SFC Hong Kong meluncurkan standar kustodi baru untuk platform kripto

Otoritas SFC Hong Kong telah mengungkapkan pedoman baru tentang bagaimana platform kripto berlisensi menangani dana pelanggan, memperingatkan bahwa kegagalan terbaru di luar negeri menunjukkan risiko dari kontrol kustodian yang lemah.

Surat edaran baru yang dikeluarkan pada 15 Agustus oleh SFC Hong Kong menetapkan standar wajib bagi operator platform perdagangan aset virtual (VATP) berlisensi di wilayah tersebut. 

Langkah-langkah tersebut mencakup infrastruktur cold wallet, kontrol transaksi, pengawasan dompet pihak ketiga, dan pemantauan ancaman real-time, sebagai respons langsung terhadap tren peretasan dan penipuan industri, yang telah menyebabkan kerugian jutaan dolar dalam beberapa bulan terakhir. 

Tinjauan terbaru terhadap operator lokal oleh komisi menemukan bahwa mayoritas hanya memiliki langkah-langkah "mendasar" yang diterapkan, dengan celah yang dapat membuat aset klien terekspos. Menyikapi penemuan tersebut, kerangka kerja baru SFC kini menetapkan standar minimum yang harus dipenuhi semua VATP.

Rezim aturan baru SFC Hong Kong

• Akuntabilitas manajemen senior: Penyedia layanan harus menunjuk 'Petugas Penanggung Jawab atau Manajer yang Bertanggung Jawab' yang ditugaskan untuk mengawasi operasi kustodian, memastikan tata kelola yang kuat, kontrol internal, manajemen risiko, dan kepatuhan secara keseluruhan dalam operasi.
• Infrastruktur cold wallet yang kuat: Kunci privat harus dibuat secara offline di lingkungan yang aman, menggunakan modul keamanan perangkat keras (HSM) bersertifikat dan cadangan yang tepat. SFC mengharapkan uji tuntas menyeluruh pada penyedia HSM, manajemen patch dan sertifikasi berkelanjutan, dan menghindari kontrak pintar publik dalam pengaturan cold wallet untuk mengurangi permukaan serangan.
• Operasi dompet yang aman: Platform harus melindungi dari pencurian aset melalui kontrol penarikan yang ketat. Penarikan hanya boleh dilakukan ke alamat yang masuk daftar putih, dengan beberapa langkah verifikasi, pemisahan tugas, dan perangkat penandatanganan air-gapped untuk mencegah perusakan atau penyalahgunaan orang dalam.
• Pengawasan ketat terhadap penyedia dompet pihak ketiga: Jika VATP menggunakan penyedia kustodian eksternal, ia harus menerapkan standar keamanan dan tata kelola yang sama seperti yang dilakukan secara internal. Solusi kustodian eksternal harus lulus uji tuntas yang ketat, tinjauan kode independen, dan latihan pemulihan bencana secara teratur, dengan akses admin yang dikendalikan secara ketat.
• Pemantauan ancaman real-time: Platform harus menjalankan Pusat Operasi Keamanan untuk memantau insiden secara real-time, melacak saldo, akses tidak sah, dan menyesuaikan peringatan berdasarkan risiko yang muncul.
• Pelatihan staf dan penciptaan kesadaran: Semua staf yang terlibat dalam kustodian harus menjalani pelatihan keamanan khusus peran, termasuk simulasi phishing dan latihan pencegahan blind-signing, untuk memperkuat pertahanan manusia.

Semua persyaratan berlaku efektif segera, dengan VATP diharapkan untuk menilai dan meningkatkan kerangka kerja kustodian mereka. Mandat baru ini muncul saat Hong Kong terus memajukan misinya untuk menjadi pusat digital global. 

RUU stablecoin pertama dalam sejarahnya baru-baru ini secara resmi mulai berlaku pada 1 Agustus, menciptakan rezim perizinan bagi penerbit. Awal tahun ini, pemerintah juga mengeluarkan pernyataan kebijakan yang diperbarui tentang aset digital, menguraikan prioritas seperti kejelasan regulasi dan adopsi domestik.

Hong Kong kini berdiri sebagai salah satu wilayah yang paling pro-kripto di Asia dan terus bekerja untuk memperkuat posisinya di radar global.