Última actualización: 23 de mayo de 2025 — Versión 1.0
Política KYC/AML — Know Your Customer / Anti-Money Laundering
Cundinate LLC implementa procedimientos rigurosos de verificación de identidad y prevención de lavado de activos conforme a la legislación aplicable en México, Colombia, Chile, Argentina y España, así como a los estándares internacionales del GAFI/FATF.
| Jurisdicción | Ley / Norma | Autoridad Supervisora | Aplicabilidad a Cundinate |
|---|---|---|---|
| México | Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita (LFPIORPI, DOF 17/10/2012) | SAT / UIF | Actividad Vulnerable Nivel Bajo — no se captan fondos, aplica como buena práctica y por SumSub |
| México | Ley FinTech (DOF 09/03/2018) — Disposiciones CNBV KYC | CNBV | No aplica formalmente (Cundinate no es ITF), adopción voluntaria del estándar |
| Colombia | Ley 526/1999 y Decreto 1674/2016 (SARLAFT) | UIAF / Superfinanciera | Adopción del Sistema de Administración del Riesgo LA/FT como buena práctica |
| Chile | Ley 19.913 (Unidad de Análisis Financiero) | UAF Chile | Actividad no regulada; KYC voluntario para mitigar riesgos operativos |
| Argentina | Ley 25.246 (Encubrimiento y Lavado de Activos) + Resolución UIF 76/2019 | UIF Argentina | Adopción voluntaria; usuarios en AR sujetos a verificación equivalente |
| España/UE | Directiva (UE) 2018/843 (5ª Directiva AML) + Ley 10/2010 | SEPBLAC | Aplicable para usuarios residentes en España; SumSub certifica cumplimiento |
| Internacional | Recomendaciones GAFI/FATF (40 Recomendaciones, 2012 revisadas 2023) | GAFI | Marco de referencia global para el programa KYC/AML |
2.1 Naturaleza de la actividad. Cundinate LLC opera como proveedor de software (SaaS) y no capta, custodia, transmite ni administra fondos de sus usuarios. Los pagos entre participantes se realizan directamente entre ellos a través de redes de pago de terceros (Stripe, PayPal). En consecuencia, Cundinate no es una «Actividad Vulnerable» en el sentido pleno de la LFPIORPI ni una entidad obligada de primer nivel bajo las directivas AML europeas.
2.2 Adopción voluntaria. Pese a lo anterior, Cundinate ha decidido implementar un programa KYC/AML robusto por las siguientes razones:
Límite: Puede explorar la plataforma pero NO puede crear ni unirse a tandas.
Límite: Hasta 5 tandas simultáneas. Aportación hasta 50,000 MXN por tanda.
Límite: Sin restricciones. Organizar tandas de 15-20 participantes.
La verificación de identidad es realizada por Sum and Substance Ltd. (SumSub), con sede en el Reino Unido, certificado bajo ISO/IEC 27001:2013 e iDIN (Países Bajos). SumSub procesa los documentos de identidad y datos biométricos conforme a su propia política de privacidad y acuerdos de procesamiento de datos suscritos con Cundinate.
| Capacidad SumSub | Descripción |
|---|---|
| OCR + MRZ | Lectura automática de documentos de identidad de 220+ países |
| Liveness Detection | Anti-spoofing: detecta fotos, videos y máscaras 3D |
| Face Match | Coincidencia biométrica selfie ↔ foto del documento (>99.5% precisión) |
| Sanction Screening | Listas OFAC, ONU, UE, HM Treasury, GAFI actualizadas en tiempo real |
| PEP Check | Base de datos de 1.5M+ Personas Expuestas Políticamente |
| Adverse Media | Noticias negativas en +55 idiomas |
| Re-verificación | Verificación periódica automática (cada 12 meses) |
SERVICIO EXCLUSIVO PARA MAYORES DE 18 AÑOS
Cundinate aplica verificación de mayoría de edad como control obligatorio en el Nivel 1. Si el KYC detecta que el usuario es menor de 18 años, la cuenta es suspendida de inmediato, los datos personales son eliminados conforme a la política de retención, y se notifica al usuario indicando que el servicio no está disponible para menores. Esta política cumple con: COPPA (EE.UU., menores de 13), GDPR Art. 8 (menores de 16 en UE), LFPDPPP México, y legislación de protección al menor en LatAm.
Cundinate aplica un enfoque basado en riesgo (RBA) conforme a las Recomendaciones GAFI. Los factores de riesgo evaluados incluyen:
Riesgo del Usuario
Riesgo de la Transacción
Riesgo del Grupo (Tanda)
Señales de Alerta (Red Flags)
El sistema de monitoreo de Cundinate opera en tres capas:
Capa 1 — Reglas automáticas en tiempo real
Firebase Cloud Functions evalúa cada pago contra umbrales predefinidos. Pagos que superen 10,000 MXN equivalentes generan una revisión automática. Pagos de usuarios PEP siempre requieren revisión manual.
Capa 2 — Análisis periódico (batch)
Proceso nocturno que analiza patrones de comportamiento: frecuencia de pagos, montos acumulados mensuales, variación vs. perfil histórico. Genera alertas para el equipo de cumplimiento.
Capa 3 — Revisión manual por el equipo de Compliance
Las alertas de Capa 1 y 2 son revisadas por el Oficial de Cumplimiento (CO). El CO determina si se trata de una Operación Inusual y, en su caso, genera el reporte a la autoridad competente.
| Umbral / Evento | Acción de Cundinate | Marco Legal |
|---|---|---|
| Operación ≥ USD $10,000 equiv. | Revisión EDD + reporte a UIF si sospechoso | LFPIORPI Art. 17 / GAFI Rec. 20 |
| Usuario en lista OFAC/ONU | Bloqueo inmediato + reporte obligatorio | OFAC 31 CFR / ONU Res. 1267 |
| Patrón de fraccionamiento detectado | Suspensión preventiva + investigación 5 días hábiles | GAFI Rec. 1 (RBA) / LFPIORPI |
| PEP de alto riesgo identificado | EDD obligatoria + aprobación del CO | GAFI Rec. 12 / 5ª Directiva AML Art. 20 |
| Rechazo de identidad en SumSub | Bloqueo de cuenta + retención de datos 5 años | Todas las jurisdicciones |
| Reporte de fraude por otro usuario | Investigación en 48h + posible suspensión cautelar | Código Civil (responsabilidad) |
Los datos de verificación de identidad (documentos, biometría) se conservan por los siguientes plazos, tras los cuales son eliminados de forma segura:
| Tipo de Dato | Plazo de Retención | Base Legal |
|---|---|---|
| Documentos de identidad (imágenes) | 5 años desde el cierre de la cuenta o la última transacción, lo que ocurra después | LFPIORPI Art. 18 / GAFI Rec. 11 |
| Datos biométricos (hash facial) | 5 años desde el cierre de la cuenta o la última transacción, lo que ocurra después — procesados bajo consentimiento explícito otorgado durante el flujo KYC (Art. 9 RGPD / LFPDPPP Art. 9) | Consentimiento explícito + obligación legal antifraude |
| Registros de transacciones | 7 años desde la fecha de la transacción | LFPIORPI / Ley 25.246 / Directiva AML |
| Reportes de operaciones inusuales | 10 años (en coordinación con UIF) | Obligación legal de reporte |
| Datos de cuentas rechazadas (KYC fallido) | 5 años para prevenir re-registro fraudulento | Legítimo interés / Prevención de fraude |
| Registros de auditoría de cumplimiento | 10 años | Estándares GAFI + auditoría interna |
6.1 Oficial de Cumplimiento (Compliance Officer — CO). Cundinate LLC designa un Oficial de Cumplimiento responsable del programa KYC/AML. El CO reporta directamente al CEO y tiene autoridad para suspender cuentas, escalar casos a autoridades y aprobar excepciones al programa.
6.2 Revisión del Programa. El programa KYC/AML se revisa y actualiza anualmente, o cuando se produzcan cambios regulatorios significativos. Las revisiones son documentadas y archivadas por un período mínimo de 5 años.
6.3 Capacitación. Todo el personal con acceso a datos KYC o al panel de administración recibe capacitación anual en prevención de lavado de activos, reconocimiento de señales de alerta y protocolos de reporte.
6.4 Contacto de Cumplimiento. Para reportar actividades sospechosas, consultas sobre el programa KYC/AML, o ejercer derechos relacionados con la verificación de identidad: compliance@cundinate.com
Sin perjuicio de los plazos de retención exigidos por ley (Sección 5), los usuarios tienen los siguientes derechos respecto a sus datos de verificación:
Derecho a conocer el resultado de la verificación
Cundinate informa si la verificación fue exitosa, pendiente o rechazada, y los motivos generales del rechazo.
Derecho a apelar una decisión de rechazo
El usuario puede solicitar una revisión manual dentro de los 10 días hábiles siguientes a la notificación de rechazo.
Derecho a la portabilidad
El usuario puede solicitar un resumen de los datos verificados (sin incluir documentos completos por razones de seguridad).
Limitación del derecho de supresión
Los datos KYC están sujetos a plazos de retención legal y NO pueden eliminarse antes de su vencimiento. El usuario puede cerrar su cuenta, pero los registros se conservan el tiempo exigido por ley.