《金融科技合作指南》

國(guó)際商會(huì)金融科合作指南目的和范圍貿(mào)易金融行業(yè)正在經(jīng)歷前所未有的數(shù)字化浪潮。整個(gè)貿(mào)易金融生態(tài)體系正在越來越多地通過科學(xué)技術(shù)和擴(kuò)大合作，來迅速解決紙質(zhì)貿(mào)易金融的局限性。金融機(jī)構(gòu)和企業(yè)對(duì)包括分布式記賬技術(shù)(DLT)（含區(qū)塊鏈）、機(jī)器學(xué)習(xí)、人工智能、應(yīng)用程序接口(API)以及技術(shù)獨(dú)立的數(shù)字網(wǎng)絡(luò)等科學(xué)技術(shù)產(chǎn)生越來多的興趣。隨著這一行業(yè)趨勢(shì)的發(fā)展，貿(mào)易金融的數(shù)字化顯然需要越來越多的行業(yè)參與者相互連接，并使用第三方(金融科技公司Fintechs)提供的服務(wù)/信息/數(shù)據(jù)。目前，業(yè)內(nèi)大多數(shù)參與者都有自己的一套標(biāo)準(zhǔn)進(jìn)行盡職調(diào)查、交換貿(mào)易信息和引入第三方供應(yīng)商。這些標(biāo)準(zhǔn)很少是一致的，而且還在不斷發(fā)展過程中。從而導(dǎo)致第三方很難將他們的解決方案迅速商業(yè)化。本文件旨在匯總一套通用標(biāo)準(zhǔn)，貿(mào)易金融數(shù)字生態(tài)體系中的各方可以使用這些標(biāo)準(zhǔn)以數(shù)字化的方相互連接。這是一份動(dòng)態(tài)的文件，會(huì)隨著時(shí)間的推移而擴(kuò)展。這些標(biāo)準(zhǔn)涵蓋了第三方合作普遍考慮的項(xiàng)，并力求實(shí)現(xiàn)一定程度的標(biāo)準(zhǔn)化，以確保服務(wù)提供商和用戶之間的合作更快、更高效、更有效。主由于《通用數(shù)據(jù)保護(hù)條例》（GDRP）、監(jiān)管要求、審計(jì)、認(rèn)證公司等方面的發(fā)展，貿(mào)易金融受到許多管約束，這些約束要求銀行內(nèi)部部門（合規(guī)、法律、風(fēng)險(xiǎn)、安保等）履職。銀行整合了這些方面，而2-5年前的情況并非如此。銀行必須和客戶一起處理這些方面的問題。在第三方參與之前或期間，通常會(huì)考慮三個(gè)主要的主題標(biāo)準(zhǔn)。這些是信息安全(Infosec標(biāo)準(zhǔn)，商業(yè)標(biāo)準(zhǔn)，以及，技術(shù)標(biāo)準(zhǔn)。這份文件列出了在每個(gè)主題下所采用的共同考慮因素和標(biāo)準(zhǔn)。需要注意的是，這些標(biāo)準(zhǔn)僅供參考不應(yīng)被視為法律建議或咨詢意見，也不應(yīng)被視為已涵蓋所有內(nèi)容。此類第三方服務(wù)的接收者應(yīng)考慮其定情況，并尋求自己獨(dú)立的財(cái)務(wù)、法律、稅務(wù)和其他相關(guān)建議。注：本文檔末尾為術(shù)語表標(biāo)準(zhǔn)信息安全(Infosec)標(biāo)準(zhǔn)這些標(biāo)準(zhǔn)適用于技術(shù)供應(yīng)商或服務(wù)提供商；負(fù)責(zé)向客戶（*客戶可能是金融服務(wù)提供商和/或企業(yè)終用戶）提供平臺(tái)和相關(guān)服務(wù)的人員。更多內(nèi)容詳見附件1。主題推薦標(biāo)準(zhǔn)說明數(shù)據(jù)分類根據(jù)信息類型對(duì)信息或數(shù)據(jù)進(jìn)行分類。如，公開/內(nèi)部/受限/高度受限/機(jī)密/絕密信息等。數(shù)據(jù)分類被廣泛定義為按相關(guān)類別組織據(jù)的過程，以便更有效地使用和維護(hù)數(shù)據(jù)。限制數(shù)據(jù)訪問數(shù)據(jù)托管數(shù)據(jù)服務(wù)的位置保護(hù)靜態(tài)數(shù)據(jù)數(shù)據(jù)傳輸控制數(shù)據(jù)訪問控制監(jiān)管要求數(shù)據(jù)托管是在第三方或外部服務(wù)提供商的基設(shè)施上部署和托管數(shù)據(jù)中心的過程。資產(chǎn)分類必須根據(jù)業(yè)務(wù)重要性、服務(wù)水平預(yù)和操作連續(xù)性需求。應(yīng)定期維護(hù)和更新位于有地點(diǎn)和/或地理位置的關(guān)鍵業(yè)務(wù)資產(chǎn)的完整庫存及其隨時(shí)間的使用情況，并按規(guī)定的角和職責(zé)分配所有權(quán)。應(yīng)設(shè)置物理安全邊界(如圍欄、墻壁、屏障、警衛(wèi)、大門、電子監(jiān)控、物理認(rèn)證機(jī)制、接處和安全巡邏)，以保護(hù)敏感數(shù)據(jù)和信息系統(tǒng)。用戶和支持人員對(duì)信息資產(chǎn)和功能的物理訪應(yīng)受到限制。了解監(jiān)管環(huán)境和客戶對(duì)某些特定數(shù)據(jù)/信息的托管要求，例如，《海外賬戶稅收合規(guī)法案（FATCA）。數(shù)據(jù)管理數(shù)據(jù)丟失防護(hù)安全補(bǔ)丁管理數(shù)據(jù)丟失防護(hù)(DLP)是一種確保終端用戶不會(huì)將敏感或關(guān)鍵信息發(fā)送到企業(yè)網(wǎng)絡(luò)之的策略。數(shù)據(jù)可逆性和刪除流程受當(dāng)?shù)胤ㄒ?guī)約束的數(shù)據(jù)保留標(biāo)準(zhǔn)安全補(bǔ)丁管理不斷提供應(yīng)用更新，可幫助決系統(tǒng)中應(yīng)用程序的代碼漏洞或錯(cuò)誤。應(yīng)制定政策和程序，并實(shí)施配套的業(yè)務(wù)流和技術(shù)措施，以安全處理和完全刪除所有儲(chǔ)介質(zhì)中的數(shù)據(jù)，確保數(shù)據(jù)不能通過任何算機(jī)取證手段恢復(fù)。數(shù)據(jù)保留政策應(yīng)考慮監(jiān)管層面，關(guān)于特定數(shù)據(jù)說明必須保留多長(zhǎng)時(shí)間的要求。主題推薦標(biāo)準(zhǔn)說明應(yīng)制定程序以允許數(shù)據(jù)對(duì)客戶端的完全可逆性，并確保一旦可逆性完成，在服務(wù)提供商端數(shù)據(jù)將被全部刪除。實(shí)際刪除的日期應(yīng)供應(yīng)商和銀行商定。網(wǎng)絡(luò)安全備份級(jí)別網(wǎng)絡(luò)滲透測(cè)試通過公共網(wǎng)絡(luò)傳輸與電子商務(wù)有關(guān)的數(shù)據(jù)，適當(dāng)保密以防止欺詐活動(dòng)、未經(jīng)授權(quán)的披露修改，從而避免合同糾紛和數(shù)據(jù)泄露。預(yù)防、檢測(cè)和恢復(fù)控制定期審查，以應(yīng)對(duì)不斷變化的威脅異地災(zāi)難恢復(fù)生產(chǎn)數(shù)據(jù)不得在非生產(chǎn)環(huán)境中復(fù)制或使用。何在非生產(chǎn)環(huán)境中使用客戶數(shù)據(jù)都需要得到自所有數(shù)據(jù)受影響的客戶明確、書面的同意并且必須遵守所有法律法規(guī)對(duì)敏感數(shù)據(jù)元素行數(shù)據(jù)清理的要求。這應(yīng)該是有時(shí)限的（或發(fā)的）和/或受合同約束。這應(yīng)基于時(shí)間（或發(fā)生）和/或受合同約束。如果是個(gè)人賬戶則應(yīng)以時(shí)間為基礎(chǔ)的“明確同意”。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)案例SWIFT啟動(dòng)了客戶安全計(jì)劃(CSP)，以推動(dòng)全行業(yè)在打擊網(wǎng)絡(luò)威脅方面的合作。這包括套核心安全控件。這是網(wǎng)絡(luò)安全行業(yè)標(biāo)準(zhǔn)的個(gè)例子。國(guó)際商會(huì)沒有檢查或驗(yàn)證這些標(biāo)準(zhǔn)是否可以接適用于您的業(yè)務(wù)。這里僅作為示例。https:.wiftomwift/cuomer-securit-pogamme-csp金融科技公司應(yīng)具備相關(guān)流程，以便他們識(shí)客戶并與客戶溝通。應(yīng)用程安全管理應(yīng)用程序的開發(fā)過程用戶測(cè)試應(yīng)用程序接口(APIs)應(yīng)按照領(lǐng)先的行業(yè)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)、開發(fā)、部署和測(cè)試，并遵守適用的律、法規(guī)或監(jiān)管合規(guī)義務(wù)。用戶認(rèn)證/識(shí)別主題推薦標(biāo)準(zhǔn)說明此類法律、法規(guī)或監(jiān)管合規(guī)要求的清單應(yīng)成一套文件，并告知客戶。在授予客戶對(duì)數(shù)據(jù)、資產(chǎn)和信息系統(tǒng)的訪權(quán)限之前，應(yīng)解決關(guān)于客戶訪問權(quán)限的識(shí)安全、合同和監(jiān)管上的要求應(yīng)用程序接口和數(shù)據(jù)庫應(yīng)實(shí)現(xiàn)數(shù)據(jù)輸入和輸出完整性例程(即核對(duì)和編輯檢查），防止工或系統(tǒng)處理錯(cuò)誤、數(shù)據(jù)損壞或誤用。惡意軟件識(shí)和修復(fù)活動(dòng)本地安裝或基于云的反惡意軟件程序在協(xié)議的時(shí)間線內(nèi)和基于優(yōu)先級(jí)的基礎(chǔ)快速修補(bǔ)漏洞的能力為移動(dòng)設(shè)備開發(fā)的應(yīng)用程序應(yīng)制定政策和程序，并配套業(yè)務(wù)流程及技術(shù)施，以防止在機(jī)構(gòu)中所有的或被托管的用戶端設(shè)備（例如，發(fā)布的工作站、筆記本電腦移動(dòng)設(shè)備）以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)組件中惡意軟件運(yùn)行。入侵防御文件完整性(主機(jī))和網(wǎng)絡(luò)入侵檢測(cè)(IDS)工具的實(shí)施審計(jì)日志的保護(hù)、保留和生命周期管理需更高級(jí)別的保證，遵守適用的法律、法規(guī)監(jiān)管合規(guī)義務(wù)，并提供唯一的用戶訪問責(zé)任，以檢測(cè)潛在的可疑網(wǎng)絡(luò)行為和/或文件整性異常，并在發(fā)生安全漏洞時(shí)提供司法鑒定能力。訪問控制（有件的訪問）管理用戶ID和密碼職責(zé)的劃分不再需要訪問控制時(shí)，刪除訪問控制（括但不限于用戶ID和密碼）訪問控制是一種安全技術(shù)，它規(guī)定誰或什人可以查看或使用計(jì)算機(jī)環(huán)境中的資源。應(yīng)適當(dāng)細(xì)分和限制與組織機(jī)構(gòu)信息系統(tǒng)交的審計(jì)工具的訪問和使用，以防止日志數(shù)的泄露和濫用。限制對(duì)訪問信息安全管理系統(tǒng)（例如，理程序、防火墻、漏洞掃描器、網(wǎng)絡(luò)探查器、APIs等）的訪問。.應(yīng)制定用戶訪問政策和程序，以及實(shí)施業(yè)支持流程和技術(shù)措施，以確保為所有公司部用戶以及能夠訪問數(shù)據(jù)、公司擁有或管對(duì)用戶級(jí)別的訪問進(jìn)行日志記錄和監(jiān)控主題推薦標(biāo)準(zhǔn)說明可審計(jì)性——誰做過什么，日期，間戳，構(gòu)建都應(yīng)能夠被內(nèi)部和外部審計(jì)員審計(jì)。的(物理和虛擬)應(yīng)用程序接口以及基礎(chǔ)設(shè)施網(wǎng)絡(luò)和系統(tǒng)組件的客戶用戶（租戶）提供當(dāng)?shù)纳矸?、?quán)限和訪問管理。用戶日志應(yīng)括識(shí)別用戶登錄時(shí)間和運(yùn)行活動(dòng)的能力。此類日志應(yīng)能以正常的機(jī)器可讀格式和/可轉(zhuǎn)換為人類可讀格式被“隨時(shí)”讀取。監(jiān)管遵守?cái)?shù)據(jù)隱私法，例如GDPR（《通用據(jù)保護(hù)條例》）和新加坡PDPA（《個(gè)人資料保護(hù)法案》）數(shù)據(jù)合規(guī)性是指確保敏感數(shù)據(jù)的組織和管能夠使組織機(jī)構(gòu)遵守企業(yè)商業(yè)規(guī)則以及法和政府法規(guī)的做法。數(shù)據(jù)托管所在地的監(jiān)管機(jī)構(gòu)進(jìn)行溝通了解。國(guó)家法規(guī)將會(huì)對(duì)云端托管數(shù)據(jù)、跨境享數(shù)據(jù)以及按需訪問數(shù)據(jù)方面做出規(guī)定與監(jiān)管就使用第三方渠道與客戶溝通這一方式進(jìn)行交流。這是否被視為一種新的銷渠道?“了解你的客戶”（KYC）/第三方準(zhǔn)入求編程語言的互操作性透明度、制裁、反洗錢甄別跨境許可證金融科技公司應(yīng)準(zhǔn)備好共享分包商信息商業(yè)標(biāo)準(zhǔn)領(lǐng)域推薦標(biāo)準(zhǔn)基本原理風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理-業(yè)務(wù)續(xù)性商業(yè)政策—除了數(shù)據(jù)和技術(shù)相關(guān)政策外，服務(wù)提供商還應(yīng)具備合適的商政策。例如包括:反洗錢/恐怖主義和制裁政策;反賄賂與腐敗、欺詐、環(huán)境/社會(huì)治理股息操作風(fēng)險(xiǎn)控制為了管理潛在的反壟斷風(fēng)險(xiǎn)或利益沖突，當(dāng)金融科技公司的多數(shù)股被包括政府或主要企業(yè)/銀行持股時(shí)，此類信息應(yīng)予以披露。員工政策，包括：°如適用，激勵(lì)措施°確保職能劃分清晰°任何背景調(diào)查需求°滿足當(dāng)?shù)毓蛡騽趧?dòng)力的法定要求°任何分包°員工離職時(shí)的書面記錄°健康和安全此外，如果服務(wù)提供商是由銀行建立的，則可能需要制定另外的政策:反壟斷利益沖突業(yè)務(wù)連續(xù)性規(guī)劃(BCP)有兩個(gè)方面:考慮服務(wù)提供商(技術(shù)提供商)采用足夠的BCP和相關(guān)政策以及在業(yè)務(wù)接收端(如金融機(jī)構(gòu)或企業(yè))有適當(dāng)?shù)囊?guī)劃和回退手段。BCP政策的主要考慮領(lǐng)域包括:分析關(guān)鍵服務(wù)領(lǐng)域中斷的影響恢復(fù)計(jì)劃/冗余建立可容忍的中斷期間定期回顧BCP計(jì)劃金融科技公司應(yīng)該公布他們業(yè)務(wù)連續(xù)性保障的位置以及能夠出現(xiàn)保障現(xiàn)場(chǎng)的關(guān)鍵員工的編號(hào)。供應(yīng)商展示適的風(fēng)險(xiǎn)治和管理。領(lǐng)域推薦標(biāo)準(zhǔn)基本原理義務(wù)責(zé)任和義務(wù)明確界定雙方義務(wù)。以下列舉了義務(wù)及可能的限制：%合同金額供應(yīng)商補(bǔ)償無限或名義金額 客戶（以高者為準(zhǔn)）欺詐故意違約故意放棄知識(shí)產(chǎn)權(quán)違約一般供應(yīng)商義數(shù)據(jù)丟失“不可抗力”，金融科技公司需要澄清在這種情況下發(fā)生了什么，涵了什么，或有什么影響（如：若不可抗力因素持續(xù)存在，協(xié)議將在一定期限內(nèi)終止）保險(xiǎn)單服務(wù)供應(yīng)商應(yīng)提供保險(xiǎn)單。例如：專業(yè)賠償公共責(zé)任一般產(chǎn)品責(zé)任員工欺詐雇主責(zé)任財(cái)產(chǎn)損失數(shù)據(jù)保護(hù)一般而言：各方應(yīng)對(duì)保險(xiǎn)人的地位和聲譽(yù)感到放心有關(guān)保險(xiǎn)單的其他需要考慮的問題：轉(zhuǎn)讓或簽發(fā)給持有人。需確保銀行能夠主動(dòng)提出索賠各方應(yīng)重點(diǎn)關(guān)注保險(xiǎn)金額，確保其與基礎(chǔ)活動(dòng)有關(guān)的風(fēng)險(xiǎn)相匹配在某些情況下：可以免費(fèi)進(jìn)行試點(diǎn)或“概念驗(yàn)證”。然而，在這些情下，如果由于試點(diǎn)/概念驗(yàn)證而導(dǎo)致各種損壞和/或損失，仍可購買保險(xiǎn)單。明確界定發(fā)生種違約或損失時(shí)，哪一方應(yīng)擔(dān)責(zé)任。保險(xiǎn)確保發(fā)生賠時(shí)已有適的保險(xiǎn)單。領(lǐng)域推薦標(biāo)準(zhǔn)基本原理知識(shí)產(chǎn)權(quán)(IP)知識(shí)產(chǎn)權(quán)歸屬在做安排時(shí)確所有權(quán)以避免來發(fā)生糾紛。建立透明的普接受的原則（管數(shù)據(jù)共享可取決于具體安的情況）與銀行建立關(guān)時(shí)需提供的主信息。便于銀行考慮同的許可證。概述金融科技/供應(yīng)商應(yīng)了解的主要銀行意事項(xiàng)適當(dāng)?shù)囟x技術(shù)供應(yīng)商與服務(wù)供應(yīng)商的安排下產(chǎn)生的“知識(shí)產(chǎn)權(quán)”；以及哪一方擁有它。列出具體示例可能會(huì)有所幫助。確保知識(shí)產(chǎn)權(quán)在法律框架中是“保密的”。數(shù)據(jù)共享原則（非技術(shù)）金融機(jī)構(gòu)/企業(yè)與金融科技/供應(yīng)商共享數(shù)據(jù)的標(biāo)準(zhǔn)。應(yīng)就主要原則達(dá)一致：任何數(shù)據(jù)共享均需征得客戶同意，這可能包含在銀行的條款中數(shù)據(jù)只能用于所述目的監(jiān)管機(jī)構(gòu)可能要求訪問數(shù)據(jù)在網(wǎng)絡(luò)/解決方案供應(yīng)商沒有數(shù)據(jù)，客戶和銀行擁有自己數(shù)據(jù)的所有權(quán)，其他方無法訪問該數(shù)據(jù)的情況下（如：一個(gè)節(jié)點(diǎn)內(nèi)，僅可查看無用息），可以設(shè)定一個(gè)替代模型。數(shù)據(jù)提供者（如銀行）仍然是該數(shù)據(jù)的保管人數(shù)據(jù)保管人保留刪除或發(fā)送/遷移數(shù)據(jù)的權(quán)利，并有權(quán)要求提供這樣的證明除非另有規(guī)定/約定，交易數(shù)據(jù)僅能共享提供擔(dān)保以遵守GDPR(《通用數(shù)據(jù)保護(hù)條例》)技術(shù)/服務(wù)提供商可以在投資組合級(jí)別與銀行共享和平臺(tái)/產(chǎn)品使用關(guān)的信息，前提是這些信息是隱藏的金融科技/供商引入要求在準(zhǔn)入的過程中，可能會(huì)出現(xiàn)與供應(yīng)商信用/財(cái)務(wù)穩(wěn)定性/聲譽(yù)、不消息、制裁等相關(guān)的問題妥善管理因分包產(chǎn)生的風(fēng)險(xiǎn)。這包括與新外包相關(guān)的風(fēng)險(xiǎn)，以及承包和分包商之間的合作或溝通不足披露所提供的技術(shù)/服務(wù)方面的分包安排，包括其司法管轄區(qū)全球監(jiān)管環(huán)境需要考慮的全球以及國(guó)家監(jiān)管項(xiàng)目：《通用數(shù)據(jù)保護(hù)條例》（GDPR）—?dú)W盟法律金融科技/供應(yīng)商的監(jiān)管報(bào)告義務(wù)合同可能涉及跨地區(qū)的當(dāng)事方和服務(wù)供應(yīng)。銀行和服務(wù)/技術(shù)提供商應(yīng)就具有約束力的法律和法院達(dá)成一致，以便在發(fā)生合同違約或糾紛時(shí)執(zhí)服務(wù)合同中規(guī)定的法律合適的稅務(wù)條款（可能存在的增值稅，代扣所得稅等）金融科技公司應(yīng)共享合規(guī)批準(zhǔn)的監(jiān)管通知。領(lǐng)域推薦標(biāo)準(zhǔn)基本原理在需要跨境實(shí)施的情況下，金融科技公司應(yīng)提供實(shí)施計(jì)劃，以及預(yù)期服務(wù)中的任何考慮因素和差異性。根據(jù)合同關(guān)系，銀行有權(quán)審計(jì)金融科技/服務(wù)提供商（如果適用），或金可審計(jì)性融科技/服務(wù)提供商有義務(wù)為銀行的報(bào)告要求提供數(shù)據(jù)品牌/標(biāo)識(shí)等的根據(jù)合同關(guān)系，應(yīng)考慮以下情況：使用金融科技/服務(wù)提供商用白標(biāo)顯示銀行的品牌/標(biāo)識(shí)等銀行使用金融科技/服務(wù)提供商的品牌/標(biāo)識(shí)等使用聯(lián)合品牌/標(biāo)識(shí)等成本和收入銀行與金融科技/服務(wù)提供商之間的成本/收入分配（如適用）技術(shù)標(biāo)準(zhǔn)技術(shù)標(biāo)準(zhǔn)因使用案例和應(yīng)用目的而可能有所不同。同時(shí)，還應(yīng)考慮到技術(shù)標(biāo)準(zhǔn)將持續(xù)發(fā)展，因此時(shí)可能會(huì)有所不同。所以，以下不是提供明確的標(biāo)準(zhǔn)，而是以常見問答形式提供的包括相關(guān)的技術(shù)領(lǐng)的考量因素建議。領(lǐng)域推薦考量因素技術(shù)支持與維護(hù)描述您的解決方案如何提供清晰的事件狀態(tài)，以便以簡(jiǎn)單明了的方式與客戶和支持團(tuán)隊(duì)享。描述您的支持管理服務(wù)（本地化、語言理解、覆蓋時(shí)間等）。描述升級(jí)支持管理（1級(jí)、2級(jí)等）。產(chǎn)品支持哪些離線/批次處理的作業(yè)調(diào)度工具？例如TWS,Autosys等。描述您的解決方案如何管理應(yīng)用程序的相互依賴性，例如實(shí)時(shí)制裁檢查。您的解決方案是否具有在數(shù)據(jù)量反常的情況下識(shí)別并自動(dòng)通知支持人員的功能？描述您的解決方案如何支持客戶端設(shè)置閾值和指標(biāo)以確定應(yīng)用程序運(yùn)行狀況的能力？請(qǐng)描述決方案的所有要素。描述您的解決方案如何公開應(yīng)用程序運(yùn)行狀況的指標(biāo)。描述您的應(yīng)用程序如何實(shí)施有針對(duì)性的日志記錄以支持事件解決和/或過程監(jiān)控。描述您的解決方案支持或集成的監(jiān)控和警報(bào)工具/實(shí)用程序。描述如何監(jiān)控您的產(chǎn)品在銀行生產(chǎn)環(huán)境中的性能。說明您自己提供的用于監(jiān)控性能的任何具，或?qū)εc您的產(chǎn)品一起使用的其他金融科技工具的建議，例如Wily/AppDynamics。支持產(chǎn)品的數(shù)據(jù)/配置是否存在某些方面，在解決事件的情況下無法用于支持團(tuán)隊(duì)？請(qǐng)描述有實(shí)例?？蛻粝Ｍ谏a(chǎn)環(huán)境中運(yùn)行分析工具來檢查應(yīng)用程序的狀態(tài)。它支持哪些實(shí)時(shí)分析工具？確認(rèn)具備強(qiáng)大的災(zāi)難恢復(fù)功能，并定期進(jìn)行測(cè)試。金融科技公司應(yīng)描述其預(yù)期框架，以支持正在進(jìn)行的審查和監(jiān)控以及終止指南。對(duì)SLA級(jí)別的承諾，并針對(duì)不同嚴(yán)重性問題共享不同SLA的框架。（即為不同級(jí)別提供修復(fù)周轉(zhuǎn)時(shí)間）。金融科技公司應(yīng)評(píng)論其解決方案是否有自動(dòng)審核日志，跟蹤每個(gè)用戶的操作，以便輕松識(shí)別題可能發(fā)生的位置。領(lǐng)域推薦考量因素軟件安裝（署）基礎(chǔ)設(shè)施誰來負(fù)責(zé)部署的策略？°僅客戶°僅服務(wù)提供商°兩者都有解釋每一個(gè)策略和選項(xiàng)。如果客戶負(fù)責(zé)（全部或部分）解決方案的部署策略，解釋以下兩種情況應(yīng)如何實(shí)施：°與客戶合適的CI/CD流水線進(jìn)行整合°不與客戶CI/CD流水線實(shí)施整合，解釋你的解決方案使用的工具?？蓱?yīng)用什么樣的部署：°非顛覆性和整個(gè)系統(tǒng)°非顛覆性和漸進(jìn)的（即在向新的版本轉(zhuǎn)換過程中，現(xiàn)有版本仍部分使用）°顛覆性和整個(gè)系統(tǒng)°顛覆性和漸進(jìn)的°為A/B測(cè)試做好準(zhǔn)備°對(duì)每一個(gè)選項(xiàng)解釋如何實(shí)施。如果有多個(gè)云服務(wù)商支持，解釋轉(zhuǎn)換到另一個(gè)云服務(wù)商的影響。對(duì)于聯(lián)合實(shí)施，金融科技公司應(yīng)對(duì)合作預(yù)期進(jìn)行分享，即應(yīng)由銀行承擔(dān)的測(cè)試比例或者銀應(yīng)承擔(dān)哪些其他工作。提供圖表對(duì)各參與者要使用的基礎(chǔ)設(shè)施概貌進(jìn)行展示：°機(jī)器°服務(wù)器°防火墻°負(fù)載均衡器°應(yīng)用設(shè)備（如，硬件安全模塊等）°邊緣基礎(chǔ)設(shè)施（信標(biāo)技術(shù)、傳感器等）°網(wǎng)絡(luò)區(qū)域°數(shù)據(jù)中心你支持哪個(gè)云服務(wù)商？°IaaS°aaS°SaaS°對(duì)上述每個(gè)選項(xiàng)你支持哪個(gè)云區(qū)域和可用區(qū)？°你與上述每一個(gè)服務(wù)商的合作經(jīng)歷（特殊要求、限制等）？°你的解決方案在不同服務(wù)商之間是否便于轉(zhuǎn)換？解釋基礎(chǔ)設(shè)施的尺寸（如服務(wù)器型號(hào)和數(shù)量、存儲(chǔ)、帶寬等）以及對(duì)響應(yīng)非功能性請(qǐng)求（后）的影響因素（如用戶數(shù)量、請(qǐng)求數(shù)量、峰值等）。對(duì)保障基礎(chǔ)設(shè)施“恢復(fù)點(diǎn)目標(biāo)”（RPO）和“恢復(fù)時(shí)間目標(biāo)”（RTO）的要求？如果使用上述（X）aaS云服務(wù)，備份在哪里？使用過的可用區(qū)和區(qū)域是什么？202年月|國(guó)際商會(huì)金融科技合作指南|12領(lǐng)域推薦考量因素架構(gòu)適用性描述你的產(chǎn)品設(shè)計(jì)如何具有錯(cuò)誤容忍度，描述你的解決方案如何解決失敗？是否所有程序可以從失敗時(shí)間點(diǎn)重新開始，如果是，如何實(shí)現(xiàn)這一點(diǎn)？你是否將失敗測(cè)試納入你的產(chǎn)品測(cè)試？數(shù)據(jù)分析和可視化應(yīng)用的設(shè)計(jì)純粹為滿足終端用戶的消費(fèi)，而不是數(shù)據(jù)提煉的目的；描述的解決方案如何體現(xiàn)這一聲明。描述你如何審核商業(yè)情報(bào)功能的使用，使得數(shù)據(jù)使用可以獲得。描述你的解決方案可支持的測(cè)試自動(dòng)化的工具（自動(dòng)化測(cè)試工具加上測(cè)試數(shù)據(jù)獲取機(jī)制）一項(xiàng)應(yīng)用程序的各個(gè)方面和它的運(yùn)行時(shí)間必須可通過代碼進(jìn)行配置，代碼通過版本進(jìn)行控制—請(qǐng)描述你的解決方案如何實(shí)現(xiàn)并支持這一原則。提供你如何管理產(chǎn)品升級(jí)訴求的細(xì)節(jié)。描述你的產(chǎn)品如何支持定制化，以及如何實(shí)施并管理。請(qǐng)注意基于你的產(chǎn)品、產(chǎn)品升級(jí)及依賴的技術(shù)路線圖，如何管理定制化。描述你的解決方案如何管理應(yīng)用程序和狀態(tài)數(shù)據(jù)，該解決方案是否以不可變的模式建設(shè)和行？如，沒有狀態(tài)數(shù)據(jù)存儲(chǔ)在應(yīng)用實(shí)例中。?通過提供的容積數(shù)據(jù)描述應(yīng)用效果的細(xì)節(jié)。其中要包含適用你的產(chǎn)品流程的相關(guān)績(jī)效標(biāo)準(zhǔn)。示例；吞吐量每秒處理量（TPS）、均值、探針、峰值、數(shù)據(jù)量、服務(wù)器負(fù)載、應(yīng)用程序網(wǎng)絡(luò)延遲和多樣性，應(yīng)用程序爭(zhēng)用、數(shù)據(jù)層表現(xiàn)、用戶交互表現(xiàn)、API接口表現(xiàn)。T描述你的解決方案如何支持工作量管理——不斷波動(dòng)的工作量峰值批量負(fù)載處理時(shí)間和并用戶接入。提供產(chǎn)品范圍詳情，有沒有區(qū)域或全球限制？?描述你的解決方案如何支持操作系統(tǒng)和瀏覽器獨(dú)立性？UI必須可運(yùn)行windows、OS、安卓、iOS、Linux操作系統(tǒng)并且完全兼容和響應(yīng)HTML5。確認(rèn)產(chǎn)品不依賴Silverlight、ActiveX、Flash和客戶端Java.請(qǐng)?zhí)峁┬枰谧烂?瀏覽器裝/下載的其他構(gòu)件的相關(guān)信息。T?解釋你的解決方案如何滿足“殘障歧視法”相關(guān)要求？你如何測(cè)試對(duì)法規(guī)的合規(guī)性？你的解決方案如何適應(yīng)法規(guī)的變化？?列舉解決方案界面針對(duì)設(shè)備的特點(diǎn)/方面。支持哪些設(shè)備？請(qǐng)?zhí)峁┪磥碇С值穆肪€圖。請(qǐng)描述UI架構(gòu)，包括邏輯層（如商業(yè)邏輯）與UI層的隔離。同時(shí)提供信息說明你提供服務(wù)如何考量設(shè)備的局限性，如帶寬問題。提供信息說明解決方案對(duì)標(biāo)準(zhǔn)接入和外圍設(shè)備的兼容性，如對(duì)標(biāo)準(zhǔn)微軟Office軟件接入的容性。你的解決方案接入用戶界面進(jìn)入客戶網(wǎng)絡(luò)分析工具是否存在制約？你可以支持應(yīng)用程序、操作系統(tǒng)和和中間件技術(shù)多少個(gè)之前的版本？對(duì)于新發(fā)布產(chǎn)品你的管理流程有何變化？領(lǐng)域推薦考量因素應(yīng)用程序設(shè)計(jì)描述環(huán)境管理以滿足發(fā)布交付和用戶參與需要（生產(chǎn)前解決方案、用戶測(cè)試、客戶做出是可行決策等）描述用戶信息和與應(yīng)用發(fā)展相關(guān)的培訓(xùn)。你如何向我們分發(fā)軟件以及你是否有完整的發(fā)布說明樣本？描述系統(tǒng)支持區(qū)塊鏈或API等新技術(shù)的能力，以及成功實(shí)施的案例你的解決方案是否利用了SWIFTMT報(bào)文等現(xiàn)有標(biāo)準(zhǔn)？描述你的解決方案如何采用正在研發(fā)的新標(biāo)準(zhǔn)或支持ISO20022等更廣泛的行業(yè)標(biāo)準(zhǔn)？你多快可以支持新的操作系統(tǒng)或平臺(tái)?是否存在一個(gè)專用架構(gòu)可交付或提供給接收方？當(dāng)某一客戶數(shù)據(jù)以環(huán)境共享/公有云的方式立在另一客戶數(shù)據(jù)的原型上，詳細(xì)描述如何隔離并確保安全。如果需要，是否可安裝一個(gè)專用過濾器以確保向客戶的用戶交付服務(wù)僅能通過特定場(chǎng)所獲?。ㄈ缡褂没ヂ?lián)網(wǎng)IP過濾器、VPN等）？測(cè)試結(jié)果指引，用以確定產(chǎn)品是否可從用戶驗(yàn)收測(cè)試（UAT）轉(zhuǎn)移到銀行共享的生產(chǎn)中。銀行可發(fā)起請(qǐng)求的特定數(shù)據(jù)的指引應(yīng)予以共享。銀行是否能請(qǐng)求行業(yè)匿名報(bào)告或該報(bào)告是可自動(dòng)發(fā)布？指引說明產(chǎn)品多大程度可對(duì)每個(gè)銀行或客戶提供定制化？如，在融資方面，是否可支持不銀行授權(quán)要求?你的解決方案遵循的主要架構(gòu)原則？提供解決方案的軟件構(gòu)成圖表并解釋解決方案應(yīng)用的計(jì)原則（如分層架構(gòu)）。在移動(dòng)設(shè)備支持的情況下，不要忘記移動(dòng)設(shè)備的組成部分。描述每個(gè)組件的安裝功能或能力，并識(shí)別所用組件與外界的整合能力。實(shí)施邏輯是什么和如何運(yùn)轉(zhuǎn)，以及你為何選擇實(shí)施這種邏輯？°展示邏輯°整合邏輯（數(shù)據(jù)轉(zhuǎn)換、協(xié)議轉(zhuǎn)換等）°處理邏輯°商業(yè)邏輯°數(shù)據(jù)邏輯解釋所做的設(shè)計(jì)選擇如何對(duì)你的解決方案未來變化提供便利（模塊化、復(fù)雜性、依賴性、險(xiǎn)關(guān)注的隔離性等）說明屬于系統(tǒng)核心的組件且不能被第三方解決方案替換為更好理解應(yīng)用程序并確認(rèn)是否覆蓋客戶需求：°提供所用的邏輯數(shù)據(jù)模型°提供每一實(shí)體類型及相關(guān)類型的定義（邏輯數(shù)據(jù)模型可不同且可大于規(guī)范的數(shù)據(jù)模型）哪些組件用來增加可用性？解釋如何在以下方面加強(qiáng)可用性：°數(shù)據(jù)存儲(chǔ)組件（如分發(fā)）°處理組件（如多維分布式實(shí)例）領(lǐng)域推薦考量因素與帽子原理相關(guān)要考慮哪些選項(xiàng)？°一致性：系統(tǒng)關(guān)注信息一致性并對(duì)每一次請(qǐng)求做出正確響應(yīng)。°可獲得性：系統(tǒng)關(guān)注可接受的響應(yīng)時(shí)間而非響應(yīng)的正確性?！惴謪^(qū)容錯(cuò)性：系統(tǒng)關(guān)注保持操作性且可處理間歇性的網(wǎng)絡(luò)中斷。分區(qū)容錯(cuò)性：系統(tǒng)關(guān)注保持操作性且可處理間歇性的網(wǎng)絡(luò)中斷。提供與你的解決方案互動(dòng)或交流的數(shù)據(jù)模型圖表。為每一種實(shí)體類型提供定義。你的解決方案接觸點(diǎn)有哪些？°絡(luò)°移動(dòng)應(yīng)用程序°桌面應(yīng)用程序°其他解釋解決方案多大程度可被用于“面向服務(wù)架構(gòu)（SOA）”:]°你的解決方案體現(xiàn)出的服務(wù)哪些功能可稱為SOA（如，內(nèi)部流程的狀態(tài)）?！?。:你發(fā)布哪些事件、哪些內(nèi)容、以何種頻率（如，內(nèi)部商業(yè)流程事件、通知、數(shù)據(jù)事件等）?你希望從客戶收到哪些事件、哪些內(nèi)容、以何種頻率?你的解決方案遵循的主要架構(gòu)原則？提供解決方案的軟件組件圖表并解釋方案設(shè)計(jì)適用的則（如分布式架構(gòu)）。如果支持移動(dòng)設(shè)備，不要忘記移動(dòng)設(shè)備組件?？商峁┰敿?xì)描述和圖作為附件。提供解決方案對(duì)技術(shù)的見解（平臺(tái)、中間件、框架和協(xié)議）。即使對(duì)于SaaS解決方案這些息對(duì)于緩釋風(fēng)險(xiǎn)也是有用的。提供架構(gòu)圖表，提供實(shí)現(xiàn)組件圖表中每一組件功能所用技術(shù)堆棧的完整視圖。列舉所有術(shù)：°操作系統(tǒng)°中間件平臺(tái)°存儲(chǔ)°數(shù)據(jù)庫技術(shù)°結(jié)構(gòu)化°非結(jié)構(gòu)化°數(shù)據(jù)湖°分布式°內(nèi)容管理技術(shù)°集成技術(shù)°排隊(duì)技術(shù)(面向消息的中間件-MOM)領(lǐng)域推薦考量因素技術(shù)概述°服務(wù)總線(ESB)°數(shù)據(jù)庫集成技術(shù)°處理引擎(BPMS)°事件代理°流媒體技術(shù)°調(diào)度程序°導(dǎo)出轉(zhuǎn)換負(fù)載(ETL)°執(zhí)行°網(wǎng)絡(luò)服務(wù)器°應(yīng)用軟件服務(wù)器°規(guī)則引擎(BRMS)°處理引擎(BPMS)°瀏覽器(IE,Chrome,Edge,Safari,Firefox等)°運(yùn)行時(shí)庫(.Net,JRE等.)°其他說明技術(shù)堆棧何處可將一項(xiàng)已有技術(shù)替換成另一項(xiàng)技術(shù)。你的解決方案遵循的主要架構(gòu)原則？提供解決方案的軟件組件圖表并解釋方案設(shè)計(jì)適用的則（如分布式架構(gòu)）。如果支持移動(dòng)設(shè)備，不要忘記移動(dòng)設(shè)備組件。解釋你的解決方案適用的每一個(gè)組件，其擴(kuò)展、配置和開發(fā)所用的語言。如果涉及邊緣計(jì)算請(qǐng)予以考慮。你能否一直符合客戶標(biāo)準(zhǔn)：°前端：HTML5,CSS3,Javascript°語言：Java,Python?說明屬于系統(tǒng)核心的組件且不能被第三方解決方案替換（如一項(xiàng)客戶已經(jīng)擁有的解決案）。為更好理解應(yīng)用程序并確認(rèn)是否覆蓋客戶需求：°提供所用的邏輯數(shù)據(jù)模型°提供每一實(shí)體類型及相關(guān)類型的定義（邏輯數(shù)據(jù)模型可不同、且可大于規(guī)范的數(shù)據(jù)型）?解決方案的哪部分基于第三方產(chǎn)品，如由其他金融科技公司交付的組件（解決方案、流程數(shù)據(jù)等）？你的解決方案哪些模型可被第三方或客戶內(nèi)部解決方案替代？如何替代？?對(duì)于所有相關(guān)技術(shù)事項(xiàng)，你跟進(jìn)金融科技公司技術(shù)發(fā)布和標(biāo)準(zhǔn)迭代有多快？°操作系統(tǒng)°所有相關(guān)中間件°所有相關(guān)架構(gòu)°所有相關(guān)第三方組件°對(duì)于所有相關(guān)事項(xiàng)，當(dāng)前可支持的版本°展示你在該領(lǐng)域創(chuàng)新的速度說明以上每一項(xiàng)技術(shù)主題如何進(jìn)行文本化（如，通過線下文本、放在公共或有防護(hù)協(xié)助支持的網(wǎng)站等）。領(lǐng)域推薦考量因素安全&接入描述你的解決方案如何支持RBAC和ABAC接入控制方法。解釋在不同用戶類型（如管理員用戶和普通用戶）情況下產(chǎn)品有何差異。解釋在不同用戶類型及其授權(quán)下產(chǎn)品有哪些不同特點(diǎn)。解釋如何管理用戶，使其只能看到被授權(quán)的數(shù)據(jù)?描述授權(quán)功能并解釋如何進(jìn)行定制。解釋各項(xiàng)功能如何進(jìn)行明確分配或屏蔽。用戶特權(quán)/角色如何持續(xù)；如在服務(wù)器、網(wǎng)絡(luò)文件/URL參數(shù)方面？解釋你的產(chǎn)品如何實(shí)現(xiàn)用戶驗(yàn)證和單點(diǎn)登錄。系統(tǒng)必須控制接入數(shù)據(jù)和操作。請(qǐng)解釋在使用API接口和其他后端處理的情況下，如何實(shí)現(xiàn)一點(diǎn)?是否所有數(shù)據(jù)都放在可驗(yàn)證的數(shù)據(jù)存儲(chǔ)中？請(qǐng)解釋如何進(jìn)行數(shù)據(jù)存儲(chǔ)的驗(yàn)證，是通過個(gè)人戶賬戶還是系統(tǒng)賬戶?對(duì)于系統(tǒng)賬戶，請(qǐng)解釋密碼循環(huán)流程及控制，即解決方案如何滿足常見的系統(tǒng)密碼過期問并利用Cyberark等產(chǎn)品。解釋產(chǎn)品如何支持多點(diǎn)登錄?制。解釋可為產(chǎn)品提供的標(biāo)準(zhǔn)強(qiáng)化指引。你的管理團(tuán)隊(duì)能否接入用戶數(shù)據(jù)庫?是否存在你可向客戶建議的遠(yuǎn)程接入方式?對(duì)于特殊權(quán)限用戶（管理員），解決方案是否可與強(qiáng)驗(yàn)證機(jī)制交互（多因素驗(yàn)證）?描述系統(tǒng)組件之間的通訊如何確保（HTTPS,MQ,JDBC/ODBC等）。是否存在任何組件間訊不能保證的因素？第三方評(píng)估人的系統(tǒng)安全評(píng)估，即滲透測(cè)試，是否已完成以確認(rèn)脆弱性？如果是，可否告對(duì)系統(tǒng)的哪個(gè)版本、在何時(shí)完成以及評(píng)估結(jié)果。解決方案必須具有抗病毒和抗惡意軟件保護(hù)。請(qǐng)解釋產(chǎn)品在這方面的能力。解釋建議的方案如何防范網(wǎng)絡(luò)安全攻擊。請(qǐng)清楚說明客戶應(yīng)承擔(dān)哪些責(zé)任。描述解決方案的安全特性，包括對(duì)第三方安全和加密軟件的兼容性?解釋在研發(fā)和測(cè)試過程中如何保障產(chǎn)品安全性。你的產(chǎn)品源代碼是否通過源代碼安全漏洞檢測(cè)工具掃描，作為管理流程變更的一部分？如是，請(qǐng)說明使用了哪個(gè)/哪些產(chǎn)品。解釋在你的產(chǎn)品源代碼開發(fā)過程中，如何解決10大OWASP漏洞和25大SANs問題?要求使用哪種數(shù)據(jù)對(duì)你的產(chǎn)品進(jìn)行測(cè)試（生產(chǎn)數(shù)據(jù)、模擬數(shù)據(jù)還是清潔數(shù)據(jù)?一旦發(fā)現(xiàn)解決方案存在漏洞，客戶安全團(tuán)隊(duì)可以向你的公司提出問題；描述發(fā)現(xiàn)問題的方法包括有關(guān)披露政策和流程。應(yīng)要求客戶對(duì)解決方案應(yīng)用程序所集成的源代碼進(jìn)行評(píng)估，解釋這些源代碼的交付如何可以利化。有時(shí)客戶可能要求確保消息級(jí)別（MLS）的數(shù)據(jù)安全而非僅是傳輸級(jí)別（TLS）的安全。解應(yīng)用程序如何支持端到端的加密和/或消息簽署。領(lǐng)域推薦考量因素認(rèn)證郵件服務(wù)—網(wǎng)絡(luò)協(xié)作服域。解釋應(yīng)用程序如何在客戶與主機(jī)或用戶與主機(jī)之間保持對(duì)話狀態(tài)。解釋如何防止本地隱藏?cái)?shù)據(jù)被篡改。解釋應(yīng)用程序?qū)γ舾胁僮魅绾沃С蛛p人/多級(jí)授權(quán)。展示在屏幕上、打印材料或?qū)徲?jì)日志上的數(shù)據(jù)可能因保密原因需要隱藏（解釋應(yīng)用程序可何配置使特定數(shù)據(jù)模糊化）。解釋應(yīng)用程序如何配置可與基于互聯(lián)網(wǎng)的防病毒產(chǎn)品相融合。你的解決方案是否支持預(yù)先安排的銀行用戶數(shù)據(jù)摘要以及重新認(rèn)證的角色權(quán)限?你的網(wǎng)絡(luò)是否對(duì)互聯(lián)網(wǎng)通信和電信通信進(jìn)行隔離？你的內(nèi)部IT網(wǎng)絡(luò)（局域網(wǎng)辦公室）是否與客戶主機(jī)網(wǎng)絡(luò)（客戶網(wǎng)絡(luò)）連接？如果是，你如何免來自你內(nèi)部IT網(wǎng)絡(luò)的病毒攻擊客戶主機(jī)網(wǎng)絡(luò)？在你的安全基礎(chǔ)設(shè)施出現(xiàn)嚴(yán)重安全漏洞的緊急情況時(shí)，你是否有應(yīng)用補(bǔ)丁的流程?能否提供你的安全保障計(jì)劃和質(zhì)量保障計(jì)劃?描述你如何應(yīng)對(duì)分布式拒絕服務(wù)攻擊。列舉對(duì)所需服務(wù)提供商的認(rèn)證條件。能否確認(rèn)所有主機(jī)數(shù)據(jù)中心符合相關(guān)規(guī)定（HVAC等）和（國(guó)家）有規(guī)定的精確標(biāo)準(zhǔn)?服務(wù)是否依賴有標(biāo)準(zhǔn)安全規(guī)范的系統(tǒng)或流程（如EALx產(chǎn)品信息安全認(rèn)證或ISOy）?描述你確保以下事項(xiàng)的措施：°應(yīng)用程序代碼質(zhì)量°數(shù)據(jù)質(zhì)量描述郵件服務(wù)設(shè)計(jì)和管理規(guī)則（通知流程、申請(qǐng)確認(rèn)、電子郵件地址處理、附件處理加密服務(wù)）。如果已提供，描述自動(dòng)化平臺(tái)（工作流、激活、監(jiān)控等需要與客戶互動(dòng)的設(shè)備/服務(wù)）。領(lǐng)域推薦考量因素文件傳輸如文件需要上傳到互聯(lián)網(wǎng)網(wǎng)站，描述可用的解決方案。采用何種機(jī)制可確保文件的一致性和完整性?如果出現(xiàn)原文件與互聯(lián)網(wǎng)版本錯(cuò)配，你能獲取何種信息用于審計(jì)跟蹤？術(shù)語表術(shù)語簡(jiǎn)稱含義ABCAMLAppDynamicsuosBICAP-theoemCICDCSPybearkDDoSDLPECAGDPRHSMIaaSISOSPaaSR&RsRBCRPOSaaSANSSecureaatrestSAWIFThoughputTPSTROTVPNily基于屬性的訪問控制模反洗錢應(yīng)用性能監(jiān)測(cè)工工作規(guī)劃軟件商業(yè)情報(bào)一致性、可獲得性、分區(qū)容