае выявления ошибок в реквизитах или иных обстоятельств, препятствующих исполнению операции, срок ее выполнения исчисляется с момента устранения таких обстоятельств.

3.6. Приостановка или отказ в оказании услуг

3.6.1. Криптообменник вправе приостановить или отказать в проведении операции в случаях, предусмотренных законодательством Республики Казахстан, условиями особого режима регулирования, а также внутренними документами Криптообменника.

3.6.2. Пользователь уведомляется о факте приостановки или отказа в проведении операции, за исключением случаев, когда раскрытие такой информации запрещено законодательством или предписаниями уполномоченных органов.

3.7. Фискализация расчетов

3.7.1. Все расчеты с использованием фиатных денег, проводимые как в онлайн-, так и в офлайн-сценариях, подлежат фискализации в соответствии с Налоговым кодексом Республики Казахстан от 25 декабря 2017 года № 120-VI «О налогах и других обязательных платежах в бюджет».

3.7.2. Фискализация осуществляется Криптообменником или привлеченным агентом/партнером в порядке, предусмотренном законодательством Республики Казахстан.

4.1. Размеры тарифов, комиссий, вознаграждения Криптообменника, а также порядок их расчета и применения устанавливаются в отдельном документе «Тарифы Криптообменника» (далее — Тарифы).

4.3. О любых изменениях Тарифов Криптообменник уведомляет Пользователей путем публикации обновленных Тарифов в Мобильном приложении и/или на Веб-сайте Криптообменника не менее чем за 3 (три) календарных дня до вступления изменений в силу, за исключением случаев изменения курсов и сборов, зависящих от внешних факторов (например, комиссий сетей блокчейнов), которые могут изменяться без предварительного уведомления.

4.4. Вознаграждение Криптообменника может включаться в спред между курсом покупки и курсом продажи цифровых активов либо устанавливаться в виде отдельной комиссии. Метод расчета вознаграждения указывается в Тарифах.

4.5. Комиссия сети (Gas) взимается отдельно от вознаграждения Криптообменника и полностью перечисляется в адрес соответствующей сети блокчейна. Gas не является доходом Криптообменника.

Если размер Gas указан в иной валюте, эквивалент в тенге рассчитывается по курсу на дату совершения операции, определяемому в порядке, указанном в Тарифах.

4.6. Все расчеты с Пользователями осуществляются в национальной валюте Республики Казахстан — тенге. Если тариф или комиссия установлены в иностранной валюте, перерасчет в тенге осуществляется по курсу на дату операции, определяемому в порядке, указанном в Тарифах.

5.3. Взаимодействие с партнерами и провайдерами осуществляется на основании заключенных договоров, определяющих права и обязанности сторон, условия оказания услуг, меры по защите информации, а также порядок урегулирования инцидентов.

5.4. Криптообменник вправе изменять состав партнеров и провайдеров без внесения изменений в настоящие Правила, при условии соблюдения требований законодательства Республики Казахстан и условий особого режима регулирования.

5.5. В случаях, когда оказание услуг требует привлечения партнеров, имеющих лицензии или иные разрешительные документы, Криптообменник обеспечивает, чтобы такие партнеры обладали соответствующими правами и полномочиями, предусмотренными законодательством Республики Казахстан.

6.1. Общие положения

6.1.1. Криптообменник осуществляет идентификацию и верификацию Пользователей, а также меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (AML/CFT), и мониторинг транзакций (KYT) в соответствии с законодательством Республики Казахстан, условиями особого режима регулирования и внутренними документами Криптообменника.

6.1.2. Обслуживание анонимных и неидентифицированных Пользователей не допускается.

6.1.3. Процедуры идентификации, верификации и AML/KYT-проверок могут осуществляться как силами Криптообменника, так и с привлечением внешних провайдеров, определенных внутренними документами Криптообменника.

6.2. Идентификация и верификация

6.2.2. Проведение удаленной идентификации и верификации может осуществляться через интеграцию с удостоверяющими центрами, биометрическими системами и иными сервисами, сертифицированными в Республике Казахстан.

6.2.3. Конкретный перечень используемых провайдеров KYC (включая биометрические сервисы) определяется внутренними документами Криптообменника и может изменяться без внесения изменений в настоящие Правила.

6.3. Проверка по санкционным и иным перечням

6.3.1. Перед предоставлением доступа к операциям Криптообменник проводит проверку Пользователя по международным и национальным санкционным спискам, включая списки OFAC, ЕС, ООН, Великобритании, а также перечни, утвержденные уполномоченными органами Республики Казахстан.

6.3.2. Проверка осуществляется также по внутренним перечням Криптообменника, формируемым на основании информации от внешних провайдеров и собственных алгоритмов оценки рисков.

6.3.3. При выявлении совпадений или иных оснований, установленных законодательством либо внутренними документами Криптообменника, предоставление услуг может быть приостановлено или отказано.

6.4. AML/KYT-проверки криптокошельков и транзакций

6.4.1. При привязке Пользователем некостодиального или костодиального криптокошелька, выпущенного сторонним провайдером, проводится обязательная первичная AML/KYT-проверка адреса кошелька с использованием технологий блокчейн-аналитики.

6.4.2. В случае отрицательного результата проверки, доступ к операциям обмена не предоставляется.

6.4.3. AML/KYT-проверка криптокошелька проводится повторно при каждой операции обмена.

6.4.4. Для костодиальных криптокошельков, выпущенных Криптообменником, применяется непрерывный мониторинг транзакций с использованием встроенных инструментов блокчейн-аналитики.

6.4.5. Криптообменник использует внутренние и внешние системы для выявления цифровых активов, вовлеченных в противоправную деятельность, включая, но не ограничиваясь, адресами, связанными с даркнет-маркетами, мошенничеством, взломами, отмыванием средств и финансированием терроризма.

6.5. Меры при выявлении подозрительных операций

6.5.2. Отказ в проведении операции по мотивам AML/CFT/KYT не подлежит обжалованию, если он основан на требованиях законодательства или предписаниях уполномоченных органов.

6.6. Согласие Пользователя

6.6.1. До начала обслуживания Пользователь подтверждает согласие на проведение всех видов проверок, предусмотренных настоящей Главой, и осознает, что отказ от прохождения проверок или непредоставление запрошенных данных является основанием для отказа в предоставлении услуг.

7.1. Планирование деятельности по обеспечению информационной безопасности

7.2. Реализация деятельности по обеспечению информационной безопасности

7.3. Проверка деятельности по ИБ

7.3.1. Внутренний контроль и внешний (независимый) аудит ИБ проводятся на регулярной основе (включая тестирование защиты API, мобильных приложений и блокчейн-интеграций).

7.4. Совершенствование деятельности по ИБ

7.4.1. Осуществляется анализ результатов функционирования системы ИБ, корректировка мер, повышение зрелости процессов (в т. ч. по криптоактивам и кошелькам).

7.5. Система информационной безопасности Криптообменника

7.5.1. Система ИБ включает совокупность организационных и технических мер, предотвращающих НСД к программно-техническим средствам и обеспечивающих конфиденциальность, целостность, доступность данных в соответствии с законодательством РК.

7.5.2. Все сотрудники обязуются соблюдать конфиденциальность, предотвращать НС-использование идентификационных данных и секретов доступа.

7.5.3. Выполнение мер защиты, установленные законодательством РК для обеспечения информационной безопасности информации, в том числе данных карт и персональных данных.

7.6. Обеспечение безопасности вычислительных сетей

7.6.1. Сегментация сетей (пользовательская/корпоративная/прод/админ кошельковая), Zero-Trust, mTLS, VPN с аппаратными токенами для админ-доступов.

7.6.2. Межсетевой экран, WAF, IDS/IPS, DDoS-защита, контроль исходящего трафика (egress).

7.6.3. Для узлов, взаимодействующих с блокчейнами, — изолирование и контроль исходящих RPC/WS, списки разрешенных нод/провайдеров.

7.7. Серверы

7.7.1. Доступ к терминальным сессиям — по аутентификации и 2FA; одновременные админ-сессии ограничены (не более 2), ведется запись админ-сессий.

7.7.2. Обязательное логирование изменений конфигураций, действий с кошельками, ключами и API-секретами.

7.8. Рабочие станции

7.8.1. Подключение только к защищенной корпоративной сети/Wi-Fi с WPA2/WPA3-PSK и сетевыми ACL; контроль входящих/исходящих соединений FW.

7.8.2. Доступ по доменному аккаунту (AD/IdP), MDM/EDR, запрет установки несогласованного ПО; USB-контроль.

7.9. Управление доступом пользователей к данным

7.9.1. Принцип минимально необходимых привилегий и Need-to-Know; роль-бэйзд модели (RBAC/ABAC) с раздельным доступом к кошелькам hot/cold.

7.9.2. Централизованная IAM, журналирование эскалаций, JIT-доступы через PAM.

7.10. Управление учетными записями и парольной защитой

7.10.1. Работа — только под уникальными учетными записями; запрет повседневной работы под встроенными админ-аккаунтами; отключение гостевых.

7.10.3. Встроенные учетные записи: смена дефолт-паролей при вводе в эксплуатацию; запрет использования Administrator/SA/root в повседневной работе; обязательное логирование; отключение неиспользуемых.

7.10.4. Увольнение/отпуск: блокировка/удаление учетной записи; авто блокировка ПК при неактивности ≥ 15 минут; самостоятельная блокировка при отходе.

7.11. Обеспечение антивирусной защиты

7.11.1. Используются только лицензионные (или разрешенные бесплатные) средства защиты; регламентированы правила внесения изменений.

7.11.2. Рабочие станции: AV/EDR, ежедневные обновления, недельные полные сканы; при заражении — немедленное отключение от сети и обработка.

7.12. Обеспечение физической безопасности

7.12.1. Ограничение физдоступа к серверным/зонам HSM, видеонаблюдение, журналы посещений; доступ строго по служебной необходимости.

7.13. Обеспечение безопасной поддержки и эксплуатации

7.13.1. Все изменения вносятся по регламенту: герметичные среды DEV/TEST/STAGE/PROD, код-ревью, SAST/Secret-scan, инфраструктура как код (IaC), контроль зависимостей (SBOM), принцип «двух пар глаз».

7.14. Мониторинг информационной инфраструктуры

7.14.1. Непрерывный мониторинг производительности, доступов, событий ИБ; регулярные проверки на уязвимости; ежегодный независимый аудит.

7.14.2. KYT/блокчейн-мониторинг: онлайновая корреляция транзакций с рисковыми метками/кластерами, автоматические блоки/ручной эскалационный разбор.

7.15. Управление инцидентами и уязвимостями

7.15.1. Все инциденты ИБ регистрируются и расследуются; уязвимости учитываются и закрываются по приоритетности (критический - как можно быстрее, высокий - 1 месяц, средний — 3 месяца, низкий — 6 месяцев, информационный — регулярный мониторинг)

7.15.2. Централизованный журнал (реестр) инцидентов; срок хранения ≥ 5 лет

7.16. Обеспечение бесперебойной работы

7.16.1. Дублирование критичных компонентов (HA-кластеры, репликация БД, резервные RPC/валидаторы), шифрованные бэкапы, регулярные восстановительные тесты.

7.16.2. Сервис доступен 24/7/365, за исключением профилактики и чрезвычайным происшествиям (по независящим от Криптообменника причинам).

7.17. Организация и реагирование на инциденты ИБ: роли и ответственность

7.17.1. Руководство определяет цели/стратегию ИБ, выделяет ресурсы, принимает решения по ключевым рискам, утверждает планы реагирования.

7.17.2. Уполномоченное лицо по ИБ — требования, контроль и оценка эффективности мер.

7.17.3. Владельцы процессов/активов — распределение полномочий, устранение несоответствий по итогам аудитов.

7.17.4. Все работники — соблюдение ВНД, оперативное оповещение о нарушениях; ответственность вплоть до дисциплинарной/админ/гражданско-правовой уголовной.

7.18. Планы реагирования на инциденты

7.18.1. Для критичных и типовых инцидентов разрабатываются детальные планы реагирования; планы доводятся до ответственных, поддерживаются актуальными и тестируются не реже 1 раза в год.

7.19. Порядок предоставления информации об инцидентах ИБ уполномоченному органу

7.19.1. Криптообменник предоставляет в Национальный Банк РК информацию о выявленных инцидентах: эксплуатация уязвимостей, НС-доступ ИС, DDoS, заражение серверов, несанкционированные переводы из-за нарушений контролей, а также иных инцидентах, угрожающих стабильности деятельности. Срок — в возможно короткий срок, но не позднее 48 часов с момента выявления.

7.19.2. Информация подается через платформу НБ РК для обмена событиями и инцидентами ИБ; на каждый инцидент оформляется карта инцидента.

7.20. Криптоспецифические меры (дополнение)

8.1. Общие положения

8.1.1. Программно-техническая инфраструктура Криптообменника предназначена для безопасного, непрерывного и масштабируемого оказания услуг, указанных в настоящих Правилах, и функционирует в соответствии с законодательством Республики Казахстан и условиями особого режима регулирования.

8.1.2. Бэкенд реализован на языке Java с микросервисной архитектурой, поддерживающей независимое масштабирование компонентов, изоляцию отказов и безопасную публикацию изменений.

8.1.3. Развертывание производится в коммерческом ЦОД с резервированием критичных компонентов.

8.1.4. Все компоненты разрабатываются с применением безопасных практик SDLC, с контролем зависимостей, проверками на известные уязвимости и вредоносные включения, статическим анализом кода и обязательным ревью.

8.2. Архитектурные принципы и среда эксплуатации

8.2.1. Архитектура (гибридная): критичные сервисы и хранилища — во виртуальных машинах с жесткой изоляцией; быстроизменяемые прикладные компоненты — в контейнерах, оркестрируемых в кластере Kubernetes (или аналог) поверх ВМ. Используются service mesh для управления трафиком и политиками безопасности, изолированные пространства имён (namespaces) и сетевые политики для микросегментации внутри кластера, а также сетевые ACL/файрволы между сегментами ВМ (DMZ/App/SecNet) для межзоновой микросегментации.

8.2.2. Среды: DEV/TEST/STAGE/PROD, с запретом прямых миграций «мимо» последовательности. Доступы и секреты для каждой среды сегрегированы.

8.2.3. Коммуникации: межсервисное взаимодействие по mTLS, внешние интерфейсы — только через API-шлюз/WAF с проверкой аутентификации, авторизации, лимитов и схемы данных.

8.2.4. Хранение данных: реляционные БД с master-master (или primary-replica) репликацией; журналы транзакций и аудита — в отдельном защищенном хранилище с WORM-политиками.

8.3. Размещение и требования к ЦОД

8.3.1. Требования к ЦОД: уровень отказоустойчивости не ниже Tier III (или эквивалентные показатели SLA), дублирование электропитания/охлаждения каналов связи, физическая охрана, СКУД, видеонаблюдение, журналы посещений.

8.3.2. Сетевая связанность: минимум два независимых провайдера связи, отказоустойчивые маршрутизаторы и коммутаторы (например, Huawei/аналог), DDoS-защита на периметре.

8.3.3. Криптооборудование и сейфовые зоны: выделенные зоны для хранения HSM/медиа cold-хранилищ, с контролем доступа по принципу «двух лиц» и журналированием.

8.4. Функциональные модули

8.5. Интеграции и внешние интерфейсы (API/SDK)

8.5.1. Банки второго уровня/платежные организации: AFT/OCT, эквайринг, фискализация, webhooks/реестры.

8.5.2. KYC/биометрия: интеграция с провайдерами;

8.5.3. AML/KYT по криптоадресам: провайдеры аналитики — первичная проверка при привязке кошелька и повторная при каждой сессии обмена.

8.5.4. Биржи цифровых активов (МФЦА): подключение к торговым площадкам для обеспечения ликвидности.

8.5.5. API для партнеров: REST/JSON с OAuth2/OIDC, подпись запросов, idempotency-keys, версионирование, rate-limits. Документация — в защищенном портале для партнеров.

8.6. Защита данных и интерфейсов

8.6.1. Шифрование: TLS 1.2+/1.3 в транзите; шифрование на уровне БД/дисков для чувствительных данных; управление ключами — KMS/HSM; ротация ключей по регламенту.

8.6.2. Секреты и доступы: централизованный секрет-менеджер; MFA для админ-доступов; zero-trust-подход; RBAC/ABAC на всех уровнях.

8.6.3. Периметр: FW/WAF, IDS/IPS, анти-DDoS, geo-IP и страновые списки; обязательная фильтрация egress-трафика.

8.6.4. Журналирование и аудит: централизованный сбор логов, неизменяемые архивы, сохранность логов и журналов действий не менее 5 (пяти) лет; синхронизация времени (NTP).

8.6.5. Защита от вредоносного кода: защита серверов и рабочих станций, политики обновлений, контроль целостности (FIM).

8.6.6. PCI DSS-скоуп: хранение только токенов карт; PAN/CVV не хранятся; сегментация зон, регулярные ASV-сканы и пентесты.

8.7. Инфраструктура криптокошельков (hot/warm/cold).

8.7.1. Хранение приватных ключей: HSM/KMS с M-of-N контролем; поддержка
MPC/мультиподписи для hot-кошельков.

8.7.2. Key Ceremony: стандартизованные процедуры и актирование инициализации, ротации, утилизации ключей; хранение актов.

8.7.3. Разграничение хранилищ: hot — для оперативных платежей; warm — для операционного буфера; cold — изолированное (air-gap) медиа, физическая изоляция, регламенты доступа.

8.7.4. Выводы с кастодиальных кошельков: whitelist адресов, двухэтапные проверки (суммы/рисковые направления), обязательный pre-trade KYT.

8.8. Отказоустойчивость, резервирование и непрерывность.

8.8.1. RTO/RPO: устанавливаются в регламентах BCP/DRP для каждого класса сервисов и контролируются мониторингом (SLO).

8.8.2. Резервное копирование: full/incremental, шифрованные бэкапы, 3-2-1 стратегия, регулярные тесты восстановления; независимое хранилище снапшотов БД.

8.8.3. Масштабирование: горизонтальное (авто-скейлинг) для stateless-сервисов; кворум и репликация для stateful-компонентов.

8.8.4. Технические окна: плановые работы — с предварительным уведомлением; механизм graceful-degradation/feature-flags.

8.9. Мониторинг, наблюдаемость и управление инцидентами.

8.9.1. Наблюдаемость: метрики (бизнес/тех), трассировка, логи; единой панели мониторинга 24/7/365; SLA/алерты.

8.9.2. SIEM: корреляция событий, правила обнаружения аномалий, плейбуки реагирования; интеграция с антифродом и AML-алертами.

8.9.3. Инциденты: регистрация, классификация, эскалация, расследование, разработка мер про предотвращению повторения инцидентов; сроки и формы уведомления НБ РК — в соответствии с Главой 7 и внутренними регламентами.

8.10. Управление изменениями (CI/CD), конфигурациями и уязвимостями.

8.10.1. CI/CD: build-signing, инфраструктура как код (IaC), обязательные тесты (юнит/интеграционные/безопасность), canary/blue-green релизы, контролируемый откат.

8.10.2. Управление изменениями: RFC/Change-адвайзори, оценка рисков, окна релизов, запрет production-доступов вне регламента.

8.10.3. Конфигурации и версии: CMDB, контроль дрейфа конфигураций, immutable-артефакты.

8.10.4. Уязвимости: регулярные сканирования (SCA/VA), критичность по CVSS, SLA устранения по уровням; ежегодные (и после значимых изменений) внешние пентесты.

8.11. Требования к клиентским приложениям (мобильные)

8.11.1. Хранилища ключей: iOS Keychain/Android Keystore, защита секретов; device attestation; защита от рут/джейлбрейк-сред.

8.11.2. Коммуникации: TLS pinning, защита от MITM, защита deep-links/intent фильтров.

8.11.3. Аутентификация и сессии: OIDC, короткоживущие токены, refresh-модель, блокировка сессий при рисках.

8.11.4. 3-DS, пуш-уведомления, офлайн-кеш: в рамках безопасных SDK/политик.

8.12. Фискализация расчетов.

8.12.1. В онлайн- и офлайн-сценариях фиатные расчеты фискализируются в соответствии с Налоговым кодексом РК; интеграция с ФР/онлайн-ККМ — через сертифицированные коннекторы.

8.12.2. Чеки формируются и доступны Пользователю в мобильном приложении; архив чеков хранится согласно требованиям законодательства и внутренних политик.

8.13. Роли и доступы в системах.

8.13.1. Ролевые модели минимум: Администратор, Разработчик, Эксплуатация, Офицер ИБ, Офицер ПОД/ФТ, Биллинг/Бухгалтерия, Поддержка, Агент (офлайн), Просмотр (аудит/надзор).

8.13.2. Принципы: минимально необходимые привилегии, разделение обязанностей (SoD), Just-in-time доступ для привилегированных операций, обязательная MFA.

8.14. Учет, отчетность и хранение данных.

8.14.1. Ведутся журналы: системных событий, аутентификаций, административных действий, операций обмена, антифрод/AML/KYT-решений, фискализации.

8.14.2. Сроки хранения: не менее 5 (пяти) лет для журналов, необходимых для аудита, ПОД/ФТ и требований НБ РК; отдельные сроки могут устанавливаться внутренними документами.

8.14.3. Экспорт/импорт: предоставляется в машиночитаемых форматах для отчетности в НБ РК; доступ — по регламенту и принципу необходимости.

8.15. Соответствие и внутренние регламенты

8.15.1. Для каждого раздела настоящей главы утверждаются внутренние политики/процедуры (BCP/DRP, управление изменениями, управление уязвимостями, криптоключами, журналирование, доступы, эксплуатация, тестирование восстановления, Key Ceremony и др.).

8.15.2. Перечень поддерживаемых валютных пар, блокчейн-сетей, бирж и провайдеров публикуется во внутренних документах и может меняться без внесения изменений в настоящие Правила.

Примечание: Обращения через телефон, неавторизованные формы обратной связи на сайте, мессенджеры или социальные сети не считаются официальной подачей претензии и не признаются досудебным урегулированием.

9.3. Регистрация и дата приема

Все поступающие претензии регистрируются в системе входящей корреспонденции с присвоением уникального регистрационного номера и даты.

Датой приема претензии считается дата ее регистрации в информационной системе Платежной организации.

При подаче через мобильное приложение регистрация производится автоматически.

По итогам рассмотрения формируется мотивированный письменный ответ (в электронной или бумажной форме — в зависимости от канала подачи).

Верификация операции проводится по уникальному номеру заявки на обмен, без требования дополнительных технических данных от клиента (TxID, скриншоты и т.д.), если это не требуется для особых случаев (по запросу Криптообменника).

Для криптовалютных операций действуют те же сроки и порядок рассмотрения, что и для фиатных платежей.

10.3. Ответственность Клиента

10.4. Форс-мажор

10.4.2. Сторона, для которой наступили форс-мажорные обстоятельства, обязана незамедлительно уведомить об этом другую Сторону с предоставлением подтверждающих документов (при наличии).

10.5. Пределы ответственности

10.5.1. Максимальный размер ответственности Криптообменника перед клиентом ограничивается суммой комиссии за соответствующую неисполненную или исполненную с нарушениями операцию, за исключением случаев, когда убытки вызваны умышленными действиями Криптообменника.

10.5.2. Криптообменник не компенсирует упущенную выгоду клиента, вызванную изменением курсов криптоактивов.

11.1. Общие положения

11.1.1. Настоящая глава устанавливает порядок внесения, утверждения и вступления в силу изменений и дополнений в Правила Криптообменника.

11.1.2. Все изменения и дополнения в Правила вносятся Криптообменником в одностороннем порядке в пределах, допускаемых законодательством Республики Казахстан.

11.2. Процедура внесения изменений

11.2.1. Проект изменений подготавливается уполномоченными сотрудниками Криптообменника с обязательным согласованием с юридическим подразделением.

11.2.2. Изменения утверждаются руководством Криптообменника и фиксируются в новой редакции Правил либо в виде отдельного документа — «Изменения и дополнения к Правилам».

11.2.3. Каждое изменение должно иметь дату утверждения и дату вступления в силу

11.3. Информирование клиентов

11.4. Сроки вступления изменений в силу

11.4.1. Изменения вступают в силу не ранее чем через 10 (десять) календарных дней с даты их публикации, если иные сроки не установлены законодательством Республики Казахстан или не обусловлены необходимостью немедленного применения (например, в целях соответствия новым требованиям законодательства или обеспечения безопасности операций).

11.4.2. В случае, если клиент не согласен с изменениями, он обязан прекратить использование услуг Криптообменника до даты вступления изменений в силу, уведомив об этом службу поддержки в установленном порядке.

11.5. Хранение редакций Правил

11.5.1. Криптообменник хранит все предыдущие редакции Правил в архиве не менее 3 (трех) лет с даты утраты ими силы.

11.5.2. По запросу клиента Криптообменник обязан предоставить актуальную версию Правил и, при необходимости, предыдущие редакции для ознакомления.