أصدرت سلطة النقد في هونغ كونغ المبادئ التوجيهية لتكنولوجيا دفتر الأستاذ الموزعة DLT

بالإضافة إلى ذلك،تشعر سلطة النقد في هونغ كونغ بالقلق بشأن الصيانة والمراقبة المستمرة لمشاريع DLT، ويجب على البنوك إنشاء أمان فعال للشبكات التدابير وإدارة المفاتيح الخاصة بشكل صحيح الامتثال للمتطلبات المتعلقة بالبيانات الشخصية وحماية الخصوصية ووضع خطط الطوارئ وترتيبات الاختبار المناسبة.

ما يلي هو الترجمة الأصلية لإرشادات إدارة مخاطر تقنية دفاتر الحسابات الموزعة (DLT) الصادرة عن هيئة أسواق المال في هونج كونج.

مقدمة أساسية

الحكم الذاتي 2022 منذ إصدار "بيان سياسة تطوير الأصول الافتراضية في هونغ كونغ" في عام 2018، لاحظت سلطة النقد في هونغ كونغ أن المؤسسات المعتمدة (الذكاء الاصطناعي باللغة الإنجليزية) مهتمة باستكشاف كيفية تطبيق تقنية دفتر الأستاذ الموزع (DLT) خلف الشبكة الافتراضية. النظام البيئي للأصول لعمليات السوق المالية التقليدية. ومع تسارع هذه الاستكشافات، يتصل عدد متزايد من الوكالات المعتمدة بسلطة النقد في هونغ كونغ للحصول على مدخلات بشأن مبادراتها المخطط لها، بما يتماشى مع التوقعات الإشرافية المنصوص عليها في تعميم سلطة النقد في هونغ كونغ الصادر في 28 يناير 2022.

تدعم سلطة النقد في هونغ كونغ المؤسسات المعتمدة في اعتماد الحلول القائمة على تقنية دفتر الأستاذ الموزع (DLT) طالما أنها تستطيع إدارة المخاطر المرتبطة بها بشكل مناسب. وفقًا لمبدأ الإشراف "القائم على المخاطر والمحايد تقنيًا"، عند مراجعة المقترحات المتعلقة بسجلات السجلات الموزعة من المؤسسات المعتمدة، تركز سلطة النقد في هونغ كونغ على ما إذا كانت المؤسسات المرخصة قد أنشأت أنظمة وإجراءات رقابة كافية لإدارة المخاطر الإضافية التي قد تنشأ عن اعتماد DLT.

على الرغم من أن الاعتبارات المحددة لسلطة النقد في هونغ كونغ ستختلف اعتمادًا على الحل المحدد قيد المراجعة، إلا أن بعض مجالات المخاطر الشائعة ترتبط بشكل عام باعتماد دفتر الأستاذ الموزع المتعلقة بالتكنولوجيا (DLT). من أجل تعزيز اعتماد حلول DLT من قبل المؤسسات المعتمدة، حددت سلطة النقد في هونغ كونغ في هذه المذكرة:

(ii) القدرات والشروط التي ينبغي للهيئات المعتمدة عمومًا إظهارها و/أو استيفائها في كل مجال.

الاعتبارات المذكورة أعلاه غير ملزمة وغير شاملة، وستستمر في التطور مع تطور السوق والتقنيات ذات الصلة. لذلك، في حين يمكن للمؤسسات المصرح لها الرجوع إلى هذه النقاط عند تصميم وتطوير حلولها المتعلقة بسجلات السجلات الموزعة، ستواصل سلطة النقد في هونغ كونغ المشاركة في المناقشات الثنائية مع المؤسسات المرخصة بشأن قضايا محددة لضمان تطبيق العوامل المذكورة أعلاه على حالات محددة.

العوامل الرئيسية

الحوكمة

تركز تقنية دفاتر الحسابات الموزعة على اللامركزية، ولا يتضمن اعتماد تقنية دفاتر الحسابات الموزعة تطبيقات جديدة للتكنولوجيا فحسب، بل يشمل أيضًا مفاهيم الحوكمة غير التقليدية، لذلكوأعضاء مجالس الإدارة العليا الإدارة تتحمل الطبقة المسؤولية الكاملة عن اعتماد DLT من قبل المؤسسات المعتمدة والإدارة الكافية للمخاطر المرتبطة بها.

عند تنفيذ حلول DLT، قد تواجه السلطات مجموعة جديدة من المخاطر الخاصة بـ DLT، بما في ذلك تلك المتعلقة بالحوكمة. ولذلك تتوقع سلطة النقد في هونج كونج من مجالس الإدارة والإدارة العليا للمؤسسات المرخصة أن تضع أنظمة وضوابط كافية للتخفيف من هذه المخاطر.

وكجزء من هذا، يجب على السلطات المعتمدة مراجعة وتحديث سياساتها وأطر العمل ذات الصلة حسب الضرورة لتعكس العوامل الخاصة بسجلات السجلات الموزعة. وتشمل هذه السياسات والأطر إدارة مخاطر التكنولوجيا (مثل إدارة التغيير، والتحكم في الوصول، والأمن السيبراني)، وتخطيط استمرارية الأعمال (BCP) والاستعانة بمصادر خارجية.

في ما يتعلق بالقدرات الداخلية، يجب أن تتأكد الهيئات المعتمدة من أن لديها عددًا كافيًا من الموظفين ذوي الخبرة في تكنولوجيا السجلات الموزعة لدعم عملية التنفيذ وأن إدارتها لديها المعرفة الكافية لمراجعة وتقييم الاستراتيجيات والأساليب التي تعتمدها الوكالات المعتمدة تجاه DLT.

نظرًا للوتيرة السريعة للتقدم التكنولوجي، يجب أن تضع الوكالات المعتمدة في اعتبارها الحاجة إلى توفير تدريب منتظم لموظفيها وإعادة تكوين سير العمل لمواكبة آخر التطورات. إذا كان حل DLT يشتمل على عناصر تواجه العملاء، فيجب على السلطات المعتمدة مراجعة الحاجة إلى جهود تثقيف المستهلك الخاصة بـ DLT و/أو تحديثات إجراءات التعامل مع النزاعات الحالية، بالإضافة إلى آليات التعويض والتعويض.

تصميم التطبيقات وتطويرها

اختيار محدد شبكة DLT المناسبة لتطبيقك-- ضع في اعتبارك تأثير بنية شبكة DLT وإدارتها (على سبيل المثال، الإذن بدون إذن، أو الإذن الخاص، أو الإذن العام) على أمان واستقرار وتوافر لقابلية التوسع والمرونة تأثير مباشر، وتحتاج السلطات إلى اختيار شبكة DLT المناسبة لتطبيقات محددة.

تتوقع سلطة النقد في هونغ كونغ من المؤسسات المعتمدة أن تفهم تمامًا الأنواع المختلفة لشبكات DLT المتاحة، وأن تأخذ في الاعتبار طبيعة ومخاطر التطبيقات المعنية أيضًا. كما القوانين واللوائح الخاصة بهم مسؤولية اتخاذ الخيارات المناسبة. إذا قررت مؤسسة معتمدة اختيار خيار تصميم قد ينطوي على مخاطر أعلى، تتوقع سلطة النقد في هونغ كونغ أن تكون الخيارات المماثلة قد خضعت لتقييم نقدي وتضمن توفير الضوابط المناسبة لإدارة المخاطر. على سبيل المثال، قد لا تكون الشبكات غير المسموح بها هي الخيار الأول للتطبيقات التي تتضمن نقل بيانات حساسة بسبب العضوية المفتوحة والتعرض بشكل عام لعناصر ضارة.

ومع ذلك، إذا تمكنت السلطات من إيجاد التدابير المناسبة لإدارة المخاطر المرتبطة (على سبيل المثال، حلول التشفير مثل إثباتات المعرفة الصفرية أو الحلول المتصلة بالسلسلة وخارجها) مجتمعة)، لا يلزم استبعاد هذه الشبكات من هذه التطبيقات بشكل افتراضي.

صمم عقودًا ذكية "مناسبة للغرض" -- على الرغم من أن العقود الذكية يمكن أن توفر فوائد الكفاءة من خلال الأتمتة، إلا أنها قد غير مناسب لجميع سيناريوهات الأعمال أو لا يمكن نشره إلا باستخدام عناصر تحكم مخصصة.

على سبيل المثال، قد تكون الأتمتة غير المحددة غير مرغوب فيها في المواقف التي تتضمن عادةً درجة معينة من الحكم البشري، مثل تقييمات القروض المعقدة، وقد يكون العقد مناسبًا فقط إذا كان كذلك يمكن أن تتضمن خيار التدخل البشري.

إذا اعتبرت مؤسسة معتمدة أن استخدام العقود الذكية مناسبًا، فإن سلطة النقد في هونج كونج تتوقع منها أن تدير بشكل فعال نقاط الضعف المرتبطة عادة بالعقود الذكية. وتشمل هذه المخاطر التشغيلية (مثل أخطاء الترميز غير الضارة والهجمات الإلكترونية)، ومخاطر الطرف الثالث (مثل موثوقية "Oracle" المستخدمة للحصول على بيانات خارجية)، والمخاطر القانونية (مثل ما إذا كان الأساس القانوني للعقد الذكي تم إنشاؤه).

ولتحقيق هذه الغاية،من المستحسن أن تقوم المؤسسات المعتمدة بإنشاء إطار حوكمة صارم لإدخال العقود الذكية وتحديثها. سيقوم الإطار الفعال بتقييم مدى ملاءمة العقود الذكية لظروف محددة، وإجراء مراجعات العناية الواجبة للعقود الذكية التي سيتم نشرها من وجهات النظر التشغيلية والفنية والقانونية، والتأكد من دمج ضوابط إدارة المخاطر اللازمة في التصميم النهائي للعقد الذكي. ويغطي الإجراءات/الاعتبارات الخاصة بتحديث العقود الذكية. إذا لزم الأمر، يجب على السلطات المعتمدة النظر في الاستعانة بالمشورة المهنية، بما في ذلك الأطراف الثالثة المناسبة، لتدقيق العقود الذكية قبل نشرها.

فهم المخاطر القانونية المحتملة وتخفيفها - يستمر الأساس القانوني لتطبيق تقنية السجلات الموزعة على أنشطة السوق المالية التقليدية في التطور. على سبيل المثال، فيما يتعلق بإصدار وتداول المنتجات الرمزية، في النظام المالي التقليدي، تعد "نهائية التسوية" نقطة زمنية واضحة ومحددة بوضوح، مدعومة بأساس قانوني قوي، بينما بموجب ترتيبات DLT، بسبب استخدام الإجماع - بناءً على آلية التحقق، قد لا تكون النقطة الزمنية التي يتم فيها التوصل إلى التسوية النهائية واضحة تمامًا. اعتمادًا على كيفية "ترميز" المنتج التقليدي، قد تكون هناك أيضًا تغييرات في وضعه القانوني والمعاملة التنظيمية اللاحقة. وينبغي للوكالات المعتمدة أن تكون على دراية بهذه المناطق القانونية الرمادية المحتملة، وأن تطلب المشورة المهنية عند الضرورة، وأن تتخذ خطوات أثناء عملية التصميم للتخفيف من المخاطر القانونية المصاحبة.

إدارة المخاطر المتعلقة بالأطراف الثالثة بشكل فعال-- تتوقع سلطة النقد في هونج كونج أن تقوم المؤسسات المعتمدة بتقييم ما إذا كان سيتم اعتماد حلول DLT أم لا تمت مراجعتها وتحديد أنهم قادرون على إدارة المخاطر التي قد تنشأ من الأطراف الثالثة المشاركة في ترتيبات DLT. وبالنظر إلى أن شبكات DLT تعمل وفقًا لآلية الإجماع وبالتالي تعتمد على مشغلي العقد للتحقق من التغييرات في دفتر الأستاذ وتأكيدها، يجب على السلطات أن تولي الاعتبار الكامل لما إذا كان مشغلو العقد جديرين بالثقة وموثوقين ومتنوعين بدرجة كافية اعتمادًا على التطبيق المطروح.

إذا تم العثور على أوجه قصور، فيجب على الوكالة المعتمدة اتخاذ تدابير كافية للتعويض عن المخاطر. يجب أيضًا مراعاة التأثير الذي قد يحدثه تصميم شبكة DLT على قدرتها على إدارة المخاطر المرتبطة بأطراف ثالثة بشكل مناسب. على سبيل المثال، تم تصميم الشبكات غير المصرح بها لتكون ذات عضوية مفتوحة وتسمح لأي مشارك، بما في ذلك أولئك الذين يستخدمون أسماء مستعارة، بأن يصبح مدققًا. في هذه الحالات، تتمتع السلطات بسيطرة أقل على الأطراف الثالثة المعنية، لذلك ما لم تكن قادرة على اعتماد تدابير تعويض كافية لإدارة المخاطر، فقد يكون اعتماد السلطات هذا النوع من حلول DLT للوظائف بالغة الأهمية أو الحساسية غير مناسب.

تمكين قابلية التشغيل البيني والاتصال بشكل آمن - تتوقع سلطة النقد في هونغ كونغ من المؤسسات المصرح لها استخدام أنظمتها المستندة إلى DLT حيثما أمكن ذلك. أن يكون متوافقًا وقادرًا على "التواصل" مع الحلول التقليدية وغيرها من الحلول المستندة إلى تقنية DLT. قد يساعد ذلك في الحد من تجزئة السوق، ودعم الكفاءة التشغيلية، وضمان أهمية حلول DLT على المدى الطويل.

على سبيل المثال، شجعت سلطة النقد في هونغ كونغ البنوك على استكشاف إمكانية نشر تقنية السجلات الموزعة لقبول الودائع (أي "ترميز" الودائع)< /strong>، لأن أنشطة قبول الودائع هذه مسموح بها بموجب قانون الأعمال المصرفية. في هذه العملية، من المهم ملاحظة أن وجهة نظر البنك هي أنه لا يمكن استخدام الودائع الرمزية إلا داخل شبكة الملكية الخاصة بالمؤسسة المرخص لها، مقارنة بالودائع التي يمكن استخدامها للتحويلات والتسويات بين البنوك في شبكات DLT المختلفة. قد تجلب الأصول المرمزة على الإنترنت قيمة إضافية قليلة نسبيًا للعملاء. مع أخذ ذلك في الاعتبار، يوصى بأن تنظر السلطات في اعتماد معايير فنية مقبولة في الصناعة على نطاق أوسع لدعم التوافق. وكما هو الحال مع أي مبادرة بين البنوك، يجب على المؤسسات المعتمدة ضمان أمن هذه الاتصالات، بما في ذلك حمايتها من الهجمات الإلكترونية والانتهاكات الأمنية المحتملة ومخاطر اختراق البيانات.

الصيانة والمراقبة المستمرة

تأسيس و تطبق التقنيات التقليدية نفس المستوى من آليات الأمن السيبراني -يجب أن تتمتع التطبيقات المستندة إلى تقنية DLT بمستوى من الأمن السيبراني يتناسب مع التقنيات الأساسية التقليدية. تتوقع سلطة النقد في هونغ كونغ أن تتبنى المؤسسات المعتمدة آليات فعالة للتعامل مع مخاطر الشبكة الخاصة بـ DLT (مثل هجمات 51٪) وغيرها من التهديدات الأمنية الشائعة للشبكة (مثل رفض الخدمة الموزعة، أو هجمات DDoS). يجب أن تكون الوكالات المعتمدة أيضًا في حالة تأهب لطريقة العمل الناشئة للجهات الفاعلة في مجال التهديد والتطورات التكنولوجية الجديدة (مثل الحوسبة الكمومية) التي قد تؤثر على أمان تطبيقات دفاتر الحسابات الموزعة، وتحديث قدرات الاستجابة الخاصة بها بانتظام.

إدارة المفاتيح الخاصة بشكل آمن - تعتمد مسؤولية السلطة في الوصول إلى المفاتيح الخاصة وحمايتها على الغرض الذي تعتمد من أجله تطبيق DLT وما إذا كان يتم توفير خدمات معينة. نظرًا لاختلاف الاحتمالات، تتوقع سلطة النقد في هونغ كونغ عمومًا من المؤسسات المرخصة إثبات أن لديها سياسات وإجراءات قوية مطبقة لأي مفاتيح خاصة تمتلكها أو تديرها والتي تكون ذات صلة بطبيعة التطبيق ومخاطره، والمخاطر المرتبطة به. مع المفاتيح الخاصة. مستوى من الأمان مناسب للأصول الأساسية ومسؤوليات السلطة المرخصة.

على سبيل المثال، من المتوقع عمومًا أن تتبنى السلطات التي تقدم خدمات الحفظ للأصول الرقمية للعملاء إجراءات أمنية أكثر صرامة للتأكد من أن المفاتيح الخاصة ذات الصلة (وأدوات التذكر القابلة للتطبيق) العبارات) يتم إنشاؤها دائمًا وتخزينها ونسخها احتياطيًا بشكل آمن. وقد يتضمن ذلك مجموعة متنوعة من التدابير، بما في ذلك تنفيذ الضوابط لتقييد الوصول إلى المفاتيح بشكل محكم، واستخدام التخزين البارد وتطوير النسخ الاحتياطية خارج الموقع وترتيبات الطوارئ الأخرى.

مضمون لتلبية متطلبات خصوصية البيانات وحمايتها-- سواء تم تخزين البيانات في دفتر أستاذ مركزي أو دفتر أستاذ قائم على DLT، البيانات الحالية يستمر تطبيق متطلبات الخصوصية والحماية. ولذلك ينبغي للهيئات المعتمدة أن تثبت أن لديها أنظمة وضوابط كافية لضمان استمرارها في الامتثال لهذه المتطلبات.

إذا لزم الأمر، ينبغي اتخاذ تدابير التخفيف لإدارة التعقيدات التي قد تنشأ بسبب الطبيعة الفريدة لترتيبات DLT. قد تشمل هذه التدابير، على سبيل المثال لا الحصر: الصعوبات في الامتثال للمتطلبات المتعلقة بالاحتفاظ بالبيانات (على سبيل المثال، معالجة ثبات البيانات على شبكات DLT)، وضمان سرية البيانات الشخصية (على سبيل المثال، معالجة الطبيعة الشفافة لبعض شبكات DLT)، وتوطين البيانات (على سبيل المثال، كيفية حفظ البيانات عندما تنتشر شبكة DLT عبر ولايات قضائية متعددة).

خطط طوارئ وترتيبات اختبار مخصصة-- إذا اعتمدت المؤسسات المعتمدة تقنية السجلات الموزعة للوظائف الحيوية، تتوقع سلطة النقد في هونغ كونغ منها تحتوي خطة الاستمرارية (BCP) على سيناريوهات اختبار خاصة بـ DLT (مثل هجمات شبكة DLT الشائعة، وفقدان/سرقة المفاتيح الخاصة، وإمكانية "الشوكات") وترتيبات الطوارئ.

على وجه الخصوص، من المتوقع أن تفهم السلطات وتأخذ في الاعتبار الديناميكيات التشغيلية الفريدة لشبكات DLT، وخاصة تلك العوامل التي قد تؤثر على إدارة النظام والقدرات (مثل احتمالية لطبيعة ازدحام التحقق والحاجة إلى رسوم أعلى للمعاملات المستعجلة)، وهو ما ينبغي أخذه بعين الاعتبار عند التخطيط والاختبار. عند النظر في السيناريوهات الأكثر تطرفًا، يجب على السلطات أيضًا أن تأخذ في الاعتبار الحاجة إلى توفير خيارات احتياطية للمواقف التي قد يكون فيها حل DLT غير متاح بشكل مؤقت أو دائم.