08.2 — RESPUESTAS ESTRUCTURADAS AL CUESTIONARIO DE DD — TESORERÍA CENTRALIZADA / TPP-TRD

Formulario: DD Tesorería — Banco Sponsor — Versión 5.0 Respondiente: Fintrixs S.A.S. — NIT 901.994.194-3 Fecha: 16 de abril de 2026

---

Módulo 1 — Información General de la Empresa

1. Razón social / NIT: Fintrixs S.A.S., NIT 901.994.194-3.
2. Domicilio: Bogotá D.C. — ver 01.1.
3. Representante Legal: Gabriel Ureña Chacón, Cédula de Extranjería No. 501112 — CEO / CTO. Suplente: Juan Carlos Traslaviña Abaunza, C.C. 1.030.660.671 (COO).
4. Actividad económica: Desarrollo de plataforma tecnológica de pagos (pasarela de pagos y agregador).
5. Composición accionaria: Ver 01.1.
6. Años de operación: Constituida recientemente; pre-operacional en cuanto a procesamiento con banco sponsor.

Módulo 2 — Experiencia y relaciones bancarias

7. Referencias bancarias: Se entregan bajo NDA.
8. Relaciones con otros bancos: Cuenta corriente operativa. Sin otras relaciones de sponsorship activas.
9. Antecedentes regulatorios: Sin sanciones ni investigaciones en curso.

Módulo 3 — SARLAFT / Cumplimiento

10. Sistema SARLAFT: Ver 02.1. Manual adoptado; Oficial de Cumplimiento a nombrar pre-go-live.
11. KYC/KYB de contrapartes: Ver 02.2.
12. Reporte a UIAF: Estructura definida; reportes ROS se activarán con el inicio transaccional.
13. Listas restrictivas consultadas: OFAC, ONU, INTERPOL, UE, PEP, listas internas. Detalle en 02.2.

Módulo 4 — Protección de Datos

14. PTDP: Documento 03.0 (26 páginas, v2.1).
15. Inscripción RNBD: Programada — ver 03.1.
16. DPO: Rol asignado. Contacto en la política 03.0.
17. Procedimientos del titular: 03.2 (autorización/revocación), 03.3 (PQR).
18. Incidentes de seguridad de datos: 03.4.

Módulo 5 — Ciberseguridad y TI

19. Política de ciberseguridad: 04.1.
20. Gestión de incidentes: 04.3.
21. Pentest: 04.4 (último ejercicio concluido; sin hallazgos críticos abiertos).
22. Controles técnicos: 04.5.
23. Arquitectura de seguridad: 04.6.
24. Aplicaciones web/móvil: 04.7.
25. Cifrado en reposo y tránsito: AES-256 en reposo (KMS), TLS 1.2+/mTLS en tránsito.
26. Gestión de accesos: RBAC, MFA, JWT RS256, sesiones con revocación, auditoría en admin-audit-service.
27. Segregación de funciones: Matriz RACI por ambiente; separación entre quienes desarrollan, despliegan y auditan.

Módulo 6 — Riesgo Operacional

28. Metodología de riesgos: 05.1 — ISO 31000, ISO 27005, NIST SP 800-30.
29. Matriz de riesgos y controles: 05.4.
30. Riesgo de fraude: 05.2.
31. Tokenización y 3DS: 05.3.

Módulo 7 — Continuidad del negocio

32. BCP/DRP: 07.1.
33. RTO/RPO: T0 → RTO ≤ 1h, RPO ≤ 5 min.
34. Pruebas del plan: Trimestrales (tabletop) + semestrales (técnicas) + anuales (DR completo).
35. Runbook de respuesta: 07.2.

Módulo 8 — Anticorrupción

36. Política anticorrupción: 06.1.
37. Código de ética: 06.2.
38. Canal de denuncias: 06.3.
39. Capacitación: Obligatoria en onboarding + refresco anual.

Módulo 9 — Infraestructura y Arquitectura

40. Proveedores cloud: AWS primaria (us-east-1), DR (us-west-2).
41. Segmentación de red: VPC con subnets públicas/privadas; CDE PCI aislado; network policies estrictas.
42. Data residency: Actualmente en US por requisitos de latencia y costo; análisis formal de transferencia internacional conforme a Ley 1581 (cláusulas contractuales tipo SIC).
43. Monitoreo y alertas: CloudWatch, Prometheus, Grafana, SIEM, PagerDuty.
44. Gestión de llaves: AWS KMS; rotación automatizada; llaves replicadas cross-region.

Módulo 10 — Modelo Operativo con el Banco Sponsor

45. Flujo transaccional: Subcomercio → Fintrixs Pay → Credibanco → red Visa → emisor → autorización.
46. Liquidación: A través del banco sponsor, con reconciliación T+N según contrato.
47. Reportes al banco sponsor: Reportes operativos y de cumplimiento con periodicidad acordada (típicamente diario/mensual).
48. Capacidad de auditoría: Fintrixs acepta auditorías del banco sponsor con preaviso razonable; derecho contractualmente previsto.

Módulo 11 — Aspectos específicos TPP-TRD / Tesorería centralizada

49. Cuentas de recaudo y compensación: Operadas en el banco sponsor; Fintrixs es el operador tecnológico del flujo.
50. Conciliación automática: payments-api ejecuta conciliación con archivos / endpoints del banco sponsor.
51. Reporte de saldos: Diario, con corte definido contractualmente.
52. Manejo de devoluciones: Proceso automatizado con trazabilidad punta a punta.
53. Contingencia operativa: Procedimientos manuales documentados en 07.2.

Módulo 12 — Servicios de valor agregado

54. Pagos recurrentes / tokenización de red: Implementado.
55. Disputas y contracargos: Módulo en desarrollo; procedimiento documentado en runbook RUN-DISPUTE-001 (entrega tras GA).
56. Reportes para subcomercios: Dashboard en Vue 3 + API GraphQL; exportación CSV/XLSX.

Módulo 13 — Relaciones con terceros

57. Evaluación de proveedores críticos: Proceso documentado; matriz de madurez aplicada.
58. Contratos con cláusulas de cumplimiento: Sí — PTDP, anticorrupción, auditoría.
59. Subcontratación de funciones críticas: No aplica en la capa regulatoria principal; ciertos servicios de infraestructura están en AWS.

Módulo 14 — Estado financiero

60. Estados financieros: Bajo NDA.
61. Proyecciones financieras: Bajo NDA.
62. Pólizas de seguro: En cotización (RC profesional + cibernética).

Módulo 15 — Estructura organizacional

63. Organigrama: Ver 01.1 (estructura resumida). Detallado bajo NDA.
64. Roles de cumplimiento: Representante Legal (RL), DPO, CISO, Oficial de Cumplimiento (a nombrar), Asesor Legal.
65. Plan de talento: Plan de contratación y sucesión documentado en 07.1, sección 9.

---

Anexos asociados a este cuestionario

Anexo	Ubicación
Organigrama detallado	Bajo NDA
Estados financieros	Bajo NDA
Pólizas	En cotización
Referencias comerciales	Bajo NDA
Certificaciones (ISO/PCI)	En curso; se entregan al concluir

Declaración de veracidad

El Representante Legal declara que la información suministrada es veraz, completa y suficiente, y autoriza al banco sponsor a consultar centrales de información, listas restrictivas y referencias conforme a la normatividad vigente. Los documentos marcados como "Bajo NDA" se entregan mediante canal seguro una vez firmado el NDA correspondiente.