规范拟定布景
2018年11月,受英国财政部托付,英国规范协会正式发布《支撑金融科技公司与金融组织协作-攻略(PAS201:2018)》规范。该规范由苏格兰皇家银行、汇丰银行等6家传统金融组织,TechNation、英国立异金融协会等2家政府安排及职业协会,TheIDCo.(该公司首要供给敞开银行服务)等3家金融科技公司以及多位业界专家一起拟定。
该规范为公共可用规范,不属于强制性规范,但规范起草和审议均严厉依照BSI程序进行,可供英国1600余家金融科技公司和全球各金融组织免费运用。凭仗BSI在世界规范范畴的重要位置以及BSI规范的世界公信力,该规范在条件成熟时有望晋级为正式的英国国家规范或欧盟规范。
规范的首要意图和根本结构
针对金融科技草创公司,规范首要经过将两边协作进程中最佳商业实践规范化的方法,为金融科技公司供给从提出金融科技处理方案概念、完善商业模式、明晰技能展开路线图、签署协作法令协议到终究布置施行的全流程攻略。
针对已具有成型产品服务的金融科技公司,规范对金融组织经过尽职查询的方法挑选满意协作条件的金融科技公司时应要点重视的危险和希望金融科技公司具有的才能进行了系统整理。金融科技公司深化了解金融组织进行尽职查询的方针和规模,提前规范自身在法令合规、信息安全和数据维护、技能等方面的行为,有助于促进两边达到互利共赢协作关系,下降两边协作难度和危险。
该规范包含流程规模、术语和界说、协作挑选流程、协作挑选整体要求、商业方案及商场定位、商业模式及团队建造、法令监管及商业运营、信息安全和数据维护、技能9个部分。
流程规模。规范将金融科技处理方案划分为调研或提出概念、达到协作挑选、概念验证、试验、规模化展开等5个阶段,并明晰各个阶段金融组织展开尽职查询的首要内容。
术语和界说。规范关于金融组织、金融科技、最简可行产品、概念验证、技能架构等规范所运用的术语进行了界说。
协作挑选流程。规范提出金融组织在与金融科技公司展开协作前,应对两边协作的可行性和安全性等方面展开尽职查询,挑选契合金融组织要求的金融科技公司。规范列出了金融组织尽职查询时要点重视的危险,比方用户及股东名誉危险、诈骗和金融违法危险等。
协作挑选整体要求。规范列出了金融组织尽职查询时应要点重视的内容,包含商业方案与商场定位、商业模式与团队、法令监管及商业运营、信息安全与数据维护和技能等。
商业方案与商场定位。规范提出金融科技公司在拟定商业方案和商场定位时,可经过事例等方法向金融组织展现其产品服务所能处理的用户痛点,以及金融组织怎么经过其供给的立异产品服务更好地服务用户。
商业模式与团队。规范提出金融科技公司可拟定中期展开规划,显现公司具有明晰的可持续展开方案和常识本钱。法令、监管及商业运营。规范列举了金融组织应要点重视金融科技公司的法令及监管合规性、利益冲突防备、商业模式、财务状况等方面的内容。
信息安全和数据维护。规范提出金融组织要点重视金融科技公司是否具有相关准则、流程、内部操控,然后完成对信息安全、付出安全、物理设备安全以及用户数据安全的有用维护。
技能。规范提出金融组织与金融科技公司协作或许使金融科技公司更简单成为歹意进犯的方针,进而对金融组织产生要挟。因而,金融科技公司应向金融组织展现其产品服务、技能架构及展开路线图、用户支撑服务系统、IT系统恢复才能的齐备性和安全性,然后消除金融组织顾忌。
金融组织和金融科技公司协作的规范要点
明晰法令权责。规范提出两边协作进程中经过法令协议明晰权责十分重要,尤其是防备常识产权胶葛。两边协作前应明晰协作进程中所构成的常识产权规模、权属、运用权限,以及金融科技公司是否具有权运用第三方服务商常识产权并有权再次授权金融组织运用。
契合监管要求。规范提出金融组织应充分考虑两边协作或许适用的法令法规,金融科技公司则应供给其持有的监管授权和受监管处分状况等信息,一起保证两边在合法合规前提下展开协作。
防备诈骗危险和利益冲突。规范提出金融科技公司应经过有用的流程操控系统来辨认和防备两边协作进程中诈骗危险。
重视信息安全。规范提出金融组织应重视金融科技公司经过在线或离线方法获取、处理、传输、贮存用户相关数据时关于信息安全的维护,金融科技公司应采纳安全措施切实有用维护两边协作进程中的信息安全。规范引证ISO27001、ISO27002等信息安全相关规范,提出金融科技公司应拟定信息安全方针,包含信息安全处理方案、定时信息安全检测、合法合规性审计、延聘外部组织进行独立的信息安全危险评价等。规范提出金融组织也应定时对金融科技公司的危险状况进行评价,及时发现金融科技公司信息安全办理方面或许产生的危险改变。
加强数据维护。规范提出欧盟通用数据维护条施行后,金融组织和金融科技公司应承当更多维护用户个人可辨认信息的职责。规范提出两边协作前或协作进程中数据维护流程、系统产生改变时,应展开隐私影响评价,然后辨认、下降项目施行全进程中的隐私维护危险、法令危险和操作危险。规范提出金融科技科技公司应经过准则、流程、内部操控维护顾客的数据拜访权、被忘记权等权力,向金融组织明晰地发表数据处理意图、搜集数据规模。规范还提出金融科技公司应重视防备金融组织用户数据加密、数据传输进程中存在的危险,若金融科技公司将用户数据存储于云架构基础上,数据跨境传输前还需签定数据传输协议。若产生用户数据被信息操控者或处理者走漏、被非授权第三方获取等数据走漏事情,金融科技公司应具有预警才能和及时处理并防止事情晋级的应对才能。
保证付出安全。规范提出两边协作前,金融组织应重视金融科技公司是否经过付出卡职业数据安全规范检查认证,明晰金融科技公司在拜访金融组织付出系统、用户指令认证等进程中所承当的职责。
明晰技能展开路线图。规范提出两边成功协作的关键在于金融科技公司具有明晰、齐备的技能展开路线图,并具有将技能规模化展开的技能实力和满意金融组织需求的技能开发时刻表。金融组织应根据以上信息评价金融科技公司所供给服务的齐备性、稳定性和安全性。
确认技能架构。规范提出金融科技公司尤其是中小型公司应经过系统架构图等方法明晰地向金融组织展现其产品服务的技能架构,包含技能处理方案布置类型、云核算服务在不同供货商间搬迁的可行性、存储用户数据的云核算服务布置地与数据跨境传输地信息、运用开源软件和第三方软件服务状况等内容。
增强IT系统恢复才能。规范提出金融组织应重视金融科技公司所供给产品服务的IT系统架构,在遭受进犯、系统故障等情境下,系统架构恢复才能、数据备份恢复才能、数据信息恢复才能和恢复时刻。金融组织还应重视金融科技公司在遭受进犯、系统故障时所应承当的职责,过后应展开专项查询。
启示总结
英国作为金融科技立异活泼且金融准则系统较为齐备的国家,秉持趋利避害的准则,采纳了一系列方针措施促进金融组织与金融科技公司展开良性竞赛协作,并高度重视金融科技敞开协作进程中或许存在的危险危险。此次英国财政部托付英国规范协会,经过规范先行的方法,将金融组织与金融科技公司协作的职业最佳实践规范化,下降金融科技公司服务金融职业的难度及本钱,充分发挥金融组织在客户资源、资金途径、法令合规等方面的优势以及金融科技公司在技能立异、灵敏开发等方面的优势,有助于促进英国金融科技职业的立异生机和协同效应。在这个进程中,英国立异金融协会等职业协会经过与监管组织密切协作、参加拟定金融科技规范等方法,为稳固和提高英国在金融科技范畴的领先位置发挥了积极作用。