Hongkoński SFC wprowadza nowe standardy przechowywania dla platform kryptowalutowych

Hongkoński urząd SFC ujawnił nowe wytyczne dotyczące sposobu zarządzania funduszami klientów przez licencjonowane platformy kryptowalutowe, ostrzegając, że niedawne niepowodzenia za granicą pokazują ryzyko związane ze słabymi kontrolami przechowywania.

Nowy okólnik wydany 15 sierpnia przez hongkońską SFC określa obowiązkowe standardy dla licencjonowanych operatorów platform handlu aktywami wirtualnymi (VATP) w regionie. 

Środki obejmują infrastrukturę zimnych portfeli, kontrole transakcji, nadzór nad portfelami stron trzecich oraz monitorowanie zagrożeń w czasie rzeczywistym, w bezpośredniej odpowiedzi na trend włamań i oszustw w branży, które doprowadziły do wielomilionowych strat w ostatnich miesiącach. 

Niedawne przeglądy lokalnych operatorów przeprowadzone przez komisję wykazały, że większość z nich miała tylko "podstawowe" środki, z lukami, które mogłyby narazić aktywa klientów. W świetle tego odkrycia, nowe ramy SFC określają teraz minimalne standardy, które muszą spełnić wszystkie VATP.

Nowy reżim zasad hongkońskiego SFC

• Odpowiedzialność kadry kierowniczej wyższego szczebla: Dostawcy usług muszą wyznaczyć dedykowanego 'Odpowiedzialnego Funkcjonariusza lub Kierownika' do nadzorowania operacji przechowywania, zapewniając silne zarządzanie, kontrole wewnętrzne, zarządzanie ryzykiem i ogólną zgodność w działaniach.
• Solidna infrastruktura zimnych portfeli: Klucze prywatne powinny być generowane offline w bezpiecznych środowiskach, przy użyciu certyfikowanych modułów bezpieczeństwa sprzętowego (HSM) i odpowiednich kopii zapasowych. SFC oczekuje dokładnej analizy due diligence dostawców HSM, bieżącego zarządzania poprawkami i certyfikacjami oraz unikania publicznych inteligentnych kontraktów w konfiguracjach zimnych portfeli, aby zmniejszyć powierzchnię ataku.
• Bezpieczne operacje portfelowe: Platformy muszą chronić się przed kradzieżą aktywów poprzez ścisłe kontrole wypłat. Wypłaty muszą być kierowane tylko na adresy z białej listy, z wieloma krokami weryfikacji, podziałem obowiązków i urządzeniami do podpisywania z izolacją powietrzną, aby zapobiec manipulacjom lub nadużyciom wewnętrznym.
• Ścisły nadzór nad dostawcami portfeli stron trzecich: Jeśli VATP korzysta z zewnętrznego dostawcy usług przechowywania, musi stosować te same standardy bezpieczeństwa i zarządzania, co wewnętrznie. Zewnętrzne rozwiązania przechowywania muszą przejść rygorystyczne due diligence, niezależne przeglądy kodu i regularne ćwiczenia odzyskiwania po awarii, z ściśle kontrolowanym dostępem administracyjnym.
• Monitorowanie zagrożeń w czasie rzeczywistym: Platformy muszą prowadzić Centrum Operacji Bezpieczeństwa do monitorowania incydentów w czasie rzeczywistym, śledzenia sald, nieautoryzowanego dostępu i dostosowywania alertów w oparciu o pojawiające się zagrożenia.
• Szkolenie personelu i budowanie świadomości: Wszyscy pracownicy zaangażowani w przechowywanie muszą przejść szkolenia bezpieczeństwa specyficzne dla ich roli, w tym symulacje phishingu i ćwiczenia zapobiegania ślepemu podpisywaniu, aby wzmocnić ludzkie mechanizmy obronne.

Wszystkie wymagania wchodzą w życie natychmiast, a od VATP oczekuje się oceny i ulepszenia ich ram przechowywania. Nowy mandat pojawia się w czasie, gdy Hongkong kontynuuje realizację swojej misji stania się globalnym centrum cyfrowym. 

Pierwsza w historii ustawa o stablecoinach niedawno oficjalnie weszła w życie 1 sierpnia, tworząc system licencjonowania dla emitentów. Wcześniej w tym roku rząd wydał również zaktualizowane oświadczenie polityczne dotyczące aktywów cyfrowych, określające priorytety takie jak jasność regulacyjna i adopcja krajowa.

Hongkong jest obecnie jednym z najbardziej przyjaznych kryptowalutom regionów w Azji i nadal pracuje nad umacnianiem swojej pozycji na globalnej scenie.