国际商会金融科技合作指南 2022年5月 目的和范围 贸易金融行业正在经历前所未有的数字化浪潮。整个贸易金融生态体系正在越来越多地通过科学技术和扩大合作,来迅速解决纸质贸易金融的局限性。金融机构和企业对包括分布式记账技术(DLT)(含区块链)、机器学习、人工智能、应用程序接口(API)以及技术独立的数字网络等科学技术产生越来越多的兴趣。 随着这一行业趋势的发展,贸易金融的数字化显然需要越来越多的行业参与者相互连接,并使用第三方(金融科技公司Fintechs)提供的服务/信息/数据。目前,业内大多数参与者都有自己的一套标准来进行尽职调查、交换贸易信息和引入第三方供应商。这些标准很少是一致的,而且还在不断发展过程 中。从而导致第三方很难将他们的解决方案迅速商业化。 本文件旨在汇总一套通用标准,贸易金融数字生态体系中的各方可以使用这些标准以数字化的方式相互连接。这是一份动态的文件,会随着时间的推移而扩展。这些标准涵盖了第三方合作普遍考虑的事项,并力求实现一定程度的标准化,以确保服务提供商和用户之间的合作更快、更高效、更有效。主要由于《通用数据保护条例》(GDRP)、监管要求、审计、认证公司等方面的发展,贸易金融受到许多监管约束,这些约束要求银行内部部门(合规、法律、风险、安保等)履职。银行整合了这些方面, 而2-5年前的情况并非如此。银行必须和客户一起处理这些方面的问题。在第三方参与之前或期间,通常会考虑三个主要的主题标准。这些是: 1.信息安全(Infosec)标准, 2.商业标准,以及, 3.技术标准。 这份文件列出了在每个主题下所采用的共同考虑因素和标准。需要注意的是,这些标准仅供参考,不应被视为法律建议或咨询意见,也不应被视为已涵盖所有内容。此类第三方服务的接收者应考虑其特定情况,并寻求自己独立的财务、法律、税务和其他相关建议。 注:本文档末尾为术语表 标准 1.信息安全(Infosec)标准 这些标准适用于技术供应商或服务提供商;负责向客户(*客户可能是金融服务提供商和/或企业终端用户)提供平台和相关服务的人员。更多内容详见附件1。 主题 推荐标准 说明 数据分类 •根据信息类型对信息或数据进行分类。例如,公开/内部/受限/高度受限/机密/绝密信息等。 数据分类被广泛定义为按相关类别组织数据的过程,以便更有效地使用和维护数据。 •限制数据访问 数据托管 •数据服务的位置•保护静态数据•数据传输控制•数据访问控制•监管要求 数据托管是在第三方或外部服务提供商的基础设施上部署和托管数据中心的过程。资产分类必须根据业务重要性、服务水平预期和操作连续性需求。应定期维护和更新位于所有地点和/或地理位置的关键业务资产的完整库存及其随时间的使用情况,并按规定的角色和职责分配所有权。应设置物理安全边界(如围栏、墙壁、屏障、警卫、大门、电子监控、物理认证机制、接待处和安全巡逻),以保护敏感数据和信息系统。用户和支持人员对信息资产和功能的物理访问应受到限制。了解监管环境和客户对某些特定数据/信息的托管要求,例如,《海外账户税收合规法案》(FATCA)。 数据管理 •数据丢失防护•安全补丁管理 数据丢失防护(DLP)是一种确保终端用户不会将敏感或关键信息发送到企业网络之外的策略。 •数据可逆性和删除流程•受当地法规约束的数据保留标准 安全补丁管理不断提供应用更新,可帮助解决系统中应用程序的代码漏洞或错误。应制定政策和程序,并实施配套的业务流程和技术措施,以安全处理和完全删除所有存储介质中的数据,确保数据不能通过任何计算机取证手段恢复。数据保留政策应考虑监管层面,关于特定的数据说明必须保留多长时间的要求。 主题 推荐标准 说明应制定程序以允许数据对客户端的完全可逆性,并确保一旦可逆性完成,在服务提供商端数据将被全部删除。实际删除的日期应由供应商和银行商定。 网络安全 •备份级别•网络渗透测试 通过公共网络传输与电子商务有关的数据,应适当保密以防止欺诈活动、未经授权的披露或修改,从而避免合同纠纷和数据泄露。 •预防、检测和恢复控制•定期审查,以应对不断变化的威胁•异地灾难恢复 生产数据不得在非生产环境中复制或使用。任何在非生产环境中使用客户数据都需要得到来自所有数据受影响的客户明确、书面的同意,并且必须遵守所有法律法规对敏感数据元素进行数据清理的要求。这应该是有时限的(或偶发的)和/或受合同约束。这应基于时间(或发生)和/或受合同约束。如果是个人账户,则应以时间为基础的“明确同意”。网络安全标准案例SWIFT启动了客户安全计划(CSP),以推动全行业在打击网络威胁方面的合作。这包括一套核心安全控件。这是网络安全行业标准的一个例子。国际商会没有检查或验证这些标准是否可以直接适用于您的业务。这里仅作为示例。https://www.swift.com/myswift/customer-security-programme-csp金融科技公司应具备相关流程,以便他们识别客户并与客户沟通。 应用程序安全 •管理应用程序的开发过程•用户测试 应用程序接口(APIs)应按照领先的行业标准进行设计、开发、部署和测试,并遵守适用的法律、法规或监管合规义务。 •用户认证/识别 主题 推荐标准 说明此类法律、法规或监管合规要求的清单应形成一套文件,并告知客户。在授予客户对数据、资产和信息系统的访问权限之前,应解决关于客户访问权限的识别安全、合同和监管上的要求应用程序接口和数据库应实现数据输入和输出完整性例程(即核对和编辑检查),防止手工或系统处理错误、数据损坏或误用。 恶意软件识别和修复活动 •本地安装或基于云的反恶意软件程序 •在协议的时间线内和基于优先级的基础上快速修补漏洞的能力 •为移动设备开发的应用程序 应制定政策和程序,并配套业务流程及技术措施,以防止在机构中所有的或被托管的用户终端设备(例如,发布的工作站、笔记本电脑和移动设备)以及网络基础设施和系统组件中的恶意软件运行。 入侵防御 •文件完整性(主机)和网络入侵检测 (IDS)工具的实施 审计日志的保护、保留和生命周期管理需要更高级别的保证,遵守适用的法律、法规或监管合规义务,并提供唯一的用户访问责任,以检测潜在的可疑网络行为和/或文件完整性异常,并在发生安全漏洞时提供司法鉴定能力。 访问控制(有条件的访问) •管理用户ID和密码•职责的划分 •不再需要访问控制时,删除访问控制(包括但不限于用户ID和密码) 访问控制是一种安全技术,它规定谁或什么人可以查看或使用计算机环境中的资源。应适当细分和限制与组织机构信息系统交互的审计工具的访问和使用,以防止日志数据的泄露和滥用。 •限制对访问信息安全管理系统(例如,管理程序、防火墙、漏洞扫描器、网络探查器、APIs等)的访问。. 应制定用户访问政策和程序,以及实施业务支持流程和技术措施,以确保为所有公司内部用户以及能够访问数据、公司拥有或管理 •对用户级别的访问进行日志记录和监控 主题 推荐标准 说明 •可审计性——谁做过什么,日期,时间戳,构建都应能够被内部和外部审计员审计。 的(物理和虚拟)应用程序接口以及基础设施网络和系统组件的客户用户(租户)提供适当的身份、权限和访问管理。用户日志应包括识别用户登录时间和运行活动的能力。此类日志应能以正常的机器可读格式和/或可转换为人类可读格式被“随时”读取。 监管 •遵守数据隐私法,例如GDPR(《通用数据保护条例》)和新加坡PDPA(《个人资料保护法案》) 数据合规性是指确保敏感数据的组织和管理能够使组织机构遵守企业商业规则以及法律和政府法规的做法。 •数据托管所在地的监管机构进行沟通了解。国家法规将会对云端托管数据、跨境共享数据以及按需访问数据方面做出规定•与监管就使用第三方渠道与客户沟通这一方式进行交流。这是否被视为一种新的分销渠道?•“了解你的客户”(KYC)/第三方准入要求 •编程语言的互操作性•透明度、制裁、反洗钱甄别•跨境许可证•金融科技公司应准备好共享分包商信息 2.商业标准 领域 推荐标准 基本原理 风险管理 风险管理-业务连续性 商业政策—除了数据和技术相关政策外,服务提供商还应具备合适的商业政策。例如包括: •反洗钱/恐怖主义和制裁政策;反贿赂与腐败、欺诈、环境/社会治理•股息•操作风险控制 •为了管理潜在的反垄断风险或利益冲突,当金融科技公司的多数股权被包括政府或主要企业/银行持股时,此类信息应予以披露。 •员工政策,包括: °如适用,激励措施°确保职能划分清晰°任何背景调查需求°满足当地雇佣劳动力的法定要求°任何分包°员工离职时的书面记录°健康和安全 此外,如果服务提供商是由银行建立的,则可能需要制定另外的政策: •反垄断•利益冲突 业务连续性规划(BCP)有两个方面: 1.考虑服务提供商(技术提供商)采用足够的BCP和相关政策以及2.在业务接收端(如金融机构或企业)有适当的规划和回退手段。 BCP政策的主要考虑领域包括: •分析关键服务领域中断的影响•恢复计划/冗余•建立可容忍的中断期间•定期回顾BCP计划 •金融科技公司应该公布他们业务连续性保障的位置以及能够出现在保障现场的关键员工的编号。 供应商展示合适的风险治理和管理。 领域 推荐标准 基本原理 义务 责任和义务明确界定双方义务。以下列举了义务及可能的限制: %合同金额供应商补偿无限制或名义金额客户(以高者为准) 欺诈故意违约故意放弃知识产权违约一般供应商义务数据丢失 •“不可抗力”,金融科技公司需要澄清在这种情况下发生了什么,涵盖了什么,或有什么影响(如:若不可抗力因素持续存在,协议将在一定期限内终止)保险单服务供应商应提供保险单。例如: •专业赔偿•公共责任•一般产品责任•员工欺诈•雇主责任•财产损失•数据保护 一般而言:各方应对保险人的地位和声誉感到放心。有关保险单的其他需要考虑的问题: •转让或签发给持有人。需确保银行能够主动提出索赔•各方应重点关注保险金额,确保其与基础活动有关的风险相匹配 •在某些情况下:可以免费进行试点或“概念验证”。然而,在这些情况下,如果由于试点/概念验证而导致各种损坏和/或损失,仍可购买保险单。 明确界定发生各种违约或损失时,哪一方应承担责任。 保险 确保发生索赔时已有合适的保险单。 领域 推荐标准 基本原理 知识产权(IP) 知识产权归属 在做安排时确定所有权以避免将来发生纠纷。建立透明的普遍接受的原则(尽管数据共享可能取决于具体安排的情况)与银行建立关系时需提供的主要信息。便于银行考虑不同的许可证。概述金融科技/供应商应了解的主要银行注意事项 •适当地定义技术供应商与服务供应商的安排下产生的“知识产权”;以 及哪一方拥有它。列出具体示例可能会有所帮助。 •确保知识产权在法律框架中是“保密的”。 数据共享原则(非技术) 金融机构/企业与金融科技/供应商共享数据的标准。应就主要原则达成一致: •任何数据共享均需征得客户同意,这可能包含在银行的条款中•数据只能用于所述目的•监管机构可能要求访问数据 •在网络/解决方案供应商没有数据,客户和银行拥有自己数据的所有权,其他方无法访问该数据的情况下(如:一个节点内,仅可查看无用信息),可以设定一个替代模型。 •数据提供者(如银行)仍然是该数据的保管人 •数据保管人保留删除或发送/迁移数据的权利,并有权要求提供这样做的证明 •除非另有规定/约定,交易数据仅能共享•提供担保以遵守GDPR(《通用数据保护条例》) •技术/服务提供商可以在投资组合级别与银行共享和平台/产品使用相关的信息,前提是这些信息是隐藏的 金融科技/供应商引入要求 •在准入的过程中,可能会出现与供应商信用/财务稳定性/声誉、不利消息、制裁等相关的问题•妥善管理因分包产生的风险。这包括与新外包相关的风险,以及承包商和分包商之间的合作或沟通不足 •披露所提供的技术/服务方面的分包安排,包括其司法管辖区 全球监管环境 需要考虑的全球以及国家监管项目: •《通用数据保护条例》(GDPR)—欧盟法律•金融科技/供应商的监管报告义务 •合同可