ICC：国际商会金融科技合作指南（2022）（22页）.pdf

1、国际商会金融科技合作指南2022年5月 2022年5月|国际商会金融科技合作指南|2 目的和范围目的和范围 贸易金融行业正在经历前所未有的数字化浪潮。整个贸易金融生态体系正在越来越多地通过科学技术和扩大合作，来迅速解决纸质贸易金融的局限性。金融机构和企业对包括分布式记账技术(DLT)（含区块链）、机器学习、人工智能、应用程序接口(API)以及技术独立的数字网络等科学技术产生越来越多的兴趣。随着这一行业趋势的发展，贸易金融的数字化显然需要越来越多的行业参与者相互连接，并使用第三方(金融科技公司Fintechs)提供的服务/信息/数据。目前，业内大多数参与者都有自己的一套标准来进行尽职调查、交换贸

2、易信息和引入第三方供应商。这些标准很少是一致的，而且还在不断发展过程中。从而导致第三方很难将他们的解决方案迅速商业化。本文件旨在汇总一套通用标准，贸易金融数字生态体系中的各方可以使用这些标准以数字化的方式相互连接。这是一份动态的文件，会随着时间的推移而扩展。这些标准涵盖了第三方合作普遍考虑的事项，并力求实现一定程度的标准化，以确保服务提供商和用户之间的合作更快、更高效、更有效。主要由于通用数据保护条例（GDRP）、监管要求、审计、认证公司等方面的发展，贸易金融受到许多监管约束，这些约束要求银行内部部门（合规、法律、风险、安保等）履职。银行整合了这些方面，而2-5年前的情况并非如此。银行必须和客

3、户一起处理这些方面的问题。在第三方参与之前或期间，通常会考虑三个主要的主题标准。这些是：1.信息安全(Infosec)标准，2.商业标准，以及，3.技术标准。这份文件列出了在每个主题下所采用的共同考虑因素和标准。需要注意的是，这些标准仅供参考，不应被视为法律建议或咨询意见，也不应被视为已涵盖所有内容。此类第三方服务的接收者应考虑其特定情况，并寻求自己独立的财务、法律、税务和其他相关建议。注：注：本文档末尾为术语表标准标准1.信息安全(Infosec)标准信息安全(Infosec)标准 这些标准适用于技术供应商或服务提供商；负责向客户（*客户可能是金融服务提供商和/或企业终端用户）提供平台和相关

4、服务的人员。更多内容详见附件1。2022年5月|国际商会金融科技合作指南|3主题推荐标准说明数据分类数据分类 根据信息类型对信息或数据进行分类。例如，公开/内部/受限/高度受限/机密/绝密信息等。限制数据访问数据分类被广泛定义为按相关类别组织数据的过程，以便更有效地使用和维护数据。数据托管数据托管 数据服务的位置 保护静态数据 数据传输控制 数据访问控制 监管要求数据托管是在第三方或外部服务提供商的基础设施上部署和托管数据中心的过程。资产分类必须根据业务重要性、服务水平预期和操作连续性需求。应定期维护和更新位于所有地点和/或地理位置的关键业务资产的完整库存及其随时间的使用情况，并按规定的角色和

5、职责分配所有权。应设置物理安全边界(如围栏、墙壁、屏障、警卫、大门、电子监控、物理认证机制、接待处和安全巡逻)，以保护敏感数据和信息系统。用户和支持人员对信息资产和功能的物理访问应受到限制。了解监管环境和客户对某些特定数据/信息的托管要求，例如，海外账户税收合规法案（FATCA）。数据管理数据管理 数据丢失防护 安全补丁管理 数据可逆性和删除流程 受当地法规约束的数据保留标准数据丢失防护(DLP)是一种确保终端用户不会将敏感或关键信息发送到企业网络之外的策略。安全补丁管理不断提供应用更新，可帮助解决系统中应用程序的代码漏洞或错误。应制定政策和程序，并实施配套的业务流程和技术措施，以安全处理和完

6、全删除所有存储介质中的数据，确保数据不能通过任何计算机取证手段恢复。数据保留政策应考虑监管层面，关于特定的数据说明必须保留多长时间的要求。2022年5月|国际商会金融科技合作指南|4主题推荐标准说明应制定程序以允许数据对客户端的完全可逆性，并确保一旦可逆性完成，在服务提供商端数据将被全部删除。实际删除的日期应由供应商和银行商定。网络安全网络安全 备份级别 网络渗透测试 预防、检测和恢复控制 定期审查，以应对不断变化的威胁 异地灾难恢复通过公共网络传输与电子商务有关的数据，应适当保密以防止欺诈活动、未经授权的披露或修改，从而避免合同纠纷和数据泄露。生产数据不得在非生产环境中复制或使用。任何在非生