Anti-Money Laundering & Counter-Terrorism Financing Statement

This statement describes the Anti-Money Laundering (AML) and Counter-Terrorism Financing (CFT) program operated by PT UNIT GLOBAL SYSTEM. It supports our obligations under Law 8 of 2010 (UU TPPU), Law 9 of 2013 (Pencegahan dan Pemberantasan Tindak Pidana Pendanaan Terorisme), Bank Indonesia regulations governing payment service providers, and the directives of the Indonesian Financial Transaction Reports and Analysis Center (PPATK).

1. Statement of commitment

UnitPay maintains a comprehensive AML and CFT program proportionate to the risk profile of its merchant base and the payment services it offers. The program is designed to detect, prevent, and report money laundering, terrorism financing, sanctions evasion, and proliferation financing across every transaction we process.

We do not knowingly facilitate transactions that involve the proceeds of crime, terrorism financing, or sanctioned parties. Where we identify or reasonably suspect such activity, we take action consistent with this statement, our internal procedures, and applicable law.

This statement is a public commitment binding on UnitPay's directors, employees, contractors, and authorised agents. Internal procedures interpreting it are issued and maintained by the AML Compliance Officer and reviewed annually for consistency with current regulatory expectations and observed typologies.

2. Program governance

An AML Compliance Officer (AMLCO) is designated and registered with PPATK. The AMLCO has unrestricted access to merchant, transaction, and operational data necessary to discharge program responsibilities. The AMLCO reports functionally to the board's risk committee, which reviews AML metrics, escalations, and program effectiveness at least quarterly.

The AML and CFT program is documented through internal policies, procedures, and risk assessments, and is reviewed at least annually. Material changes are presented to the board for approval and communicated to staff with production access through mandatory updated training.

The board carries ultimate responsibility for the AML and CFT framework. The board approves the AML risk appetite statement, the annual training plan, the resourcing of the compliance function, and material changes to the program. The AMLCO has a direct line of escalation to the board chair where executive-level resistance to a compliance recommendation arises.

An enterprise-wide ML/TF risk assessment is performed at least annually, covering customer typology, geographic exposure, product mix, and delivery-channel risk. Findings drive the calibration of due diligence depth, monitoring rules, and training topics for the year ahead.

3. Customer due diligence

UnitPay performs risk-based customer due diligence on every merchant entity, every director, every commissioner where applicable, every ultimate beneficial owner holding 25% or more, and every authorised signatory. Standard due diligence applies to low- and medium-risk relationships; enhanced due diligence (EDD) applies to high-risk relationships, including PEPs, high-risk industries, and high-risk geographies.

EDD measures include: senior management approval of the relationship, enhanced understanding of source of funds and source of wealth where applicable, more frequent ongoing review, and stricter transaction monitoring thresholds. The specific measures applied are documented in the customer file and re-assessed at every periodic review.

KYC verification is performed through Didit (document, biometric liveness, and initial AML screening) as described in our KYC Policy. Ongoing transaction screening and merchant monitoring are performed through Didit. Together these vendors provide the screening, monitoring, and alerting capabilities the program requires.

Where due diligence cannot be completed satisfactorily (for example, undisclosed beneficial ownership, refusal to provide source-of-funds evidence for an EDD case, persistent failure of identity verification), UnitPay declines to onboard the prospective merchant or terminates an existing relationship and considers whether the circumstances warrant a SAR filing.

4. Sanctions and watchlist screening

Every transaction processed through UnitPay is screened in real time against the principal international and Indonesian sanction and watchlist sources.

The list set is reviewed at least annually to ensure new instruments (for example, freezing orders issued by Indonesian authorities, additional UN Security Council resolutions, sectoral or autonomous EU measures) are added promptly. Screening is performed against:

The United Nations Consolidated Sanctions List.
European Union consolidated sanctions.
The OFAC Specially Designated Nationals and Blocked Persons List.
His Majesty's Treasury (UK OFSI) consolidated list.
The PPATK domestic sanctions list (DTTOT, Daftar Terduga Teroris dan Organisasi Teroris) and any additional Indonesian regulatory lists in force.
Politically exposed person (PEP) lists, including direct, family, and close-associate categories.
Adverse media, drawn from over one thousand sources, focused on financial crime indicators.

Screening is performed at onboarding, on every transaction, and on a continuous monitoring basis through Didit. Positive matches block the transaction or onboarding pending compliance review.

Match-quality tuning balances false-positive rate (which creates customer friction) against false-negative rate (which creates regulatory and reputational risk). The configuration favours the regulatory-risk side: where doubt exists, the match is escalated for human review rather than auto-cleared.

Adjudication outcomes are sampled for quality-review by a senior compliance team-member to ensure consistency across analysts and to identify training opportunities. Sampling and findings are reported to the AMLCO monthly.

5. Transaction monitoring

Automated rules monitor transactions for: velocity outside historical norms, structuring patterns (multiple sub-threshold amounts), high-risk geographies, anomalous payment-method mix, atypical refund or chargeback rates, and combinations of indicators consistent with transaction laundering. Rule sets are tuned at least quarterly based on alert outcomes, peer benchmark, and emerging typologies published by PPATK and FATF.

Alerts route to a manual review queue. Compliance analysts adjudicate alerts within five working days, with severity-based fast-track for high-risk alerts. Adjudication notes are retained as part of the case record for audit.

The transaction monitoring system is calibrated to the merchant base in scope, not borrowed wholesale from a generic library. Detection logic and thresholds are reviewed against actual alert outcomes (true positive, false positive, undetected event identified after the fact) so that calibration tightens over time.

Read-across between transaction monitoring and the risk-monitoring framework described in our Risk Monitoring Policy is deliberate: AML signals can drive risk-tier reassignment, and risk-tier movement adjusts the AML monitoring posture. The two policies form a single program viewed from different angles.

6. Suspicious activity reporting

Where the AMLCO determines reasonable suspicion of money laundering, terrorism financing, or other reportable predicate offences, UnitPay files a Suspicious Transaction Report (Laporan Transaksi Keuangan Mencurigakan, LTKM) with PPATK within the timelines required by UU TPPU Article 23. We also file Cash Transaction Reports (LTKT) and other regulator-mandated reports where the applicable thresholds are met.

The anti-tipping-off provisions of UU TPPU prohibit us from disclosing the existence or content of any LTKM to the affected merchant, customer, or any other unauthorised party. We do not respond to merchant inquiries about whether a specific transaction has been reported.

Internal escalation to filing follows a documented workflow: analyst escalation, AMLCO review, AMLCO determination, filing through the GoAML or successor portal that PPATK operates. The filing record is retained alongside the underlying case evidence for the period required by UU TPPU Article 21.

7. Record keeping

UnitPay retains AML records for at least five years from the date of the transaction or the closure of the merchant relationship, whichever is later. This is consistent with UU TPPU Article 21 and aligns with the seven-year transaction-record retention we apply for Bank Indonesia audit purposes. Categories of record retained include:

Customer due diligence files (identity documents, beneficial-ownership evidence, EDD source-of-funds material).
Sanctions and PEP screening results, including matched list reference and adjudication outcome.
Transaction records sufficient to reconstruct the underlying flow of funds.
Alert adjudication notes and working papers.
LTKM and LTKT filings, with the supporting evidence that informed the determination.
Training records and internal communications relating to specific cases.

Records are stored encrypted at rest in ap-southeast-3, access-controlled, and integrity-protected. Production-grade restoration of historical records can be performed within five working days of regulator request.

8. Training

All staff with merchant-onboarding, transaction-monitoring, customer-support, or technology roles touching transaction data complete AML and CFT training at hire and annually thereafter. Training covers Indonesian regulatory framework, red-flag recognition, sanctions and PEP awareness, escalation procedures, and the anti-tipping-off rule.

Specialised modules are delivered to compliance analysts, the AMLCO, and senior management. Training completion is tracked centrally and is a precondition for retaining production access.

Training content is refreshed at least annually to reflect new typologies, regulator guidance, and observed weaknesses identified through internal quality-review of analyst adjudications. Staff who fail training assessments retake the module before regaining production access.

9. Independent audit and assurance

An independent assessment of the AML and CFT program is performed at least annually by qualified external assessors. Findings are documented with severity ratings, root-cause analysis, and a remediation plan with named owners and target dates. Material findings are reported to the board's risk committee and tracked to closure.

Outcomes of independent assessment, together with regulator examination findings where applicable, drive program improvement. We commit to addressing high and critical findings on a service-level basis aligned with regulator expectations.

Independence is preserved by appointing assessors who do not also provide ongoing AML or CFT services to UnitPay, and by ensuring assessor reports are presented directly to the board's risk committee rather than mediated through executive management.

Assessment scope rotates over a multi-year cycle so that every component of the program (governance, due diligence, screening, monitoring, reporting, training, record-keeping, technology) receives focused review at least once in the cycle. Out-of-cycle assessments are commissioned on material risk events.

10. Cooperation with regulators

UnitPay cooperates fully with Bank Indonesia, OJK, PPATK, and law enforcement under valid legal process. We respond to information requests within the timelines set out in the request or by applicable law, and we maintain dedicated contact channels for each regulator. Inquiries from authorised investigators may be directed to compliance@unitpay.net or through the formal channels established in our regulatory licensing documentation.

Where international cooperation is requested through legitimate mutual legal assistance channels (for example, through Bank Indonesia's bilateral arrangements or PPATK's egmont-group counterpart relationships), UnitPay supports the request consistent with Indonesian law and any applicable cross-border data-protection safeguards described in our UU PDP Personal Data Notice.

Information shared with regulators is the minimum necessary to address the request. Records of regulator interactions are retained as part of the program record so that the cumulative pattern of cooperation is itself auditable.

For day-to-day enquiries, including merchant questions about the reach of this Statement, the AML Compliance Officer can be reached at compliance@unitpay.net during Mon-Fri 09:00-18:00 WIB.

Effective date: 06 May 2026

Pernyataan ini menjelaskan program Anti Pencucian Uang (AML) dan Pencegahan Pendanaan Terorisme (CFT) yang dijalankan oleh PT UNIT GLOBAL SYSTEM. Pernyataan ini mendukung kewajiban kami berdasarkan UU 8 Tahun 2010 (UU TPPU), UU 9 Tahun 2013 (Pencegahan dan Pemberantasan Tindak Pidana Pendanaan Terorisme), peraturan Bank Indonesia yang mengatur penyedia jasa pembayaran, serta arahan dari Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK).

1. Pernyataan komitmen

UnitPay memelihara program AML dan CFT yang komprehensif dan proporsional terhadap profil risiko basis merchant dan layanan pembayaran yang ditawarkan. Program ini dirancang untuk mendeteksi, mencegah, dan melaporkan pencucian uang, pendanaan terorisme, penghindaran sanksi, dan pendanaan proliferasi pada setiap transaksi yang kami proses.

Kami tidak dengan sengaja memfasilitasi transaksi yang melibatkan hasil kejahatan, pendanaan terorisme, atau pihak yang dikenai sanksi. Apabila kami mengidentifikasi atau secara wajar mencurigai aktivitas tersebut, kami mengambil tindakan yang konsisten dengan pernyataan ini, prosedur internal kami, dan hukum yang berlaku.

Pernyataan ini adalah komitmen publik yang mengikat direktur, karyawan, kontraktor, dan agen UnitPay yang berwenang. Prosedur internal yang menafsirkannya diterbitkan dan dipelihara oleh AML Compliance Officer dan ditinjau tahunan untuk konsistensi dengan ekspektasi regulasi terkini dan tipologi yang teramati.

2. Tata kelola program

Seorang AML Compliance Officer (AMLCO) ditunjuk dan terdaftar di PPATK. AMLCO memiliki akses tanpa pembatasan atas data merchant, transaksi, dan operasional yang diperlukan untuk menjalankan tanggung jawab program. AMLCO melapor secara fungsional kepada komite risiko dewan, yang meninjau metrik AML, eskalasi, dan efektivitas program setidaknya triwulanan.

Program AML dan CFT didokumentasikan melalui kebijakan, prosedur, dan penilaian risiko internal, dan ditinjau setidaknya tahunan. Perubahan material disampaikan kepada dewan untuk persetujuan dan dikomunikasikan kepada staf dengan akses produksi melalui pelatihan wajib yang diperbarui.

Dewan memikul tanggung jawab tertinggi atas kerangka AML dan CFT. Dewan menyetujui pernyataan selera risiko AML, rencana pelatihan tahunan, sumber daya fungsi kepatuhan, dan perubahan material atas program. AMLCO memiliki saluran eskalasi langsung ke ketua dewan apabila muncul resistensi tingkat eksekutif terhadap rekomendasi kepatuhan.

Penilaian risiko ML/TF tingkat enterprise dilakukan setidaknya tahunan, mencakup tipologi pelanggan, paparan geografis, bauran produk, dan risiko kanal pengiriman. Temuan mendorong kalibrasi kedalaman uji tuntas, aturan pemantauan, dan topik pelatihan untuk tahun berikutnya.

3. Uji tuntas pelanggan

UnitPay melakukan uji tuntas pelanggan berbasis risiko pada setiap entitas merchant, setiap direktur, setiap komisaris bila berlaku, setiap pemilik manfaat akhir yang memegang 25% atau lebih, dan setiap penandatangan yang berwenang. Uji tuntas standar diterapkan pada hubungan berisiko rendah dan sedang; uji tuntas yang diperketat (EDD) diterapkan pada hubungan berisiko tinggi, termasuk PEP, industri berisiko tinggi, dan geografi berisiko tinggi.

Langkah EDD meliputi: persetujuan manajemen senior atas hubungan, pemahaman yang diperketat atas sumber dana dan sumber kekayaan apabila berlaku, tinjauan berkelanjutan yang lebih sering, dan ambang pemantauan transaksi yang lebih ketat. Langkah spesifik yang diterapkan didokumentasikan dalam berkas pelanggan dan dinilai ulang pada setiap tinjauan berkala.

Verifikasi KYC dilakukan melalui Didit (dokumen, kehidupan biometrik, dan penyaringan AML awal) sebagaimana dijelaskan dalam Kebijakan KYC kami. Penyaringan transaksi berkelanjutan dan pemantauan merchant dilakukan melalui Didit. Bersama, vendor tersebut menyediakan kapabilitas penyaringan, pemantauan, dan peringatan yang dibutuhkan program.

Apabila uji tuntas tidak dapat diselesaikan dengan memuaskan (misalnya, kepemilikan manfaat yang tidak diungkapkan, penolakan menyediakan bukti sumber dana untuk kasus EDD, kegagalan verifikasi identitas yang berulang), UnitPay menolak melakukan onboarding terhadap calon merchant atau menghentikan hubungan yang ada dan mempertimbangkan apakah keadaan tersebut layak untuk pengajuan SAR.

4. Penyaringan sanksi dan watchlist

Setiap transaksi yang diproses melalui UnitPay disaring secara real time terhadap sumber sanksi dan watchlist internasional dan Indonesia utama.

Kumpulan daftar ditinjau setidaknya tahunan untuk memastikan instrumen baru (misalnya, perintah pembekuan yang diterbitkan oleh otoritas Indonesia, resolusi Dewan Keamanan PBB tambahan, langkah sektoral atau otonom UE) ditambahkan secara cepat. Penyaringan dilakukan terhadap:

Daftar Sanksi Konsolidasi Perserikatan Bangsa-Bangsa.
Sanksi konsolidasi Uni Eropa.
Daftar OFAC Specially Designated Nationals and Blocked Persons.
Daftar konsolidasi His Majesty's Treasury (UK OFSI).
Daftar sanksi domestik PPATK (DTTOT, Daftar Terduga Teroris dan Organisasi Teroris) dan daftar regulasi Indonesia tambahan apa pun yang berlaku.
Daftar Politically Exposed Person (PEP), termasuk kategori langsung, keluarga, dan rekan dekat.
Adverse media, dari lebih dari seribu sumber, berfokus pada indikator kejahatan keuangan.

Penyaringan dilakukan pada onboarding, pada setiap transaksi, dan secara pemantauan berkelanjutan melalui Didit. Kecocokan positif memblokir transaksi atau onboarding sambil menunggu tinjauan kepatuhan.

Penalaan kualitas kecocokan menyeimbangkan tingkat false-positive (yang menciptakan friksi pelanggan) dengan tingkat false-negative (yang menciptakan risiko regulasi dan reputasi). Konfigurasi memihak sisi risiko regulasi: apabila timbul keraguan, kecocokan dieskalasi untuk tinjauan manusia alih-alih dibebaskan secara otomatis.

Hasil ajudikasi disampel untuk tinjauan kualitas oleh anggota tim kepatuhan senior untuk memastikan konsistensi antar analis dan untuk mengidentifikasi peluang pelatihan. Sampling dan temuan dilaporkan kepada AMLCO secara bulanan.

5. Pemantauan transaksi

Aturan otomatis memantau transaksi untuk: kecepatan di luar norma historis, pola structuring (beberapa jumlah di bawah ambang), geografi berisiko tinggi, bauran metode pembayaran yang anomali, tingkat pengembalian dana atau chargeback yang tidak khas, dan kombinasi indikator yang konsisten dengan transaction laundering. Set aturan disetel setidaknya triwulanan berdasarkan hasil peringatan, benchmark sebanding, dan tipologi yang muncul yang diterbitkan oleh PPATK dan FATF.

Peringatan dialirkan ke antrian tinjauan manual. Analis kepatuhan mengajudikasi peringatan dalam lima hari kerja, dengan jalur cepat berbasis tingkat keparahan untuk peringatan berisiko tinggi. Catatan ajudikasi disimpan sebagai bagian dari catatan kasus untuk audit.

Sistem pemantauan transaksi dikalibrasi pada basis merchant dalam cakupan, tidak dipinjam wholesale dari pustaka generik. Logika deteksi dan ambang ditinjau terhadap hasil peringatan aktual (true positive, false positive, peristiwa yang tidak terdeteksi yang diidentifikasi setelah fakta) sehingga kalibrasi semakin ketat seiring waktu.

Read-across antara pemantauan transaksi dan kerangka pemantauan risiko yang dijelaskan dalam Kebijakan Pemantauan Risiko kami bersifat sengaja: sinyal AML dapat mendorong penetapan ulang tier risiko, dan pergerakan tier risiko menyesuaikan postur pemantauan AML. Kedua kebijakan tersebut membentuk satu program yang dilihat dari sudut yang berbeda.

6. Pelaporan aktivitas mencurigakan

Apabila AMLCO menentukan adanya kecurigaan yang wajar atas pencucian uang, pendanaan terorisme, atau tindak pidana asal yang dapat dilaporkan lainnya, UnitPay mengajukan Laporan Transaksi Keuangan Mencurigakan (LTKM) ke PPATK dalam jadwal yang disyaratkan oleh Pasal 23 UU TPPU. Kami juga mengajukan Laporan Transaksi Keuangan Tunai (LTKT) dan laporan lain yang diwajibkan regulator apabila ambang yang berlaku terpenuhi.

Ketentuan anti-tipping-off dalam UU TPPU melarang kami mengungkapkan keberadaan atau isi LTKM apa pun kepada merchant terdampak, pelanggan, atau pihak tidak berwenang lainnya. Kami tidak menanggapi pertanyaan merchant tentang apakah transaksi tertentu telah dilaporkan.

Eskalasi internal hingga pengajuan mengikuti alur kerja terdokumentasi: eskalasi analis, tinjauan AMLCO, penentuan AMLCO, pengajuan melalui portal GoAML atau penggantinya yang dioperasikan PPATK. Catatan pengajuan disimpan bersama bukti kasus yang mendasari selama periode yang disyaratkan oleh Pasal 21 UU TPPU.

7. Pemeliharaan catatan

UnitPay menyimpan catatan AML setidaknya selama lima tahun sejak tanggal transaksi atau penutupan hubungan merchant, mana yang lebih akhir. Hal ini konsisten dengan Pasal 21 UU TPPU dan selaras dengan retensi catatan transaksi tujuh tahun yang kami terapkan untuk tujuan audit Bank Indonesia. Kategori catatan yang disimpan meliputi:

Berkas uji tuntas pelanggan (dokumen identitas, bukti kepemilikan manfaat, bahan sumber dana EDD).
Hasil penyaringan sanksi dan PEP, termasuk referensi daftar yang dicocokkan dan hasil ajudikasi.
Catatan transaksi yang cukup untuk merekonstruksi aliran dana yang mendasari.
Catatan ajudikasi peringatan dan kertas kerja.
Pengajuan LTKM dan LTKT, dengan bukti pendukung yang memengaruhi penentuan.
Catatan pelatihan dan komunikasi internal yang berkaitan dengan kasus tertentu.

Catatan disimpan terenkripsi dalam penyimpanan di ap-southeast-3, akses dikendalikan, dan integritas dilindungi. Pemulihan tingkat produksi atas catatan historis dapat dilakukan dalam lima hari kerja sejak permintaan regulator.

8. Pelatihan

Seluruh staf dengan peran onboarding merchant, pemantauan transaksi, dukungan pelanggan, atau teknologi yang menyentuh data transaksi menyelesaikan pelatihan AML dan CFT pada saat perekrutan dan tahunan setelahnya. Pelatihan mencakup kerangka regulasi Indonesia, pengenalan red-flag, kesadaran sanksi dan PEP, prosedur eskalasi, dan aturan anti-tipping-off.

Modul khusus disampaikan kepada analis kepatuhan, AMLCO, dan manajemen senior. Penyelesaian pelatihan dilacak terpusat dan menjadi prasyarat untuk mempertahankan akses produksi.

Konten pelatihan diperbarui setidaknya tahunan untuk mencerminkan tipologi baru, panduan regulator, dan kelemahan yang teramati melalui tinjauan kualitas internal atas ajudikasi analis. Staf yang gagal dalam asesmen pelatihan mengulang modul sebelum mendapatkan kembali akses produksi.

9. Audit dan penjaminan independen

Penilaian independen atas program AML dan CFT dilakukan setidaknya tahunan oleh penilai eksternal yang berkualifikasi. Temuan didokumentasikan dengan rating tingkat keparahan, analisis akar penyebab, dan rencana remediasi dengan pemilik yang dinamai dan tanggal target. Temuan material dilaporkan kepada komite risiko dewan dan dilacak hingga penutupan.

Hasil penilaian independen, bersama dengan temuan pemeriksaan regulator apabila berlaku, mendorong perbaikan program. Kami berkomitmen untuk menangani temuan high dan critical pada dasar tingkat layanan yang selaras dengan ekspektasi regulator.

Independensi dipertahankan dengan menunjuk penilai yang tidak juga menyediakan layanan AML atau CFT yang berkelanjutan kepada UnitPay, dan dengan memastikan laporan penilai disampaikan langsung kepada komite risiko dewan alih-alih dimediasi melalui manajemen eksekutif.

Cakupan penilaian berputar selama siklus multi-tahun sehingga setiap komponen program (tata kelola, uji tuntas, penyaringan, pemantauan, pelaporan, pelatihan, pemeliharaan catatan, teknologi) menerima tinjauan yang fokus setidaknya sekali dalam siklus. Penilaian di luar siklus dilakukan atas peristiwa risiko material.

10. Kerja sama dengan regulator

UnitPay bekerja sama sepenuhnya dengan Bank Indonesia, OJK, PPATK, dan penegak hukum berdasarkan proses hukum yang sah. Kami menanggapi permintaan informasi dalam jadwal yang ditetapkan dalam permintaan atau oleh hukum yang berlaku, dan kami memelihara kanal kontak khusus untuk masing-masing regulator. Pertanyaan dari penyidik yang berwenang dapat diarahkan ke compliance@unitpay.net atau melalui kanal formal yang ditetapkan dalam dokumentasi pelisensian regulasi kami.

Apabila kerja sama internasional diminta melalui kanal mutual legal assistance yang sah (misalnya, melalui pengaturan bilateral Bank Indonesia atau hubungan PPATK dengan rekan kerja egmont-group), UnitPay mendukung permintaan tersebut konsisten dengan hukum Indonesia dan pengaman perlindungan data lintas batas yang berlaku sebagaimana dijelaskan dalam Pemberitahuan Data Pribadi UU PDP kami.

Informasi yang dibagikan kepada regulator adalah minimum yang diperlukan untuk menangani permintaan. Catatan interaksi regulator disimpan sebagai bagian dari catatan program agar pola kerja sama kumulatif itu sendiri dapat diaudit.

Untuk pertanyaan sehari-hari, termasuk pertanyaan merchant tentang jangkauan Pernyataan ini, AML Compliance Officer dapat dihubungi di compliance@unitpay.net selama Mon-Fri 09:00-18:00 WIB.

Tanggal berlaku: 06 May 2026