以下是仁港永胜唐生对瓦努阿图虚拟资产服务提供商（VASP）牌照申请的详细内容讲解，旨在帮助您更加清晰地理解相关流程与监管要求，更好地开展未来的申请与合规管理工作。选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

一、监管框架与适用范围

主管机关：Vanuatu Financial Services Commission（VFSC）。
法律依据：Virtual Assets Services Providers Act No. 3 of 2025（以下简称“VASP 法案”）。

谁需要拿证？
凡“以他人名义或为他人利益”开展以下一种或多种活动的公司，须持有 VASP 牌照：

• 虚拟资产与法币兑换 / 虚拟资产之间兑换；

• 虚拟资产转移；

• 虚拟资产保管 / 控制工具的保管；

• 与虚拟资产发行或销售相关的金融业务。

未持证从事上述业务属犯罪：个人最高罚 2亿瓦图且最⻓30年监禁；公司最高罚 3亿瓦图。

---

二、牌照类别（Classes）

VFSC 可签发以下类别（可多类并行申请）：

• Class D：虚拟资产与法币 / 虚拟资产之间的兑换；

• Class D.1：虚拟资产转移；

• Class D.2：虚拟资产保管或实现控制；

• Class D.3：参与并提供与发行 / 销售虚拟资产相关的金融业务；

• Class D.4：仅限银行，涉及兑换与保管（需先获央行批准）。

注：稳定币/CBDC 不在本法覆盖范围。

---

三、申请主体与“实质性”要求

仅限公司（Company）可申请，且必须具备瓦努阿图的“实体在岸存在”，包括：

• 在瓦努阿图有实体办公场所与注册办公地址；

• 至少一名董事常住瓦努阿图；

• CTO（首席技术官）须持续在瓦努阿图居住；

• 物理存在（Physical presence）与本地董事会治理等。

---

四、人员任职与资格要求（重点）

关键岗位定义：关键人（Key Person）包括实益拥有人、控制人、董事、经理、合规官、AML/CFT 官、首席 IT/CTO 等。

经理（Manager）

• 居住：获批后连续 12 个月居住于瓦努阿图；

• 经验：≥5 年 VASP/ITO 相关经验；

• 办公：经理办公室设在瓦努阿图；

• 诚信：无刑事定罪。

董事（Director）

• 经验：≥2 年 VASP/ITO 相关经验；

• 董事办公室在瓦努阿图；

• 诚信与破产状况要求；

• 至少一名董事为本地常住（见“实质性”要求）。

CTO（首席技术官）

• 居住：连续 ≥12 个月居住瓦努阿图；

• 学历/资历：工程/计算机/相关领域资历 + ≥1 年 VASP/管理相关经验。

适格与诚信（Fit & Proper）
对所有关键人按法案与指引进行“适格性”审查（犯罪记录、制裁名单、财务诚信等）。

---

五、资本金与财务稳健

最低“未受损资本”（Unimpaired Capital）：不少于 2 亿瓦图（VT 200,000,000）；VFSC 可视业务复杂度要求更高金额。该资金可存放在认可的境内外金融机构，并由外部审计师出具证明。

---

六、收费（申请费 / 年费）

申请费与首年牌费（按类别）（单位：VT 瓦图）：

• Class D / D.1 / D.2 / D.3：申请费各 20,000,000；首年牌费各 100,000,000；

• Class D.4（银行）：申请费 20,000,000；首年牌费 50,000,000；

• 高管变更审查费（经理/董事/CTO）：200,000（首次任命不收此项）；

• 沙盒申请费：200,000。

年度续费：

• Class D / D.1 / D.2 / D.3：各 50,000,000；

• Class D.4：25,000,000；

• 沙盒：50,000,000。

---

七、申请材料清单（Dossier）

法定表格与费用

• 按指定表格提交书面申请，明确申请类别并缴交相应费用；

• 披露任何第三方（如境外合资格托管人）安排。

主体与股权结构

• 公司注册文件（章程、注册证等）；

• 实益拥有人（UBO）/ 控制人完整披露与资金来源（Source of Funds）；

• 物理在岸证明（办公地址、租赁/产权凭证、人员在岸安排）。

治理与合规体系

• 公司治理架构（董事会/管理层职责分工、汇报线）；

• 风险管理制度（包含运营风险管理 ORMP：识别、评估、监测、报告机制等）；

• 外部审计安排（政策与流程需可被外部审计，并保留整改记录）；

• 记录保存制度（要点见第十节）。

AML/CFT 与 KYC/CDD

• 基于风险的 AML/CFT 政策、客户尽调（KYC/CDD）、资金/财富来源审查；

• 可疑交易监测与 STR 流程；

• 系统上线前需到位 AML/CFT 控制措施。

技术与安全（尤其 D.2 托管类）

• 种子 / 密钥生成与保管、地址/钱包管理、灾备与恢复；

• 交易授权、可疑交易处置、渗透测试/漏洞扫描、冷/热钱包迁移、储备证明（PoR）、系统定期测试计划。

关键人资料

• 经理 / 董事 / CTO 任命申请及资历证明、居住承诺与办公地点说明；

• 无犯罪与破产声明；适格性证明。

---

八、申请流程（端到端）与时限

1）预备阶段

• 选择类别（可并行），完成注册与在岸实体布局；

• 补足资本与开立监管认可账户；

• 建立治理、风险、AML/CFT、IT 安全与托管流程；

• 任命并“到位”关键人员（经理/董事/CTO）。

2）递交申请

• 通过本地持牌代理（Active Agent）统一递交申请包与费用。

3）受理与补件

• VFSC 可书面要求限期补充资料/说明；申请人需在指定期限内提交。

4）实质审查与决定

• VFSC 自收到申请起 90 个工作日内作出批准/拒绝决定（可附条件）。

5）领证与信息公开

• 获批后按许可类别经营，须按规定展示牌照，纳入官方登记并履行持续义务。

---

九、持续合规与牌照维护

牌照期限：持续有效，直至撤销或主动交回。若 12 个月内未开业也可触发不合规通知与执法。

年度费用：按第六节。

治理与风险管理

• ORMP（运营风险管理计划）应覆盖行业风险并持续审计；

• 定期外部审计政策与程序，并留存整改与证据；

• 记录保存至少 7 年，含时间戳、交易类型、KYC/CDD、签署/授权证据、余额、交易金额等。

AML/CFT

• 按法案与国家风险评估要求，实施基于风险的 KYC/CDD、交易监测与 STR；

• 启动前 AML/CFT 控制须已到位。

托管类（D.2）特别义务

• 客户协议面签与重大事项披露；

• 周期性系统测试与钱包/密钥/PoR 审计；

• 安全事件（黑客/盗窃/密钥泄露）应急与客户通知流程。

人员变更

• 经理/董事/CTO 的任免须履行通知与审查并缴纳相应费用。

---

十、ITO（初始代币发行）与金融科技沙盒

ITO（发行人许可）

• 需单独申请 ITO 牌照（仅限公司）；

• 申请材料含白皮书+虚拟资产法律意见、VASP 持牌机构的认可函（可为境内/境外）、在岸证明、AML/CFT 方案、发行相关经验（≥2 年）等。

FinTech Sandbox

• 可申请涉及经纪、钱包、托管、顾问、交易所及 FDL（A/B/C）相关产品的“一年期（可续期）”试点；

• 需≥1 年沙盒相关经验；VFSC 3 个月内决定。

---

十一、监管执法与处罚

• 未持证经营的个人与法人处罚标准见第一节；

• VFSC 可发出附条件许可 / 变更或撤销条件 / 暂停 / 撤销等决定；

• 提供虚假/误导信息、未开业、停止经营等情形可触发执法。

---

十二、实操建议（落地要点）

1. 路线选择：多数交易平台/经纪业务通常需 D + D.1（兑换+转移），涉及托管的再加 D.2，如为发行辅助与销售再加 D.3。

2. 尽早布局在岸：租赁办公室、设立本地董事/经理/CTO岗位，预留签证与落地时间。

3. 资本与银行安排：按2亿瓦图未受损资本准备文件与外部审计证明；与“认可金融机构”确认账户与证明格式。

4. 合规体系先行：在提交前完成 AML/CFT、KYC/CDD、ORMP、外部审计框架与记录制度文档；D.2 申请者提前完成托管安全与测试计划。

5. 文件完整性：严格按规定表格与补件时限操作，避免“信息不完整/不准确”导致延误或拒批。

---

十三、常见问答（精要）

Q1：审批需要多久？
A：法定审限为90 个工作日内作出决定（自受理起算），可附条件批准。

Q2：可以纯“远程团队”吗？
A：不行。必须物理在岸存在，至少一名董事常住、CTO 常住、经理居住满 12 个月。

Q3：资本金是否必须在瓦努阿图境内？
A：可在认可的境外金融机构存放，但须有外部审计认证。

Q4：牌照是否有到期日？
A：牌照持续有效，直至被撤销或交回；但12 个月未开业可触发不合规与执法。

Q5：稳定币业务能否纳入？
A：当前法案不涵盖稳定币 / CBDC。

---

---

主要来源

• 《Virtual Assets Services Providers Act No. 3 of 2025》（VFSC 官方法案 PDF）。

• 《VASP Presentation to Industry – 21 May 2025》（行业宣介，含费用、资本、人员常住等要点）。

• VFSC 官网 VASP 专页（指引与表格入口）。

• 合规服务提供商仁港永胜 www.cnjrp.com。

如需进一步协助，建议与经验丰富的专业合规机构合作（如我们仁港永胜），以确保从公司架构、法律文件、系统合规到人员资质等方面全面达标，提高获批成功率。

---

十四、申请材料对照清单（可直接按此建档）

A. 主体与结构

• 公司注册文件：注册证书、章程/细则（Articles/M&AA）。

• UBO/控制人清单：持股比例、控制关系图、资金来源说明（Source of Funds）。

• 在岸证明：租赁合同或产权证明、实体办公照；拟用作物理存在的办公地址信息。

B. 业务与合规体系

• 申请类别说明（Class D / D.1 / D.2 / D.3 / D.4），如多类需分别申请与缴费。

• 业务说明书：服务场景、产品流程、客户范围、第三方/代理安排。

• 风险管理政策（ORMP）：风险识别、评估、监控、报告、整改机制。

• AML/CFT 框架：KYC/CDD、资金/财富来源核验、交易监测、STR 流程；FATF R.16 旅行规则符合性。

• 网络安全与应急：MFA、访问控制、加密、渗透测试与漏洞扫描、BCP/DR、第三方安全管理、重大事件上报机制。

• 托管与资产隔离（D.2 必备）：冷热钱包策略、密钥治理、PoR/储备证明（如适用）、客户资产与自有资产隔离、客户协议披露。

C. 人员与实质性在岸

• 经理/董事/CTO 任命申请（Form 3 等），履历、学历、专业资质；无犯罪/非破产声明。

• 经理/董事/CTO 居住承诺与证据（电话账单、银行取现记录、租约/房产等，覆盖连续 12 个月）。

• 适格与诚信（Fit & Proper）自证材料（财务诚信、声誉、能力与胜任力）。

D. 财务稳健与技术审计

• 未受损资本 ≥ VT 200,000,000 的银行对账单/审计证明。

• 流动性与应急资金 方案（正常与压力情景），第三方清算/流动性支持协议（如用到）。

• DLT/技术年度审计 计划与以往报告（如已开展）。

E. 表格与费用

• Form 1：VASP/ITO 申请表；Form 3：经理/董事 申请表；（沙盒用 Form 2/4）。

• 附缴相应申请费与牌费（见下一节费用表）。

表格与指引入口：VFSC “Virtual Asset Service Provider” 专页（含 VASP 法案、Application Guideline、Fit & Proper、Cybersecurity、Forms 1–4 等）。

---

十五、人员配置与任职资格（落地版）

Fit & Proper 三维度评估：诚信/声誉、能力/胜任、财务稳健（适用于 key persons 与持牌实体）。

物理存在最低配：本地办公室 + 至少 3 名在岸人员（经理、董事、CTO）；现场保存治理、会计、BCP/DR、审计与保单等关键档案。

选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。

---

十六、费用与时限（按官方指引）

一次性申请费 & 首年牌费（单位：VT）

• Class D/D.1/D.2/D.3：申请费 20,000,000；牌费 100,000,000

• D.4（银行）：申请费 20,000,000；牌费 50,000,000

• 经理/董事/CTO 变更审查费：200,000（首次任命不收费）

• FinTech Sandbox：申请费 200,000。

年度续费

• D / D.1 / D.2 / D.3：各 50,000,000；D.4：25,000,000；沙盒：50,000,000。

审批时限

• 完整申请受理后 90 个工作日内作出决定（可附条件）。

• 法案确立 VASP/ITO/沙盒法律框架，官方公告与新闻稿确认2025-03-26获议会通过。

---

十七、资本金、流动性与技术审计（监管关注点）

• 最低资本金：未受损资本 ≥ VT 200,000,000；VFSC会按业务规模/复杂度、客户资产托管、杠杆、交易量、技术风险等校准“足够性”。

• 流动性：提交资金与应急资金计划（含压力情景）；如依赖关联方或第三方清算/流动性设施，需协议与“独立性/专属承诺”证明。

• 年度 DLT/技术审计：对协议可扩展性、互操作、代码完整性/安全、智能合约等做独立第三方审计，并向 VFSC 提供报告。

---

十八、网络安全与第三方管理（D.2 托管务必落实）

强制要点（节选）

1. 治理：指定 CTO 统筹网络安全与事件处置；全员定期培训；董事会批准安全政策并与 VASP 法案对齐。

2. 物理与网络：防火墙/IDS/IPS，在瓦努阿图本地有安全物理场所；传输与静态数据加密。

3. 系统完整性 & 访问控制：关键系统与管理员访问必须启用 MFA；最小权限与严格访问审计。

4. BCP/DR：演练+异地备份；重大中断快速恢复。

5. 第三方与托管人：确保同等安全标准、开展尽调与持续监控；避免受制裁主体。

6. 合规与报告：留存全面网络安全政策/事件/审计/培训记录；重大安全事件需“及时”报告 VFSC。

7. 渗透与漏洞测试：至少年度内外部测试；新系统/应用/产品上线前必须测试；必要时按 VFSC 要求做高级 TLPT。

---

十九、AML/CFT 与“旅行规则”对接

• 在 AML/CFT 框架中明确旅行规则落地：跨 VASP 转账收/发起方信息收集、校验、传递与异常阻断；流程、系统点位、阈值与失败处置。

• 结合 国家 AML/CFT 规范与 FATF R.16，把旅行规则纳入交易监测与可疑报告联动。

---

二十、变更/报送/记录保存（运营期）

• 牌照有效：持续有效，直至撤销/交回；到期年度续费维持。

• 关键人变更：经理/董事/CTO 任免须提请 VFSC 审查并缴费（200,000 VT/人）。

• 记录保存：现场保存治理、会计、审计、技术与安全、客户与交易资料、培训与事件记录等（Guidelines 要求“现场可核查”与外部审计可得）。

---

二十一、端到端申请流程（操作清单）

1. 定位牌照组合：通常交易/经纪选 D + D.1；涉及托管再加 D.2；配售/发行辅导加 D.3。

2. 在岸落地：租赁办公室、搭建经理/董事/CTO在岸三人组，准备连续 12 个月证据链。

3. 资本与账户：补足 ≥2 亿 VT 未受损资本并出具银行/审计证明。

4. 制度先行：编制 AML/CFT、ORMP、网络安全、托管与技术审计方案、BCP/DR。

5. 提交材料：Form 1 + Form 3 等、费用、说明文件；如走沙盒，另附 Form 2/4。

6. 补件配合：按 VFSC 书面通知限期补齐。

7. 审查决定：受理后 90 个工作日内决定；附条件批准需按期满足条件。

8. 领证公开与运营：展示牌照、履行年度费用与持续合规、按变更规则报备。

---

二十二、项目时间线（建议甘特）

• 第 1–4 周：在岸选址与人员签约；资本安排与账户；制度初稿。

• 第 5–8 周：制度定稿；信息安全/渗透测试计划；第三方协议签署。

• 第 9 周：递交申请（含费用）。

• 第 10–18 周：补件与监管问答；按需模拟演示与现场核查准备。

• 第 19–30 周：审批决定与附条件整改；领证上线。

注：审批法定上限 90 个工作日以“完整受理”为起算点，补件周期不计入；附条件批准另需满足条件后生效。

---

二十三、预算测算（粗框架，官费为硬成本）

• 官费（单类示例）：申请费 20M VT + 牌费 100M VT；次年起年费 50M VT。多类并行按逐类计费（无折扣）。

• 第三方（区间供规划）：技术审计/渗透与漏洞测试、网络安全与保险、外部审计、KYC 工具/区块链分析（依业务量级差异颇大）。

• 在岸成本：办公室租赁、人员薪酬（经理/董事/CTO）、合规/IT 工具、灾备与托管设施。

---

二十四、常见拒批/延误原因与整改

• 在岸实质不足：未能证明 12 个月连续居住与实体办公/记录在场。→ 提前备齐电话/银行/租约等证据链。

• 多类牌照“以一申多用”：法定逐类申请与缴费，合并申报会被退回。

• 资本/流动性论证薄弱：只给定额无“压力情景”与清算安排。→ 按指引提交完整资金+应急计划。

• IT/安全与托管方案空泛：缺少 MFA、密钥治理、第三方尽调、演练与年测计划。→ 对照Cybersecurity Guideline逐项补足。

• 旅行规则未落地：只写“遵守 FATF”无系统化路径。→ 在 AML/CFT 文档中嵌入数据字段、阈值、失败重试与阻断。

---

二十五、沙盒与 ITO（细化）

• 沙盒：覆盖经纪、钱包、托管、顾问、交易所与 FDL A/B/C 相关产品；许可期 12 个月，可续期；需≥1 年相关经验。

• ITO：需白皮书与法律意见、在岸证明、AML/CFT 方案与与持牌 VASP 的合作证明/认可函，并按 ITO 指引与表格提交。

---

二十六、与其他法域的关键差异（速览）

• 在岸强度：对经理/董事/CTO 连续居住与“本地 3 人”配置的刚性要求，较多法域更硬核。

• 逐类计费且无折扣：多类业务需分别申请与缴费，成本透明但不可打包。

• 技术监管颗粒度高：年度 DLT 审计、强制 MFA、年度渗透/漏洞测试、第三方安全与TLPT权力。

---

二十七、《申请材料一览表》 和 《网络安全与托管检查清单》仁港永胜唐生拟定，方便我们客户复制。

一、申请材料一览表（中英字段对照 + 勾选栏）

序号	材料名称（中文）	Material Name (English)	适用类别	必须性	已准备 ✔	备注
1	公司注册证书	Certificate of Incorporation	All	必须	☐	瓦努阿图注册公司文件
2	公司章程 / 细则	Memorandum & Articles of Association	All	必须	☐	最新版本
3	实益拥有人清单	Ultimate Beneficial Owners (UBO) List	All	必须	☐	含持股比例与国籍
4	控股结构图	Shareholding / Control Structure Chart	All	必须	☐	至最终自然人
5	资金来源声明	Source of Funds Statement	All	必须	☐	银行对账单 + 审计报告
6	在岸办公地址证明	Proof of Physical Office in Vanuatu	All	必须	☐	租约或产权证
7	经理任命表格（Form 3）	Appointment of Manager (Form 3)	All	必须	☐	含履历、资质、居住承诺
8	董事任命表格（Form 3）	Appointment of Director (Form 3)	All	必须	☐	至少 1 名常住董事
9	CTO 任命表格（Form 3）	Appointment of CTO (Form 3)	All	必须	☐	工程/计算机资历
10	无犯罪/非破产声明	Criminal Record & Bankruptcy Declaration	All	必须	☐	所有 Key Persons
11	业务说明书	Business Plan & Service Description	All	必须	☐	含申请类别 D/D.1/D.2/D.3/D.4
12	风险管理政策（ORMP）	Operational Risk Management Policy	All	必须	☐	覆盖识别、评估、监控、报告
13	AML/CFT 政策	AML/CFT Policy	All	必须	☐	符合 FATF 标准及旅行规则
14	KYC/CDD 手册	KYC/CDD Procedures Manual	All	必须	☐	客户分级、核验、持续尽调
15	网络安全政策	Cybersecurity Policy	All	必须	☐	符合 VFSC Cybersecurity Guideline
16	托管与密钥管理政策	Custody & Key Management Policy	D.2	必须	☐	冷/热钱包、PoR、资产隔离
17	外部审计协议	External Audit Agreement	All	必须	☐	会计 & 技术审计
18	年度技术审计计划	Annual Technology Audit Plan	D.2	必须	☐	含渗透/漏洞测试
19	流动性与应急资金计划	Liquidity & Contingency Funding Plan	All	必须	☐	压力测试情景
20	第三方尽职调查报告	Third-party Due Diligence Reports	All	必须	☐	供应商、托管人、安全厂商
21	表格 Form 1	VASP/ITO Application Form (Form 1)	All	必须	☐	主申请表
22	表格 Form 2 / 4	Sandbox Application Form (Form 2 / 4)	沙盒	可选	☐	如申请沙盒许可
23	申请费缴款凭证	Proof of Payment of Application Fee	All	必须	☐	官费支付凭证

---

二、网络安全与托管检查清单（Cybersecurity + Custody Audit Checklist）

适用范围：D.2 托管类必做，其他类别建议参考。
合规依据：VFSC Cybersecurity Guideline + VASP Application Guideline。

A. 网络安全治理

• 是否已任命 CTO 并明确网络安全职责（含培训与应急响应）？

• 董事会是否已批准网络安全政策并年度复审？

• 是否保存全员网络安全培训记录？

B. 系统与数据安全

• 所有关键系统是否启用 MFA（多因素认证）？

• 是否有最小权限原则和访问日志审计机制？

• 是否加密传输与静态数据（TLS/SSL + AES256）？

C. 业务连续性与灾备（BCP/DR）

• 是否有异地备份与恢复演练记录？

• 灾备恢复时间目标（RTO）与恢复点目标（RPO）是否明确？

• 是否已测试重大中断应对流程？

D. 第三方管理

• 所有第三方（云服务、托管人、交易处理商）是否已完成尽职调查？

• 合同中是否包含安全条款与事件通报要求？

• 是否对第三方安全表现进行持续监控？

E. 安全事件管理

• 是否建立重大安全事件报告机制（VFSC + 客户）？

• 是否有事件登记册（Incident Register）？

• 是否模拟演练过攻击应对？

F. 托管与密钥管理

• 冷/热钱包比例与管理策略是否记录？

• 私钥生成、分片与存储是否安全（HSM/多签）？

• 是否进行定期储备证明（PoR）并向 VFSC 提交？

• 客户资产是否与公司资产隔离？

• 客户协议是否载明资产保管及风险披露？

G. 技术审计与测试

• 是否每年至少一次进行渗透测试？

• 是否每年至少一次进行漏洞扫描？

• 是否按 VFSC 要求开展 TLPT（威胁主导渗透测试）？

---

二十八、《VASP 申请端到端流程甘特图》、《项目实施预算表》 和 《拒批原因与整改案例库》，仁港永胜让你在推进瓦努阿图 VASP 牌照申请时可以直接落地执行。

一、VASP 申请端到端流程甘特图（30 周建议版）

周期	阶段	关键任务	责任人	产出物
第 1–2 周	启动与规划	- 确定牌照类别组合（D / D.1 / D.2 / D.3 / D.4） - 组建项目团队 - 制定项目计划与时间表	CEO / 法务	《项目立项书》
第 3–4 周	在岸落地	- 租赁瓦努阿图实体办公场所 - 签约经理、董事、CTO - 启动 12 个月居住证据链准备	HR / 行政	办公室租赁合同、人员合同
第 5–6 周	制度建设（合规）	- 起草 AML/CFT 政策、KYC/CDD 手册 - 制定 ORMP 风险管理政策 - 网络安全政策草案	合规官 / CTO	《AML/CFT 政策》《KYC/CDD 手册》《ORMP 政策》
第 7–8 周	制度建设（技术与托管）	- 建立冷/热钱包管理方案（D.2 必备） - PoR 储备证明流程 - 交易监控与 STR 流程	CTO / 运营	《托管与密钥管理政策》《PoR 报告流程》
第 9 周	财务准备	- 注资 ≥ 200,000,000 VT - 出具银行及审计资本证明 - 制定流动性与应急资金计划	CFO	银行对账单、审计报告、资金计划
第 10–11 周	材料收集与表格填写	- Form 1、Form 3、申请类别声明 - 第三方协议尽调报告	项目经理	完整申请包
第 12 周	提交申请	- 向 VFSC 递交材料与费用	本地代理人	申请收据
第 13–18 周	审查与补件	- 回复 VFSC 补件通知 - 模拟监管问答 - 提供额外证据或演示	合规官 / 法务	补件文件、问答记录
第 19–22 周	决策与附条件批准	- 接收 VFSC 批准函 - 如有附条件批准，按时整改	CEO / 合规	条件满足证明
第 23 周	牌照颁发	- 收到 VASP 牌照 - 在官网与办公场所展示	行政	牌照副本
第 24–30 周	上线与合规运营	- 按年度计划执行 AML/KYC、审计、网络安全测试 - 提交年度费用	合规官 / CTO	年度合规报告、审计报告

---

二、项目实施预算表（示例，单位：VT 瓦图）

成本类别	单位成本	数量	小计	备注
政府申请费	20,000,000	1 类	20,000,000	多类累加
首年牌费	100,000,000	1 类	100,000,000	多类累加
年度续费（次年起）	50,000,000	1 类	50,000,000	多类累加
经理/董事/CTO 任命费	200,000	3 人	600,000	首次免收
办公室租赁	1,200,000	年	1,200,000	基于首都维拉港平均价
本地员工薪酬	2,400,000	年	2,400,000	经理/董事/CTO 月均 200k VT
合规顾问费用	8,000,000	一次性	8,000,000	含文档编制
技术审计/渗透测试	4,000,000	年	4,000,000	D.2 类必需
外部财务审计	3,000,000	年	3,000,000	审计师出具资本与年报
KYC/区块链分析工具	2,400,000	年	2,400,000	例：Chainalysis, SumSub
应急安全预算	2,000,000	年	2,000,000	重大事件响应
合计（首年）			143,800,000	按 1 类计算，多类增加

---

三、拒批原因与整改案例库（VFSC 常见问题）

1. 在岸实质不足

• 问题：经理/董事/CTO 无法证明连续 12 个月居住

• 整改：提前准备居住证据链（租约、电费/水费单、银行取现记录、手机账单），确保 VFSC 可现场核查。

2. 材料不完整

• 问题：缺少资金来源说明、UBO 控股结构图、第三方协议

• 整改：在提交前使用《申请材料一览表》逐项核对，并让本地代理预审。

3. 资本金不符合要求

• 问题：资本未达 200M VT 或无外部审计认证

• 整改：补足资金至监管账户并由认可审计师出具《资本证明》。

4. AML/CFT 不达标

• 问题：旅行规则仅在政策文件出现字眼，无落地流程

• 整改：在 KYC/CDD 手册中加入具体字段、阈值、失败处理与阻断机制，提供系统截图作为证明。

5. 网络安全与托管缺失

• 问题：未提交 PoR 测试计划、缺乏冷/热钱包分离方案

• 整改：编制《托管与密钥管理政策》，明确资产隔离与储备证明频率，并提交上链 PoR 报告示例。

6. 多类牌照申请不规范

• 问题：一次性表格涵盖多类但未分别缴费

• 整改：按类别分别填写 Form 1，并分别缴交申请费与牌费。

---

二十八、《VASP 牌照申请全套文档模板包》+AML/CFT 政策与旅行规则落地方案、ORMP 风险管理计划、托管与密钥治理白皮书（D.2 类必备）、网络安全政策与年度测试计划。

这些模板是仁港永胜唐生按 VFSC 的 Application Guideline、Fit & Proper Guideline、Cybersecurity Guideline、以及 FATF 标准整理的，你可以直接按你的公司信息替换落地。

一、业务说明书（Business Plan）标准版模板

用途：随 Form 1 一起提交，阐明公司业务模式、申请类别、合规与运营能力。

1. 执行摘要（Executive Summary）

• 公司名称、注册号、注册地

• 申请牌照类别（D / D.1 / D.2 / D.3 / D.4）

• 核心业务描述（如：加密货币兑换、跨境转账、托管服务、代币发行支持等）

• 核心竞争力（技术平台、团队经验、市场资源）

2. 公司与股权结构（Corporate & Ownership Structure）

• 控股架构图（至最终自然人）

• 实益拥有人（UBO）信息与持股比例

• 关联公司与业务关系

3. 服务范围与目标市场（Services & Target Market）

• 服务详细描述（按申请类别拆分）

• 目标客户群（零售 / 机构 / 高净值）

• 地理覆盖（瓦努阿图国内 / 国际市场）

• 客户获取策略（线上、代理、合作伙伴）

4. 收费模式（Revenue Model）

• 交易费率、托管费、订阅费等

• 其他增值服务（合规咨询、API 接入）

5. 技术架构与安全（Technology & Security）

• 平台架构（前端、后端、数据库、区块链节点部署）

• 网络安全措施（MFA、加密、入侵检测、防火墙）

• 冷/热钱包比例、私钥管理方案（D.2）

6. 合规框架（Compliance Framework）

• AML/CFT 政策执行概述

• 风险管理机制（ORMP）

• 旅行规则技术实现概述

7. 运营团队（Management & Key Persons）

• 经理（Manager）、董事（Director）、CTO 履历与职责

• 人员在岸居住安排与办公地址

8. 财务预测（Financial Projections）

• 3 年收入、成本、利润预测表

• 资本金与流动性安排

• 关键财务比率（资本充足率、流动性覆盖率）

9. 风险分析与缓释（Risk Analysis & Mitigation）

• 市场风险、技术风险、合规风险、运营风险

• 缓释措施（多签、保险、外部审计）

10. 附录（Appendices）

• 组织架构图

• 第三方服务合同（KYC 工具、云服务、托管人）

• 产品界面截图

---

二、AML/CFT 政策与旅行规则落地方案（节选版）

用途：VFSC 审查 AML/CFT 政策必须“可执行”，尤其要落地旅行规则（Travel Rule）。

1. 政策目标（Purpose）
确保公司在虚拟资产服务中遵守瓦努阿图 AML/CFT 法律与 FATF 标准，防止洗钱与恐怖融资。

2. 客户尽职调查（KYC/CDD）

• 开户前核实客户身份（身份证/护照 + 地址证明）

• 分级尽调：低风险（简化尽调）、高风险（强化尽调）

• 持续尽调：每 12 个月更新资料；高风险客户每 6 个月更新

3. 旅行规则执行（Travel Rule Implementation）

• 技术集成：与 Travel Rule 协议（如 TRISA、Notabene）对接

• 数据字段：发起方与接收方姓名、账号、地址、交易金额、交易目的

• 阈值：≥ 1,000 USD 等额交易须执行全字段传输

• 异常处理：无法获取对方 VASP 数据 → 阻断交易并提交 STR

4. 交易监测（Transaction Monitoring）

• 自动化监控（规则 + 行为分析）

• 高风险交易人工复核

• 可疑交易报告（STR）在 3 个工作日内提交至 FIU

5. 员工培训（Training）

• 入职培训 + 每年复训一次

• 培训内容涵盖 AML/CFT 最新法规、案例分析、系统操作

---

三、ORMP 风险管理计划（Operational Risk Management Policy）框架

1. 风险治理架构

• 董事会负责批准与监督

• 风险管理官（Risk Officer）日常执行

2. 风险识别

• 业务风险（市场、信用、合规、运营）

• 技术风险（网络攻击、系统中断、数据泄露）

• 流动性风险（资金不足、清算失败）

3. 风险评估与分级

• 按概率与影响评分（高 / 中 / 低）

• 高风险需设专门监控与报告机制

4. 风险监控与缓释

• KRI（关键风险指标）监控

• 应急计划（Incident Response Plan）

5. 报告与审计

• 每季度风险报告

• 每年外部审计与内部审查

---

四、托管与密钥治理白皮书（D.2 类必备）要点

1. 资产隔离
客户资产与公司资产独立存放；设立多签控制

2. 冷/热钱包策略

• 热钱包不超过总资产 5%

• 冷钱包离线保管，访问需双人授权

3. 私钥管理

• HSM 硬件安全模块

• 密钥分片存储（Shamir Secret Sharing）

• 定期轮换密钥

4. 储备证明（PoR）

• 每季度由第三方审计

• 结果上链 + 向 VFSC 报告

---

五、网络安全政策与年度测试计划（Cybersecurity Policy）

1. 组织与职责

• CTO 统筹网络安全与年度测试

• 安全事件响应小组（SIRT）

2. 技术控制

• 多因素认证（MFA）

• 最小权限与访问日志审计

• 数据加密（传输 + 静态）

3. 测试与审计

• 年度渗透测试

• 半年一次漏洞扫描

• 新系统上线前安全评估

4. 第三方管理

• 对云服务、托管人、KYC 服务商进行安全尽调

• 合同中包含安全事件通报条款

注：本文中的文档/附件原件可向仁港永胜唐生索取电子档]

选择一间专业专注的合规服务商协助牌照申请及后续维护及合规指导尤为重要，在此推荐选择仁港永胜。如需进一步协助，包括申请、合规指导及后续维护服务，请随时联系仁港永胜 www.jrp-hk.com 手机:15920002080（深圳/微信同号） 852-92984213（Hongkong/WhatsApp）获取帮助，以确保业务合法合规！

---