Кейс: Кастодиальный сервис + SaaS-платформа для бизнеса

С каким запросом клиент пришёл?

К нам обратился клиент с польской компанией, уже имеющей лицензию VASP.
Компания развивала B2B-платформу, предоставляющую бизнесу сервис хранения криптовалют (кастоди) и API-доступ к обменным операциям.
После вступления в силу MiCA клиенту стало необходимо получить CASP-лицензию для продолжения кастодиальной деятельности и расширения линейки продуктов.

Почему клиент не мог реализовать задачу самостоятельно?

• Требования к кастодиальной деятельности оказались значительно выше, чем к обычным VASP-компаниям.
• Понадобились специализированные документы по информационной безопасности (ИБ) и управлению рисками, соответствующие польским стандартам.
• Не хватало сертифицированных специалистов в сфере IT и compliance.
• Без адаптации инфраструктуры и подтверждения уровня защиты данных подача заявки могла завершиться отказом.

Какое решение предложили мы и почему?

Мы предложили комплексный подход к подготовке компании к подаче CASP-заявки, сфокусировавшись на инфраструктуре и комплаенсе.

Решение включало:

1. Привлечение сертифицированных IT-консультантов для аудита инфраструктуры и оценки уровня безопасности.
2. Оформление договора с дата-центром в Польше, соответствующего регуляторным требованиям MiCA.
3. Проведение стратегической сессии с руководством компании для трансформации продукта и процессов под требования регулятора.
4. Подготовку политики ИБ, планов реагирования на инциденты, протоколов по управлению доступом и хранению данных.
5. Полное сопровождение досье для подачи заявки на CASP.

Такой подход позволил клиенту не просто «дописать документы», а встроить реальные механизмы защиты и контроля в операционную модель бизнеса.

Были ли сложности в решении запроса?

Проект был сложным из-за глубокой технологической составляющей:

• Платформа имела собственный софт и API, что требовало детального описания IT-процессов.
• Документация по безопасности и хранению данных должна была быть не декларативной, а подтверждённой практическими мерами.
• Регулятор уделяет особое внимание кастодиальной модели, поэтому все документы разрабатывались в тесном взаимодействии с технической командой клиента.

Длительность кейса

Работа над проектом заняла около пяти месяцев, включая аудит, согласование документов и подготовку к подаче.

Какие специалисты привлекались?

• консультант по комплаенсу;
• IT-аудитор, сертифицированный по международным стандартам безопасности;
• юрист по лицензированию в ЕС;
• финансовый аналитик;
• технический консультант по интеграции и хранению данных.

Результат

1. Проведён полный аудит инфраструктуры и процессов безопасности.
2. Разработаны и внедрены документы по ИБ и управлению рисками, соответствующие MiCA.
3. Подготовлено полное досье для подачи CASP-заявки.
4. Регулятор принял материалы без замечаний.
5. Клиент использует факт подачи в качестве репутационного преимущества — демонстрируя корпоративным клиентам высокий уровень доверия и зрелости процессов.