麻豆传媒

证券及期货事务监察委员会
Eng
搜寻
     WeChat    警示名单

搜寻

進階搜寻

Close

虚拟资产

  1. 主页
  2. 欢迎瀏览金融科技联络办事处网页
  3. 虚拟资产
  4. 虚拟资产交易平台营运者
  5. 监管规定
  6. 有關操守事宜的常见问题
  7. 网络保安
网络保安
(於2024年5月31日更新问10)

双重认证

問1 :

平台营运者在選擇双重认证解決方案時,應考慮甚麼因素?

答:

双重认证是一項以原则為本的認證規定。平台营运者可自由選擇與其安全基礎設施最為匹配、並適合用來實現其風險紓減目標的双重认证解決方案(包括內部研發的解決方案)。

尤其是,平台营运者在有需要時應尋求解決方案提供者或技術顧問的協助,以評估及衡量每項正在考慮的双重认证解決方案的特點、局限性和漏洞,并按情況所需採取補償控制措施。舉例來說,平台营运者如使用短訊服務傳送一次性密碼,便應告誡其客戶不要把其流動裝置收到的一次性密碼轉發至其他裝置。

隨著時間過去,某些双重认证解決方案可能會因科技進步而變得過時和無效,因此,平台营运者應盡其合理努力緊貼最新的科技發展,并完善其双重认证解決方案,或在有需要時採取補償控制措施。

(主要参考:《虚拟资产交易平台指引》第12.12(b)段)

問2 : 经电邮传送的一次性密码可否被视為用於登入系统的&濒诲辩耻辞;客户所有的&谤诲辩耻辞;认证元素?

答:

不可。经电邮传送的一次性密码不得被视為&濒诲辩耻辞;客户所有的&谤诲辩耻辞;认证元素。经电邮传送一次性密码的做法并不可靠,因為登入的人不一定是实际的客户,理由如下:

(i) 經電郵傳送的一次性密碼可被发送至多部装置,例如同时发送至流动电话及电脑,以及可被这些装置上的多个应用程式取用或读取;

(ii) 經電郵傳送的一次性密碼未必一定由客户本人读取,原因是客户电邮帐户的登入资料可由多人共用;及

(iii) 電郵帳戶的安全保障不足,例如電郵的轉寄功能可導致不慎将一次性密碼與他人分享。

(主要参考:《虚拟资产交易平台指引》第12.12(b)段)

問3 : 一次性密码可否同时经短讯服务及电邮发送?

答:

不可。经短讯服务传送的一次性密码是有效的第二认证元素,但鑑於上述理由,经电邮传送一次性密码仍存在风险。平台营运者不应经电邮传送一次性密码。

(主要参考:《虚拟资产交易平台指引》第12.12(b)段)

問4 : 客戶可否停用系統登入的双重认证功能?

答:

不可。双重认证是強制性的,因此平台营运者不應容許客戶停用此功能。

 

(主要参考:《虚拟资产交易平台指引》第12.12(b)段)

問5 :

可否採用“雙重密碼”模式(例如在登入系統時使用一組密碼,而在落盤時則須輸入另一組密碼;或在登入系統時須輸入兩組不同密碼)來符合双重认证規定?

答:

不可。双重密码只构成认证程序中的单一元素(即&濒诲辩耻辞;客户所知的”),故不符合双重认证規定。

 

(主要参考:《虚拟资产交易平台指引》第12.12(b)段)

問6 : 作為系统登入的认证元素,客户交易帐户可绑定或註册多少个装置?

答:

一般来说,平台营运者不应容许客户绑定或註册超过叁个装置。

(i) 若個人客戶要求綁定或註冊超過三個裝置,則平台营运者應了解箇中原因,及評估有關要求是否合理;及

(ii) 若公司客戶要求綁定或註冊多個裝置,以便獲其授權的人士可操作這些裝置,則平台营运者應提議該公司客戶為那些獲授權的人士開立子帳戶(各自具有獨立的双重认证);及若子帳戶的安排並不可行,則平台营运者應向公司客戶詢問獲授權操作其交易帳戶的人數,并相應地限制並行登入。

(主要参考:《虚拟资产交易平台指引》第12.12(b)段)

密码政策及网页超时监控措施

問7 :

平台营运者应每隔多久提醒客户更改密码?

答:

平台营运者通常会提醒超过 90 个历日未更改密码的客户。

(主要参考:《虚拟资产交易平台指引》第12.12(d)(ii)段)

問8 : 平台营运者可对多次无效登入的尝试採取甚麼监控措施?

答:

平台营运者可(除其他事项外)採取以下的监控措施:

  • 封锁帐户;
  • 连续登入失败的情况每发生一次,暂停登入的时间便会延长;及
  • 侦测是否受到暴力破解攻击,并採取适当的对策。

以上所列的監控措施並非詳盡無遺。平台营运者可選擇採取任何其認為適當的監控措施。

(主要参考:《虚拟资产交易平台指引》第12.12(d)(v)段)

問9 : 平台营运者或客戶是否獲准停用网页超时监控功能?

答:

。网页超时监控功能不得停用。

(主要参考:《虚拟资产交易平台指引》第12.12(d)(vi)段)

問10 : 应就网页超时监控功能设定多长的閒置超时时限

答:

平台营运者應限制閒置超时时限(例如30 分鐘内),并须事先作出评估持续进行監察。例如,進行程式交易的客戶可能需要隨時待命以進行交易。在這種情況下,平台营运者可以允許較長的閒置超時期限,但其必須更密切地監察該客戶的登入和登出記錄以及交易活动。

(主要参考:《虚拟资产交易平台指引》第12.12(d)(vi)段)

通知客户

問11 :

如客戶已就不尋常的登入情況(例如,并非透過客戶慣常使用的裝置登入)收到通知,平台营运者是否仍須就每次系統登入通知客户?

答:

本會要求平台营运者須就每次系統登入即時通知有關客戶。然而,只要符合以下规定,平台营运者可以让客户选择不就每次系统登入收取通知:

  • 平台营运者有能力識別不尋常登入及就不尋常登入即時通知客户;
  • 平台营运者向客户作出了充分的风险披露,而客户已确认他们了解选择不就每次系统登入收取通知所涉及的风险;及
  • 客户没有选择不收取执行交易的通知。

(主要参考:《虚拟资产交易平台指引》第12.12(e)段)

平台基础设施的保安监控措施

問12 : 平台营运者如何實施妥善的網絡隔離措施?

答:

平台营运者應實施妥善的網絡隔離措施,并设置多重防火墙。平台营运者應:

(i) 将交易应用程式和其他关键系统(例如保管系统)设置於隔离区后的内部网络内;及

(ii) 储存敏感度较低的数据的伺服器(例如网络伺服器)寄存於隔离区内。

(主要参考:《虚拟资产交易平台指引》12.12(f)(i)段)

問13 : 平台营运者可否向供應商授予永久的遥距接达权?

答:

不可。平台营运者應避免向外界人士授予永久的遙距接達權。遙距接達權應按需要授予有關人士,并應在遙距接達活动完結後停用。

(主要参考:《虚拟资产交易平台指引》第12.12(f)(ii)段)

問14 :

平台营运者可否分批配置保安修補及修正程式?

答:

被列為关键或高严重性的保安修补及修正程式应在测试完成后一个月内进行配置。

 非关键的保安修补程式修正程式可批量进行配置,并应至少每季进行配置一次,除非平台营运者在评估后断定该等程式可能与系统应用程式不相容而无法执行。

 (主要参考:《虚拟资产交易平台指引》第12.12(f)(iii)段)

問15 : 平台营运者可否採用使用期完结或接近完结的软件

答:

不可。平台营运者不可採用使用期完结的软件至於使用期接近完结的软件,平台营运者應監察軟件的有效性,并制定計劃以在軟件的使用期完結前替换或升级有关软件。

(主要参考:《虚拟资产交易平台指引》第12.12(f)(iii)段)

数据加密

問16 : 應使用哪些数据加密程式?

答:

平台营运者應持續檢視國際保安標準(例如美國國家標準與技術研究所(National Institute of Standards and Technology)提供的加密標準),檢查其数据加密程式的狀況,及在適當時将其升級。

 

不严谨的加密程式的例子包括:

(i) 就数据传输而言:SSL 3.0TLS 1.0TLS 1.1TLS_RSA_WITH_RC4_128_MD5

(ii) 就数据储存而言:DES3DESRC4RC5RSA 1024-bitBlowfishTwofishMD5SHA-1

(主要参考:《虚拟资产交易平台指引》第 12.12(g)段)

問17 : 就数据加密規定而言,隔離區是否被視為內部網絡的一部分?

答:

是的。就上述目的而言,隔离区被视為内部网络的一部分。

 

(主要参考:《虚拟资产交易平台指引》第 12.12(g)段)

监察及监督

問18 : 就监察及识别未经授权而接达客户交易帐户的可疑情况而言,以人手进行检视的方法是否可以接受?

答:

不可。鑑於虚拟资产交易平台業務的自動化及24 小时无间断服务的性質,以人手進行檢視並非識別可疑和未經授權的虚拟资产交易活动的有效方法。平台营运者應實施有效的自動化解決方案,例如使用自動化IP地址监察工具及进行行為分析,以监察及识别未经授权而接达客户交易帐户的可疑情况。

(主要参考:《虚拟资产交易平台指引》第12.12(h)段)

問19 : 平台营运者應每隔多久監察及識別未經授權而接達客戶交易帳戶的可疑情況?

答:

平台营运者應實時監察及識別未經授權而接達客戶交易帳戶的可疑情況。

(主要参考:《虚拟资产交易平台指引》第12.12(h)段)

問20 : 可否举例说明平台营运者可如何侦测未经授权而接达客户交易帐户的情况?

答:

平台营运者可监察是否有下列情况:(i) 由同一个IP地址登入多个客户帐户;及(ii) 接达同一个客户帐户的IP地址在短时间内由一个国家转為另一个国家。

(主要参考:《虚拟资产交易平台指引》第12.12(h)段)

流动交易平台

問21 :

請舉列說明保護流动交易平台的保安監控措施。

答:

平台营运者最低限度應實施下列保安監控措施,以保護流动交易平台:

(i) 偵測及阻止被破解的流動裝置登入其流动交易平台;

(ii) 模糊其原始碼以加強保護,避免其遭惡意利用;

(iii) 将沒有使用的程式碼庫或模組從其原始碼中清除;

(iv) 在客戶一旦離開安裝於其流動裝置的流动交易平台或登出其交易帳戶後,便将客戶敏感資料從有關應用程式中清除,例如停用“記住密碼”、“自動填寫”及“自動完成”功能;及

(v) 加強生物特徵認證的保安監控措施,例如規定客戶若希望添加或修改儲存在其流動裝置紀錄中的生物特徵數據,便須停用並在經過核實後重新註冊其生物特徵認證,及限制認證嘗試失敗的次數,例如連續五次認證嘗試失敗。

(主要参考:《虚拟资产交易平台指引》第12.12段)

备份

問22 :

是否可将遙距备份伺服器視為用於系統及數據备份的离线媒体

答:

是。“离线媒体”1一詞是指與生產系統安全隔離的磁帶或任何其他類型的媒體,例如遙距备份伺服器。

(主要参考:《虚拟资产交易平台指引》第12.16段)

请参阅《虚拟资产交易平台指引》12.16

最後更新日期: 2024年5月31日

我们使用肠辞辞办颈别蝉来改善网站性能和用户体验。如果你继续使用本网站及相关服务,则表示你同意其使用。详细了解我们的隐私政策声明
免责声明 Disclaimer statement

香港证券及期货事务监察委员会(简称证监会)于本网站免费提供一套繁简字体转换软件(该软件)。证监会允许本网站的使用者利用该软件将本网站内容由繁体中文版转换成为简体中文版。证监会不会就该软件欠妥之处承担任何法律责任,亦不会就其品质及性能作出任何担保;尤其是在无损前述的一般性的原则下,证监会无需就该软件对某用途的恰当性、其品质或可商售性承担任何该等明示或隐含的、法定或非法定的法律责任。

证监会明确陈述,本会并无核准或认可本网站内容的简体中文版,以及对于本网站内容的简体中文版不承担任何责任或法律责任(不论是何种及如何引致的责任或法律责任)。证监会同时明确陈述,本网站的简体中文版纯粹是利用该软件将繁体中文版内的中文字体转换成简体中文字而得来的,当中并不涉及香港特区与内地的用词及语句的对应转换。对于该简体中文版的内容的恰当性,证监会不承担任何责任或法律责任。在任何情况下,使用者都不应视本网站内容的简体中文版为其繁体中文版的对应版本。使用者应该参照该简体中文版的已发布繁体中文版来核实该简体中文版的网站内容,并且应该在依赖本网站内容的简体中文版或根据其内容行事之前,就该版本的内容的法律效力、有效性和效果自费征询独立的法律意见。

如果你将证监会网站的简体中文版的内容或网址传送予第叁者,你承诺会将本免责声明同时传送予该第叁者,并保证该第叁者在浏览本网站的简体中文版的内容之前同意接纳本免责声明。

The 麻豆传媒 (SFC) provides a character-based conversion software (this Software) free of charge in this website. Permission is granted for users to use this Software to convert the web content from traditional Chinese character version to simplified Chinese character version. The SFC undertakes no liability for defects in this Software and gives no warranty in relation to its quality and performance and in particular, but without prejudice to the generality of the foregoing, the SFC shall have no such liability regarding the fitness for purpose, quality or merchantability of this Software, whether express or implied, statutory or otherwise.

The SFC expressly states that it has not approved or endorsed the simplified Chinese character version of the web content and the SFC accepts no responsibility or liability (whatsoever and howsoever caused) for such simplified Chinese character version of the web content. The SFC also expressly states that this simplified Chinese character version of the website is solely established by converting the characters in the traditional Chinese character version via this Software, which involves no corresponding conversion between the terms and expressions used in the Hong Kong SAR and Mainland China. The SFC accepts no responsibility or liability for the fitness of the content of the simplified Chinese character version. Under no circumstances should users treat the simplified Chinese character version of the web content as an equivalent of the traditional Chinese character version thereof. Users should verify the simplified Chinese character version of the web content by making reference to the published traditional Chinese character version thereof, and should at their own costs seek independent legal advice on the legal status, validity and effect of the simplified Chinese character version of the web content before relying or acting upon it.

If you transmit the content of this simplified Chinese character version website or its URL to any third party, you agree to forward this Disclaimer Statement at the same time to the third party and guarantee that the third party agrees to accept this Disclaimer Statement before browsing the content of the simplified Chinese character version of this website.

同意 Agree   不同意 Disagree