我们在上一篇《Web3.0合规|印尼,加密资产的盛夏》中给大家介绍了印度尼西亚(“印尼”)对加密资产交易的监管要求。本篇重点介绍印尼对加密资产钱包(Cryptocurrency Wallet)的监管要求。
一、在印尼运营加密资产钱包需要取得什么牌照吗?
根据印度尼西亚中央银行(“BI”)第23/6/PBI/2021号支付系统运营商管理条例(“PJP”条例)[1],拟开展电子钱包业务的主体需申请Penyelenggara Jasa Pembayaran(“PJP”)执照。
针对支付领域的数字化和创新带来相应的风险增加,印尼和其他大部分国家一样,秉承“相同风险,同种监管”的监管原则。故对于加密资产钱包,印尼采取了一套不同于电子钱包业务的监管模式。
印尼商品期货交易监管局(BAPPEBTI)于2021年发布了第8号条例“Commodity Futures Trading Regulatory Agency Regulation No.8 Year 2021”(“8号条例”)[2],规定了市场中加密资产交易准则,以监管加密货币产品或加密资产的交易。针对加密资产钱包与电子钱包运行机制的不同,BAPPEBTI在8号条例第1条第12项中明确表示,“加密资产钱包是一种用于存储加密资产的媒介”,并在该条例第1条第10项中明确加密资产管理的内容为“存储、维护、监控和/或交付加密资产”。
由于经营加密资产钱包亦属于一种加密资产管理,运营方需要经BAPPEBTI批准成为Pengelola Tempat Penyimpanan Aset Kripto(Crypto Asset Storage Manager,即加密资产存储管理人)[3],方可经营加密资产钱包,但无需申请PJP执照。
二、申请成为加密资产存储管理人需要满足哪些要求?
根据8号条例第17条[4],拟申请成为加密资产存储管理人,除满足BAPPEBTI规定的期货交易所关于商品实物市场交易实施规定的要求外,还应当满足以下条件:
1
至少有2500亿印尼盾(约等于1605万美金)的实收资本,且最低权益(Equity)不低于实缴资本的80%,即2000亿印尼盾(约等于1284万美金);
2
其组织结构至少包括技术信息部门、法律部门、内部监督部门和加密资产风险管理部门;
3
具备在线存储系统和/或用于促进与期货清算所和实物加密资产交易者连接的加密资产存储的渠道;
4
具有标准操作程序(SOP),其至少具备以下机制:
-
加密资产存储和记录机制(冷存储和热存储);
-
加密资产的进出机制;
-
存储安全监控机制(安全监控);
-
内部控制机制;
-
加密资产维护机制;
5
至少一名员工是已认证的信息系统检查员(Certified Information Systems Auditor,CISA)和已认证的信息系统安全专业人员(Certified Information Systems Security Professional ,CISSP)、或与拥有此类员工的机构合作、或直接与CISA和CISSP认证人员合作,以监督和保障加密资产的交易。
此外,8号条例还分别对存储系统和标准操作程序(SOP)作出了详细的要求,并对加密资产存储管理人如何设置存储系统和标准操作程序(SOP)提供了指引,下文将作详述。
三、加密资产存储管理人的存储系统应当满足哪些要求?
根据8号条例第18条[5],加密资产管理的存储系统应当满足以下要求:
1
具备准确、真实、安全、可靠,以及与加密资产实物交易者和期货清算所的系统兼容的系统和应用程序;
2
符合BAPPEBTI各项条例和期货清算所的规则;
3
具有保护加密资产交易、存储和转移安全的功能;
4
具有及时更新的商业持续性计划(Business Continuity Plan,即BCP);
5
具有故障修复中心(Disaster Recovery Centre,即DRC);该故障修复中心应当满足以下要求:
-
置于距离主服务器位置最近20公里的国家;
-
使用符合ISO 27001标准的服务器或云服务器;
-
在印尼有正式办公室;
6
具有以下规格的配置:
-
保证按照期货清算所管理员确定的协议,实时维护与加密资产实物交易者和期货清算所系统的通信;
-
具有良好的系统安全水平,能够克服系统内外的干扰;
-
保证加密资产的实时记录、存储和交付,具有相应的系统安全级别;
-
防止接收和/或交付或试图混合未知的加密资产;
-
对加密资产安全性有良好的技术保证,将至少由热存储、冷存储、多签名钱包、智能合约钱包组成的介质或存储设施分开;
-
能够存储加密资产列表中包含的加密资产;
-
拥有一个管理仪表板面板,能够在加密资产事物交易者和加密资产存储管理人之间协调加密资产的交易,并有义务实施包含至少2个验证事项的身份验证;
-
账户上的每笔交易都必须有且只有一个ID;
7
管理和存储加密资产交易数据的数据库应当满足以下要求:
-
至少连续存储最近5年的交易数据;
-
保持至少6个月的业绩记录,6个月后应将前述记录复制并保存到存储系统数据库之外的数据存储介质中;
8
服务器具有良好的技术规范,以方便系统和/或在线加密资产存储设施的使用,即:
-
服务器或云服务器包括备份(镜像)服务器必须位于印尼国内;
-
服务器或云服务器必须有备份(镜像)服务器;
-
服务器或云服务器有足够的基础设施和设施支持,以保证运行的连续性;
9
拥有由执行信息安全事务的政府机构认可的认证机构颁发的ISO 27001(信息安全管理体系)认证,其中包括ISO 27017(云安全)和ISO 27018(云隐私)的适用性声明(SOA),云服务提供商必须满足ISO 27018(云隐私)要求;
10
为其管理的加密资产提供担保;
4
具有安全、开放的应用程序编程接口(API),具有预先设定的程序,例如加密-解密过程、互联网协议(IP)白名单等。
此外,存储系统须由信息系统领域的独立机构进行检查或审计。若经检查或审计后,系统设施和/或在线存储设施与期货清算所和加密资产交易系统和应用程序不兼容和/或不符合BAPPEBTI各项条例、期货交易所和期货清算所的行为规则规定的标准和最低功能,加密资产存储管理人必须在被宣布不兼容后三个月内调整或更换为其他兼容系统和/或在线存储设施。
存储系统也应经过BAPPEBTI的批准。未经BAPPEBTI批准,除危险状态外,加密资产存储管理人不得对已获批准的存储系统进行增减更改。对于黑客攻击或其他可能威胁加密资产存储系统的行为,加密资产存储管理人必须在采取必要措施保护存储系统之前向交易所和BAPPEBTI报告。
四、加密资产管理的标准操作程序(SOP)应当满足哪些要求?
1、标准操作程序整体要求
根据8号条例第20条第1项,在制定和实施标准操作程序时,加密资产存储管理人必须注意冷钱包和热钱包对加密资产的管理和存储,具体如下[6]:
1
每个交易者的加密资产应当存储在的单独帐户或媒介中;
2
应当保证通信连接的安全性与稳定性,能够支持各类区块链协议上的加密资产的存储;
3
保证能够持续(每周7天24小时)为加密资产交易者提供服务;
4
为访问电子钱包的用户建立访问控制限制和标准操作程序以降低风险;
5
具备可供定期或随时审计的事件和交易跟踪记录(日志);
6
热钱包和冷钱包中的加密资产存储应当将私钥放在符合联邦信息处理标准(Federal Information Processing Standard,即FIPS)标准的高安全模块(High Security Module,即HSM)中,HSM基础设施还应配备中间件,以安全地测量工作流和策略引擎。
2、授权和管理机制要求
冷热钱包中的验证和管理授权机制必须至少满足以下要求:
1
热钱包和冷钱包管理的验证和授权机制是至少通过使用多重签名、生物识别和双因素认证分层进行;
2
对经授权访问钱包以及HSM基础设施的员工的进行访问限制;
3
授权需经审批(通过一定的表决权比例),审批人员至少为三人,且为奇数,其中应当有一位董事会成员。
3、相关员工资格要求
对于管理和监督加密资产存储的员工,为了保证加密资产的安全,8号条例也提出了以下要求[7]:
1
必须经过严格筛选(包括面谈和身份验证(身份证和警察记录证明)),对进入存储区域的员工应作更为严格的要求;
2
接受入职培训;
3
应当签订数据保密协议,并保证在离职后继续有效;
4
在信息技术、合规和风险管理方面至少有2年的工作经验。
4、技术标准要求
为了保证冷钱包的安全,8号条例对于冷钱包的加密资产存储设施的技术标准进行了如下要求:
1
放置在数据中心的储藏室或具有最佳安全标准的安全设施中;
2
至少通过纳米账本和多方计算分层应用保护冷钱包;
3
在冷钱包中使用分类帐本作为硬件;
4
分类帐本和/或冷钱包至少放置在具有良好安全级别的保险箱中;
5
当使用保险箱作为存储区域时,需保证其使用的硬件不会连接网络;
6
具有抵御自然灾害、火灾、洪水等能力;
7
冷钱包存储位置必须保密;
8
存储设施必须配备监控设施,能够持续(每周7天24小时)监控该设施所处区域的各个方面,并能够直接连接到BAPPEBTI、期货交易所和期货清算所的系统;
9
冷钱包与另一个作为备份的冷钱包应设置在不同区域。
五、加密资产存储管理人在管理中应当履行哪些义务?
成功从BAPPEBTI获得加密资产存储管理人牌照后,即可经营加密资产管理业务,但加密资产存储管理人还应当履行以下义务[8]:
1
对加密资产从和/或向相关用户的钱包的接收和交付进行必要的验证;
2
出具保存和移交加密资产的证明;
3
对其管理的加密资产进行维护;
4
监督和记录加密资产;
5
在BAPPEBTI、期货交易所和期货清算所进行的定期或特殊审计中提供数据和信息;
6
确保加密资产的转移记录与发生的交易一致;
7
与期货结算所提供安全、可靠、可信赖、互联互通的仓储区和仓储管理系统;
8
对其管理的加密资产及其损失负责;
9
加密资产的存储和记录针对每个加密资产交易者单独进行。
值得注意的是,加密资产存储管理者和加密资产实物交易商可以存储的加密资产是8号条例第3条第(3)项所确定的加密资产[9],详见我们在《Web3.0合规|印尼,加密资产的盛夏》中的分析。
注释
本文所载信息仅供一般参考,并不旨在提供任何专业意见或投资建议,亦不构成及不应被视为对任何产品(包括虚拟资产)和服务的广告、营销、推荐、要约、要约邀请或建议。本文中源自第三方的信息仅供您参考,不代表本所推荐或认可其中的观点、数据或其他信息。
还想了解哪里的Web3.0监管?请在评论区告诉我们。
(实习生王栋对本文的写作亦有贡献)
