香港证监会发布虚拟资产交易平台托管要求通函
8月15日,香港证监会向所有持牌虚拟资产交易平台发出通函,明确了对稳健托管客户虚拟资产的要求,并敦促平台加强资产托管措施。此举是因应近期海外多起虚拟资产托管漏洞事故,以及香港证监会年初审查发现部分平台监控措施不足的情况。
香港证监会指出,海外虚拟资产平台的网络保安事故导致客户资产遭受重大损失,暴露了全球托管系统持续面临风险。常见漏洞包括第三方钱包解决方案被入侵、交易验证流程不足以及交易签署人盲目批准伪造交易等。
通函要求
通函中,香港证监会列举了多项良好作业范例及虚拟资产交易平台营运者应达到的最低标准,包括高级管理层的责任、客户冷钱包的基础设施与运作、第三方钱包的应用,以及实时威胁监控等方面。这些标准将构成对虚拟资产托管服务提供者的核心要求,促进虚拟资产托管框架的统一性。
| 要求领域 | 具体要求 |
|---|---|
| 高级管理层责任 | 落实有效的政策、程序和内部监控措施;由具备合适资格和丰富经验的人士作出充分的高级管理层监督及管治。 |
| 客户冷钱包基础设施 | 设立并实施严格的内部监控措施及管治程序,确保安全地产生、储存及备份所有加密种子及私人密钥。 |
| 客户冷钱包操作 | 制订充分的程序,防止因盗窃、欺诈及其他不诚实行为、专业上的失当行为或不作为而引致的损失。 |
| 使用钱包解决方案及第三方服务提供者 | 实施严格的多重因素接达监控系统,所有进出纪录均获保存。 |
| 持续进行实时威胁监控 | 对平台的基础设施实施足够的保安监控措施,包括建立保安运作中心(SOC)或具有足够资源的同等职能。 |
| 培训与意识 | 为平台的设计、开发、部署、运作及改动调配具备足够资格的职员,以及充足的专业知识、技术资源和财政支援。 |
通函还强调了良好作业方式的重要性,如A公司实施的冷钱包系统、B公司使用的专为覆核及批准交易而设的硬件设备,以及C公司实施的传送前的最后阶段数据验证检查等。
香港证监会的这一举措旨在提升虚拟资产交易平台的安全性和可靠性,保护投资者资产,同时推动行业标准的统一和提升。
