《金融科技合作指南》

國際商會金融科合作指南目的和范圍貿(mào)易金融行業(yè)正在經(jīng)歷前所未有的數(shù)字化浪潮。整個貿(mào)易金融生態(tài)體系正在越來越多地通過科學技術和擴大合作，來迅速解決紙質(zhì)貿(mào)易金融的局限性。金融機構和企業(yè)對包括分布式記賬技術(DLT)（含區(qū)塊鏈）、機器學習、人工智能、應用程序接口(API)以及技術獨立的數(shù)字網(wǎng)絡等科學技術產(chǎn)生越來多的興趣。隨著這一行業(yè)趨勢的發(fā)展，貿(mào)易金融的數(shù)字化顯然需要越來越多的行業(yè)參與者相互連接，并使用第三方(金融科技公司Fintechs)提供的服務/信息/數(shù)據(jù)。目前，業(yè)內(nèi)大多數(shù)參與者都有自己的一套標準進行盡職調(diào)查、交換貿(mào)易信息和引入第三方供應商。這些標準很少是一致的，而且還在不斷發(fā)展過程中。從而導致第三方很難將他們的解決方案迅速商業(yè)化。本文件旨在匯總一套通用標準，貿(mào)易金融數(shù)字生態(tài)體系中的各方可以使用這些標準以數(shù)字化的方相互連接。這是一份動態(tài)的文件，會隨著時間的推移而擴展。這些標準涵蓋了第三方合作普遍考慮的項，并力求實現(xiàn)一定程度的標準化，以確保服務提供商和用戶之間的合作更快、更高效、更有效。主由于《通用數(shù)據(jù)保護條例》（GDRP）、監(jiān)管要求、審計、認證公司等方面的發(fā)展，貿(mào)易金融受到許多管約束，這些約束要求銀行內(nèi)部部門（合規(guī)、法律、風險、安保等）履職。銀行整合了這些方面，而2-5年前的情況并非如此。銀行必須和客戶一起處理這些方面的問題。在第三方參與之前或期間，通常會考慮三個主要的主題標準。這些是信息安全(Infosec標準，商業(yè)標準，以及，技術標準。這份文件列出了在每個主題下所采用的共同考慮因素和標準。需要注意的是，這些標準僅供參考不應被視為法律建議或咨詢意見，也不應被視為已涵蓋所有內(nèi)容。此類第三方服務的接收者應考慮其定情況，并尋求自己獨立的財務、法律、稅務和其他相關建議。注：本文檔末尾為術語表標準信息安全(Infosec)標準這些標準適用于技術供應商或服務提供商；負責向客戶（*客戶可能是金融服務提供商和/或企業(yè)終用戶）提供平臺和相關服務的人員。更多內(nèi)容詳見附件1。主題推薦標準說明數(shù)據(jù)分類根據(jù)信息類型對信息或數(shù)據(jù)進行分類。如，公開/內(nèi)部/受限/高度受限/機密/絕密信息等。數(shù)據(jù)分類被廣泛定義為按相關類別組織據(jù)的過程，以便更有效地使用和維護數(shù)據(jù)。限制數(shù)據(jù)訪問數(shù)據(jù)托管數(shù)據(jù)服務的位置保護靜態(tài)數(shù)據(jù)數(shù)據(jù)傳輸控制數(shù)據(jù)訪問控制監(jiān)管要求數(shù)據(jù)托管是在第三方或外部服務提供商的基設施上部署和托管數(shù)據(jù)中心的過程。資產(chǎn)分類必須根據(jù)業(yè)務重要性、服務水平預和操作連續(xù)性需求。應定期維護和更新位于有地點和/或地理位置的關鍵業(yè)務資產(chǎn)的完整庫存及其隨時間的使用情況，并按規(guī)定的角和職責分配所有權。應設置物理安全邊界(如圍欄、墻壁、屏障、警衛(wèi)、大門、電子監(jiān)控、物理認證機制、接處和安全巡邏)，以保護敏感數(shù)據(jù)和信息系統(tǒng)。用戶和支持人員對信息資產(chǎn)和功能的物理訪應受到限制。了解監(jiān)管環(huán)境和客戶對某些特定數(shù)據(jù)/信息的托管要求，例如，《海外賬戶稅收合規(guī)法案（FATCA）。數(shù)據(jù)管理數(shù)據(jù)丟失防護安全補丁管理數(shù)據(jù)丟失防護(DLP)是一種確保終端用戶不會將敏感或關鍵信息發(fā)送到企業(yè)網(wǎng)絡之的策略。數(shù)據(jù)可逆性和刪除流程受當?shù)胤ㄒ?guī)約束的數(shù)據(jù)保留標準安全補丁管理不斷提供應用更新，可幫助決系統(tǒng)中應用程序的代碼漏洞或錯誤。應制定政策和程序，并實施配套的業(yè)務流和技術措施，以安全處理和完全刪除所有儲介質(zhì)中的數(shù)據(jù)，確保數(shù)據(jù)不能通過任何算機取證手段恢復。數(shù)據(jù)保留政策應考慮監(jiān)管層面，關于特定數(shù)據(jù)說明必須保留多長時間的要求。主題推薦標準說明應制定程序以允許數(shù)據(jù)對客戶端的完全可逆性，并確保一旦可逆性完成，在服務提供商端數(shù)據(jù)將被全部刪除。實際刪除的日期應供應商和銀行商定。網(wǎng)絡安全備份級別網(wǎng)絡滲透測試通過公共網(wǎng)絡傳輸與電子商務有關的數(shù)據(jù)，適當保密以防止欺詐活動、未經(jīng)授權的披露修改，從而避免合同糾紛和數(shù)據(jù)泄露。預防、檢測和恢復控制定期審查，以應對不斷變化的威脅異地災難恢復生產(chǎn)數(shù)據(jù)不得在非生產(chǎn)環(huán)境中復制或使用。何在非生產(chǎn)環(huán)境中使用客戶數(shù)據(jù)都需要得到自所有數(shù)據(jù)受影響的客戶明確、書面的同意并且必須遵守所有法律法規(guī)對敏感數(shù)據(jù)元素行數(shù)據(jù)清理的要求。這應該是有時限的（或發(fā)的）和/或受合同約束。這應基于時間（或發(fā)生）和/或受合同約束。如果是個人賬戶則應以時間為基礎的“明確同意”。網(wǎng)絡安全標準案例SWIFT啟動了客戶安全計劃(CSP)，以推動全行業(yè)在打擊網(wǎng)絡威脅方面的合作。這包括套核心安全控件。這是網(wǎng)絡安全行業(yè)標準的個例子。國際商會沒有檢查或驗證這些標準是否可以接適用于您的業(yè)務。這里僅作為示例。https:.wiftomwift/cuomer-securit-pogamme-csp金融科技公司應具備相關流程，以便他們識客戶并與客戶溝通。應用程安全管理應用程序的開發(fā)過程用戶測試應用程序接口(APIs)應按照領先的行業(yè)標準進行設計、開發(fā)、部署和測試，并遵守適用的律、法規(guī)或監(jiān)管合規(guī)義務。用戶認證/識別主題推薦標準說明此類法律、法規(guī)或監(jiān)管合規(guī)要求的清單應成一套文件，并告知客戶。在授予客戶對數(shù)據(jù)、資產(chǎn)和信息系統(tǒng)的訪權限之前，應解決關于客戶訪問權限的識安全、合同和監(jiān)管上的要求應用程序接口和數(shù)據(jù)庫應實現(xiàn)數(shù)據(jù)輸入和輸出完整性例程(即核對和編輯檢查），防止工或系統(tǒng)處理錯誤、數(shù)據(jù)損壞或誤用。惡意軟件識和修復活動本地安裝或基于云的反惡意軟件程序在協(xié)議的時間線內(nèi)和基于優(yōu)先級的基礎快速修補漏洞的能力為移動設備開發(fā)的應用程序應制定政策和程序，并配套業(yè)務流程及技術施，以防止在機構中所有的或被托管的用戶端設備（例如，發(fā)布的工作站、筆記本電腦移動設備）以及網(wǎng)絡基礎設施和系統(tǒng)組件中惡意軟件運行。入侵防御文件完整性(主機)和網(wǎng)絡入侵檢測(IDS)工具的實施審計日志的保護、保留和生命周期管理需更高級別的保證，遵守適用的法律、法規(guī)監(jiān)管合規(guī)義務，并提供唯一的用戶訪問責任，以檢測潛在的可疑網(wǎng)絡行為和/或文件整性異常，并在發(fā)生安全漏洞時提供司法鑒定能力。訪問控制（有件的訪問）管理用戶ID和密碼職責的劃分不再需要訪問控制時，刪除訪問控制（括但不限于用戶ID和密碼）訪問控制是一種安全技術，它規(guī)定誰或什人可以查看或使用計算機環(huán)境中的資源。應適當細分和限制與組織機構信息系統(tǒng)交的審計工具的訪問和使用，以防止日志數(shù)的泄露和濫用。限制對訪問信息安全管理系統(tǒng)（例如，理程序、防火墻、漏洞掃描器、網(wǎng)絡探查器、APIs等）的訪問。.應制定用戶訪問政策和程序，以及實施業(yè)支持流程和技術措施，以確保為所有公司部用戶以及能夠訪問數(shù)據(jù)、公司擁有或管對用戶級別的訪問進行日志記錄和監(jiān)控主題推薦標準說明可審計性——誰做過什么，日期，間戳，構建都應能夠被內(nèi)部和外部審計員審計。的(物理和虛擬)應用程序接口以及基礎設施網(wǎng)絡和系統(tǒng)組件的客戶用戶（租戶）提供當?shù)纳矸荨嘞藓驮L問管理。用戶日志應括識別用戶登錄時間和運行活動的能力。此類日志應能以正常的機器可讀格式和/可轉(zhuǎn)換為人類可讀格式被“隨時”讀取。監(jiān)管遵守數(shù)據(jù)隱私法，例如GDPR（《通用據(jù)保護條例》）和新加坡PDPA（《個人資料保護法案》）數(shù)據(jù)合規(guī)性是指確保敏感數(shù)據(jù)的組織和管能夠使組織機構遵守企業(yè)商業(yè)規(guī)則以及法和政府法規(guī)的做法。數(shù)據(jù)托管所在地的監(jiān)管機構進行溝通了解。國家法規(guī)將會對云端托管數(shù)據(jù)、跨境享數(shù)據(jù)以及按需訪問數(shù)據(jù)方面做出規(guī)定與監(jiān)管就使用第三方渠道與客戶溝通這一方式進行交流。這是否被視為一種新的銷渠道?“了解你的客戶”（KYC）/第三方準入求編程語言的互操作性透明度、制裁、反洗錢甄別跨境許可證金融科技公司應準備好共享分包商信息商業(yè)標準領域推薦標準基本原理風險管理風險管理-業(yè)務續(xù)性商業(yè)政策—除了數(shù)據(jù)和技術相關政策外，服務提供商還應具備合適的商政策。例如包括:反洗錢/恐怖主義和制裁政策;反賄賂與腐敗、欺詐、環(huán)境/社會治理股息操作風險控制為了管理潛在的反壟斷風險或利益沖突，當金融科技公司的多數(shù)股被包括政府或主要企業(yè)/銀行持股時，此類信息應予以披露。員工政策，包括：°如適用，激勵措施°確保職能劃分清晰°任何背景調(diào)查需求°滿足當?shù)毓蛡騽趧恿Φ姆ǘㄒ蟆闳魏畏职銌T工離職時的書面記錄°健康和安全此外，如果服務提供商是由銀行建立的，則可能需要制定另外的政策:反壟斷利益沖突業(yè)務連續(xù)性規(guī)劃(BCP)有兩個方面:考慮服務提供商(技術提供商)采用足夠的BCP和相關政策以及在業(yè)務接收端(如金融機構或企業(yè))有適當?shù)囊?guī)劃和回退手段。BCP政策的主要考慮領域包括:分析關鍵服務領域中斷的影響恢復計劃/冗余建立可容忍的中斷期間定期回顧BCP計劃金融科技公司應該公布他們業(yè)務連續(xù)性保障的位置以及能夠出現(xiàn)保障現(xiàn)場的關鍵員工的編號。供應商展示適的風險治和管理。領域推薦標準基本原理義務責任和義務明確界定雙方義務。以下列舉了義務及可能的限制：%合同金額供應商補償無限或名義金額 客戶（以高者為準）欺詐故意違約故意放棄知識產(chǎn)權違約一般供應商義數(shù)據(jù)丟失“不可抗力”，金融科技公司需要澄清在這種情況下發(fā)生了什么，涵了什么，或有什么影響（如：若不可抗力因素持續(xù)存在，協(xié)議將在一定期限內(nèi)終止）保險單服務供應商應提供保險單。例如：專業(yè)賠償公共責任一般產(chǎn)品責任員工欺詐雇主責任財產(chǎn)損失數(shù)據(jù)保護一般而言：各方應對保險人的地位和聲譽感到放心有關保險單的其他需要考慮的問題：轉(zhuǎn)讓或簽發(fā)給持有人。需確保銀行能夠主動提出索賠各方應重點關注保險金額，確保其與基礎活動有關的風險相匹配在某些情況下：可以免費進行試點或“概念驗證”。然而，在這些情下，如果由于試點/概念驗證而導致各種損壞和/或損失，仍可購買保險單。明確界定發(fā)生種違約或損失時，哪一方應擔責任。保險確保發(fā)生賠時已有適的保險單。領域推薦標準基本原理知識產(chǎn)權(IP)知識產(chǎn)權歸屬在做安排時確所有權以避免來發(fā)生糾紛。建立透明的普接受的原則（管數(shù)據(jù)共享可取決于具體安的情況）與銀行建立關時需提供的主信息。便于銀行考慮同的許可證。概述金融科技/供應商應了解的主要銀行意事項適當?shù)囟x技術供應商與服務供應商的安排下產(chǎn)生的“知識產(chǎn)權”；以及哪一方擁有它。列出具體示例可能會有所幫助。確保知識產(chǎn)權在法律框架中是“保密的”。數(shù)據(jù)共享原則（非技術）金融機構/企業(yè)與金融科技/供應商共享數(shù)據(jù)的標準。應就主要原則達一致：任何數(shù)據(jù)共享均需征得客戶同意，這可能包含在銀行的條款中數(shù)據(jù)只能用于所述目的監(jiān)管機構可能要求訪問數(shù)據(jù)在網(wǎng)絡/解決方案供應商沒有數(shù)據(jù)，客戶和銀行擁有自己數(shù)據(jù)的所有權，其他方無法訪問該數(shù)據(jù)的情況下（如：一個節(jié)點內(nèi)，僅可查看無用息），可以設定一個替代模型。數(shù)據(jù)提供者（如銀行）仍然是該數(shù)據(jù)的保管人數(shù)據(jù)保管人保留刪除或發(fā)送/遷移數(shù)據(jù)的權利，并有權要求提供這樣的證明除非另有規(guī)定/約定，交易數(shù)據(jù)僅能共享提供擔保以遵守GDPR(《通用數(shù)據(jù)保護條例》)技術/服務提供商可以在投資組合級別與銀行共享和平臺/產(chǎn)品使用關的信息，前提是這些信息是隱藏的金融科技/供商引入要求在準入的過程中，可能會出現(xiàn)與供應商信用/財務穩(wěn)定性/聲譽、不消息、制裁等相關的問題妥善管理因分包產(chǎn)生的風險。這包括與新外包相關的風險，以及承包和分包商之間的合作或溝通不足披露所提供的技術/服務方面的分包安排，包括其司法管轄區(qū)全球監(jiān)管環(huán)境需要考慮的全球以及國家監(jiān)管項目：《通用數(shù)據(jù)保護條例》（GDPR）—歐盟法律金融科技/供應商的監(jiān)管報告義務合同可能涉及跨地區(qū)的當事方和服務供應。銀行和服務/技術提供商應就具有約束力的法律和法院達成一致，以便在發(fā)生合同違約或糾紛時執(zhí)服務合同中規(guī)定的法律合適的稅務條款（可能存在的增值稅，代扣所得稅等）金融科技公司應共享合規(guī)批準的監(jiān)管通知。領域推薦標準基本原理在需要跨境實施的情況下，金融科技公司應提供實施計劃，以及預期服務中的任何考慮因素和差異性。根據(jù)合同關系，銀行有權審計金融科技/服務提供商（如果適用），或金可審計性融科技/服務提供商有義務為銀行的報告要求提供數(shù)據(jù)品牌/標識等的根據(jù)合同關系，應考慮以下情況：使用金融科技/服務提供商用白標顯示銀行的品牌/標識等銀行使用金融科技/服務提供商的品牌/標識等使用聯(lián)合品牌/標識等成本和收入銀行與金融科技/服務提供商之間的成本/收入分配（如適用）技術標準技術標準因使用案例和應用目的而可能有所不同。同時，還應考慮到技術標準將持續(xù)發(fā)展，因此時可能會有所不同。所以，以下不是提供明確的標準，而是以常見問答形式提供的包括相關的技術領的考量因素建議。領域推薦考量因素技術支持與維護描述您的解決方案如何提供清晰的事件狀態(tài)，以便以簡單明了的方式與客戶和支持團隊享。描述您的支持管理服務（本地化、語言理解、覆蓋時間等）。描述升級支持管理（1級、2級等）。產(chǎn)品支持哪些離線/批次處理的作業(yè)調(diào)度工具？例如TWS,Autosys等。描述您的解決方案如何管理應用程序的相互依賴性，例如實時制裁檢查。您的解決方案是否具有在數(shù)據(jù)量反常的情況下識別并自動通知支持人員的功能？描述您的解決方案如何支持客戶端設置閾值和指標以確定應用程序運行狀況的能力？請描述決方案的所有要素。描述您的解決方案如何公開應用程序運行狀況的指標。描述您的應用程序如何實施有針對性的日志記錄以支持事件解決和/或過程監(jiān)控。描述您的解決方案支持或集成的監(jiān)控和警報工具/實用程序。描述如何監(jiān)控您的產(chǎn)品在銀行生產(chǎn)環(huán)境中的性能。說明您自己提供的用于監(jiān)控性能的任何具，或?qū)εc您的產(chǎn)品一起使用的其他金融科技工具的建議，例如Wily/AppDynamics。支持產(chǎn)品的數(shù)據(jù)/配置是否存在某些方面，在解決事件的情況下無法用于支持團隊？請描述有實例?？蛻粝Ｍ谏a(chǎn)環(huán)境中運行分析工具來檢查應用程序的狀態(tài)。它支持哪些實時分析工具？確認具備強大的災難恢復功能，并定期進行測試。金融科技公司應描述其預期框架，以支持正在進行的審查和監(jiān)控以及終止指南。對SLA級別的承諾，并針對不同嚴重性問題共享不同SLA的框架。（即為不同級別提供修復周轉(zhuǎn)時間）。金融科技公司應評論其解決方案是否有自動審核日志，跟蹤每個用戶的操作，以便輕松識別題可能發(fā)生的位置。領域推薦考量因素軟件安裝（署）基礎設施誰來負責部署的策略？°僅客戶°僅服務提供商°兩者都有解釋每一個策略和選項。如果客戶負責（全部或部分）解決方案的部署策略，解釋以下兩種情況應如何實施：°與客戶合適的CI/CD流水線進行整合°不與客戶CI/CD流水線實施整合，解釋你的解決方案使用的工具?？蓱檬裁礃拥牟渴穑骸惴穷嵏残院驼麄€系統(tǒng)°非顛覆性和漸進的（即在向新的版本轉(zhuǎn)換過程中，現(xiàn)有版本仍部分使用）°顛覆性和整個系統(tǒng)°顛覆性和漸進的°為A/B測試做好準備°對每一個選項解釋如何實施。如果有多個云服務商支持，解釋轉(zhuǎn)換到另一個云服務商的影響。對于聯(lián)合實施，金融科技公司應對合作預期進行分享，即應由銀行承擔的測試比例或者銀應承擔哪些其他工作。提供圖表對各參與者要使用的基礎設施概貌進行展示：°機器°服務器°防火墻°負載均衡器°應用設備（如，硬件安全模塊等）°邊緣基礎設施（信標技術、傳感器等）°網(wǎng)絡區(qū)域°數(shù)據(jù)中心你支持哪個云服務商？°IaaS°aaS°SaaS°對上述每個選項你支持哪個云區(qū)域和可用區(qū)？°你與上述每一個服務商的合作經(jīng)歷（特殊要求、限制等）？°你的解決方案在不同服務商之間是否便于轉(zhuǎn)換？解釋基礎設施的尺寸（如服務器型號和數(shù)量、存儲、帶寬等）以及對響應非功能性請求（后）的影響因素（如用戶數(shù)量、請求數(shù)量、峰值等）。對保障基礎設施“恢復點目標”（RPO）和“恢復時間目標”（RTO）的要求？如果使用上述（X）aaS云服務，備份在哪里？使用過的可用區(qū)和區(qū)域是什么？202年月|國際商會金融科技合作指南|12領域推薦考量因素架構適用性描述你的產(chǎn)品設計如何具有錯誤容忍度，描述你的解決方案如何解決失??？是否所有程序可以從失敗時間點重新開始，如果是，如何實現(xiàn)這一點？你是否將失敗測試納入你的產(chǎn)品測試？數(shù)據(jù)分析和可視化應用的設計純粹為滿足終端用戶的消費，而不是數(shù)據(jù)提煉的目的；描述的解決方案如何體現(xiàn)這一聲明。描述你如何審核商業(yè)情報功能的使用，使得數(shù)據(jù)使用可以獲得。描述你的解決方案可支持的測試自動化的工具（自動化測試工具加上測試數(shù)據(jù)獲取機制）一項應用程序的各個方面和它的運行時間必須可通過代碼進行配置，代碼通過版本進行控制—請描述你的解決方案如何實現(xiàn)并支持這一原則。提供你如何管理產(chǎn)品升級訴求的細節(jié)。描述你的產(chǎn)品如何支持定制化，以及如何實施并管理。請注意基于你的產(chǎn)品、產(chǎn)品升級及依賴的技術路線圖，如何管理定制化。描述你的解決方案如何管理應用程序和狀態(tài)數(shù)據(jù)，該解決方案是否以不可變的模式建設和行？如，沒有狀態(tài)數(shù)據(jù)存儲在應用實例中。?通過提供的容積數(shù)據(jù)描述應用效果的細節(jié)。其中要包含適用你的產(chǎn)品流程的相關績效標準。示例；吞吐量每秒處理量（TPS）、均值、探針、峰值、數(shù)據(jù)量、服務器負載、應用程序網(wǎng)絡延遲和多樣性，應用程序爭用、數(shù)據(jù)層表現(xiàn)、用戶交互表現(xiàn)、API接口表現(xiàn)。T描述你的解決方案如何支持工作量管理——不斷波動的工作量峰值批量負載處理時間和并用戶接入。提供產(chǎn)品范圍詳情，有沒有區(qū)域或全球限制？?描述你的解決方案如何支持操作系統(tǒng)和瀏覽器獨立性？UI必須可運行windows、OS、安卓、iOS、Linux操作系統(tǒng)并且完全兼容和響應HTML5。確認產(chǎn)品不依賴Silverlight、ActiveX、Flash和客戶端Java.請?zhí)峁┬枰谧烂?瀏覽器裝/下載的其他構件的相關信息。T?解釋你的解決方案如何滿足“殘障歧視法”相關要求？你如何測試對法規(guī)的合規(guī)性？你的解決方案如何適應法規(guī)的變化？?列舉解決方案界面針對設備的特點/方面。支持哪些設備？請?zhí)峁┪磥碇С值穆肪€圖。請描述UI架構，包括邏輯層（如商業(yè)邏輯）與UI層的隔離。同時提供信息說明你提供服務如何考量設備的局限性，如帶寬問題。提供信息說明解決方案對標準接入和外圍設備的兼容性，如對標準微軟Office軟件接入的容性。你的解決方案接入用戶界面進入客戶網(wǎng)絡分析工具是否存在制約？你可以支持應用程序、操作系統(tǒng)和和中間件技術多少個之前的版本？對于新發(fā)布產(chǎn)品你的管理流程有何變化？領域推薦考量因素應用程序設計描述環(huán)境管理以滿足發(fā)布交付和用戶參與需要（生產(chǎn)前解決方案、用戶測試、客戶做出是可行決策等）描述用戶信息和與應用發(fā)展相關的培訓。你如何向我們分發(fā)軟件以及你是否有完整的發(fā)布說明樣本？描述系統(tǒng)支持區(qū)塊鏈或API等新技術的能力，以及成功實施的案例你的解決方案是否利用了SWIFTMT報文等現(xiàn)有標準？描述你的解決方案如何采用正在研發(fā)的新標準或支持ISO20022等更廣泛的行業(yè)標準？你多快可以支持新的操作系統(tǒng)或平臺?是否存在一個專用架構可交付或提供給接收方？當某一客戶數(shù)據(jù)以環(huán)境共享/公有云的方式立在另一客戶數(shù)據(jù)的原型上，詳細描述如何隔離并確保安全。如果需要，是否可安裝一個專用過濾器以確保向客戶的用戶交付服務僅能通過特定場所獲取（如使用互聯(lián)網(wǎng)IP過濾器、VPN等）？測試結果指引，用以確定產(chǎn)品是否可從用戶驗收測試（UAT）轉(zhuǎn)移到銀行共享的生產(chǎn)中。銀行可發(fā)起請求的特定數(shù)據(jù)的指引應予以共享。銀行是否能請求行業(yè)匿名報告或該報告是可自動發(fā)布？指引說明產(chǎn)品多大程度可對每個銀行或客戶提供定制化？如，在融資方面，是否可支持不銀行授權要求?你的解決方案遵循的主要架構原則？提供解決方案的軟件構成圖表并解釋解決方案應用的計原則（如分層架構）。在移動設備支持的情況下，不要忘記移動設備的組成部分。描述每個組件的安裝功能或能力，并識別所用組件與外界的整合能力。實施邏輯是什么和如何運轉(zhuǎn)，以及你為何選擇實施這種邏輯？°展示邏輯°整合邏輯（數(shù)據(jù)轉(zhuǎn)換、協(xié)議轉(zhuǎn)換等）°處理邏輯°商業(yè)邏輯°數(shù)據(jù)邏輯解釋所做的設計選擇如何對你的解決方案未來變化提供便利（模塊化、復雜性、依賴性、險關注的隔離性等）說明屬于系統(tǒng)核心的組件且不能被第三方解決方案替換為更好理解應用程序并確認是否覆蓋客戶需求：°提供所用的邏輯數(shù)據(jù)模型°提供每一實體類型及相關類型的定義（邏輯數(shù)據(jù)模型可不同且可大于規(guī)范的數(shù)據(jù)模型）哪些組件用來增加可用性？解釋如何在以下方面加強可用性：°數(shù)據(jù)存儲組件（如分發(fā)）°處理組件（如多維分布式實例）領域推薦考量因素與帽子原理相關要考慮哪些選項？°一致性：系統(tǒng)關注信息一致性并對每一次請求做出正確響應。°可獲得性：系統(tǒng)關注可接受的響應時間而非響應的正確性?！惴謪^(qū)容錯性：系統(tǒng)關注保持操作性且可處理間歇性的網(wǎng)絡中斷。分區(qū)容錯性：系統(tǒng)關注保持操作性且可處理間歇性的網(wǎng)絡中斷。提供與你的解決方案互動或交流的數(shù)據(jù)模型圖表。為每一種實體類型提供定義。你的解決方案接觸點有哪些？°絡°移動應用程序°桌面應用程序°其他解釋解決方案多大程度可被用于“面向服務架構（SOA）”:]°你的解決方案體現(xiàn)出的服務哪些功能可稱為SOA（如，內(nèi)部流程的狀態(tài)）?！恪?你發(fā)布哪些事件、哪些內(nèi)容、以何種頻率（如，內(nèi)部商業(yè)流程事件、通知、數(shù)據(jù)事件等）?你希望從客戶收到哪些事件、哪些內(nèi)容、以何種頻率?你的解決方案遵循的主要架構原則？提供解決方案的軟件組件圖表并解釋方案設計適用的則（如分布式架構）。如果支持移動設備，不要忘記移動設備組件?？商峁┰敿毭枋龊蛨D作為附件。提供解決方案對技術的見解（平臺、中間件、框架和協(xié)議）。即使對于SaaS解決方案這些息對于緩釋風險也是有用的。提供架構圖表，提供實現(xiàn)組件圖表中每一組件功能所用技術堆棧的完整視圖。列舉所有術：°操作系統(tǒng)°中間件平臺°存儲°數(shù)據(jù)庫技術°結構化°非結構化°數(shù)據(jù)湖°分布式°內(nèi)容管理技術°集成技術°排隊技術(面向消息的中間件-MOM)領域推薦考量因素技術概述°服務總線(ESB)°數(shù)據(jù)庫集成技術°處理引擎(BPMS)°事件代理°流媒體技術°調(diào)度程序°導出轉(zhuǎn)換負載(ETL)°執(zhí)行°網(wǎng)絡服務器°應用軟件服務器°規(guī)則引擎(BRMS)°處理引擎(BPMS)°瀏覽器(IE,Chrome,Edge,Safari,Firefox等)°運行時庫(.Net,JRE等.)°其他說明技術堆棧何處可將一項已有技術替換成另一項技術。你的解決方案遵循的主要架構原則？提供解決方案的軟件組件圖表并解釋方案設計適用的則（如分布式架構）。如果支持移動設備，不要忘記移動設備組件。解釋你的解決方案適用的每一個組件，其擴展、配置和開發(fā)所用的語言。如果涉及邊緣計算請予以考慮。你能否一直符合客戶標準：°前端：HTML5,CSS3,Javascript°語言：Java,Python?說明屬于系統(tǒng)核心的組件且不能被第三方解決方案替換（如一項客戶已經(jīng)擁有的解決案）。為更好理解應用程序并確認是否覆蓋客戶需求：°提供所用的邏輯數(shù)據(jù)模型°提供每一實體類型及相關類型的定義（邏輯數(shù)據(jù)模型可不同、且可大于規(guī)范的數(shù)據(jù)型）?解決方案的哪部分基于第三方產(chǎn)品，如由其他金融科技公司交付的組件（解決方案、流程數(shù)據(jù)等）？你的解決方案哪些模型可被第三方或客戶內(nèi)部解決方案替代？如何替代？?對于所有相關技術事項，你跟進金融科技公司技術發(fā)布和標準迭代有多快？°操作系統(tǒng)°所有相關中間件°所有相關架構°所有相關第三方組件°對于所有相關事項，當前可支持的版本°展示你在該領域創(chuàng)新的速度說明以上每一項技術主題如何進行文本化（如，通過線下文本、放在公共或有防護協(xié)助支持的網(wǎng)站等）。領域推薦考量因素安全&接入描述你的解決方案如何支持RBAC和ABAC接入控制方法。解釋在不同用戶類型（如管理員用戶和普通用戶）情況下產(chǎn)品有何差異。解釋在不同用戶類型及其授權下產(chǎn)品有哪些不同特點。解釋如何管理用戶，使其只能看到被授權的數(shù)據(jù)?描述授權功能并解釋如何進行定制。解釋各項功能如何進行明確分配或屏蔽。用戶特權/角色如何持續(xù)；如在服務器、網(wǎng)絡文件/URL參數(shù)方面？解釋你的產(chǎn)品如何實現(xiàn)用戶驗證和單點登錄。系統(tǒng)必須控制接入數(shù)據(jù)和操作。請解釋在使用API接口和其他后端處理的情況下，如何實現(xiàn)一點?是否所有數(shù)據(jù)都放在可驗證的數(shù)據(jù)存儲中？請解釋如何進行數(shù)據(jù)存儲的驗證，是通過個人戶賬戶還是系統(tǒng)賬戶?對于系統(tǒng)賬戶，請解釋密碼循環(huán)流程及控制，即解決方案如何滿足常見的系統(tǒng)密碼過期問并利用Cyberark等產(chǎn)品。解釋產(chǎn)品如何支持多點登錄?制。解釋可為產(chǎn)品提供的標準強化指引。你的管理團隊能否接入用戶數(shù)據(jù)庫?是否存在你可向客戶建議的遠程接入方式?對于特殊權限用戶（管理員），解決方案是否可與強驗證機制交互（多因素驗證）?描述系統(tǒng)組件之間的通訊如何確保（HTTPS,MQ,JDBC/ODBC等）。是否存在任何組件間訊不能保證的因素？第三方評估人的系統(tǒng)安全評估，即滲透測試，是否已完成以確認脆弱性？如果是，可否告對系統(tǒng)的哪個版本、在何時完成以及評估結果。解決方案必須具有抗病毒和抗惡意軟件保護。請解釋產(chǎn)品在這方面的能力。解釋建議的方案如何防范網(wǎng)絡安全攻擊。請清楚說明客戶應承擔哪些責任。描述解決方案的安全特性，包括對第三方安全和加密軟件的兼容性?解釋在研發(fā)和測試過程中如何保障產(chǎn)品安全性。你的產(chǎn)品源代碼是否通過源代碼安全漏洞檢測工具掃描，作為管理流程變更的一部分？如是，請說明使用了哪個/哪些產(chǎn)品。解釋在你的產(chǎn)品源代碼開發(fā)過程中，如何解決10大OWASP漏洞和25大SANs問題?要求使用哪種數(shù)據(jù)對你的產(chǎn)品進行測試（生產(chǎn)數(shù)據(jù)、模擬數(shù)據(jù)還是清潔數(shù)據(jù)?一旦發(fā)現(xiàn)解決方案存在漏洞，客戶安全團隊可以向你的公司提出問題；描述發(fā)現(xiàn)問題的方法包括有關披露政策和流程。應要求客戶對解決方案應用程序所集成的源代碼進行評估，解釋這些源代碼的交付如何可以利化。有時客戶可能要求確保消息級別（MLS）的數(shù)據(jù)安全而非僅是傳輸級別（TLS）的安全。解應用程序如何支持端到端的加密和/或消息簽署。領域推薦考量因素認證郵件服務—網(wǎng)絡協(xié)作服域。解釋應用程序如何在客戶與主機或用戶與主機之間保持對話狀態(tài)。解釋如何防止本地隱藏數(shù)據(jù)被篡改。解釋應用程序?qū)γ舾胁僮魅绾沃С蛛p人/多級授權。展示在屏幕上、打印材料或?qū)徲嬋罩旧系臄?shù)據(jù)可能因保密原因需要隱藏（解釋應用程序可何配置使特定數(shù)據(jù)模糊化）。解釋應用程序如何配置可與基于互聯(lián)網(wǎng)的防病毒產(chǎn)品相融合。你的解決方案是否支持預先安排的銀行用戶數(shù)據(jù)摘要以及重新認證的角色權限?你的網(wǎng)絡是否對互聯(lián)網(wǎng)通信和電信通信進行隔離？你的內(nèi)部IT網(wǎng)絡（局域網(wǎng)辦公室）是否與客戶主機網(wǎng)絡（客戶網(wǎng)絡）連接？如果是，你如何免來自你內(nèi)部IT網(wǎng)絡的病毒攻擊客戶主機網(wǎng)絡？在你的安全基礎設施出現(xiàn)嚴重安全漏洞的緊急情況時，你是否有應用補丁的流程?能否提供你的安全保障計劃和質(zhì)量保障計劃?描述你如何應對分布式拒絕服務攻擊。列舉對所需服務提供商的認證條件。能否確認所有主機數(shù)據(jù)中心符合相關規(guī)定（HVAC等）和（國家）有規(guī)定的精確標準?服務是否依賴有標準安全規(guī)范的系統(tǒng)或流程（如EALx產(chǎn)品信息安全認證或ISOy）?描述你確保以下事項的措施：°應用程序代碼質(zhì)量°數(shù)據(jù)質(zhì)量描述郵件服務設計和管理規(guī)則（通知流程、申請確認、電子郵件地址處理、附件處理加密服務）。如果已提供，描述自動化平臺（工作流、激活、監(jiān)控等需要與客戶互動的設備/服務）。領域推薦考量因素文件傳輸如文件需要上傳到互聯(lián)網(wǎng)網(wǎng)站，描述可用的解決方案。采用何種機制可確保文件的一致性和完整性?如果出現(xiàn)原文件與互聯(lián)網(wǎng)版本錯配，你能獲取何種信息用于審計跟蹤？術語表術語簡稱含義ABCAMLAppDynamicsuosBICAP-theoemCICDCSPybearkDDoSDLPECAGDPRHSMIaaSISOSPaaSR&RsRBCRPOSaaSANSSecureaatrestSAWIFThoughputTPSTROTVPNily基于屬性的訪問控制模反洗錢應用性能監(jiān)測工工作規(guī)劃軟件商業(yè)情報一致性、可獲得性、分區(qū)容