Hongkongse SFC rolt nieuwe bewaarstandaarden uit voor cryptoplatforms

De autoriteit van de Hong Kong SFC heeft nieuwe richtlijnen bekendgemaakt voor hoe gelicentieerde cryptoplatforms klantfondsen moeten beheren, en waarschuwt dat recente mislukkingen in het buitenland de risico's van zwakke bewaarcontroles aantonen.

Een nieuwe circulaire uitgegeven op 15 augustus door de Hong Kong SFC stelt verplichte standaarden vast voor gelicentieerde exploitanten van virtuele activahandelsplatforms (VATP) in de regio. 

De maatregelen omvatten cold wallet-infrastructuur, transactiecontroles, toezicht op wallets van derden en realtime dreigingsmonitoring, als directe reactie op de trend van hacks en oplichting in de industrie, die in de afgelopen maanden hebben geleid tot verliezen van miljoenen dollars. 

Recente beoordelingen van lokale exploitanten door de commissie hebben aangetoond dat de meerderheid slechts "fundamentele" maatregelen had getroffen, met hiaten die klantactiva bloot zouden kunnen stellen. In het licht van deze ontdekking legt het nieuwe kader van de SFC nu minimumstandaarden vast waaraan alle VATP's moeten voldoen.

Nieuw regelgevingsregime van de Hong Kong SFC

• Verantwoordelijkheid van het senior management: Dienstverleners moeten een aangewezen 'Verantwoordelijke Functionaris of Manager-in-Charge' aanstellen om toezicht te houden op bewaaroperaties, waarbij sterke governance, interne controles, risicobeheer en algemene naleving in operaties worden gewaarborgd.
• Robuuste cold wallet-infrastructuur: Privésleutels moeten offline worden gegenereerd in beveiligde omgevingen, met gebruik van gecertificeerde hardware beveiligingsmodules (HSM's) en goede back-ups. De SFC verwacht grondig due diligence-onderzoek naar HSM-providers, doorlopend patch- en certificeringsbeheer, en het vermijden van openbare smart contracts in cold wallet-opstellingen om aanvalsmogelijkheden te verminderen.
• Beveiligde wallet-operaties: Platforms moeten zich beschermen tegen diefstal van activa door middel van strikte opnamecontroles. Opnames mogen alleen naar gewhiteliste adressen gaan, met meerdere verificatiestappen, scheiding van taken en air-gapped ondertekeningsapparaten om manipulatie of misbruik van binnenuit te voorkomen.
• Strikt toezicht op wallet-providers van derden: Als een VATP een externe bewaarprovider gebruikt, moet het dezelfde beveiligings- en governancestandaarden toepassen als intern. Externe bewaaroplossingen moeten strenge due diligence, onafhankelijke codebeoordelingen en regelmatige ramphersteltrainingen doorstaan, met strak gecontroleerde beheerderstoegang.
• Realtime dreigingsmonitoring: Platforms moeten een Security Operations Centre runnen om incidenten in realtime te monitoren, saldi bij te houden, ongeautoriseerde toegang te volgen en waarschuwingen aan te passen op basis van opkomende risico's.
• Personeelstraining en bewustwordingscreatie: Alle medewerkers die betrokken zijn bij bewaring moeten rolspecifieke beveiligingstraining ondergaan, inclusief phishing-simulaties en oefeningen ter voorkoming van blind ondertekenen, om de menselijke verdediging te versterken.

Alle vereisten zijn onmiddellijk van kracht, waarbij van VATP's wordt verwacht dat ze hun bewaarkaders beoordelen en upgraden. Het nieuwe mandaat komt terwijl Hong Kong zijn missie blijft voortzetten om een wereldwijde digitale hub te worden. 

De eerste stablecoin-wet in zijn geschiedenis is onlangs officieel op 1 augustus in werking getreden, waarmee een licentieregime voor uitgevers is gecreëerd. Eerder dit jaar heeft de regering ook zijn bijgewerkte beleidsverklaring over digitale activa uitgebracht, waarin prioriteiten zoals regelgevende duidelijkheid en binnenlandse adoptie worden geschetst.

Hong Kong staat nu als een van de meest pro-crypto regio's in Azië en blijft werken aan het verstevigen van zijn plaats op de wereldwijde radar.