FSP 合规准备框架

FINTECHSERVICEPROVIDERS(“FSP”) ComplianceREADINESSFRAMEWORK 2020年5月15日 版本1.0 TABLEOFCONTENTS 概述3 I.ENTITY液位控制6 (a)ControlEnvironment6 (b)风险评估7 (c)信息和沟通7 (d)Monitoring8 (e)有关的做法分包8 II.一般信息技术(“IT”)控制9 (a)逻辑安全9 (b)Physical安全12 (c)Change管理15 (d)突发事件管理17 (e)备份和灾难Recovery19 (f)网络和安全管理21 (g)安全事件Response23 (h)系统脆弱性评估24 (i)技术刷新管理25 III.Appendix26 概述 新加坡十分之八的金融科技公司与金融机构（FI）合作，以增强FI的产品或为FI提供技术解决方案。因此，这些FiTechs需要采用一种有效的方法来向金融机构展示其合规水平，同时保持其活动的基线水平、严格性和一致性。为此，新加坡金融科技协会采取了分阶段的方法，通过建立“金融科技服务提供商（FSP）合规准备框架”来提高这些金融科技的合规成熟度。 该框架的主要目标是通过帮助FSP了解他们在FI行业内运营所需的最低合规要求，促进FSP和FI之间的可持续外包关系。此框架附带的自我评估将允许 FSP了解其控制环境相对于最低合规要求的成熟度。 该框架还增强了FI与FSP合作的舒适度。根据MAS外包和TRM指南，金融机构应采用自己的方法/策略来管理外包给FSP的风险，并了解管理层正在接受的任何剩余风险。有了这个框架，金融机构将能够使用FSP进行的自我评估的结果作为其供应商尽职调查的一部分，并在FSP解决自我评估中发现的任何差距并最终获得关于其控制的第三方保证报告的条件下，执行这些FSP的加入。 该框架包括OSPAR的一系列最低基础要求，新加坡金融管理局（“MAS”）技术风险管理（“TRM”）咨询文件和MAS网络卫生通知，FSP应遵守这些要求，作为服务金融机构的起点。该框架已简化，以考虑FSP的规模，运营模式及其逐步发展的能力，以最终符合OSPAR，TRM要求和MAS网络卫生通知。关于如何根据现有准则和框架构建框架的详细方法将在以下部分中概述。 构建“FSP合规准备框架”的方法 创建FSP合规准备框架的起点是新加坡银行协会于2017年6月发布的《外包服务提供商控制目标和程序指南》。 使用ABS指南/OSPAR框架作为基础，采取了以下方法来开发此FSP合规准备框架： 1)某些ABSOSPAR控制标准最初基于以下原则被搁置- a)与政策相关的控制标准——目前已经搁置了概述正式既定政策(定期审查)要求的控制标准，其原则是，只要实施了一个过程来满足相应的政策预期，这个过程就会对控制环境提供足够的安慰。作为替代方案，在此版本的框架的“实体级控制”部分中，已将具有正式文档化策略的总体要求作为新标准包括在内。 b)重复控制标准-某些控制标准被表示为重复的,而另一个现有的控制标准(在更相关的控制域中)被识别为解决潜在/相关风险的控制标准。本 质上相似/重复的控制标准在此版本的框架中仅包含一次。 c)控制标准的相关性——考虑到希望采用循序渐进的方法实施ABS指南/OSPAR框架的要求，并且初步目标是建立基线治理水平，外包过程的严谨性和一致性，某些控制标准被认为对于这个框架的初始版本来说过于雄心勃勃。例如,与商业交易处理相关的控制(其将特定于由FSP提供的服务的性质)已经被搁置以供将来考虑。作为替代方案，在此版本的框架的实体级别控制部分中，已将SLA跟踪和定期向FI报告的总体要求作为新标准包括在内。 2)尚未搁置的控制标准被分类为“关键”或“补充”。关键控制标准被认为是该框架当前版本中更可取的合规选择。补充控制标准与关键控制标准（前者补充）一起作为选项包括在内，因此FSP能够依靠补充控制标准作为临时措施，同时他们制定行动计划来实施关键控制标准。 3)除了ABS指南/OSPAR框架采用的基本要求外，最近的TRM咨询文件（2019年3月7日发布）和网络卫生通知（2019年8月6日发布 ）中还包括了一些被确定为与FSP相关的额外要求。 4)已对第(1)、(2)和(3)点确定的控制标准进行了修订/重新措辞，使其在FSP环境中适合和可持续。 5)作为该框架演变的未来阶段/阶段的一部分，将重新评估（目前）搁置的要素，以纳入其中，以期最终遵守ABS指南/OSPAR框架，采用逐步逐步方法。 6)虽然我们在开发框架时考虑了MASTRM咨询文件（2019年3月7日发布）和网络卫生通知（2019年8月6日发布），但鉴于分阶段的方法，仅包括了这些文件中作为服务FI的最低基本要求的控制措施。有关本框架中未包含的MASTRM咨询文件指南的要求清单，请参阅附录。 I.ENTITYLEVELCONTROLS EntitylevelcontrolsareinternalcontrolstoensurethattheFSP’smanagementdirectivespertainingtotheentireentityarecarryedout.Thecontrolsincludethefollowingcomponents: (a)控制环境。 (b)风险评估。 (c)信息与通信。 (d)监测。 (e)与分包有关的做法。 以下是组件的简要说明： (a)控制环境 控制环境为FSP设定了优先级和文化，影响了人们的控制意识。它是内部控制的所有其他组成部分的基础，提供纪律和结构。FSP的控制环境的各方面可能影响提供给FI的服务。FSP应该考虑实现的控制环境包括以下组件：。 i.建立工作场所行为标准和执法程序 ii.对候选人进行职前检查 iii.定义组织结构、报告关系、权限和责任。应定义信息安全负责人的期望等主要职责 iv.具备履行职责的资格和资源的人员 (b)风险评估 TheFSP’sriskassessmentprocessmayaffecttheservicesprovidedtoFI.ThefollowingisalistofriskassessmentfactorsthattheFSPshouldconsideraspartofaregularriskassessmentprogram: i.快速增长-如果FSP获得大量新客户，某些控制措施的运营有效性可能会受到影响。 ii.新技术-如果FSP实施了一项新技术，则应评估其风险和对FI的影响。 iii.新的商业模式、产品或活动——将资源从现有活动转移到新活动可能会影响FSP某些控制措施的运营有效性。 iv.公司重组-所有权或内部重组的变化可能会影响报告责任或可用于向金融机构提供服务的资源。 (c)信息与通信 FSP应为与各种职能相关的所有基础流程和控制（如IT、业务运营、人力资源等）实施正式的政策文档。充分的信息和有效的沟通对于内部控制的正常运作至关重要。 i.FSP应建立内部沟通渠道，向其员工、角色和责任以及与向金融机构提供的服务有关的重要事项进行沟通。 ii.FSP应与金融机构建立沟通渠道，以报告例外情况、运营环境变化和其他重大事项（例如，聘请分包商），并允许金融机构对服务做出任何反馈/投诉。 FSP应采取主动行动，以提高员工对信息安全和相关法规要求的认识。例如，这可能包括有关网络钓鱼意识，文档加密期望，与客户信息的机密性/不披露有关的责任等的会议。 (d)Monitoring i.FSP应监控其与向金融机构提供的服务相关的流程，以确定问题和关注点。例如，这可能包括对其流程的自我评估，以根据 FSP合规准备框架评估合规成熟度，并随后聘请独立审计师评估控制的有效性。 ii.FSP应实施与IT、业务运营、人力资源等各种职能相关的基础流程和控制的正式政策文档。 FSP应定期跟踪和报告SLA合规性和与针对FI的服务配置相关的服务失效。 (e)与分包有关的做法 作为向金融机构提供服务的一部分，聘请分包商的FSP应： i.能够在入职之前证明对分包商的尽职调查和风险评估 ii.持续监控影响向FIs提供服务的分包商活动 iii.确保分包安排中的合同条款应与FSP与FIs的合同保持一致 II.一般信息技术(“IT”)控制 本节适用于存储、托管或处理FI/FI客户数据的IT系统/应用程序,因此有助于提供FSP向FI提供的服务。一般IT控制是减轻IT、财务报告和运营风险的内部控制。 (a)逻辑安全性 这些控制提供了合理的保证，即对程序员、数据和操作系统软件的逻辑访问仅限于需要的授权人员。 1.对程序、数据和操作系统软件的逻辑访问仅限于需要的授权人员。 i.IT系统配置为需要关键安全设置(例如,密码复杂性、锁定设置、密码历史记录)而不是用于访问的密码。 ii.对IT系统软件（包括连接到FI的API服务）的访问仅基于记录和批准的请求，并且基于 “需要使用”。 作为替代方案,FSP可以定期审查对IT系统软件(包括连接到FI的API服务)的访问,包括分包商的访问,以验证访问已经在“需要使用”的基础上被授予。 iii.当不再需要访问时,立即撤销或禁用对IT系统软件(包括连接到FI的API服务)的访问。 作为替代方案,FSP可以定期审查对IT系统软件(包括连接到FI的API服务)的访问,包括分包商的访问,以验证访问已经在“需要使用”的基础上被授予。 iv.对于访问FI数据的API服务,应记录这些会话以识别进行API连接的第三方和第三方访问的数据 。 v.FI的数据（包括已在UAT中备份的数据）应根据商定的保留和销毁协议以及合同安排终止后安全地销毁或删除。 vi.根据MAS技术风险管理(TRM)指南第12.1.3节的规定,采用与金融机构商定的行业公认的密码标准(例如,密码算法和加密密钥长度)来保护金融机构的客户信息和其他敏感数据。这些标准将适用于所有金融机构的客户信息和其他敏感数据,即: (a)存储在所有类型的授权端点设备中，例如笔记本、个人计算机、便携式存储设备和移动设备。 (b)通过网络（例如互联网、云和API）在终端和主机之间以及在站点（例如主站点和恢复站点）之间传输。 (c)存储在计算机存储中，包括服务器、数据库、备份介质和存储平台，例如存储区域网络 (“SAN”) (d)电子传输到外部方(在允许的情况下)当电子传输到外部方时,例如经由电子邮件,解密密钥经由单独的信道(例如经由电话呼叫)被传送到预期的接收者。 vii.当FSP拥有加密密钥时，FSP应确保安全地生成加密密钥并防止未经授权的披露（包括在传输期间）。生成密钥的访问受到限制。 viii.在FSP拥有密码密钥的情况下,FSP应当将密码密钥存储在被强化和防篡改的系统(例如,硬件安全模块)中。 ix.对于任何操作系统、数据库、应用程序、安全设备或网络设备具有提升的访问权限（包括管理帐户和可以将更改部署到生产中的帐户）的用户，以及相关实体用于通过互联网访问客户信息的任何系统上的帐户。 x.此外，具有提升的访问权限的用户将受到严格的控制，例如： (a)分割密码控制，从不单独原则等。 (b)密码会定期更改。 (c)记录特权用户执行的活动 xi.在可能的情况下，记录的活动由独立人员进行审查。 (b)物理安全 1.数据中心/受控区域在物理 上免受内部和外部威胁。 i.如果FSP使用云服务或已聘请第三方数据中心提供商，则FSP应评估这些第三方服务对与数据机密性，完整性和服务可用性丧失相关的各种技术风险的暴露，并管理这些相关风险。 作为替代方案，对于管理自己的数据中心或服务器机房的FSP，将适用以下物理安全控制。 (a)仅在需要的基础上对授权人员进行物理限制（例如，通过卡访问，生物识别系统 ，ISO标准锁）。访问机制可以包括“防