首页 > 常见问题

萨尔瓦多 El Salvador 加密交易 / 虚拟资产服务牌照常见问题解答，El Salvador (DASP) License（FAQ）

时间：2026-01-09 05:30:28 阅读：70

《萨尔瓦多 El Salvador 加密交易 / 虚拟资产服务牌照常见问题解答（FAQ）》

El Salvador Digital Asset Service Provider (DASP) License（FAQ）

本文由 仁港永胜（香港）有限公司 拟定，并由 唐生（唐上永，Tang Shangyong）｜业务经理 提供专业讲解。
服务商：仁港永胜（香港）有限公司｜Rengangyongsheng (Hong Kong) Limited

牌照名称：萨尔瓦多数字资产服务提供商（DASP）牌照｜El Salvador Digital Asset Service Provider (DASP) License

✅ 点击这里可以下载 PDF 文件：萨尔瓦多 El Salvador 加密交易/虚拟资产服务牌照常见问题解答（FAQ）
✅ 点击这里可以下载 PDF 文件：萨尔瓦多 El Salvador 加密交易/虚拟资产服务牌照申请注册指南
✅ 点击这里可以下载 PDF 文件：关于仁港永胜
注：本文模板、清单、Word/PDF 可编辑电子档，可向仁港永胜唐生有偿索取（用于监管递交与内部落地）。

法律与监管依据以萨尔瓦多《Ley de Emisión de Activos Digitales（LEAD，数字资产发行法）》及 CNAD 的登记/规章体系为主，并与比特币服务提供者登记框架（BCR Registry）并行理解。

第 1 页｜萨尔瓦多 El Salvador（DASP）许可证常见问题（FAQ）｜Q1–Q80

（监管定位、牌照名称、适用边界、监管机构、登记路径与关键概念）

Q1：萨尔瓦多是否存在“加密交易/虚拟资产服务牌照”？正式名称是什么？

A（交付级）：存在，但官方语境更倾向“登记/授权（registro y autorización）”而非单一“牌照”称谓。在数字资产框架下，常用的合规对象是：

Proveedor de Servicios de Activos Digitales（PSAD）：数字资产服务提供者（含交易平台/撮合/经纪/托管/相关服务等，以 CNAD 规则与核准范围为准）。CNAD 在其登记指引中明确：核准后将签发登记与授权证明，并要求缴纳初始登记费。
此外，历史上比特币支付相关亦存在Bitcoin 服务提供者登记（BCR Registry），需与 PSAD 框架并行辨识。

Q2：监管机构是谁？谁发“牌/授权”？

A：在数字资产发行与服务提供者层面，核心主管机构为：

Comisión Nacional de Activos Digitales（CNAD）：负责数字资产生态中的授权、登记与监督，并维护公开登记信息。
比特币服务提供者登记网站由 Banco Central de Reserva（BCR）运营并公开登记列表。

Q3：PSAD（数字资产服务提供者）通常涵盖哪些业务？

A：以“监管可接受的服务菜单 + 你申请时申报的经营范围”双重限定为原则。通常可覆盖（以获批为准）：

运营交易平台/撮合系统（Order book/撮合引擎）
经纪/代理交易（Brokerage）
做市/流动性提供（如涉及自营风险需额外说明与限制）
托管/钱包服务（热/冷钱包、MPC、第三方托管）
法币出入金、兑换与支付通道（如涉及银行/支付机构合作需合规证明）
代币发行相关服务、分销、上市等（若触及发行/销售边界需遵守 LEAD 下发行与信息披露规则）

Q4：萨尔瓦多的“数字资产法（LEAD）”是什么？它管什么？

A：LEAD 的核心是：为数字资产转让、发行、公开/私募发行、服务提供者、登记监督等提供法律框架与监管工具箱，并由 CNAD 形成配套规章（含 PSAD 规则、稳定币公开发行规则等）。

Q5：比特币（Bitcoin）相关业务是否仍需要单独合规框架？

A：需要“并行理解”。

BCR 明确其“Registro de Proveedores de Servicios de Bitcoin”依据比特币法及其规章设立，且提供登记、变更、删除等流程入口与已登记列表。
同时，萨尔瓦多在 2025 年围绕比特币法作出重大调整（例如接受比特币支付的义务趋向自愿、税款以美元支付等政策方向），对你业务模式（支付/税务/商户侧）会产生直接影响，需在商业计划与合规制度中体现“政策变动应对”。

Q6：如果我做“交易所 + 托管”，应该走哪条路径？

A（交付级）：通常建议以 CNAD 的 PSAD 登记/授权为主线，申请时把业务拆成“模块化范围”：

交易平台模块（撮合、市场监控、上市治理）
托管模块（钱包控制、私钥管理、资产隔离、审计证据链）
AML/KYC 与 Travel Rule 模块（规则库、监控、STR/报告机制）
并在材料中明确：哪些外包、哪些自建、关键控制点由谁掌握。

Q7：PSAD 是“牌照”还是“注册”？

A：从 CNAD 官方流程表述看，更接近：提交申请 → 作出有利/不利决定 → 有利决定后缴纳登记初始费用 → 取得登记座位（asiento registral）与授权证明。
对外商业表述可用“监管授权/登记（Licensed/Registered & Authorized）”，但文件中建议保留官方西语称谓 PSAD 以避免误称。

Q8：申请 PSAD 的官方费用是多少？什么时候交？

A：CNAD 流程显示：若获得有利决定（resolución favorable），申请人需在通知后 10 天内缴纳初始登记费 5,475 美元，随后 CNAD صادر出登记与授权证明。

交付提示：预算里要把“官方费 + 法律顾问费 + 合规系统费 + 审计/渗透测试 + 银行/托管对接成本”拆开列明，避免客户误以为 5,475 即全成本。

Q9：申请被拒怎么办？能否重新提交？

A：CNAD 指引显示：若为不利决定（resolución desfavorable），申请人可以再次提交登记申请。
实务建议：不要“原样重投”，而应先做拒绝原因矩阵：材料缺口、治理缺口、系统缺口、人员适当性缺口，然后形成“整改包”再重投。

Q10：CNAD 是否提供“法规库/规则清单”？

A：CNAD 官网设有Marco Legal（法律框架库），列示 LEAD 及配套规章（包括 PSAD 规章、稳定币公开发行相关规则等）。建议以该库为“引用来源”，在交付文件中逐条对齐制度条款。

（一）监管边界与适用对象（Q11–Q25）

Q11：哪些企业“必须”申请/登记为 PSAD？

A：凡在萨尔瓦多境内开展或向其市场提供数字资产相关服务，且落入 CNAD 监管范围的，原则上应申请登记与授权；CNAD 亦明确其维护授权/登记并对未获批准经营的行为提示风险。

Q12：我在境外注册公司，但向萨尔瓦多客户提供服务，也算吗？

A（交付级）：
通常会触发“面向本国市场提供服务”的监管关注点，尤其当你：

以西语面向当地营销/投放
提供当地法币通道/本地收付款
在当地有代理或运营团队
建议采用“境外主体 + 当地合规载体/分支”的结构论证，并向 CNAD 解释监管可及性、数据/日志保存与执法协作路径。

Q13：仅提供“软件/技术外包”是否需要登记？

A：关键看你是否“触达客户资产/交易执行/托管控制权”。

若仅提供不接触资金、不托管、不撮合的纯技术（且合同清楚界定），合规风险较低；
若你实际控制钱包/私钥、交易执行或客户入金出金，则很可能被视为服务提供者，应按 PSAD 处理。

Q14：做“代币发行/募资”属于哪条监管线？

A：优先落入 LEAD 下的发行与登记/披露框架，通常需与 CNAD 的发行、登记与信息披露规则对齐（具体取决于公开/私募、是否面向公众、是否稳定币等）。

Q15：做“稳定币发行/销售”有什么特别要求？

A：CNAD 的法律框架库列示了与稳定币公开发行相关的规章文件，意味着稳定币更可能被作为“高敏感产品”处理：需更强的信息披露、储备证明、赎回机制、风险声明与持续报告。

Q16：做“OTC 场外换汇/币币兑换”是否属于 PSAD？

A：通常属于“资产转换/经纪/交易服务”范畴（以你是否撮合、是否持币、是否收付法币与资金流为核心判断）。交付材料应给出：

订单流与资金流图（含法币账户、托管钱包、热/冷钱包路径）
价格形成机制与报价来源
反操纵与异常交易监控规则

Q17：做“托管钱包（Custody）”是否比做交易所更难？

A：在多数监管体系里托管被视为更高风险模块，需要更硬的证据链：

私钥控制（MPC/HSM/多签）
权限分层与双人复核
资产隔离与对账
应急与恢复演练
因此建议把托管作为单独模块“高规格交付”。

Q18：我只做“咨询/研究报告”，是否也要登记？

A：若不执行交易、不接触客户资产、无托管/撮合，一般风险较低；但若你与交易引流、佣金分成、代客下单等绑定，就可能被重新定性。建议在合同与网站披露中明确“非交易执行方”。

Q19：我为客户提供“Listing 上币服务/交易所上所顾问”，算不算 PSAD？

A：若你只是顾问/品牌/对接，不参与托管与交易执行，通常不等同 PSAD；但如果你运营撮合、提供流动性、代管项目方资产或掌控上币审批权并收费，则风险上升。建议采用“服务边界清单 + 不触达资金承诺 + 证据留存”。

Q20：我做“支付/收单/加密支付网关”，走哪条框架？

A：需要双重视角：

数字资产服务侧：可能触发 PSAD
比特币支付侧：需关注比特币服务提供者登记框架及 2025 政策调整对“商户强制接受/纳税”影响。

Q21：我做“ATM/现金买币机”是否敏感？

A：高度敏感，因其现金端洗钱风险更高。材料必须强化：

身份核验（分层限额、EDD）
摄像/留存
可疑交易识别与报送
设备与现金管理审计

Q22：我做“跨境汇款 + USDT”等模式，风险点是什么？

A：监管关注点集中在：

资金来源证明
受制裁地区/名单筛查
Travel Rule 信息随行
资金链可追溯（链上分析）
建议准备“跨境合规接入包”（含制裁、地理围栏、链上监控、对手方尽调）。

Q23：我仅向机构客户提供服务（不做零售），是否更容易？

A：通常风险可控性更强，但必须明确：

客户准入（法人、UBO、SoF/SoW）
机构级 EDD
合同限制（不得转供零售）
交易限额与白名单钱包策略

Q24：是否可以分阶段申请：先交易，后托管？

A：强烈建议。
路径是：先获批低风险范围并稳定运营，积累监管信任与审计证据，再扩展托管/衍生品/稳定币等高风险模块。

Q25：在萨尔瓦多经营数字资产业务，合规“底线”是什么？

A：一句话：未获 CNAD 授权/登记的数字资产服务经营，会被视为非法并面临监管处置风险；同时比特币相关活动仍需关注 BCR 登记框架与政策变化。

（二）申请准备与材料结构（Q26–Q45）

Q26：交付级申请包建议包含哪些“主文件”？

A（交付级清单）：

业务说明书（Business & Operating Model）
AML/CFT 体系（含风险评估、KYC/EDD、监控规则、STR）
托管与资产保护制度（如适用）
IT 与网络安全（架构、权限、日志、渗透测试、BCP/DR）
公司治理（三道防线、董事会/高管职责矩阵）
外包与第三方管理（尽调、合同条款、SLA、审计权）
财务与资本说明（资金来源、持续经营证明）
并形成“监管问题映射表”（你每一条制度对应法规/规则的哪一条）。

Q27：CNAD 更看重“文件写得好”还是“系统跑得起来”？

A：两者都要，但更偏向“可验证证据”：

系统截图/演示脚本
日志样例
风险规则库样例
钱包签名流程证据
CNAD 的登记授权本质是“你已经具备合规运营能力”的证明。

Q28：申请前需要做“差距分析（Gap Analysis）”吗？

A：必须做。建议输出：

目标业务范围清单
现有制度/系统清单
差距与整改计划（含负责人、时间表、证据产出）

Q29：申请主体是否必须在萨尔瓦多注册公司？

A：实务上多数项目会选择设立当地主体或合规载体以降低监管与银行合作阻力。即使采用境外主体，也要证明：监管可及性、数据可取证性、责任主体明确。

Q30：是否需要本地董事/本地合规负责人？

A：常见监管偏好是：至少设置可被监管触达的关键负责人（合规、AML、运营、IT），并能在本地或可快速到位履职。交付文件要体现“值勤安排与替补机制”。

Q31：股东与 UBO（最终受益人）披露要到什么程度？

A：交付级标准：

穿透到自然人 UBO
资金来源（SoF）与财富来源（SoW）逻辑一致
对高风险国家/PEP 做强化尽调

Q32：是否需要“无犯罪记录/诚信声明”？

A：通常会要求适当性与诚信相关文件。建议准备：

个人声明 + 证明文件
过往监管处罚披露（如有）
利益冲突声明与缓释措施

Q33：管理层需要具备哪些能力证明？

A：

金融/支付/合规/安全经验
交易系统或托管运营经验
AML 实操经验（特别是链上监控与可疑交易判定）

Q34：技术团队需要提供什么证明材料？

A：

系统架构图、数据流图
权限矩阵（RBAC）
关键组件说明（撮合、钱包、KYC、监控、报表）
日志策略与留存策略

Q35：是否必须有外部审计/渗透测试报告？

A：不是所有场景都强制，但强烈建议在托管/交易平台项目中提供第三方测试或审计报告，以提高可信度与降低 RFI 风险。

Q36：若使用第三方托管/第三方 KYC，监管关注什么？

A：关注你是否：

做了尽调（资质、审计、制裁风险、数据保护）
合同中保留审计权、数据访问权、应急切换权
仍能对最终合规结果负责（责任不可外包）

Q37：材料中最重要的“一张图”是什么？

A：资金流 + 币流 + 权限流三合一流程图：

客户入金 → 交易 → 提币 → 清算
法币账户归属、托管钱包归属
谁能签名、谁能放行、谁能改单

Q38：申请材料是否需要西语版本？

A：强烈建议准备西语正式版本或中英西对照要点，避免因翻译歧义触发 RFI。

Q39：提交后常见问询（RFI）集中在哪里？

A：高频：

业务边界不清（到底是交易还是托管还是发行）
钱包控制权不清（谁持私钥）
AML 监控规则过于概念化
外包治理缺证据

Q40：官方费用之外，申请周期的主要成本在哪里？

A：

合规制度与文件交付（可递交级）
AML/KYC/链上监控系统
IT 安全（渗透测试、SOC、日志平台）
银行/支付/托管合作对接（尽调与合同）
官方初始登记费只是“门票”。

Q41：从递交到获批大概多久？

A：取决于业务复杂度与 RFI 轮次。交付级项目一般用“阶段化时间表”：

第1阶段：搭建制度与系统证据（4–10周）
第2阶段：递交与首轮审查（因监管节奏差异）
第3阶段：RFI 往返（1–3轮为常见区间）
并在合同中明确“监管时间不可控、但我们可控回复速度与质量”。

Q42：获得有利决定后，必须在 10 天内缴费吗？

A：CNAD 指引明确了“10 天内缴纳初始登记费”的要求，建议提前准备付款与发票/收据留存流程，避免错过期限。

Q43：拿到授权后是否会进入公开登记？

A：CNAD 表述其维护公开登记信息并提示投资者核验授权状态，意味着持牌/授权主体通常可被公众查询核验。

Q44：能否先运营再补办登记？

A：不建议且风险极高。CNAD 明确未获批准经营属非法并可能被制裁。

Q45：申请材料“交付级”最低标准是什么？

A：监管看得见、审计追得到、出事能复盘：

有制度（Policy）
有流程（Procedure）
有证据（Evidence）
三者缺一不可。

（三）核心合规模块（AML/Travel Rule/消费者保护/税务口径）（Q46–Q80）

Q46：萨尔瓦多对 AML/CFT 的总体期待是什么？

A：把数字资产业务当作高风险金融业务管理：

风险评估先行
KYC/EDD 分层
交易监控与可疑报告
记录保存与审计可追溯

Q47：是否需要设置 MLRO？

A：交付级建议必须设置，并明确：

MLRO 的独立性
报告路径（直达董事会/CEO）
值勤与替补机制

Q48：是否需要链上分析（Blockchain Analytics）？

A：若你做交易/托管/跨境，强烈建议引入：

风险评分
黑名单/制裁地址筛查
资金链追踪辅助 STR 判定
并在制度中明确“何种分值触发冻结/EDD/拒绝”。

Q49：Travel Rule 是否适用于萨尔瓦多 PSAD？

A：多数监管对 VASP/PSAD 的方向都是：跨平台转账需传递汇款人/收款人关键信息。交付建议：即便法规表述不统一，也应准备“Travel Rule-ready”流程（字段、触发条件、无法获取时的处理）。

Q50：客户分层怎么做（零售/机构/高风险）？

A（交付级）：建议至少四层：

L1：低风险零售（低额度、基本 KYC）
L2：常规零售（地址证明、资金来源声明）
L3：高风险零售（PEP/高风险国家/高频交易 → EDD）
L4：机构客户（UBO 穿透、审计报表、SoF/SoW、董事会决议）

Q51：PEP 如何处理？

A：必须 EDD：

识别与持续监控
资金来源/财富来源证明
高管审批
更严格的监控规则

Q52：制裁名单筛查做到什么程度？

A：交付级标准：

客户筛查（姓名、别名、拼写模糊匹配）
地址/国家筛查
钱包地址/链上筛查
并保留“筛查日志与结果快照”。

Q53：异常交易监控要有哪些规则？

A：至少覆盖：

结构化拆分（smurfing）
快进快出
混币器/高风险服务交互
与黑市/暗网风险暴露
大额/频繁提币
非典型地理位置登录与设备指纹异常

Q54：是否需要 STR（可疑交易报告）机制？

A：必须建立：

识别 → 升级 → 决策 → 报送 → 留存 → 复盘
并把“何种情形必须报送/何种情形拒绝业务”写成可执行阈值。

Q55：客户资产是否必须隔离？

A：若涉及托管或代客持有资产，强烈建议采用：

客户资产与自有资产隔离
独立账本与链上地址分层
日对账与异常处理
并在条款中明确破产隔离与客户权利路径。

Q56：是否需要消费者风险披露？

A：CNAD 的监管定位包含消费者保护导向（打击欺诈、提升透明度）。交付级披露应覆盖：

价格波动与清算风险
技术风险（链分叉、拥堵）
托管风险（私钥、第三方）
费用结构与利益冲突

Q57：是否需要投诉处理机制？

A：必须。建议制度化：

SLA（响应/结案时限）
分级处理与升级
赔付/纠纷解决路径
统计报表与改进闭环

Q58：税务与会计如何处理数字资产收入？

A：建议在交付文件中把收入拆分：

交易手续费
点差/做市收益
托管费
上币费/技术服务费
并明确会计政策与审计准备。若涉及发行，还需额外披露与税务策略评估。

Q59：比特币政策变化会影响 PSAD 吗？

A：会影响你的“支付/商户侧”产品设计与合规措辞。IMF 文件明确提到相关改革方向（私营部门接受自愿、税款以美元等），你应在风险评估与客户条款中体现“政策变化管理机制”。

Q60：是否需要建立“重大事件报告机制”？

A：强烈建议：

黑客攻击/资产损失
数据泄露
系统宕机
重大合规违规
关键人员变更
并预设“对监管/对客户通报”的触发阈值与模板。

Q61：记录保存要保存多久？保存什么？

A：交付级建议按金融同业高标准：

KYC/EDD 全套材料
交易记录、订单簿、撮合日志
钱包签名与审批日志
风控规则触发记录
STR 决策记录
并确保可导出、可审计、可防篡改（WORM/哈希固化）。

Q62：是否必须做 IT 安全与渗透测试？

A：强烈建议至少每年一次，重大上线/改版必须复测。并出具：

漏洞清单
修复证据
复测通过证明

Q63：是否需要 BCP/DR（业务连续性/灾备）演练？

A：必须准备并可演示：

RTO/RPO
异地备份
恢复演练记录
关键岗位应急通讯录

Q64：外包（Outsourcing）如何合规？

A：交付级外包治理至少包括：

尽调（资质、审计、制裁、数据安全）
合同关键条款（审计权、数据权、应急切换、SLA）
持续监控（季度评估、事故通报）

Q65：能否用“白标交易所系统”快速上线？

A：可以，但监管会问：

你是否真正控制关键风险点
私钥/钱包控制权归谁
日志与数据能否取证
因此必须补齐“控制权证据链”。

Q66：若采用第三方流动性/做市，监管关注点是什么？

A：

利益冲突披露
价格操纵风险
关联方交易
订单簿透明度与监控

Q67：上币（Listing）治理需要什么？

A：交付级必须有：

上币评审委员会机制
尽调清单（团队、合约审计、代币分配、合规风险）
退市机制与触发条件
信息披露模板

Q68：是否允许衍生品/杠杆/合约交易？

A：需谨慎。若提供衍生品，往往触及更高风险与更严格监管预期。建议先以现货/低风险产品获批，再评估扩展。

Q69：如何证明“持续经营能力”？

A：建议提供：

12–24 个月财务预测
资本充足与现金流压力测试
关键成本（合规、人力、系统、安全、审计）预算
资金来源证明（SoF）

Q70：监管最不喜欢看到什么？

A：

业务边界模糊
钱包控制权不清
AML 只有口号没有规则
外包“甩锅式”安排

Q71：如何降低 RFI（补件）轮次？

A：以“证据驱动交付”：

每个制度条款配截图/日志样例
每个关键流程配流程图
每个控制点配责任人（RACI）

Q72：是否需要与银行/支付机构预对接？

A：强烈建议。没有合规出入金与账户安排，交易平台很难稳定运营。交付包里应写明：合作模型、资金隔离、对账、退款/争议处理。

Q73：如何处理客户冻结与资金扣押？

A：制度应明确：

冻结触发条件（制裁命中、诈骗举报、风险评分阈值）
内部审批层级
解除冻结条件
与执法协作流程

Q74：如何处理客户数据（LGPD 类似逻辑）？

A：需建立隐私政策、最小化原则、访问控制、数据跨境传输治理与泄露响应机制（并与 AML 留存义务平衡）。

Q75：是否需要公开披露费用与风险？

A：是。交付级客户条款必须做到：

费用表透明（交易费、提币费、点差等）
风险揭示可读
争议解决机制清晰

Q76：若发生被盗/黑客事件，第一时间做什么？

A：

启动事件响应（IR）
暂停高风险功能
资产隔离/转移到安全地址
证据固化（日志、链上快照）
启动监管与客户通报评估

Q77：持续监管下，哪些事项必须“变更申报”？

A：建议按高标准处理：

控制权变更、股东变更
高管/MLRO 变更
业务范围重大扩张
钱包架构或托管模式变化

Q78：是否需要年度内审/独立审查？

A：强烈建议：

AML 独立审查
IT 安全独立评估
外包服务年度评估
并形成整改闭环。

Q79：在萨尔瓦多做数字资产业务的“底层合规逻辑”是什么？

A：先授权后经营、先证据后规模、先风控后增长。
CNAD 的登记授权机制就是要验证你是否具备“持续可控”能力。

Q80：Q1–Q400 这套 FAQ 的正确使用方式是什么？

A（交付级）：

对监管：作为“问答式合规解释书”，配套证据目录
对客户：作为“产品合规说明+风险披露”
对内部：作为培训与稽核题库（可直接转为 SOP 检查表）

第 2 页｜萨尔瓦多 El Salvador（DASP）许可证常见问题（FAQ）｜Q81–Q160

（申请条件、材料证据链、交易/托管/上币/市场监控与客户条款）
本文由仁港永胜（香港）有限公司拟定，并由唐生提供专业讲解。

A. 申请条件与适用边界（Q81–Q100）

Q81：谁可以申请成为 PSAD？个人也可以吗？

A：可以。CNAD 解释 PSAD 可为自然人或法人，前提是其日常业务包含 LEAD 第 19 条列示的一项或多项数字资产服务，并满足：

在萨尔瓦多有住所/注册地；或
不在萨尔瓦多，但积极向本国潜在客户推广或营销其服务。

Q82：什么叫“积极推广/营销到萨尔瓦多客户”？

A：交付建议把“是否触达本国市场”拆成可证据化指标：

西语本地落地页/广告投放
本地客服/社群运营
支持本地常用支付方式或银行转账路径
本地代理/地推/合作商户
如命中多项，需按 PSAD 合规设计并准备“监管可及性说明”。

Q83：如果我不做营销，但客户自己注册使用，是否仍受监管？

A：灰区。交付建议采用“风险最低表述”：

明确 Geo-fencing（地理围栏）、禁止面向萨尔瓦多投放
条款声明不面向该市场
若发现本国用户聚集，需评估是否应转入 PSAD 合规路径
因为 CNAD 的标准之一就是“是否积极推广”，但并不排除其他监管连接点（例如本地资金通道）。

Q84：我只提供“钱包地址生成工具/开源软件”，还算 PSAD 吗？

A：关键看你是否属于“日常经营提供服务”并触达资金/交易执行或控制权。交付文件中必须写清：

软件是否仅供自托管用户使用
你是否不接触私钥、不代签、不代发交易
是否不收取与交易金额挂钩的费用
并保留证据（架构、权限、日志）。

Q85：PSAD 登记后能否在全球开展业务？

A：不等同“全球通行证”。PSAD 解决的是在萨尔瓦多的合规与可展示的监管身份，但你在其他国家/地区仍可能触发当地 VASP/CASP 监管。交付建议：在商业计划里加入“跨境合规地图”。

Q86：CNAD 是否提供已登记 PSAD 的公开查询？

A：是。CNAD 设有公开登记（Registro Público）页面，可查询 PSAD（数字资产服务提供者）等登记信息，便于客户与合作方核验。

Q87：如果我已在 BCR 做了比特币服务提供者登记，是否等于已经合规？

A：不等于。BCR 的登记页面明确提示：登记不代表授权运营。因此需要区分：

BCR Bitcoin Registry 的登记属性；
CNAD PSAD 在 LEAD 下的登记/授权属性。

Q88：PSAD 能否同时覆盖“比特币业务 + 其他数字资产”？

A：通常可在“数字资产服务”层面覆盖比特币相关服务，但涉及比特币支付生态或特定登记要求时，仍建议在项目架构里做“双轨对齐”（CNAD + BCR），并在合规说明书中明确“我们采取的合规组合与边界”。

Q89：PSAD 是否区分“注册”与“牌照”两种级别？

A：CNAD 的官方流程用语更偏向“登记与授权（registro y autorización）”，并以“有利/不利决定 + 缴费 + 赋予登记座位（asiento registral）”方式完成登记。
对外可称“持牌/获授权”，对内建议坚持官方术语避免误称。

Q90：申请被拒是否会留下永久不良记录？

A：CNAD 明确：不利决定后，申请人可以重新提交申请。
交付建议：建立“拒绝原因—整改—证据”闭环，重投时随包提交整改对照表，显著提升二次通过率。

Q91：获得有利决定后必须做什么？

A：CNAD 流程明确：收到有利决定通知后，申请人需在10 天内缴纳初始登记费 USD 5,475，然后 CNAD 出具登记与授权证明并完成登记座位。

Q92：如果 10 天内未缴费会怎样？

A：交付级处理：将其视为“关键合规时点（critical deadline）”。建议在项目管理里提前准备：

付款账户与内部审批
发票/收据留存
若遇不可抗因素，提前与 CNAD 沟通书面延期（如允许）。

Q93：PSAD 的费用只有 5,475 美元吗？

A：不是。那是初始登记费（官方费的一部分）。完整预算需拆分：

官方费（含登记相关费用）
法律/合规交付费
IT 安全与渗透测试
AML/KYC 与链上监控工具
钱包/托管基础设施与审计
官方费只是门槛。

Q94：CNAD 是否公开“适用法规与规章清单”？

A：是。CNAD 的“Marco Legal（法律框架库）”列示：LEAD、PSAD 规章、稳定币公开发行相关规章、以及 PSAD 指引等。交付文件建议用该清单做“条款映射目录”。

Q95：PSAD 需要本地办公室或实体存在（substance）吗？

A：LEAD 对“在境内/境外但积极营销”均纳入 PSAD 概念。
实务交付建议：即使采用境外主体，也应提供“可监管触达的负责人 + 可取证的数据/日志 + 可执行的服务地与管辖安排”，并准备本地合规联系人。

Q96：是否必须在萨尔瓦多设立公司才能申请？

A：从 CNAD PSAD 概念看，不以“必须本地公司”作为唯一条件；但若你不在本地，且对本国市场进行积极营销，也会触发监管范围。
交付建议：若业务要做法币通道、面向零售、或需要银行合作，通常设立本地载体更稳。

Q97：PSAD 是否要求披露 UBO（最终受益人）？

A：交付级标准：必须准备 UBO 穿透披露与资金来源（SoF）/财富来源（SoW）逻辑链（即使表格未明确要求，也能显著降低问询）。这是国际 VASP 审查共通重点。

Q98：PSAD 是否要求董事/高管“适当人选（Fit & Proper）”？

A：交付级建议：按 Fit & Proper 体系准备：

身份、履历、资格证明
诚信声明/无重大违法记录
过往监管处罚披露（如有）
利益冲突声明与缓释
并把职责矩阵（RACI）写入治理手册。

Q99：PSAD 是否可以先申请“低风险范围”再扩展？

A：强烈建议采用“分阶段授权策略”：

先获批现货撮合/经纪等低风险模块
稳定运营与形成审计证据后
再扩展托管、稳定币、复杂产品等高风险模块
（并在扩展时提交变更说明与风险评估更新）。

Q100：一句话总结 PSAD 的监管逻辑是什么？

A：CNAD 要看到：你不仅“写得合规”，而且“跑得合规、能被审计、出事能追责”。

B. 申请材料与“证据链”交付标准（Q101–Q120）

Q101：交付级申请包建议的“主文件目录”是什么？

A（交付级清单）：

业务说明书（商业模式 + 监管边界声明）
AML/CFT 手册（含风险评估、KYC/EDD、监控、STR、名单筛查）
托管与资产保护制度（如适用）
IT 安全与数据治理（含日志、权限、渗透测试、BCP/DR）
公司治理（董事会/高管职责 + 三道防线 + 值勤安排）
外包治理（尽调、合同条款、审计权、应急切换）
客户条款与风险披露（含费用表）
并配套“法规条款映射表（Law-to-Policy Mapping）”。

Q102：CNAD 对“材料质量”最敏感的地方是什么？

A：

业务边界是否自洽（你到底做什么、不做什么）
钱包/私钥控制权是否清晰
AML 监控是否“有规则、有阈值、有证据”
外包是否“可控、可审计、可切换”

Q103：什么叫“证据链（Evidence Pack）”？

A：除制度文本外，你还要提供：

系统截图（KYC、订单、风控、报警、STR 工单）
日志样例（登录、权限变更、签名、提币审批）
钱包签名流程演示脚本（含双人复核/多签/MPC）
对账样例（链上余额 vs 内部账）
监控规则样例（触发阈值与处置动作）

Q104：仅提交制度文件不提交系统证据可以吗？

A：风险很高。CNAD 的登记/授权流程本质是确认“你具备实际运营能力”，缺少证据通常会触发补件问询与拖延。

Q105：业务说明书（Business Model Memo）应包含哪些“必须点”？

A：

产品清单与服务边界
客户类型（零售/机构）
资金流/币流/权限流三图合一
收费模式（费用表）
风险评估摘要与风险缓释
外包清单与控制点
重大事件响应与客户沟通策略

Q106：什么是“资金流 + 币流 + 权限流三合一图”？

A：把以下三条线合并呈现：

法币资金：客户入金→存放账户→出金路径
数字资产：充值地址→热/冷钱包→提币路径
权限审批：谁能创建地址、谁能签名、谁能放行提币、谁能改单
监管最怕“控制权不清”。

Q107：是否必须提交组织架构与职责矩阵（RACI）？

A：强烈建议。交付级 RACI 至少覆盖：

KYC 审核/EDD 决策
AML 规则维护与报警处理
提币审批与私钥管理
上币审核与退市
事件响应与对外通报

Q108：合规负责人/MLRO 的任命文件应怎么做？

A：建议形成三件套：

董事会决议/任命书
职责说明书（Job Description）
值勤安排与替补机制（Duty Roster）
并配“独立性声明”。

Q109：外包尽调（Vendor Due Diligence）最少要做到什么程度？

A：交付级底线：

资质/注册信息
安全审计或合规证明
制裁与声誉筛查
数据保护能力
事故通报与应急响应能力

Q110：外包合同最关键的“四个条款”是什么？

A：

审计权（Audit Right）
数据访问与导出权（Data Access/Portability）
SLA 与事故通报时限
应急切换与退出（Exit Plan）

Q111：是否需要准备“内部审计/独立审查计划”？

A：建议准备年度计划：

AML 独立审查（至少年度）
IT 安全评估/渗透测试
钱包与资产对账审计
并形成整改闭环模板。

Q112：KYC 资料清单建议怎么做才“交付级”？

A：建议按客户分层列清单：

L1 零售：身份证明 + 基础信息
L2 零售：住址证明 + 资金来源声明
L3 高风险：SoF/SoW + 额外文件 + 高管审批
机构：公司注册文件、董事/UBO 穿透、审计报表、董事会开户决议等

Q113：如何把 AML “写成能运行的制度”？

A（交付级写法）：不要写“我们会监控”。要写：

监控字段（金额、频率、地址风险、设备指纹等）
阈值（例：7 日内提币次数≥X；链上风险评分≥Y）
动作（冻结/EDD/拒绝/报送 STR）
责任人（第一道/第二道/MLRO）
记录留存（工单与决策理由）

Q114：是否需要链上风险评分工具？

A：强烈建议，尤其是交易/托管/跨境。交付里需解释：

风险评分逻辑
名单来源（制裁、诈骗、暗网、混币器等）
误报处置与复核机制

Q115：日志与记录保存（Recordkeeping）需要哪些“不可篡改”措施？

A：交付级建议采用：

WORM 存储或哈希固化
日志集中化（SIEM）
权限分层（不可自删改）
定期抽检与审计报告
确保“可追责”。

Q116：渗透测试（Pen-test）要怎么交付才有说服力？

A：

第三方报告（漏洞分级、影响范围）
修复证据（补丁、配置变更、代码修复）
复测通过证明
并把高危漏洞整改纳入董事会风险议程。

Q117：BCP/DR（业务连续性/灾备）至少要包含哪些指标？

A：

RTO/RPO
关键系统清单（撮合、钱包、KYC、风控、报表）
演练频率与演练记录
客户沟通与公告模板

Q118：申请时如何证明“持续经营能力”？

A：交付级建议提供：

12–24 个月预算与现金流预测
合规成本明细（人员、系统、安全、审计）
资金来源证明与注资安排
压力测试情景（黑客事件、银行通道中断、币价剧烈波动）

Q119：材料中最容易触发补件（RFI）的 5 个点是什么？

A：

业务边界模糊
钱包控制权不清
AML 规则“无阈值无动作”
外包缺尽调与合同关键条款
数据/日志保存不可取证

Q120：一句话定义“交付级申请包”标准？

A：制度可执行、系统可验证、责任可追溯、风险可量化。

C. 交易平台/托管/上币/市场监控与客户条款（Q121–Q160）

Q121：如果我运营现货交易平台，监管最关心什么？

A：

市场公平性（操纵、虚假交易、洗盘）
订单与撮合透明度（订单簿、撮合日志）
资金与资产安全（托管、提币控制）
AML 与链上监控（黑钱流入流出）
客户披露（费用、风险、争议处理）

Q122：撮合引擎（Matching Engine）需要保留哪些证据？

A：

订单生命周期日志（创建/修改/撤销/成交）
时间戳与排序规则（公平撮合）
异常处理（宕机、回滚、重启）
交易对参数变更记录（涨跌幅、最小单位等）

Q123：如何证明没有“暗箱插队/内部优先成交”？

A：交付级做法：

撮合规则写入制度并固化配置
关键参数变更需双人审批
抽样审计订单日志（可复算成交顺序）
若存在做市账户，必须隔离与披露

Q124：是否必须有市场监控（Market Surveillance）？

A：强烈建议。至少具备：

Wash trading 检测
拉盘砸盘（pump & dump）
关联账户对敲
异常波动触发熔断/限制措施
并保留调查工单与处置记录。

Q125：如果我提供做市/流动性服务，会不会引发利益冲突？

A：会。交付必须写清：

做市账户标识与隔离
禁止利用未公开信息
手续费返还/激励规则披露
监控做市异常行为与惩戒机制

Q126：上币（Listing）治理制度的“交付级结构”是什么？

A：三件套：

上币评审委员会章程
上币尽调清单（项目、团队、合约审计、分配、法律风险）
退市机制（触发条件、公告流程、客户保护）

Q127：上币尽调至少要审哪些风险？

A：

代币分配与解锁（是否高度集中）
合约安全（审计报告、漏洞历史）
项目方与关联方背景（制裁、诈骗、诉讼）
合规属性（是否可能构成证券型/高风险发行）
市场操纵风险（拉盘、黑号）

Q128：退市（Delisting）触发条件应该怎么写？

A：建议包含：

重大安全事件（合约被盗、私钥泄露）
项目方欺诈/失联
监管或执法要求
流动性枯竭与持续异常波动
并设定：公告期、提现期、客户沟通话术与赔付/争议处理路径。

Q129：托管（Custody）被视为高风险模块吗？

A：是。托管会让监管关注“客户资产能否被挪用”。交付必须把控制点做硬：

私钥管理方案（MPC/HSM/多签）
权限分层与双人复核
热/冷钱包策略与限额
日对账与异常处置
资产隔离与破产隔离逻辑

Q130：自托管（Non-custodial）钱包是否就不需要高标准？

A：仍需。因为你可能仍控制：

前端交易路由
风险提示与黑名单
关键更新发布（供应链安全）
建议提供：签名发布、代码审计、漏洞响应机制。

Q131：热钱包与冷钱包的比例怎么设定更合理？

A：交付级建议按风险与流动性分层：

冷钱包：绝大部分储备
热钱包：满足日常提币流量，设置上限与自动回补
并规定：超过上限需人工审批与多签放行。

Q132：提币（Withdrawal）风控需要哪些必备动作？

A：

新地址白名单/延迟生效
大额提币二次验证与人工复核
风险评分触发冻结（链上/账户/设备）
异常登录与设备指纹检测
黑名单地址拦截与 STR 升级流程

Q133：如何处理“误报冻结”避免客户纠纷？

A：交付级机制：

冻结原因分类与可解释字段
复核 SLA（例如 24–72 小时）
补充材料清单
解除冻结条件
全流程留痕（工单与审批记录）

Q134：交易平台是否需要“资产证明（Proof of Reserves）”？

A：强烈建议作为加分项（尤其含托管）。交付可提供：

定期链上余额披露
Merkle Tree 客户资产证明（可选）
第三方审计对账报告
提升银行与客户信任。

Q135：客户资产与公司自有资产如何隔离？

A：交付级要求：

链上地址分层（客户池/运营池/手续费池）
内部账本隔离
对账制度（每日）
禁止挪用条款与监控（异常转账报警）

Q136：费用表（Fee Schedule）应怎样披露才合规？

A：必须“可读、可核算”：

交易手续费（maker/taker）
提币费与动态规则
充值费（如有）
点差/报价机制（OTC/经纪）
并提示：费用可能调整，调整需提前公告。

Q137：客户条款（T&C）必须包含哪些监管友好条款？

A：

风险披露（价格波动、技术风险、托管风险）
客户责任（私钥、账户安全、信息真实性）
平台责任边界（不可抗力、链分叉、网络拥堵）
争议解决与投诉机制
冻结与执法协作条款
数据处理与隐私政策

Q138：是否需要建立“客户适当性/不当销售”机制？

A：建议建立（尤其零售客户）：

风险测评问卷
杠杆/高风险资产限制（如适用）
新手冷静期或交易限额
关键风险二次确认
降低投诉与监管风险。

Q139：广告与营销（Marketing）有哪些合规注意点？

A：交付建议：

禁止收益承诺、避免误导
风险提示必须显著
KOL/代理推广需纳入第三方管理与审计
重要条款与费用不可隐藏
并保留广告素材存档与审批记录。

Q140：是否需要投诉（Complaints）机制？

A：必须。交付级应定义：

受理渠道（工单/邮箱/热线）
分级与 SLA
赔付/纠纷处理原则
数据统计与整改闭环
并可纳入年度合规报告。

Q141：KYC 通过后是否还要持续监控（Ongoing Monitoring）？

A：必须。包括：

名单/制裁持续筛查
地址风险动态评分
行为异常检测
客户资料定期更新（KYC Refresh）

Q142：如何处理“高风险国家/地区客户”？

A：交付级做法：

直接拒绝（如制裁/禁区）或
强化 EDD（SoF/SoW、交易限额、人工复核）
并设定“业务不服务清单”。

Q143：如何把 STR（可疑交易报告）机制做成可交付？

A：四件套：

STR 触发清单（规则+阈值）
调查工单模板（证据、链上截图、理由）
MLRO 决策记录模板
复盘与规则更新机制
确保“可追责”。

Q144：如果发生黑客攻击或资产损失，第一时间做什么？

A：交付级 IR（事件响应）应定义：

立即止损（暂停提币、隔离系统）
证据固化（日志、链上快照）
内部升级（董事会/高管/MLRO）
监管与客户通报评估
修复与复测
并形成“事件报告模板”。

Q145：是否需要“重大变更管理（Change Management）”制度？

A：必须。包括：

代码发布审批（双人复核、回滚）
关键配置变更审批
变更窗口与公告
变更后监控与复盘
降低系统性事故风险。

Q146：如何处理链分叉（Hard Fork）或网络拥堵？

A：交付机制：

分叉监测与评估委员会
暂停充提与恢复条件
新链资产处理原则
客户公告模板与风险声明

Q147：平台是否需要对“刷量/对敲”做处罚？

A：建议明确：

识别规则
处罚梯度（警告、限制、冻结、关停）
可申诉机制
并保留证据以应对客户争议。

Q148：如何处理“内幕信息/员工交易”风险？

A：交付级制度：

员工账户申报与监控
禁止在特定窗口交易（上币前后）
关联方交易披露
违规处分机制

Q149：是否需要建立“利益冲突（COI）”制度？

A：必须。尤其涉及：

项目方上币费
做市合作
关联公司导流
需披露与缓释（隔离、审批、审计）。

Q150：是否需要建立“数据留存与监管取证”机制？

A：必须，且要可导出：

订单簿与撮合日志
KYC 档案与审核记录
提币审批与签名日志
风控报警与处置工单
满足审计与调查需要。

Q151：如果我只做 OTC，经纪报价如何合规？

A：交付级应披露：

报价来源（市场价/指数）
点差与费用构成
交易确认与回执
反操纵与异常报价控制
并对大额交易设置人工复核。

Q152：是否可以代客下单或托管代操作？

A：高风险。建议避免；如必须做，需强化：

授权委托文件
录音/留痕
双人复核
利益冲突披露
并准备更强的监管解释。

Q153：是否需要对客户做“教育与风险提示”？

A：建议建立教育内容库：

新手教程
风险提示视频/弹窗
常见诈骗提醒
降低投诉与欺诈损失。

Q154：如何防止账户被盗与 SIM 换卡攻击？

A：交付级安全措施：

强制 MFA（最好非短信）
设备指纹与异常登录报警
提币地址白名单与延迟
风险触发冻结与复核

Q155：平台是否需要与执法机构协作机制？

A：必须准备：

来函验证流程
冻结与解冻操作规范
数据导出与证据链固化
保密与客户通知规则（视法律允许）

Q156：如何处理客户资金纠纷与退款？

A：交付机制：

适用场景（误转、欺诈、重复扣费）
处理流程与 SLA
必要材料清单
决策与记录留存
避免随意性。

Q157：是否需要定期向 CNAD 提交报告？

A：CNAD 提供的是登记/授权与监管框架，具体持续报告要求取决于适用规章与监管沟通口径；交付建议先按高标准建立“季度/年度合规包”，以便随时响应监管问询。

Q158：哪些事项建议“主动向监管报备”？

A：交付建议至少包括：

控制权/股权重大变更
关键高管/MLRO 变更
托管模式或钱包架构重大调整
重大安全事件
并准备标准化报备模板。

Q159：如何让银行/支付合作方更愿意合作？

A：把合规做成“可审计产品”：

AML 手册 + 风险评估
交易与资金流图
资产隔离与对账制度
安全测试报告
公开登记可核验（CNAD Registry）

Q160：本页终极总结是什么？

A（收束）：萨尔瓦多 PSAD 的“交付级”关键，不在“写得漂亮”，而在“控制权清晰 + 证据链完整 + 监管可沟通”。

第 3 页｜萨尔瓦多 El Salvador（DASP）许可证常见问题（FAQ）｜Q161–Q240

主题聚焦：持续合规（Ongoing Compliance）｜变更/报告｜审计与取证｜风控与运营韧性｜违规与补救

D. 持续合规与日常运营（Q161–Q180）

Q161：PSAD 获登记/授权后，最核心的“持续义务”是什么？

A：把“申请包里写的制度”跑成“可审计的日常运营”：KYC/EDD 执行、持续监控、告警工单、提币审批、日志留存、外包审计、事件响应都要能出证据链（工单+日志+审批记录+复盘）。

Q162：PSAD 是否需要持续更新登记信息？

A：是。实务上，公司信息/关键人员/联系方式/业务范围等发生变化应及时更新并留存“变更申请+审批+版本记录”。（建议建立“10 日内报备”内部SLA；并以官方透明度文件中关于变更时限提示为参考口径。）

Q163：哪些变更应被视为“重大变更（Material Change）”？

A：交付建议把重大变更清单写入制度，并触发董事会审批：

控股权/UBO 变化、董事/CEO/合规负责人/MLRO 变更
托管模式、私钥管理方式、热/冷钱包策略重大调整
新增高风险业务（托管、平台撮合、衍生品等）
外包关键供应商更换（KYC、链上监控、托管、云服务）

Q164：是否需要年度合规计划（Annual Compliance Plan）？

A：强烈建议。年度计划至少包含：培训、内审/独立审查、AML 规则复核、渗透测试/安全评估、外包审计、应急演练、制度更新与董事会汇报节奏。

Q165：是否需要“季度治理报告/风险报告”？

A：建议。交付级“季度包”可固定栏目：新增客户分层、EDD 数量、告警量与处置时效、STR（如适用）统计、重大事件与整改、外包 SLA、资产对账差异与解释。

Q166：PSAD 是否必须建立“合规独立性”？

A：建议按“三道防线”：业务自控（第一道）、合规/风控（第二道）、内审/独立审查（第三道）。合规负责人/MLRO 要具备否决权与直达董事会的报告路径。

Q167：员工培训最低要做到什么程度才算“可交付”？

A：至少要有：年度培训计划、课程大纲、签到与测验、案例演练（诈骗/制裁/可疑交易）、岗位专项培训（客服、风控、财务、技术、运营）和培训后整改闭环。

Q168：如何证明 KYC 真正执行，而不是“纸面制度”？

A：准备 Evidence Pack：抽样客户档案（去敏版）、EDD 决策记录、名单筛查截图、风险评分、更新记录（KYC refresh）、拒绝/终止客户的工单与理由。

Q169：PSAD 是否需要“客户适当性/风险测评”？

A：建议对零售客户建立风险测评与分级交易权限（尤其当你提供高波动资产、复杂产品、杠杆/借贷时），并将测评结果与限额/提示联动，降低误售争议。

Q170：客户资产与公司资产隔离要怎么“落地证明”？

A：

钱包地址与内部账本分池（客户池/运营池/手续费池）
每日对账（链上余额 vs 内部账）
异常差异工单与复盘
禁止挪用条款 + 监控规则（异常转账报警）

Q171：如何搭建“反欺诈（Fraud）+ AML”一体化监控？

A：交付建议双轨：

账户行为风控（设备指纹、异常登录、IP/地理跳变、频繁改密）
链上风险风控（地址风险评分、制裁名单、混币器/高危服务）
触发后走统一工单（冻结→EDD→MLRO 决策→处置/恢复）。

Q172：PSAD 是否需要保存交易与客户记录？

A：需要，且要“可取证”。建议采用集中日志（SIEM/集中审计）、WORM/哈希固化、权限分层（不可自删改），并定义最短留存期限与导出格式（CSV/PDF/原始日志）。

Q173：托管（Custody）与非托管（Non-custodial）合规重点有什么不同？

A：托管重点是“控制权+资产保护”：私钥管理、多签/MPC、热冷策略、提币审批、对账、破产隔离。
非托管重点是“路由与前端风险”：黑名单拦截、风险提示、供应链安全（代码发布签名）、漏洞响应。

Q174：平台撮合业务必须具备哪些“市场公平性”机制？

A：订单日志全量留存、撮合规则固化、参数变更双人审批、反刷量/对敲检测、异常波动熔断/限制、做市账户隔离与披露。

Q175：是否需要证明“持续经营能力（Going Concern）”？

A：建议持续保留：12–24 个月预算与现金流、资本与注资安排、合规成本明细、安全/审计预算、压力测试情景与应对（银行通道中断、黑客事件、极端波动）。

Q176：与银行/支付通道合作的合规材料“最小可交付包”是什么？

A：公司与 UBO 文件、AML 手册与风险评估、资金流/币流/权限流三图、资产隔离与对账制度、事件响应流程、公开登记可核验截图（CNAD Registro Público）。

Q177：是否必须公开披露费用表与关键风险？

A：强烈建议。客户条款需清晰披露：交易费、提币费、点差/报价机制（OTC）、潜在中断/分叉风险、冻结与执法协作条款、投诉与争议解决路径。

Q178：广告营销最常见合规雷区是什么？

A：收益承诺、淡化风险、隐藏费用、KOL/代理不受控。交付建议：营销素材审批流程、风险提示固定模板、第三方推广合约审计权与问责条款。

Q179：如何建立“数据隐私与跨境数据传输”合规？

A：交付建议：数据分级、最小化采集、加密与访问控制、跨境传输评估与合同条款、删除/更正机制、事件通报与取证保全策略。

Q180：持续合规一句话抓手是什么？

A：把每个关键控制点做成：触发条件 → 责任人 → 动作 → 记录留痕 → 复盘更新。

E. 监管沟通、报备与公开登记（Q181–Q200）

Q181：CNAD 的公开登记（Registro Público）能做什么？

A：用于市场核验：合作方/客户可在 CNAD 公共登记中查询“PSAD 已登记实体”。交付建议：在官网、BD、投标材料放置登记页截图与链接，增强信任。

Q182：PSAD 的定义与触发条件在哪里能找到官方口径？

A：CNAD “PSAD”页面与 LEAD 官方 PDF 均明确：PSAD 可为自然人或法人；在境内或境外但积极推广/营销到本国客户，也会纳入。

Q183：CNAD 的登记/授权流程关键节点有哪些？

A：核心节点：提交申请 → 监管评估 → 有利/不利决定 → 有利决定后 10 天内缴纳 USD 5,475 初始登记费 → CNAD 出具登记与授权证明并完成登记座位。

Q184：如果被拒绝，是否可以再次提交？

A：可以。CNAD 明确不利决定后，申请人可重新提交申请。交付建议：做“拒绝原因—整改—证据”对照表再递交。

Q185：PSAD 与 BCR Bitcoin Registry 的关系如何理解？

A：BCR 的比特币服务提供者登记页面提示“登记不等于授权运营”，因此在对外材料中必须区分：CNAD 的 PSAD 登记/授权 vs BCR 的 Bitcoin 服务提供者登记。

Q186：如果我们同时做比特币服务与其他数字资产业务，合规组合怎么设计？

A：交付建议“双轨对齐”：以 CNAD PSAD 为主（覆盖数字资产服务边界），并对照 BCR 登记义务（若业务触发）。在制度中列“适用法规清单+边界声明+流程映射”。

Q187：是否需要指定对监管机构的官方联络人？

A：建议指定并固化：Regulatory Liaison（法务/合规）与 Technical Contact（技术安全）。所有监管来函、补件、会议纪要统一归档，避免口径漂移。

Q188：如何准备监管问询（RFI）更高通过率？

A：三件套：

RFI Response Log（问题—回答—附件编号）
Evidence Pack（截图/日志/样例记录）
版本控制（制度/系统变更记录）
让监管“一眼能验证”。

Q189：哪些事项建议“主动报备”而不是被动等问？

A：控制权/UBO 变化、关键高管/MLRO 变更、托管/钱包架构重大调整、重大安全事件、外包关键供应商变更、业务范围扩展（新增高风险模块）。

Q190：是否需要保存与监管沟通的证据？

A：必须。包括：邮件、递交回执、会议纪要、电话记录摘要、补件材料清单、缴费凭证、最终批复文件。

Q191：缴费凭证与官方证明要如何归档？

A：交付建议“合规主档案夹”固定结构：

01_牌照批复与登记证明
02_官方费用与收据（含 USD 5,475）
03_递交材料版本库
04_RFI 往来与纪要
05_年度/季度合规报告

Q192：CNAD 是否提供“法律框架/规章清单”入口？

A：CNAD 官网提供法律框架（Marco Legal）与登记指引入口，交付建议把其作为“法规底座引用”，并做条款映射表。

Q193：如果业务范围改变（例如新增托管），是否需要重新申请？

A：建议视为重大变更处理：提交变更说明、更新风险评估、补充制度与系统证据，避免“超范围运营”风险。

Q194：如何避免对外宣传“误称为全面牌照/国家背书”？

A：建议用官方术语：Registro/Autorización como PSAD（登记/授权），并避免“政府担保/官方背书收益”等表述；同时保留登记查询信息供核验。

Q195：公开登记信息与隐私冲突如何处理？

A：把公开信息与敏感信息分层：公开登记仅展示必要字段；内部 KYC/交易数据严格权限控制与最小化访问，留存访问日志。

Q196：是否建议建立“监管日历（Regulatory Calendar）”？

A：强烈建议：登记续费/年费（如适用）、合规报告、审计、培训、渗透测试、外包复核、BCP 演练、KYC refresh 周期等全部上日历。

Q197：如果监管要求现场/线上演示系统，如何准备？

A：交付建议准备“演示脚本”：
KYC→风险评分→下单→撮合日志→提币审批→链上风险拦截→告警工单→报表导出→日志取证（不可篡改证明）。

Q198：监管最常要求的“3 类导出报表”是什么？

A：

客户与KYC：分层、EDD、拒绝/终止
交易与风控：异常交易、告警、处置时效
钱包与资产：热冷余额、对账差异、提币审批链路

Q199：若监管要求提供“可疑地址/可疑客户”处置记录，应如何呈现？

A：用工单闭环：触发规则→证据（链上截图/评分）→临时措施（冻结）→EDD→MLRO 决策→最终处置→复盘与规则更新。

Q200：监管沟通的底层原则是什么？

A：少口头、多证据；少概念、多流程；少承诺、多可验证输出。

F. 违规、处罚风险与补救（Q201–Q220）

Q201：无登记/授权运营的风险是什么？

A：CNAD 官网明确提示：未获批准运营属于违法，并可能受到 LEAD 规定的制裁。交付建议：对外推广前完成合规路径评估，避免“先跑后补”。

Q202：什么行为最容易被认定为“未获批准运营”？

A：在萨尔瓦多市场积极营销、接受本国客户、提供交易/托管/经纪等服务，但未完成 CNAD 的登记/授权流程。

Q203：如果发现历史上已触达本国客户，如何补救？

A：交付级补救路线：

立即暂停面向本国营销与新客
进行客户与交易回溯（KYT/KYC 补齐）
建立整改计划（制度+系统）
尽快推进登记/授权并准备说明信（Remediation Letter）

Q204：被拒绝/被要求整改最常见的原因有哪些？

A：业务边界不清、托管控制权不明、AML 规则缺阈值与动作、外包不可控、日志不可取证、资金来源/UBO披露不足。

Q205：如何把“整改”做成监管喜欢的格式？

A：提供“整改对照表”：缺陷→根因→整改动作→完成日期→证据编号→负责人→复测/复核结果。

Q206：如果发生黑客事件导致客户损失，合规补救重点是什么？

A：止损（暂停提币/隔离系统）→证据保全（日志固化）→客户沟通与补偿评估→安全修复与复测→规则更新与培训→董事会复盘决议。

Q207：客户投诉大量涌入会触发监管风险吗？

A：会。交付建议：投诉分级、SLA、统一话术、赔付原则、重复问题根因整改、季度汇总给董事会；必要时主动向监管解释整改。

Q208：若被指控市场操纵（刷量/对敲），应如何自证？

A：交付级自证包：市场监控规则、告警记录、处罚记录、做市账户隔离证据、撮合日志可复算证明、异常账户关联分析报告。

Q209：员工舞弊（挪用私钥/越权放行）怎么防？

A：私钥/签名权限分层、双人复核、多签/MPC、强制休假与轮岗、关键操作全量日志、异常行为告警、内审抽检与问责机制。

Q210：如果供应商（KYC/KYT/云）出问题导致停摆，如何合规应对？

A：必须有退出与切换计划：数据可导出、备用供应商、手工应急流程、客户公告模板、事件复盘与合同问责（SLA/赔付/审计权）。

Q211：若出现“制裁名单命中”，系统应怎么自动化处置？

A：自动冻结/限制→人工复核→EDD→MLRO 决策→必要时 STR/执法协作→记录留痕（证据+理由+审批链路）。

Q212：若客户拒绝提供 EDD/SoF 文件，应如何处理？

A：交付级原则：无法完成尽调即不得继续提供服务；可采取限制/终止关系，并记录决策理由与通知过程。

Q213：如何降低“误杀（False Positive）”引发的纠纷？

A：建立复核SLA、可解释字段、申诉机制、分级冻结（临时限制→增强验证→解除/终止），并全程留痕。

Q214：是否需要购买保险（网络安全/托管责任）？

A：建议作为加分项，尤其托管与平台：网络安全险、职业责任险、托管责任险；并将保险范围、免赔额、理赔流程写入风险披露与内部应急流程。

Q215：是否需要“客户资产赔付/事故基金”？

A：建议评估并在商业计划中说明：事故基金、赔付原则、触发条件与治理机制；对零售客户信任提升明显。

Q216：若出现“链上大额被盗资金流入平台”，第一反应是什么？

A：冻结相关地址与账户、保全证据、升级 MLRO、必要时报送并与执法协作，同时审查是否存在内部控制缺陷（KYT阈值、提币风控）。

Q217：平台停机/撮合异常造成客户损失，如何降低法律风险？

A：系统SLA与异常处理条款、熔断/回滚机制、公告与工单记录、复盘报告、补偿政策透明化（避免随意性）。

Q218：如果监管认为我们超范围经营，怎么办？

A：立即暂停相关功能→提交情况说明→补充申请或变更→更新制度与系统证据→客户沟通与整改复盘，避免持续违规扩大处罚风险。

Q219：如何在内部建立“合规问责”？

A：RACI + KPI（处置时效/整改闭环率）+ 违规处分机制 + 董事会定期审阅；把合规写进绩效与奖惩。

Q220：处罚风险一句话总结？

A：最大的风险不是“被问”，而是“问了拿不出证据链”。

G. 退出机制、停业/清盘与客户保护（Q221–Q240）

Q221：如果决定停止在萨尔瓦多运营，需要做什么？

A：交付建议制定 Wind-down Plan：客户公告、停止新交易、充提窗口、资产对账与清退、投诉处理、数据留存、与监管沟通归档。

Q222：Wind-down Plan 至少包含哪些模块？

A：

触发条件（停业/被盗/银行通道断）
时间表（T+0/T+7/T+30）
客户资产清退流程与优先级
关键供应商切换/退出
员工与权限收回
最终审计与报告包

Q223：停止服务时，客户资产清退应怎么做才可审计？

A：清退清单（客户余额）→对账（链上/内部账）→批量提币审批记录→交易哈希与回执→未领取资产处理规则→最终对账报告。

Q224：客户未配合（不提供地址/资料）导致无法清退怎么办？

A：制定“未领取资产处置政策”：多次通知记录、暂停服务、托管保管期限、后续申领流程与身份核验要求；避免被指挪用。

Q225：是否需要保留客户数据与交易数据到停业后？

A：需要，且要满足审计/调查可用：加密存储、权限控制、日志留存、可导出格式，并定义保存期限与销毁流程（合法合规前提下）。

Q226：停业后还要处理客户投诉吗？

A：要。投诉渠道应保留至少一个稳定入口（邮箱/工单），并设定处理SLA与记录留痕，避免集中投诉触发执法/声誉风险。

Q227：若发生破产/清算，客户资产是否可被债权人追索？

A：取决于你的资产隔离与法律结构。交付建议：客户资产与公司资产严格隔离、托管条款明确、地址分池与对账制度完善，以增强“破产隔离”可主张性。

Q228：如何在客户条款中写“平台停业/紧急暂停”条款？

A：写清：触发条件（安全事件/监管要求/系统风险）、暂停范围（交易/提币）、公告机制、客户资产处理原则、争议解决与证据留存。

Q229：停业期间是否可以继续收取费用？

A：建议在条款中限定：仅在提供实际服务时收费；停业期费用处理透明（减免/暂停/按比例），避免引发集体投诉。

Q230：如何应对媒体与舆情？

A：
交付建议建立 Crisis PR：统一发言人、事实核验流程、公告模板、FAQ、与监管沟通一致口径（避免“夸大持牌背书”）。

Q231：若要出售业务或股权转让，需要注意什么？

A：重大变更处理：UBO/控制权变化需报备并更新登记信息；买方尽调需覆盖合规制度、资产隔离、系统安全、历史告警与投诉、潜在执法风险。

Q232：业务出售时，客户数据能否直接移交？

A：需符合隐私与合同授权：条款授权、客户通知、最小化移交、数据加密、访问审计、以及买方同等安全标准。

Q233：退出前是否建议做一次独立审计/合规体检？

A：强烈建议。出具“最后一次对账与控制有效性报告”，有助于后续争议与责任切割。

Q234：如何确保退出过程中“员工不会趁乱作恶”？

A：权限收敛与冻结：关键权限双人复核、分级收回、离职即停权、操作全量日志、异常报警、强制休假与审计抽检。

Q235：退出期间如果监管来函要求提供数据，怎么做？

A：用“取证导出流程”：来函验证→范围确认→数据导出（带哈希/签名）→交付回执→内部留档→后续补充机制。

Q236：退出期间如何处理未完成订单/挂单？

A：制度需定义：统一取消/强平规则（如适用）、成交回滚条件（极端情况下）、客户通知与对账回执，避免争议。

Q237：退出期间如何避免被认定为“持续运营”？

A：停止新客与营销、限制功能、以“清退客户资产”为唯一目的运行必要系统，并保留全过程记录以证明非经营性活动。

Q238：退出机制最终要交付哪些“结案文件”？

A：

客户资产清退报告
最终对账与差异解释
投诉与争议处理汇总
事件与整改复盘
数据留存与销毁计划
与监管往来归档清单

Q239：退出做得好，对未来再申请有什么帮助？

A：监管最看重“可控退出”。规范 wind-down 能显著提升你未来在其他国家/地区申请 VASP/CASP 的信誉与可审计性。

Q240：退出机制一句话总结？

A：退出不是停止，而是“用可审计方式把风险关进笼子”，并把客户保护做到可验证。

第 4 页｜萨尔瓦多 El Salvador（DASP）许可证常见问题（FAQ）｜Q241–Q320

主题聚焦：财务/会计与税务口径｜资本与偿付能力证明｜托管与审计取证｜信息安全纵深防御｜外包治理强化｜监管检查清单

H. 财务、会计与税务口径（Q241–Q270）

Q241：交易所/经纪/OTC 在财务报表里最关键的科目是什么？

A（交付级）：至少要把以下五类分开核算、可审计：

客户资产负债（客户法币/客户数字资产）
公司自有资产（自营库存、运营资金）
交易收入（手续费、点差、上币费等）
成本费用（技术、合规、审计、安全、市场）
潜在负债（客户赔付、争议、罚款风险准备）
并在会计政策里明确“何时确认收入、如何计量库存与手续费”。

Q242：客户数字资产应如何在账面反映？

A：交付建议采用“双账本”逻辑：

链上余额（钱包地址层面）
内部客户子账（客户维度）
会计上通常体现为：客户资产与客户负债的对等列示/表外披露（依审计师建议与适用准则），核心是不得混同为公司资产，并能出具对账证据链。

Q243：自营库存（自营做市/自营交易）如何与客户资产隔离？

A：必须“地址隔离 + 账务隔离 + 权限隔离”：

自营钱包与客户池钱包不同地址体系
自营交易单独账套/成本法或公允价值法（按审计师）
禁止用客户池做自营；违规即重大合规事件

Q244：手续费收入如何确认才“可交付”？

A：按“履约点”确认：撮合成交时/经纪成交确认时/OTC 成交回执生成时。
交付要求：费用表 + 费率配置变更记录 + 订单日志可复算，保证审计可追踪到每笔收入来源。

Q245：OTC 点差（spread）收入如何披露？

A：必须可解释：报价来源（指数/多交易所中位价/自家库存成本）、点差区间、在客户确认前的最终报价锁定规则；并在客户条款里披露点差可能随市场波动变化。

Q246：上币费/技术对接费算不算收入？如何确认？

A：可，但必须写清“服务内容与交付物”：尽调、上架、技术对接、市场支持等；收入确认建议与里程碑挂钩（签约/上架/上线后稳定期），并保留交付证据（工单/上线记录/公告）。

Q247：是否需要分开核算“客户资金账户”与“运营账户”？

A：是。交付建议：

法币：客户备付/客户资金专户（如可行）与运营账户分离
数字资产：客户池地址与运营池地址分离
并建立“越权转账”监控规则与每日对账。

Q248：每日对账（Reconciliation）最少要对哪些东西？

A：交付最低标准：

链上余额（热/冷） vs 内部总账（客户汇总）
客户子账合计 vs 总账
法币收付流水 vs 客户净入金/净出金
手续费池余额 vs 手续费收入明细
并输出“对账差异清单 + 处置工单”。

Q249：如何处理链上手续费（Gas）和提币手续费？

A：建议分两层：

平台承担的链上成本（运营费用）
向客户收取的提币费（收入或冲减成本，按政策）
关键是：费用规则在客户条款明确，且系统能追溯每笔成本与收费对应关系。

Q250：如何处理“空投/分叉资产”会计与客户归属？

A：交付级必须在制度与条款写清：

平台是否支持某分叉/空投
归属原则（客户资产则归客户，平台运营池则归平台）
分发或不分发的决策机制与公告
并保留链上快照证据与分配计算表。

Q251：稳定币与法币等值资产的会计口径要注意什么？

A：重点是：锚定机制风险披露、发行方风险、脱锚风险应体现在风控政策与客户风险提示；账务上需明确计量方式、减值/公允价值变动处理（按审计师）。

Q252：客户充值不到账/重复入账如何处理？

A：交付机制：差错处理工单（发现→核验→更正→复盘），并设 SLA；对于重复入账要有“冻结并调查”策略，避免被用于洗钱或套利。

Q253：是否需要建立“财务控制矩阵（Financial Controls Matrix）”？

A：建议必须。至少覆盖：收款/付款审批、费用报销、对账、资产转移、私钥/提币审批的财务复核、异常差异升级到董事会/审计委员会。

Q254：税务上最容易踩雷的点是什么？

A：常见雷区：把客户资产误当收入、点差/手续费未区分服务地、跨境服务费用未留 transfer pricing 证据、以及营销返佣/KOL 支出未做合规票据与反舞弊审查。
（交付建议：税务结构需由当地税务顾问结合最新政策出具意见书。）

Q255：如果公司在境外，但服务萨尔瓦多客户，会有税务存在风险吗？

A：可能。交付建议准备“实质运营与服务地说明”：人员所在地、服务器/关键系统、签约主体、营销活动、收款路径，必要时做常设机构（PE）评估。

Q256：是否建议设置“合规准备金/事故基金”？

A：建议。尤其平台与托管：用于网络安全事故、赔付、法律费用。并在董事会层面制定动用条件、审批权限与披露口径。

Q257：如何证明资金来源（SoF）用于持续经营？

A：交付包应包含：注资协议/股东决议/银行流水/资金路径解释、预算表、合规与安全支出计划、压力测试情景。做到“钱从哪来、怎么用、撑多久”。

Q258：审计师会最关注哪些“可疑财务迹象”？

A：

客户资产与公司资产混同迹象
对账差异长期未清
大额手工调整频繁
上币费/市场费等大额一次性收入缺交付证据
现金流与业务规模不匹配

Q259：如何让财务报表更“监管友好”？

A：附注里加入：客户资产隔离与对账制度说明、钱包架构摘要（不泄露敏感）、重大风险披露、外包依赖与应急切换、事件与投诉统计概览。

Q260：能否用 PoR（Proof of Reserves）替代审计？

A：不能替代。PoR 是加分项，用于增强市场透明度；但审计/合规审查关注的是控制有效性、治理、记录留存与对账机制（PoR 覆盖不了全部）。

Q261：财务部门在 AML 体系中扮演什么角色？

A：交付级职责：监控异常资金流（大额/频繁/第三方代付）、对账差异触发调查、协助 MLRO 出具资金路径证据、对供应商付款做制裁筛查与反舞弊审查。

Q262：支付通道（银行/PSP）费用与返佣如何合规处理？

A：
合同必须明确服务内容、费率与结算规则；返佣应有合法依据与票据；同时对渠道合作方做尽调，避免与高风险通道合作导致 AML 风险外溢。

Q263：是否需要对“法币出入金”单独做风险评估？

A：需要。法币通道是 AML/欺诈高发点：代付、跑分、信用卡拒付、第三方转账。交付应定义：限制规则、触发阈值、退款/拒付处理、黑名单。

Q264：信用卡拒付（Chargeback）怎么做成可交付制度？

A：制度需包含：拒付分级、证据留存（KYC、IP、设备、交易确认）、冻结与回滚规则、反复拒付客户处置、与收单行沟通流程。

Q265：如何处理“客户保证金/杠杆业务”财务与风控？

A：如涉及杠杆/借贷，需单独制度：保证金计量、强平规则、风险准备金、极端行情处置、客户披露与适当性。并提示：高风险业务通常需要更高监管期望。

Q266：是否需要定期做压力测试？

A：建议至少季度：币价暴跌、挤兑提币、银行通道中断、稳定币脱锚、黑客事件。输出压力测试报告与改进清单，纳入董事会议程。

Q267：财务/税务交付文件建议有哪些？

A：

会计政策手册（含客户资产处理）
对账制度与报表模板
费用表与变更控制
预算与现金流预测模型
税务结构说明与服务地分析（需当地顾问）

Q268：如何降低“财务合规与运营割裂”的风险？

A：把财务控制嵌入系统：提币审批必须经过风控/合规/财务校验；对账差异自动生成工单；费率变更需审批并留痕。

Q269：财务口径里最关键的一句风险披露是什么？

A：客户资产不是公司资产；平台承担的是保管与执行义务，任何挪用或混同都构成重大违规与重大声誉风险。

Q270：本模块一页总结？

A：财务可交付的核心：隔离、对账、留痕、可复算；税务可交付的核心：服务地、票据链、跨境解释。

I. 资本、偿付与“可持续经营证明”（Q271–Q290）

Q271：CNAD 是否公开“最低资本金”表？

A：CNAD 公共页面更强调登记/授权流程与法律框架库（可下载 LEAD 与 PSAD 规章/指引）。是否存在具体资本阈值通常体现在相关规章/指引或个案问询中；交付建议按“高标准自证”：至少覆盖 12–24 个月运营与合规成本。

Q272：监管/银行通常如何判断“资本是否足够”？

A：看三件事：

现金与高流动性资产覆盖固定成本（月 burn rate）
极端情景下的资金缺口（压力测试）
资金来源透明度（SoF/SoW、注资路径）

Q273：平台应如何设置“运营资金最低余额线”？

A：交付建议：设定最低现金阈值（例如覆盖 6–12 个月固定开支），低于阈值触发董事会行动（削减成本/增资/暂停扩张）。

Q274：是否需要资本隔离（资本不得与客户资金混用）？

A：必须。交付制度需明确：运营资本只能用于公司支出，不得以任何形式占用客户资金或客户数字资产。

Q275：是否建议建立“资产负债表日常监控仪表盘”？

A：建议：客户净头寸、热钱包余额比例、未结算提币、对账差异、通道风险（拒付率/失败率）、投诉量、告警量等，形成管理层周报。

Q276：如果出现挤兑提币，平台应如何证明偿付能力？

A：交付证据：

热/冷钱包策略与快速回补机制
冷钱包动用审批链路（多签/MPC）
提币队列管理与公平性规则
资产对账与余额证明（含链上证据）

Q277：是否应建立“流动性危机预案”？

A：必须，至少包含：提币限额/分级放行、暂停高风险提币、沟通公告模板、与做市/流动性伙伴应急协议、董事会紧急会议机制。

Q278：稳定币脱锚时如何保护客户？

A：交付制度：风险提示、动态保证金/限额、暂停交易或提高滑点保护、异常波动熔断、客户公告与争议处理；并保留市场监控证据。

Q279：是否要设置“客户资产保险/托管保险”？

A：建议作为加分项（尤其托管）。交付需写明：覆盖范围、免赔额、理赔流程、除外责任，并避免过度宣传“兜底”。

Q280：如何证明“业务不是空壳”？

A：交付证据链：组织架构与关键岗位在岗、系统与流程可演示、合同与外包可审计、对账与日志可导出、公开登记可查询。

Q281：资本来源来自加密资产出售/ICO，会不会更难？

A：可能更敏感。交付建议提供：资金来源全路径、对手方尽调、链上证据（TX）、税务与法律意见书，确保可解释。

Q282：是否建议设置“董事会批准的费用预算上限”？

A：建议：重大支出（安全、审计、营销）设门槛；超门槛需董事会批准并留存理由，避免财务失控带来持续经营风险。

Q283：如何降低“合规成本低估”导致的失败？

A：交付预算必须把这些算进去：KYT/KYC 工具、渗透测试、独立审查、审计费、法律顾问、员工培训、外包审计、事故响应演练。

Q284：平台应如何制定“定价与费率策略”以支撑合规成本？

A：费用表要覆盖：基础运营 + 合规安全 + 审计法律。交付建议按客户类型分层定价（零售/机构/高频做市），并对高风险业务收取更高风险溢价。

Q285：是否建议公开披露部分透明度指标？

A：建议（不泄露敏感）：储备证明频率、审计周期、投诉与处理时效、重大事件披露原则，增强市场信任。

Q286：如果短期内无法实现盈利，是否影响合规？

A：不必然，但必须证明：资本充足、风险控制有效、合规执行到位；并在商业计划中展示“亏损情景下仍可持续运营”的现金流。

Q287：是否需要将资本与风险指标纳入 KPI？

A：建议：对账差异清零率、告警处置时效、拒付率、投诉关闭时效、热钱包上限触发次数等都应纳入 KPI。

Q288：资本与流动性管理一句话交付标准？

A：不靠运气扛风险：有阈值、有预案、有审批、有证据。

Q289：如何向监管解释“我们有能力安全退出”？

A：提交 Wind-down Plan（上一页已述）+ 资金安排（清退成本预算）+ 数据留存方案 + 客户公告模板 + 最终对账报告模板。

Q290：本模块总结？

A：资本不是数字，是一套“可持续经营证明”体系：预算 + 压测 + 预案 + 证据链。

J. 托管、审计取证与信息安全纵深防御（Q291–Q320）

Q291：托管业务最核心的三条控制线是什么？

A：

私钥/签名控制（多签/MPC/HSM）
提币审批链（双人复核、限额、风险触发冻结）
对账与审计（每日对账、异常工单、定期独立审查）

Q292：多签 vs MPC 如何选？

A：交付建议按“风险与可运维性”选择：

多签：透明、易解释；但密钥管理与签名协作成本高
MPC：安全性与运营效率较好；需更强供应商尽调与故障应急
无论哪种，都要有：备份、恢复、应急切换与日志留痕。

Q293：热钱包限额怎么设才“监管友好”？

A：按日均提币量与风险承受设上限；超限必须触发冷钱包回补审批；并规定“夜间/节假日”值勤安排，避免无人审核造成风险失控。

Q294：提币审批至少需要哪些角色？

A：建议“三人分权”：运营发起、风控/合规复核、签名人放行（可重叠但需审批与留痕）。大额提币升级到高管或董事会授权阈值。

Q295：如何防止“内部人盗币”？

A：分权、最小权限、强制 MFA、签名隔离、操作日志不可篡改、强制休假轮岗、异常行为告警、内审抽检与问责。

Q296：钱包地址管理（Address Management）需要哪些制度？

A：地址生成、地址标签、地址用途分层（客户充值/手续费/运营/冷库）、地址变更审批、黑名单与风险评分拦截、地址泄露应急处置。

Q297：日志（Logging）要记录哪些关键事件？

A：登录、权限变更、KYC 审核、风控规则变更、订单参数变更、提币审批、签名动作、外包访问、数据导出、系统发布与回滚。

Q298：如何做到日志“不可抵赖”？

A：集中日志（SIEM）、WORM/哈希固化、访问控制（不可自删改）、定期校验与审计抽检；并在事件响应中第一时间固化日志快照。

Q299：渗透测试与漏洞管理交付包应包含什么？

A：第三方报告、漏洞分级、修复证据、复测通过证明、以及“漏洞响应SLA”（例如高危 7 天内修复）。重大漏洞需董事会知情并记录决议。

Q300：灾备（DR）至少要达到什么可用性指标？

A：交付建议明确：RTO/RPO、主备切换流程、演练频率（至少年度）、演练记录、客户公告模板。关键系统（撮合、钱包、KYC、风控）需逐一列入 DR 范围。

Q301：如果使用云服务，监管最担心什么？

A：数据主权、访问控制、供应商故障、日志可得性、以及退出不可控。交付必须包含：云架构、加密、密钥管理、审计权、退出与迁移计划。

Q302：外包（KYC/KYT/托管/云）尽调要强化到什么程度？

A：除了基本资质与安全证明，必须增加：

SOC/ISO 等审计报告（如有）
事故通报与应急响应能力
数据导出与可迁移性
合同审计权与监管配合条款
并定期复核（至少年度）。

Q303：外包合同中必须写的“退出条款”有哪些？

A：数据可携带（格式、时间）、协助迁移义务、过渡期服务、费用上限、销毁证明、以及供应商终止服务时的应急兜底安排。

Q304：是否需要建立“安全分层架构（Zero Trust/纵深防御）”？

A：建议：网络分段、最小权限、强制 MFA、堡垒机、密钥隔离、CI/CD 安全、代码签名发布、WAF/DDOS 防护、端点检测（EDR）。

Q305：如何处理“供应链攻击”（代码被植入后门）？

A：交付机制：代码审查、依赖库扫描、构建环境隔离、发布签名、回滚机制、异常行为监控；一旦发现立即冻结发布与提币并启动取证。

Q306：数据隐私与 KYC 数据如何保护？

A：加密存储、分级授权、访问日志、脱敏展示、最小化采集、删除/更正流程、跨境传输评估与合同条款。

Q307：发生安全事件后，如何向监管/合作方证明你处理得当？

A：交付“事件包”：时间线、影响范围、止损措施、证据固化、根因分析、修复与复测、客户沟通、以及控制改进清单与完成证明。

Q308：市场监控与 AML 监控如何联动？

A：把可疑交易（刷量/对敲/异常波动）与 AML 告警统一进工单系统，避免“两套系统互不相认”。重大告警必须升级到 MLRO 与管理层。

Q309：如何准备监管系统演示（Demo）最有说服力？

A：按脚本走一遍：注册→KYC→风险分层→下单→撮合日志→提币审批→链上风险拦截→告警工单→报表导出→日志固化证明。
并准备“演示环境与真实环境一致性说明”。

Q310：监管检查（Inspection）通常会抽查哪些样本？

A：客户档案样本（含 EDD）、告警工单样本、提币审批样本、对账差异样本、外包尽调样本、漏洞修复样本、培训记录样本。

Q311：如何建立“监管检查清单（Inspection Readiness Checklist）”？

A：交付建议按 8 类：治理、AML、KYC、市场监控、托管、IT安全、外包、财务对账；每类列：制度文件、系统证据、抽样报表、负责人。

Q312：检查中最容易翻车的点是什么？

A：“制度写了但做不到”：没有工单、没有日志、没有审批链路、没有对账报告、没有整改闭环。

Q313：如何让整改闭环可视化？

A：用“整改台账”：缺陷→根因→措施→负责人→截止日期→证据编号→复测结果→关闭日期；每月提交管理层审阅。

Q314：如果监管质疑你的业务边界，你该如何回答？

A：交付级“边界包”：服务清单、不提供清单、资金/币/权限流图、系统权限截图、客户条款相关条款、以及业务实例样本。

Q315：如何证明“我们没有把登记当作政府背书”？

A：
对外统一口径使用官方术语：登记/授权；并提供公共登记查询信息供核验，避免“保证收益/政府担保”等误导性宣传。

Q316：PSAD 公共登记信息与品牌合规怎么结合？

A：交付建议：官网“合规披露页”展示登记信息、费用表、风险披露、投诉渠道、反欺诈提示；并把任何营销材料链接到该披露页。

Q317：如何把“法律框架库（Marco Legal）”用在交付文件中？

A：在制度首页列“适用法规清单”，并做条款映射（Law-to-Policy Mapping），引用 CNAD 法律框架库中可下载的 LEAD、PSAD 规章/指引作为底座。

Q318：本模块一句话交付标准？

A：安全可验证（测试+复测）、控制可追责（日志+审批）、资产可对账（每日+闭环）、外包可切换（退出+审计）。

Q319：这页到 Q320 为止的“终极提醒”是什么？

A：CNAD 的登记/授权流程强调“证书与授权”与“登记座位”，而不是只看材料美观；你要把制度做成“可运行系统”。

Q320：本页总结（给董事会/投资人一句话版）？

A：财务上做到隔离与对账，资本上做到可持续经营证明，安全上做到纵深防御与可取证——这三件事决定你能否长期持牌并获得银行与合作方信任。

第 5 页｜萨尔瓦多 El Salvador（DASP）许可证常见问题（FAQ）｜Q321–Q400

主题聚焦：续期/年费与持续监管｜变更治理与牌照边界｜处罚与风险地图｜监管检查与答辩话术｜跨境展业与全球合规对接｜交付压轴 80 问

K. 续期、年费、持续监管与“监管日历”（Q321–Q340）

Q321：PSAD 获 CNAD 登记/授权后，一定要做“年度续期/年费”吗？

A（交付级）：CNAD 官方页面明确了初始登记费 USD 5,475（有利决定后 10 天内缴纳），但不同类型主体（PSAD/Certificador/发行与其他类别）后续是否存在年费/续期安排，通常需结合 CNAD 后续规则、指引与个案通知确认。交付建议：在内部建立“监管日历”，把费用与续期作为“待确认并持续跟踪”的合规事项，以 CNAD 官方更新为准。

Q322：那最稳妥的“监管日历”应该怎么做？

A：交付建议按月度/季度固化：

月度：KYC refresh 到期清单、告警处置 KPI、对账差异清零
季度：合规与风控报告、外包 SLA 复核、压力测试
年度：独立审查/内审、渗透测试与复测、培训、BCP 演练、制度更新、董事会合规评估

Q323：监管通常怎么开展“持续监管”？会不会突然检查？

A：常见方式：文件问询（RFI）、抽样检查（客户档案/告警/对账/提币审批）、系统演示、以及在重大事件时的专项核查。交付建议：把“Inspection Ready”作为常态运行，而不是临时补作业。

Q324：我们如何证明“持续合规”不是纸面？

A：用证据链说话：
制度（Policy）→ 系统配置（Config）→ 工单闭环（Ticket）→ 报表（Report）→ 董事会纪要（Minutes）。
每个关键控制点都要能“抽样复算”。

Q325：合规负责人/MLRO 应该向谁汇报？频率如何？

A：交付建议：合规/MLRO 直达董事会或审计委员会；至少季度汇报一次，重大事件立即升级。并固定“合规例会纪要模板”。

Q326：我们要做哪些“年度强制性演练”才像一家真正合规的 VASP？

A：至少三类：

事件响应演练（黑客/数据泄露）
BCP/灾备切换演练（RTO/RPO）
合规压力测试（挤兑提币/稳定币脱锚/银行通道断）
每次演练都要输出复盘与整改清单。

Q327：是否建议每年做一次第三方独立审查？

A：强烈建议。第三方可覆盖：AML/KYC 体系有效性、链上监控、托管控制、日志取证能力与外包治理。报告用于“监管/银行/合作方”多用途背书。

Q328：平台交易与托管是否需要更频繁的安全评估？

A：建议：季度漏洞扫描、年度渗透测试、高风险变更（钱包架构/签名方案/撮合引擎）后必须复测；并将修复证据归档。

Q329：如何处理“制度更新频繁导致员工不执行”？

A：交付级做法：制度版本控制 + 强制培训 + 测验 + 关键岗位“操作指引（SOP）”落地；并用抽检与问责保证执行力。

Q330：我们是否需要建立“合规 KPI”？

A：建议至少 8 个：告警处置时效、EDD 完成率、KYC 更新及时率、对账差异清零时效、提币审批合规率、投诉关闭时效、漏洞修复 SLA、外包 SLA 达标率。

Q331：监管最关注的“持续性失败点”是什么？

A：四个：对账长期不清、提币审批形同虚设、日志不可取证、外包不可控。任何一个都可能触发重大整改或声誉/执法风险。

Q332：客户量暴增时，如何保证合规不崩盘？

A：交付建议：KYC 自动化分层（低/中/高风险）、告警规则分级与队列管理、值班制度（ROTA）、以及“可疑交易升级门槛”明确化。

Q333：是否建议建立“合规预算锁定机制”？

A：建议把合规与安全当作“不可挪用预算”：KYT/KYC 工具、安全评估、审计法律、培训演练。资金不足时优先削减市场费用而不是合规费用。

Q334：若 CNAD 要求系统演示，我们的最小演示脚本是什么？

A：注册→KYC→风险评分→下单/成交→撮合日志→提币审批→链上风险拦截→告警工单→报表导出→日志固化证明。

Q335：CNAD 公共登记（Registro Público）对我们有什么持续价值？

A：用于市场核验与信任背书：客户、银行、合作方可在 CNAD 公共登记中核验 PSAD 状态与主体信息。建议把登记核验入口放在官网合规披露页。

Q336：如果我们发现登记信息有误，怎么办？

A：立即走更正/变更流程：提交更正说明、证据文件、更新后的对外披露；并保留“提交回执—批复—版本记录”。

Q337：CNAD 对“无批准运营”的态度是什么？

A：CNAD 明确提示：无批准运营属违法，并将按《数字资产发行法》（LEAD）承担制裁风险。对外营销必须确保合规状态与口径一致。

Q338：BCR 的比特币服务提供者登记能替代 CNAD 授权吗？

A：不能。BCR 页面明确：该登记不构成运营授权，运营授权由 CNAD 发出。对外材料必须区分“登记/注册”与“授权/批准”。

Q339：我们应该怎样写对外“合规披露声明”才不踩雷？

A：使用官方术语：“注册/登记并获授权作为 PSAD”（如适用），并附公共登记可核验信息；避免“政府背书/保证收益/国家担保”等表述。

Q340：本模块一句话总结？

A：续期不只是缴费，更是把合规做成“可持续、可审计、可随时应检”的运营体系。

L. 重大变更治理、牌照边界与跨境展业（Q341–Q360）

Q341：哪些情况必须触发“重大变更治理（Material Change Governance）”？

A：控制权/UBO 变化、董事/CEO/合规负责人/MLRO 变更、托管架构与签名方案重大调整、撮合规则或风控阈值重大变更、外包关键供应商更换、业务范围新增高风险模块。

Q342：如果我们新增“托管”或“平台撮合”，需要重新申请吗？

A：交付级处理：按“重大变更”准备变更申请包（业务描述、风险评估、制度补充、系统证据、对账与提币审批链路），避免被认定超范围经营。

Q343：跨境展业（面向境外客户）会降低合规要求吗？

A：不会。你仍需满足本国监管期望，同时要兼顾客户所在地的 AML/制裁/消费者保护与数据隐私要求。交付建议做“目标市场合规矩阵”。

Q344：如果公司不在萨尔瓦多，但向本国客户推广服务，会被纳入吗？

A：LEAD 的定义框架与公开解读普遍强调：即使不在境内，只要“积极推广/营销到本国客户”仍可能触发监管边界。建议以官方条款与法律意见为准。

Q345：我们如何证明“没有主动面向本国客户营销”？

A：保留证据：营销投放地域设置、官网/APP 地理限制策略、客户注册国家筛选、拒绝客户记录、KYC 国籍/居住地统计、以及客服话术与培训记录。

Q346：上币（listing）是否属于高风险变更？

A：是。交付建议上币走“产品治理流程”：资产尽调、法律属性评估、流动性与操纵风险评估、链上风险评估、披露文件与客户提示、上线后监控与复审。

Q347：是否需要为不同业务线配置不同的合规控制？

A：需要。至少分：现货交易/OTC、托管、钱包、转账、做市/自营、机构经纪、支付/收单（如有）。每条业务线都有独立风险评估与监控规则。

Q348：能否用“免责声明”替代合规控制？

A：不能。免责声明只能降低沟通误解，无法替代 KYC、风控、对账、私钥管理等底层控制。监管与银行看的是“控制有效性”。

Q349：我们如何避免“代理/KOL 推广失控”？

A：交付级：推广合同必须包含合规条款、素材审批、禁止收益承诺、留痕与抽检、违规终止与赔偿、以及对代理客户质量的问责机制。

Q350：跨境合作（做市、流动性、托管）最容易踩什么坑？

A：未尽调对手方、资金/币流不透明、缺乏合同审计权、无法导出数据、退出不可控。交付建议：对手方尽调 + SLA + 审计权 + 退出条款四件套。

Q351：我们是否需要把“外包”纳入三道防线治理？

A：必须。外包不是甩锅。你要对外包结果负责，因此必须有：供应商准入、持续监控、年度复核、事故通报、与替代方案。

Q352：如果外包商拒绝配合监管检查怎么办？

A：合同要预先写：监管配合义务、审计权、数据导出、事故通报与赔付；否则属于重大外包风险，建议更换。

Q353：新增国家/地区客户时，合规最小评估包是什么？

A：制裁与 AML 风险、消费者保护与营销限制、税务/PE 风险、数据隐私与跨境传输、以及当地牌照豁免/许可要求（需当地律师确认）。

Q354：我们如何把“合规边界”写进客户条款？

A：
写清：服务覆盖地区、禁止地区、客户声明与承诺、平台可拒绝/限制服务的情形、以及因合规要求的冻结与协作条款，并保留通知与记录。

Q355：如果监管质疑我们的业务边界，我们如何答辩？

A：交付“边界证据包”：服务清单/不提供清单、资金/币/权限流图、系统权限截图、对外页面地域限制证据、样本客户拒绝记录。

Q356：是否建议建立“产品与变更委员会（Change Advisory Board）”？

A：建议。所有重大变更（费率、撮合参数、钱包架构、外包切换、上币）必须走 CAB 审批与留痕，避免“技术上线绕过合规”。

Q357：如何把变更做成“可审计”？

A：每次变更都要有：变更单、风险评估、回滚方案、测试/复测记录、审批链、上线时间、上线后监控与复盘。

Q358：跨境展业一条铁律是什么？

A：不要用一个国家的合规去覆盖全球：要做“合规矩阵 + 目标市场法律意见”。

Q359：我们应该如何与银行沟通“跨境资金流”？

A：交付给银行的材料应包含：资金流图、客户分层统计、KYC/EDD 规则、制裁筛查与链上监控工具说明、对账与审计计划、以及事件响应机制。

Q360：本模块一句话总结？

A：跨境是放大器：做对会放大信任，做错会放大合规风险与账户风险。

M. 处罚与风险地图、争议处理与监管问答压轴（Q361–Q400）

Q361：CNAD 对违规的总体态度是什么？

A：CNAD 公开提示：无批准运营属违法，并将按 LEAD 面临制裁风险。交付上必须把“先合规、后运营”写入公司治理红线。

Q362：最常见的处罚触发点有哪些？

A：超范围经营、客户资产混同/挪用、KYC/EDD 未执行、可疑交易处置无证据链、重大安全事件未妥善响应、误导性宣传、以及外包失控。

Q363：如何制作“风险地图（Risk Map）”交付给董事会？

A：按 5×5：发生概率×影响程度，覆盖 AML、托管安全、市场操纵、财务对账、外包、数据隐私、声誉、法律诉讼；并为每个高风险项配置控制与负责人。

Q364：客户投诉机制最低要做到什么？

A：渠道（邮箱/工单/电话）+ 分级（一般/重大）+ SLA + 证据留存 + 赔付原则 + 复盘整改。投诉数据应纳入季度治理报告。

Q365：客户争议最常见来自哪里？

A：撮合争议（滑点/断线）、OTC 报价争议、冻结/限制服务争议、拒付/退款争议、提币延迟与安全事件。交付建议：每类争议都有标准话术与证据清单。

Q366：如何降低“冻结账户被指控侵权”的风险？

A：冻结必须：有触发依据（规则/名单命中/异常行为）→ 可解释字段 → 复核SLA → 申诉机制 → 最终处置记录。全过程留痕。

Q367：可疑交易（STR 视当地机制）应如何内部流转？

A：告警→EDD→MLRO 决策→（必要时）报告/协作→记录归档→规则更新。重点是“闭环”，而不是“写一份报告”。

Q368：若发生黑客事件，监管最看重什么？

A：止损速度、证据保全、客户保护、根因分析、修复复测、以及是否改进控制。交付必须有“事件包”与董事会复盘纪要。

Q369：如何证明我们没有“刷量/对敲/操纵”？

A：市场监控规则库、告警记录、处罚/封禁记录、做市账户隔离证据、撮合日志可复算、以及异常关联账户分析报告。

Q370：如何让撮合日志“可复算”？

A：订单ID、时间戳、撮合优先级规则、撮合引擎版本号、参数变更记录、以及不可篡改日志（哈希固化）。抽样能复算即可信。

Q371：如何处理“客户要求删除数据”与“监管留存义务”冲突？

A：交付策略：在隐私政策中明确留存义务优先；对可删除字段做最小化；对必须留存字段进行加密与权限控制，并记录处理结果。

Q372：如何处理“链上地址被制裁命中”但客户坚持提款？

A：合规优先：冻结/限制→解释与申诉→要求补充材料→MLRO 决策→必要协作。不要用客服私下承诺代替制度。

Q373：对外宣传“持牌/授权”最安全的写法是什么？

A：引用可核验事实：已在 CNAD 公共登记可查询（如适用）；并避免“国家背书、保证收益”。可附登记页截图与链接供核验。

Q374：如果我们只是技术服务商（不碰客户资产），还需要 PSAD 吗？

A：取决于你是否构成“数字资产服务”的实质提供者、是否面向本国客户推广/营销、是否控制关键交易/托管环节。交付建议：做业务边界法律意见（当地律师）+ 风险矩阵。

Q375：如何向投资人解释“登记/授权的商业价值”？

A：三点：合规可持续、银行与合作方更容易对接、以及对外市场信任度更高（可被公开登记核验）。

Q376：如何向合作交易所/流动性方解释“合规与风控能力”？

A：提供“合规能力包”：AML/KYC 概览、KYT 工具、对账机制、托管控制、事件响应、外包治理、审计计划、以及关键 KPI。

Q377：我们需要哪些“监管问答话术库”？

A：至少 12 类：业务边界、客户资产隔离、KYC/EDD、链上监控、提币审批、市场监控、外包、日志与取证、安全评估、投诉机制、财务对账、危机处置。

Q378：监管问答中最忌讳什么？

A：空话、夸大、无法验证、口径不一致。所有回答都应指向证据编号或系统演示点。

Q379：如果监管问“你们最差的情况是什么”，怎么答？

A：用压力测试与预案回答：挤兑提币、黑客、银行通道断、稳定币脱锚。给出触发阈值、动作、负责人、以及演练与复盘记录。

Q380：如何把“监管要求”翻译成“工程任务”？

A：建立 Control-to-Engineering 映射：每条合规控制对应系统功能（拦截、告警、审批、留痕、导出、审计），并纳入开发迭代与回归测试。

Q381：最小可交付的“制度文件清单”是什么？

A：AML/CFT 手册、KYC/EDD、制裁筛查、链上监控、交易监控、提币审批、资产隔离与对账、外包管理、信息安全、事件响应、投诉机制、记录留存与数据治理、年度合规计划。

Q382：最小可交付的“证据文件清单”是什么？

A：系统截图/配置导出、样本工单、样本日志、对账报表、培训记录、渗透测试报告与复测、外包尽调与合同条款、董事会纪要、公共登记核验信息。

Q383：如果我们被拒绝/不利决定，是否能再申请？

A：CNAD 明确：不利决定后可重新提交申请。交付建议先做“拒绝原因—整改—证据”对照表再递交。

Q384：有利决定后必须做什么？

A：在通知后 10 天内缴纳 USD 5,475 初始登记费，随后 CNAD 出具登记与授权证明并赋予登记座位（asiento registral）。

Q385：公共登记里能查到哪些主体？

A：CNAD 公共登记页面显示可查询已登记实体类别（含 PSAD 等）。实务上用于合作方核验。

Q386：如果客户问“你们是不是政府认可/国家背书”，怎么回答？

A：标准答复：我们已按法律要求完成登记/授权（如适用），信息可在公共登记核验；但监管登记不代表政府对任何收益或风险承担担保。

Q387：如果客户问“BCR 注册就够了吗”，怎么回答？

A：标准答复引用 BCR 明示：BCR 登记不构成运营授权，运营授权由 CNAD 发出；因此需按业务类型完成相应流程。

Q388：如何处理“客户因冻结而提起法律行动”的预防措施？

A：冻结政策透明化（条款披露）+ 可解释字段 + 复核SLA + 申诉机制 + 全程留痕 + 合规法律意见支持。争议处理中以证据链为核心。

Q389：是否建议设立“合规热线/举报渠道”？

A：建议。反舞弊与合规举报可显著降低内部人风险；并将举报处理流程、调查记录、整改闭环纳入内控体系。

Q390：我们如何向董事会汇报“合规成熟度”？

A：用成熟度模型（1-5级）：制度完善度、执行有效性、系统自动化、证据可审计、外包可控、事件响应能力；每季度输出差距与路线图。

Q391：如何把“合规交付”做成可复用模板？

A：建立 4 个主模板：业务说明书、制度包（Policy Pack）、证据包（Evidence Pack）、RFI Response Pack；所有国家/项目复用框架、替换法规与细节。

Q392：监管最想听到的“合规文化”是什么？

A：公司把客户资产保护、反洗钱、信息安全当作业务生命线；任何人不得绕过流程；重大事件及时升级；整改必须闭环。

Q393：如果要做融资，投资人最关心的合规点有哪些？

A：持牌/授权状态可核验、客户资产隔离、审计与对账、关键人员合规能力、事件历史、外包依赖、银行通道稳定性、以及合规成本可持续。

Q394：如果要对接国际合作方（交易所/托管/做市），最核心的合规输出是什么？

A：合规制度摘要 + KPI + 审计/测试报告 + 事件响应 + 数据导出能力 + 公开登记核验（如适用）。

Q395：对外“合规披露页”建议包含哪些固定栏目？

A：监管状态与核验入口、费用表、风险披露、投诉渠道、反诈骗提示、冻结与协作条款摘要、数据隐私摘要、以及重大公告/更新日志。

Q396：如果监管要求我们停止某项服务，如何做合规停业？

A：按 Wind-down：停止新交易、客户公告、资产清退、最终对账、投诉处理、数据留存、监管沟通归档；每一步都要有证据链。

Q397：我们如何保证“停业不等于继续经营”？

A：仅为清退与合规目的保留必要系统；停止营销与新客；限制功能；留存全过程记录证明非经营性活动。

Q398：这份 FAQ 作为交付文件，客户最常用来做什么？

A：四个场景：监管问答准备、银行开户/通道尽调、合作方尽调、董事会/投资人合规简报与风控路线图。

Q399：如果只能记住一句话，什么最重要？

A：所有合规都要落在“可验证证据链”上：能抽样、能复算、能导出、能复盘。

Q400：唐生结论（交付版一句话）？

A：在萨尔瓦多做 PSAD，真正的门槛不是写材料，而是把 AML、托管安全、对账与取证做成可持续运营系统，并确保对外口径与公共登记可核验一致。

合规服务：选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

仁港永胜建议

先定业务边界再定牌照路径：你是交易平台、OTC、托管、钱包、经纪还是混合？边界决定制度颗粒度与监管沟通策略。
把“证据链”当作产品做出来：工单系统 + 日志固化 + 对账报表 + 变更管理 + 演练复盘，形成可随时应检的“监管操作系统”。
把资金流/币流/权限流三图一次性做对：这是监管、银行与合作方尽调最省沟通成本的核心交付物。
把外包当作高风险资产管理：合同必须有审计权、监管配合、数据导出、退出切换与事故通报条款；没有就换。
用监管日历驱动长期合规：季度治理包、年度审查包、事件响应包——按节奏滚动更新，而不是临时补件。

为何选择仁港永胜

交付级文件体系：不仅写制度，更把制度落到“系统配置+证据包+演示脚本”，确保可审计、可抽样、可复算。
RFI/检查导向：按监管问询逻辑组织材料（问题—答案—证据编号），显著降低补件成本。
跨境合规经验可复用：擅长把同一套控制框架映射到不同司法辖区（KYC/KYT、托管、外包、记录留存、事件响应）。
银行/合作方尽调友好：交付物直接满足开户、PSP、托管与流动性合作的合规尽调清单。

关于仁港永胜

仁港永胜（香港）有限公司
Rengangyongsheng (Hong Kong) Limited

仁港永胜是一家专注于金融科技、数字资产、跨境金融合规的专业服务机构。

我们长期服务的领域包括：

加密资产 / 虚拟资产牌照（交易所、托管、发行、钱包）
支付牌照 / EMI / MTL / MSO
数字银行 / BaaS / 稳定币结构
基金、资产管理、证券类牌照
银行开户、托管对接、AML 合规体系搭建

我们的工作方式：

以监管为导向，而非市场营销导向
以证据为核心，而非概念包装
以长期运营为目标，而非一次性下牌

联系方式

—— 合规咨询与全球金融服务专家 ——

公司中文名称：仁港永胜（香港）有限公司
公司英文名称：Rengangyongsheng (Hong Kong) Limited

总部地址：
香港特别行政区西九龙柯士甸道西 1 号
香港环球贸易广场（ICC）86 楼

办公地址：

香港湾仔轩尼诗道 253–261 号依时商业大厦 18 楼
深圳福田卓越世纪中心 1 号楼 11 楼
香港环球贸易广场 86 楼

联系人：

唐生（唐上永｜Tang Shangyong）

业务经理｜合规与监管许可负责人

香港 / WhatsApp：+852 9298 4213
深圳 / 微信：+86 159 2000 2080
邮箱：Drew@cnjrp.com
官网：www.jrp-hk.com

来访提示：请至少提前 24 小时预约。

注：本文所涉完整可编辑 Word / PDF 版本、制度模板、清单包交付件，可向仁港永胜唐生 有偿索取（用于监管递交与内部落地）。

免责声明

本文为基于公开信息与一般监管合规实践整理的行业研究与合规参考文本，不构成法律意见、税务意见或任何监管承诺。具体适用义务、费用、流程与材料要求应以萨尔瓦多主管机构（包括 CNAD 等）最新发布、个案书面通知以及当地持牌律师/专业顾问意见为准。使用本文内容开展业务前，应进行针对性法律与合规尽调，并结合企业实际业务模型、客户结构、系统架构与风险评估结果进行调整。仁港永胜不对因单独依赖本文内容而产生的直接或间接损失承担责任。

本文由 仁港永胜（香港）有限公司 拟定，并由 唐上永（唐生） 提供专业讲解。

仁港永胜保留对本文内容更新与修订的权利。

© 2026 仁港永胜（香港）有限公司 | Rengangyongsheng Compliance & Financial Licensing Solutions – 由仁港永胜唐生提供专业讲解。
——《萨尔瓦多 El Salvador 加密交易 / 虚拟资产服务牌照常见问题解答（FAQ）》——

如欲查询更多萨尔瓦多 El Salvador 加密交易 / 虚拟资产服务牌照常见问题解答，El Salvador (DASP) License（FAQ）有关的资料，请与我们仁港永胜的专业顾问联络，我们将为您提供免费咨询服务。[点击联系公司注册专业顾问]

24小时专业顾问：15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）

上一页： 香港金钱服务经营者（MSO）牌照常见问题解答（FAQ）
下一页： 巴西 Brazil 加密交易/虚拟资产服务牌照申请注册常见问题（FAQ）