Финансовый регулятор Гонконга ужесточил требования к хранению клиентских активов на лицензированных криптовалютных платформах (VATP), сформулировав минимальные стандарты безопасности для кастодианов.
Комиссия по ценным бумагам и фьючерсам Гонконга (SFC) опубликовала документ для операторов лицензированных площадок торговли виртуальными активами, который немедленно вводит обязательные минимальные требования к хранению клиентских активов и примеры надлежащих практик.
Документ фиксирует требования к управлению на уровне топ-менеджмента, инфраструктуре и операциям с использование холодных кошельков, взаимодействию с внешними поставщиками услуг, круглосуточному мониторингу угроз и обучению персонала. Документ станет основой ежегодного внешнего аудита VATP.
Ключевые положения обязывают поставщиков услуг:
- Назначать квалифицированного руководителя, ответственного за хранение клиентских активов, и обеспечивать внедрение эффективных процедур и надзора.
- Генерировать и хранить приватные ключи только в изолированной среде, использовать сертифицированные устройства безопасности и регулярно проверять поставщиков таких решений.
- Исключать использование смарт-контрактов в публичных блокчейн-сетях для систем холодного хранения.
- Применять многоуровневую проверку транзакций, хранить ключи на изолированных устройствах, выводить средства только на заранее утвержденные адреса, запрещать слепые подписи.
- Использовать отдельные устройства для подписания и проверки транзакций, изолированные от рабочих компьютеров и сети, проводить контроль целостности данных перед отправкой в блокчейн.
- Проводить строгую проверку сторонних поставщиков решений для хранения цифровых активов, включая аудит кода, анализ процессов обновлений и регулярную проверку мер безопасности.
- Ограничивать права администраторов, фиксировать все действия в журналах, регулярно тестировать планы аварийного восстановления и проводить учения вместе с подрядчиками.
- Организовывать круглосуточный мониторинг инфраструктуры, сверять блокчейн-балансы с бухгалтерскими записями в режиме реального времени, немедленно реагировать на расхождения и попытки несанкционированного доступа.
- Обеспечивать возможность для круглосуточного реагирования на инциденты безопасности, в том числе в праздничные и ночные часы.
- Разрабатывать процедуры реагирования на инциденты разной степени серьезности и обеспечивать контроль со стороны руководства.
Кроме того, криптовалютные кастодианы обязаны обеспечить качественное обучение для сотрудников в соответствии с их функциями, особенно тех, кто подписывает транзакции, проводить регулярные тренинги и имитацию атак, чтобы исключить ошибки и слепые подписи.
Внедрение новых стандартов безопасного хранения цифровых активов происходит в Гонконге на фоне активного развития регулирования отрасли в целом. К примеру, месяцем ранее Финансовый регулятор Гонконга опубликовал нормативные документы, уточняющие порядок лицензирования и надзора за эмитентами стейблкоинов в преддверии вступления в силу нового режима регулирования рынка стабильных монет.
