![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 32 32"><rect width="32" height="32" rx="6" fill="%2360a5fa"/><text x="16" y="22" font-family="Helvetica" font-size="18" font-weight="700" fill="%230b1e3f" text-anchor="middle">F</text></svg>)
![](data:image/svg+xml;utf8,<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 32 32"><rect width="32" height="32" rx="6" fill="%230b1e3f"/><text x="16" y="22" font-family="Helvetica" font-size="18" font-weight="700" fill="%2360a5fa" text-anchor="middle">F</text></svg>)
Appearance
02.2 — PROCEDIMIENTO DE CONOCIMIENTO DE CONTRAPARTES Y CONSULTA DE LISTAS SANCIONATORIAS
Código: SAR-002 Versión: 1.0 — 16 de abril de 2026 Aprobado por: Representante Legal Vigencia: 24 meses
1. Objetivo
Estandarizar la debida diligencia (DD, DDI+) aplicable a subcomercios, empleados, proveedores, aliados estratégicos y accionistas de Fintrixs S.A.S., así como definir la frecuencia y fuentes de consulta de listas sancionatorias.
2. Contrapartes bajo alcance
- Subcomercios que se vinculan a Fintrixs Pay bajo modalidad MID independiente.
- Empleados y contratistas vinculados por contrato laboral o de prestación de servicios.
- Proveedores tecnológicos, financieros y operativos.
- Aliados comerciales e inversionistas.
3. Segmentación por nivel de riesgo
| Nivel | Criterios |
|---|---|
| Bajo | Comercios con MCC de bajo riesgo, volumen esperado < 50 M COP/mes, jurisdicción Colombia, sin PEP, sin listas restrictivas |
| Medio | Comercios con MCC medio, volumen 50 M – 500 M COP/mes, o proveedores con acceso parcial a datos |
| Alto | Comercios con MCC de alto riesgo (ej. apuestas, cambio de divisas), PEP, alto volumen, o aliados con acceso a datos de titulares |
| Extremo | Jurisdicción listada por GAFI, PEP con perfil adverso, antecedentes LAFT, sanciones internacionales — requieren rechazo o escalamiento a Representante Legal |
4. Flujo de debida diligencia para subcomercios (KYB)
- Solicitud de vinculación mediante portal de onboarding.
- Recolección de documentos (automatizada vía
onboarding-service):- Certificado de Cámara de Comercio vigente (< 30 días).
- RUT.
- Cédula de Representante Legal.
- Composición accionaria / beneficiario final (si PJ).
- Estados financieros (si volumen esperado > 1.000 SMMLV/año).
- Referencias comerciales.
- Declaración de origen de fondos.
- Validaciones automáticas (API de validación de identidad + fuentes gubernamentales):
- Cédula vs. Registraduría.
- Cámara de Comercio vs. RUES.
- RUT vs. DIAN.
- Consulta en listas sancionatorias en el momento de la vinculación (ver sección 6).
- Clasificación de riesgo — motor de reglas del
orchestration-serviceasigna nivel (bajo/medio/alto/extremo). - Revisión manual si el nivel es medio o superior.
- Aprobación / Rechazo con registro en auditoría (
admin-audit-service).
5. Debida diligencia intensificada (DDI+)
Aplica a:
- PEP y sus vinculados.
- Comercios con MCC de alto riesgo.
- Contrapartes en países de alto riesgo GAFI.
- Operaciones con volúmenes transaccionales inusuales.
Actividades adicionales:
- Entrevista presencial o videoconferencia grabada.
- Validación extendida del UBO con documentos probatorios.
- Consulta extendida en medios públicos y bases de prensa.
- Aprobación del Representante Legal o Oficial de Cumplimiento.
- Monitoreo transaccional reforzado con umbrales ajustados.
6. Consulta de listas sancionatorias
6.1. Listas consultadas (mínimas)
- OFAC SDN (Specially Designated Nationals).
- ONU — Consejo de Seguridad (listas consolidadas 1267, 1988, 1718, 2231, etc.).
- INTERPOL — Red Notices.
- Unión Europea — Sanciones Financieras Consolidadas.
- Financial Sanctions List (HMT — Reino Unido).
- Listas vinculantes para Colombia (por remisión del DNI o UIAF).
- Lista de PEP Colombia (Decreto 830 de 2021, actualización periódica).
- Listas internas de Fintrixs (contrapartes rechazadas o bloqueadas).
6.2. Frecuencia
| Evento | Frecuencia |
|---|---|
| Vinculación inicial | Obligatorio |
| Monitoreo continuo de base vigente | Diario (cron automatizado) |
| Actualización de listas | Al menos semanal |
| Revinculación / reevaluación | Anual para riesgo bajo; semestral para medio; trimestral para alto |
6.3. Evidencia
Todo match (total o parcial) genera una alerta en el admin-audit-service con:
- Snapshot de la lista consultada (fecha + versión).
- Datos del titular evaluado.
- Resultado (match, posible match, sin match).
- Resolución (analista, comentario, timestamp).
- Conservación mínima de 10 años conforme a la normativa LAFT.
7. Rechazo y terminación
- Match confirmado → rechazo de vinculación o terminación unilateral inmediata.
- Notificación a la UIAF si aplica.
- Bloqueo en listas internas.
- Conservación de evidencia.
8. Indicadores del procedimiento
- % de vinculaciones con consulta de listas completa (objetivo 100%).
- Tiempo promedio de vinculación (objetivo < 48 h para riesgo bajo).
- Número de alertas gestionadas vs. generadas.
- Número de ROS reportados a la UIAF.
9. Evidencia técnica de soporte
- Microservicio
onboarding-service(puerto 3007) — flujo KYC/KYB. admin-audit-service(puerto 3009) — auditoría inmutable.@fintrixs/tenant-context— aislamiento multi-tenant de la información de los subcomercios vía PostgreSQL Row-Level Security (RLS).