Гонконгская SFC внедряет новые стандарты хранения для крипто-платформ

Управление SFC Гонконга представило новые руководящие принципы по обращению лицензированных криптоплатформ с клиентскими средствами, предупреждая, что недавние сбои за рубежом показывают риски слабого контроля за хранением.

Новый циркуляр, выпущенный 15 августа гонконгским SFC, устанавливает обязательные стандарты для операторов лицензированных платформ торговли виртуальными активами (VATP) в регионе. 

Меры охватывают инфраструктуру холодного кошелька, контроль транзакций, надзор за кошельками третьих сторон и мониторинг угроз в реальном времени, в прямом ответ на тенденцию отраслевых взломов и мошенничеств, которые привели к многомиллионным долларовым потерям в последние месяцы. 

Недавние проверки местных операторов комиссией показали, что большинство имело только "фундаментальные" меры, с пробелами, которые могли оставить активы клиентов незащищенными. В свете этого открытия, новая структура SFC теперь устанавливает минимальные стандарты, которым должны соответствовать все VATP.

Новый режим правил гонконгского SFC

• Ответственность высшего руководства: Поставщики услуг должны назначить специального 'Ответственного сотрудника или Управляющего' для надзора за операциями хранения, обеспечивая сильное управление, внутренний контроль, управление рисками и общее соответствие в операциях.
• Надежная инфраструктура холодного кошелька: Приватные ключи должны генерироваться офлайн в безопасных средах, используя сертифицированные модули безопасности оборудования (HSM) и надлежащие резервные копии. SFC ожидает тщательного дью-дилидженса поставщиков HSM, постоянного управления патчами и сертификацией, а также избегания публичных смарт-контрактов в настройках холодного кошелька для уменьшения поверхности атаки.
• Безопасные операции с кошельком: Платформы должны защищаться от кражи активов через строгий контроль вывода средств. Выводы должны идти только на адреса из белого списка, с несколькими шагами верификации, разделением обязанностей и устройствами подписи с воздушным зазором для предотвращения вмешательства или злоупотребления инсайдеров.
• Строгий надзор за сторонними поставщиками кошельков: Если VATP использует внешнего поставщика услуг хранения, он должен применять те же стандарты безопасности и управления, что и внутри компании. Внешние решения для хранения должны проходить строгий дью-дилидженс, независимые проверки кода и регулярные учения по восстановлению после сбоев, с жестко контролируемым административным доступом.
• Мониторинг угроз в реальном времени: Платформы должны управлять Центром операций безопасности для мониторинга инцидентов в реальном времени, отслеживания балансов, несанкционированного доступа и адаптации оповещений на основе возникающих рисков.
• Обучение персонала и создание осведомленности: Весь персонал, участвующий в хранении, должен проходить специфическое для роли обучение безопасности, включая симуляции фишинга и упражнения по предотвращению слепой подписи, для укрепления человеческой защиты.

Все требования вступают в силу немедленно, и ожидается, что VATP оценят и обновят свои структуры хранения. Новый мандат появляется, когда Гонконг продолжает продвигать свою миссию стать глобальным цифровым хабом. 

Первый в истории законопроект о стаблкоинах недавно официально вступил в силу 1 августа, создавая режим лицензирования для эмитентов. Ранее в этом году правительство также выпустило обновленное программное заявление о цифровых активах, обозначив приоритеты, такие как регуляторная ясность и внутреннее принятие.

Гонконг сейчас является одним из самых про-крипто регионов в Азии и продолжает работать над укреплением своего места на глобальном радаре.