《金融科技合作指南》

國際商會金融科技

合作指南

目的和范圍

貿(mào)易金融行業(yè)正在經(jīng)歷前所未有的數(shù)字化浪潮。整個貿(mào)易金融生態(tài)體系正在越來越多地通過科學(xué)技

術(shù)和擴(kuò)大合作，來迅速解決紙質(zhì)貿(mào)易金融的局限性。金融機(jī)構(gòu)和企業(yè)對包括分布式記賬技術(shù)（DLT）（含

區(qū)塊鏈）、機(jī)器學(xué)習(xí)、人工智能、應(yīng)用程序接口（API）以及技術(shù)獨(dú)立的數(shù)字網(wǎng)絡(luò)等科學(xué)技術(shù)產(chǎn)生越來越

多的興趣。

隨著這一行業(yè)趨勢的發(fā)展，貿(mào)易金融的數(shù)字化顯然需要越來越多的行業(yè)參與者相互連接，并使用第

三方（金融科技公司Fintechs）提供的服務(wù)/信息/數(shù)據(jù)。目前，業(yè)內(nèi)大多數(shù)參與者都有自己的一套標(biāo)準(zhǔn)來

進(jìn)行盡職調(diào)查、交換貿(mào)易信息和引入第三方供應(yīng)商。這些標(biāo)準(zhǔn)很少是一致的，而且還在不斷發(fā)展過程

中，從而導(dǎo)致第三方很難將他們的解決方案迅速商業(yè)化。

本文件旨在匯總一套通用標(biāo)準(zhǔn)，貿(mào)易金融數(shù)字生態(tài)體系中的各方可以使用這些標(biāo)準(zhǔn)以數(shù)字化的方式

相互連接。這是一份動態(tài)的文件，會隨著時間的推移而擴(kuò)展。這些標(biāo)準(zhǔn)涵蓋了第二方合作普遍考慮的事

項(xiàng)，并力求實(shí)現(xiàn)一定程度的標(biāo)準(zhǔn)化，以確保服務(wù)提供商和用戶之間的合作更快、更高效、更有效。主要

由于《通用數(shù)據(jù)保護(hù)條例》（GDRP）、監(jiān)管要求、審計(jì)、認(rèn)證公司等方面的發(fā)展，貿(mào)易金融受到許多監(jiān)

管約束，這些約束要求銀行內(nèi)部部門（合規(guī)、法律、風(fēng)險、安保等）履職。銀行整合了這些方面，

而2?5年前的情況并非如此。銀行必須和客戶一起處理這些方面的問題。

在第三方參與之前或期間，通常會考慮三個主要的主題標(biāo)準(zhǔn)。這些是：

1.信息安全（Infosec）標(biāo)準(zhǔn)，

2.商業(yè)標(biāo)準(zhǔn)，以及，

3.技術(shù)標(biāo)準(zhǔn)。

這份文件列出了在每個主題下所采用的共同考慮因素和標(biāo)準(zhǔn)。需要注意的是，這些標(biāo)準(zhǔn)僅供參考，

不應(yīng)被視為法律建議或咨詢意見，也不應(yīng)被視為已涵蓋所有內(nèi)容。此類第三方服務(wù)的接收者應(yīng)考慮其特

定情況，并尋求自己獨(dú)立的財(cái)務(wù)、法律、稅務(wù)和其他相關(guān)建議。

注：本文檔末尾為術(shù)語表

標(biāo)準(zhǔn)

1.信息安全（Infosec）標(biāo)準(zhǔn)

這些標(biāo)準(zhǔn)適用于技術(shù)供應(yīng)商或服務(wù)提供商；負(fù)責(zé)向客戶（*客戶可能是金融服務(wù)提供商和/或企業(yè)終端

用戶）提供平臺和相關(guān)服務(wù)的人員。更多內(nèi)容詳見附件1。

主題推薦標(biāo)準(zhǔn)說明

數(shù)據(jù)分類?根據(jù)信息類型對信息或數(shù)據(jù)進(jìn)行分類。例數(shù)據(jù)分類被廣泛定義為按相關(guān)類另!組織數(shù)

如，公開"井"受限/高度受限/機(jī)密/絕密據(jù)的過程，以便更有效地使用和維護(hù)數(shù)

信息等。據(jù)。

?限制數(shù)據(jù)訪問

數(shù)據(jù)托管?數(shù)據(jù)服務(wù)的位置數(shù)據(jù)托管是在第三方或外部服務(wù)提供商的基礎(chǔ)

設(shè)施上部署和托管數(shù)據(jù)中心的過程。

?保護(hù)靜態(tài)數(shù)據(jù)

資產(chǎn)分類必須根據(jù)業(yè)務(wù)重要性、朋務(wù)水平預(yù)期

?數(shù)據(jù)傳輸控制和操作連續(xù)性需求。應(yīng)定期維護(hù)和更新位于所

?數(shù)據(jù)訪問控制有地點(diǎn)和/或地理位置的關(guān)鍵業(yè)務(wù)資產(chǎn)的完整

庫存及其隨時間的使用情況，并按規(guī)定的角色

?監(jiān)管要求和職責(zé)分配所有權(quán)。

應(yīng)設(shè)置物理安全邊界（如用欄、墻壁、屏障、

警衛(wèi)、大門、電子監(jiān)控、物理認(rèn)證機(jī)制、接待

處和安全巡邏），以保護(hù)敏感數(shù)據(jù)和信息系

統(tǒng)。

用戶和支持人員對信息資產(chǎn)和功能的物理訪問

應(yīng)受到限制。

了解監(jiān)針環(huán)境和客戶對某些特定數(shù)據(jù)/信息的

托管要求，例如，《海外賬戶稅收合規(guī)法案》

（FATCA）o

數(shù)據(jù)管理?數(shù)據(jù)丟失防護(hù)數(shù)據(jù)丟失防護(hù)（DLP）是?種確保終端用戶

不會將敏感或關(guān)鍵信息發(fā)送到企業(yè)網(wǎng)絡(luò)之外

?安全補(bǔ)丁管理的策略。

?數(shù)據(jù)可逆性和刪除流程

安全補(bǔ)丁管理不斷提供應(yīng)用更新，可制助解

?受當(dāng)?shù)胤ㄒ?guī)為束的數(shù)據(jù)保留標(biāo)準(zhǔn)決系統(tǒng)中應(yīng)用程序的代碼漏洞或錯誤。

應(yīng)制定政策和程序，并實(shí)施配套的業(yè)務(wù)流程

和技術(shù)措施，以安仝處理和完仝刪除所有存

儲介質(zhì)中的數(shù)據(jù)，確保數(shù)據(jù)不能通過任何計(jì)

算機(jī)取證手段恢復(fù)。

數(shù)據(jù)保留政策應(yīng)考慮監(jiān)管層面，關(guān)于特定的

數(shù)據(jù)說明必須保留多長時間的要求。

主題推薦標(biāo)準(zhǔn)說明

此類法律、法規(guī)或監(jiān)管合規(guī)要求的清單應(yīng)形

成一套文件，并告知客戶。

在授予客戶對數(shù)據(jù)、資產(chǎn)和信息系統(tǒng)的訪問

權(quán)限之前，應(yīng)解決關(guān)于客戶訪問權(quán)限的識別

安全、合同和監(jiān)管上的要求

應(yīng)用程序接口和數(shù)據(jù)庫應(yīng)實(shí)現(xiàn)數(shù)據(jù)輸入和輸

出完整性例程（即核對和編輯檢查），防止手

工或系統(tǒng)處理錯誤、數(shù)據(jù)損壞或誤用。

惡意軟件識別?本地安裝或基于云的反惡意軟件程序應(yīng)制定政策和程序，并配套業(yè)務(wù)流程及技術(shù)措

和修復(fù)活動施，以防止在機(jī)構(gòu)中所有的或被托管的用戶終

?在協(xié)議的時間線內(nèi)和基于優(yōu)先級的基礎(chǔ)上端設(shè)備（例如，發(fā)布的工作站、筆記本電腦和

快速修補(bǔ)漏洞的能力移動設(shè)備）以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)組件中的

惡意軟件運(yùn)行。

?為移動設(shè)備開發(fā)的應(yīng)用程序

入侵防御?文件完整性（主機(jī)）和網(wǎng)絡(luò)入侵檢測審計(jì)口志的保護(hù)、保留和生命周期管理需要

（IDS）工具的實(shí)施更高級別的保證，遵守適用的法律、法規(guī)或

監(jiān)管合規(guī)義務(wù)，并提供唯一的用戶訪問責(zé)

任，以檢測潛在的可疑網(wǎng)絡(luò)行為和/或文件完

整性異常，并在發(fā)生安全漏洞時提供司法鑒

定能力。

訪問控制（有條?管理用戶ID和密碼訪問控制是一種安全技術(shù)，它規(guī)定誰或什么

件的訪問）人可以查看或使用計(jì)算機(jī)環(huán)境中的資源。

?職責(zé)的劃分

應(yīng)適當(dāng)細(xì)分和限制與組織機(jī)構(gòu)信息系統(tǒng)交互

-不再需要訪問控制時，刪除訪問控制（包的審H工具的訪問和使用，以防止日志數(shù)據(jù)

括但不限于用戶ID和密碼）的泄露和濫用。

?限制對訪問信息安全管理系統(tǒng)（例如，管應(yīng)制定用戶訪問政策和程序，以及實(shí)施業(yè)務(wù)

理程序、防火墻、漏洞掃描器、網(wǎng)絡(luò)探查支持流程和技術(shù)措施，以確保為明有公司內(nèi)

器、APIS等）的訪問。.部用戶以及能夠訪問數(shù)據(jù)、公司報(bào)有或管理

?對用戶級別的訪問進(jìn)行日志記錄和監(jiān)控

主題推薦標(biāo)準(zhǔn)說明

?可審計(jì)性一誰做過什么，日期，時的（物理和虛擬）應(yīng)用程序接口以及基礎(chǔ)設(shè)施

間戳，構(gòu)建都應(yīng)能夠被內(nèi)部和外部審計(jì)網(wǎng)絡(luò)和系統(tǒng)組件的客戶用戶（租戶）提供適

員審計(jì)。當(dāng)?shù)纳矸荨?quán)限和訪問管理。用戶日志應(yīng)包

括識別用戶登錄時間和運(yùn)行活動的能力。

此類口志應(yīng)能以正常的機(jī)器可讀格式和/或

可轉(zhuǎn)換為人類可讀格式被“隨時”讀取。

監(jiān)管?遵守?cái)?shù)據(jù)隱私法，例如GDPR（《通用數(shù)數(shù)據(jù)合規(guī)性是指確保敏感數(shù)據(jù)的組織和管理

據(jù)保護(hù)條例》）和新加坡PDPA（《個人資能夠使組織機(jī)構(gòu)遵守企業(yè)商業(yè)規(guī)則以及法律

料保護(hù)法案》）和政府法規(guī)的做法。

?數(shù)據(jù)托管所在地的監(jiān)管機(jī)構(gòu)進(jìn)行溝通了

解國家法規(guī)將會對云端托管數(shù)據(jù)、踏境共

享數(shù)據(jù)以及按需訪問數(shù)據(jù)方面做出規(guī)定

?與監(jiān)管就使用第三方柒道與客戶溝通這

一方式進(jìn)行交流。這是否被視為一種新的分

銷渠道？

?“了解你的客戶"（KYC）/第三方準(zhǔn)入要

求

?編程語言的互操作性

?透明度、制裁、反洗錢甄別

?跨境許可證

?金融科技公司應(yīng)準(zhǔn)備好共享分包商信息

2.商業(yè)標(biāo)準(zhǔn)

領(lǐng)域推薦標(biāo)準(zhǔn)基本原

風(fēng)險管理商業(yè)政策一除了數(shù)據(jù)和技術(shù)相關(guān)政策外，服務(wù)提供商還應(yīng)具備合適的商業(yè)供應(yīng)商展示合

政策。例如包括：適的風(fēng)險治理

和管理。

?反洗錢/恐怖主義和制裁政策;反賄賂叮腐敗、欺詐、環(huán)境/社會治理

?股息

?操作風(fēng)險控制

-為了管理潛在的反壟斷風(fēng)險或利益沖突，當(dāng)金融科技公司的，數(shù)股權(quán)

被包括政府或主要企業(yè)/銀行持股時，此類信息應(yīng)予以披露。

?員工政策，包括：

。如適用，激勵措施

。確保職能劃分清晰

。任何背景調(diào)查需求

。滿足當(dāng)?shù)毓蛡騽趧恿Φ姆ǘㄒ?/p>

。任何分包

。員工離職時的書面記錄

°健康和安全

此外，如果服務(wù)提供商是由銀行建立的，則可能需要制定另外的政策：

?反壟斷

?利益沖突

業(yè)務(wù)連續(xù)性規(guī)劃有兩個方面：

風(fēng)險管理-業(yè)務(wù)連（BCP）

續(xù)性

1.考慮服務(wù)提供商（技術(shù)提供商）采用足夠的BCP和相關(guān)政策以及

2.在業(yè)務(wù)接收端（如金融機(jī)構(gòu)或企業(yè)）有適當(dāng)?shù)囊?guī)劃和回退手段。

BCP政策的主要考慮領(lǐng)域包括：

?分析關(guān)鍵服務(wù)領(lǐng)域中斷的影響

?恢復(fù)計(jì)劃/冗余

?建立可容忍的中斷期間

?定期回顧BCP計(jì)劃

?金融科技公司應(yīng)該公布他們業(yè)務(wù)連續(xù)性保障的位置以及能夠出現(xiàn)在

保障現(xiàn)場的關(guān)駛員工的編號。

領(lǐng)域推薦標(biāo)準(zhǔn)基本原理

義務(wù)責(zé)任和義務(wù)明確界定發(fā)生各

種違約或損失

明確界定雙方義務(wù)。時，哪一方應(yīng)承

以下列舉r義務(wù)及可能的限制：擔(dān)責(zé)任。

%合同金額供應(yīng)商補(bǔ)償無限制

或名義金額客戶

（以高者為準(zhǔn)）

欺詐」

故意違約」

故意放棄v/

知識產(chǎn)權(quán)違約v/

一般供應(yīng)商義務(wù)/

數(shù)據(jù)蕓失/

?“不可抗力”，金融科技公司需要澄清在這種情況下發(fā)生了什么，涵蠱

了什么，或有什么影響（如：若不可抗力因素持續(xù)存在，協(xié)議將在一定

期限內(nèi)終止）

保險保險單確保發(fā)生索

賠時已有合

服務(wù)供應(yīng)商應(yīng)提供保險單。例如：適的保險

單。

?專業(yè)賠償

?公共責(zé)任

?一般產(chǎn)品責(zé)任

?員工欺詐

?雇主責(zé)任

?財(cái)產(chǎn)損失

?數(shù)據(jù)保護(hù)

一般而言：各方應(yīng)對保險人的地位和聲譽(yù)感到放心。

有關(guān)保險單的其他需要考慮的問題：

?轉(zhuǎn)讓或簽發(fā)給持有人。需確保銀行能夠主動提出索賠

?各力應(yīng)事點(diǎn)關(guān)注保險金額，確保其與基礎(chǔ)活動有關(guān)的風(fēng)險相匹配

?在某些情況下：可以免費(fèi)進(jìn)行試點(diǎn)或“概念驗(yàn)證”。然而，在這些情況

下，如果由于試點(diǎn)/概念驗(yàn)證而導(dǎo)致各種損壞和/或損失，仍可購買保險

單。

領(lǐng)域推薦標(biāo)準(zhǔn)基本原理

知識產(chǎn)權(quán)（IP）知識產(chǎn)權(quán)歸屬在做安排時確定

所有權(quán)以避免將

?適當(dāng)?shù)囟x技術(shù)供應(yīng)商與服務(wù)供應(yīng)商的安排下產(chǎn)生的“知識產(chǎn)權(quán)”：以來發(fā)生糾紛。

及哪一方擁有它。列出具體示例可能會有所幫助。

?確保知識產(chǎn)權(quán)在法律框架中是“保密的二

數(shù)據(jù)共享原則金融機(jī)構(gòu)/企業(yè)與金融科技/供應(yīng)商共享數(shù)據(jù)的標(biāo)準(zhǔn)。應(yīng)就主要原則達(dá)成建立透明的普遍

（非技術(shù)）一致：接受的原則（盡

管數(shù)據(jù)共享可能

?任何數(shù)據(jù)共享均需征得客戶同意，這可能包含在銀行的條款中取決干具體安排

?數(shù)據(jù)只能用丁?所述目的的情況）

?監(jiān)管機(jī)構(gòu)可能要求訪問數(shù)據(jù)

?在網(wǎng)絡(luò)/解決方案供應(yīng)商沒有數(shù)據(jù)，客戶和銀行擁有自己數(shù)據(jù)的所有

權(quán)，其他方無法訪問該數(shù)據(jù)的情況下（如：一個節(jié)點(diǎn)內(nèi)，僅可查看無用信

息、），可以設(shè)定一個替代模型。

?數(shù)據(jù)提供者（如銀行）仍然是該數(shù)據(jù)的保管人

?數(shù)據(jù)保管人保留刪除或發(fā)送/遷移數(shù)據(jù)的權(quán)利，并有權(quán)要求提供這樣做

的證明

?除非另有規(guī)定/約定，交易數(shù)據(jù)僅能共享

?提供擔(dān)保以遵守GDPR（《通用數(shù)據(jù)保護(hù)條例》）

?技術(shù)/服務(wù)提供商可以在投資組合級別與銀行共享和平臺/產(chǎn)品使用相

關(guān)的信息，前提是這些信息是隱藏的

金融科技/供應(yīng)?在準(zhǔn)入的過程中，可能會出現(xiàn)與供應(yīng)商信用/貶務(wù)穩(wěn)定性/聲譽(yù)、不利與銀行建立關(guān)系

商引入要求消息、制裁等相關(guān)的問題時需提供的主要

?妥善管理因分包產(chǎn)生的風(fēng)險。這包括與新外包相關(guān)的風(fēng)險，以及承包商信息。

和分包商之間的合作或溝通不足便于銀行考慮不

?披露所提供的技術(shù)/服務(wù)方面的分包安排，包括其司法管轄區(qū)同的許可證。

全球監(jiān)管環(huán)境需要考慮的全球以及國家監(jiān)管項(xiàng)目：

概述金融科

?《通用數(shù)據(jù)保護(hù)條例》（GDPR）—?dú)W盟法律技/供應(yīng)商應(yīng)了

解的主要銀行注

?金融科技/供應(yīng)商的監(jiān)管報(bào)告義務(wù)意事項(xiàng)

?合同可能涉及跨地區(qū)的當(dāng)事方和服務(wù)供應(yīng)。銀行和服務(wù)/技術(shù)提供商應(yīng)

就具有約束力的法律和法院達(dá)成一致，以便在發(fā)生合同違約或糾紛時執(zhí)行

服務(wù)合同中規(guī)定的法律

?合適的稅務(wù)條款（可能存在的增值稅，代扣所得稅等）

?金融科技公司應(yīng)共享合規(guī)批準(zhǔn)的監(jiān)管通知。

領(lǐng)域推薦標(biāo)準(zhǔn)基本原理

?在需要跨境實(shí)施的情況下，金融科技公司應(yīng)提供實(shí)施計(jì)劃，以及預(yù)期服

務(wù)中的任何考慮因素和差異性。

根據(jù)合同關(guān)系.銀行有權(quán)審計(jì)金融科技/服務(wù)提供商（如果適用），或金

可審計(jì)性融科技/服務(wù)提供商有義務(wù)為銀行的報(bào)告要求提供數(shù)據(jù)

品牌/標(biāo)識等的根據(jù)合同關(guān)系，應(yīng)考慮以下情況：

使用?金融科技/股務(wù)提供商用白標(biāo)顯示銀行的品牌/標(biāo)識等

?銀行使用金融科技/服務(wù)提供商的品牌/標(biāo)識等

?使用聯(lián)合品牌/標(biāo)識等

成本和收入銀行與金融科技/服務(wù)提供商之間的成本/收入分配（如適用）

3.技術(shù)標(biāo)準(zhǔn)

技術(shù)標(biāo)準(zhǔn)因使用案例和應(yīng)用目的而可能有所不同。同時，還應(yīng)考慮到技術(shù)標(biāo)準(zhǔn)將持續(xù)發(fā)展，因此有

時可能會有所不同。所以，以下不是提供明確的標(biāo)準(zhǔn)，而是以常見問答形式提供的包括相關(guān)的技術(shù)領(lǐng)域

的考量因素建議。

領(lǐng)域推薦考量因素

技術(shù)支持與維護(hù)?描述您的解決方案如何提供清晰的事件狀態(tài)，以便以簡單明了的方式與客戶和支持團(tuán)隊(duì)共

享。

?描述您的支持管理服務(wù)（本地化、語言理解、漫蓋時間等）。

?描述升級支持管理（I級、2級等）。

?產(chǎn)品支持哪些離線/批次處理的作業(yè)調(diào)度工具？例如TWS,Autosys等。

?描述您的解決方案如何管理應(yīng)用程序的相互依賴性，例如實(shí)時制裁檢查。

?您的解決方案是否具有在數(shù)據(jù)量反常的情況下識別并自動通知支持人員的功能？

?描述您的解決方案如何支持客戶端設(shè)置閾值和指標(biāo)以確定應(yīng)用程序運(yùn)行狀況的能力？請描述解

決方案的所有要素。

?描述您的解決方案如何公開應(yīng)用程序運(yùn)行狀況的指標(biāo)。

?描述您的應(yīng)用程序如何實(shí)施有針對性的日志記錄以支持事件解決和/或過程監(jiān)控。

?描述您的解決方案支持或集成的監(jiān)控和警報(bào)工具/實(shí)用程序。

?描述如何監(jiān)控您的產(chǎn)品在銀行生產(chǎn)環(huán)境中的性能。說明您自己提供的用于監(jiān)控性能的任何工

具，或?qū)εc您的產(chǎn)品一起使用的其他金融科技工具的建議，例如Wily/AppDynomics。

?支持產(chǎn)品的數(shù)據(jù)/配置是否存在某些方面，在解決事件的情況下無法用于支持團(tuán)隊(duì)？請描述所

有實(shí)例。

?客戶希望在生產(chǎn)環(huán)境中運(yùn)行分析工具來檢查應(yīng)用程序的狀態(tài)。它支持哪些實(shí)時分析工具？

?確認(rèn)具備強(qiáng)大的災(zāi)難恢復(fù)功能，并定期進(jìn)行測試。

?金融科技公司應(yīng)描述其預(yù)期框架，以支持正在進(jìn)行的審查和監(jiān)控以及終止指南。

?對SLA級別的承諾，并針對不同嚴(yán)重性問題共享不同SLA的框架。（即為不同級別提供修復(fù)的

周轉(zhuǎn)時間）。

?金融科技公司應(yīng)評論其解決方案是否有自動審核日志，跟蹤每個用戶的操作，以便輕松識別問

題可能發(fā)生的位置。

領(lǐng)域推薦考量因素

軟件安裝（部?誰來負(fù)責(zé)部署的策略？

署）。僅客戶

。僅服務(wù)提供商

。兩者都有

解釋每一個策略和選項(xiàng)。

?如果客戶負(fù)責(zé)（全部或部分）解決方案的部署策略，解釋以下兩種情況應(yīng)如何實(shí)施：

。與客戶合適的CI/CD流水線進(jìn)行整合

。不與客戶CI/CD流水線實(shí)施整合，解釋你的解決方案使用的工具。

?可應(yīng)用什么樣的部署：

。非顛覆性和整個系統(tǒng)

。非顛覆性和漸進(jìn)的（即在向新的版本轉(zhuǎn)換過程中，現(xiàn)有版本仍部分使用）

。顛覆性和整個系統(tǒng)

。顛覆性和漸進(jìn)的

。為A/B；i試做好準(zhǔn)備

。對每一個選項(xiàng)解釋如何實(shí)施。

?如果有多個云服務(wù)商支持，解料轉(zhuǎn)換到另一個云服務(wù)商的影響。

?對于聯(lián)合實(shí)施，金融科技公司應(yīng)對合作預(yù)期進(jìn)行分享，即應(yīng)由銀行承擔(dān)的測試比例或者銀行

應(yīng)承擔(dān)哪些其他工作。

?提供圖表對各參與者要使用的基礎(chǔ)設(shè)施概貌進(jìn)行展示：

基礎(chǔ)設(shè)施

。機(jī)器

。服務(wù)器

。防火揩

。負(fù)載均衡器

。應(yīng)用設(shè)備（如，硬件安全模塊等）

。邊緣基魂設(shè)施（信標(biāo)技術(shù)、傳感器等）

。網(wǎng)絡(luò)區(qū)域

°數(shù)據(jù)中心

?你支持哪個云服務(wù)商？

°laaS

°PaaS

°SaaS

。對上述每個選項(xiàng)你支持哪個云區(qū)域和可用區(qū)？

。你與上述每?個服務(wù)商的合作經(jīng)歷（特殊要求、限制等）?

。你的解決方案在不同服務(wù)商之間是否便于轉(zhuǎn)換？

?解釋基礎(chǔ)設(shè)施的尺寸（如服務(wù)器型號和數(shù)量、存儲、帶寬等）以及對響應(yīng)非功能性請求（見

后）的影響因素（如用戶數(shù)量、請求數(shù)量、峰值等）。

?對保障基礎(chǔ)設(shè)施“恢復(fù)點(diǎn)目標(biāo)”（RPO）和“恢復(fù)時間目標(biāo)”（RTO）的要求？

?如果使用上述（X〉oaS云服務(wù)，備份在哪里？

?使用過的可用區(qū)和區(qū)域是什么？

2022年5月|國際商會金融科技合作指南|12

領(lǐng)域推昔考量因素

架構(gòu)適用性?描述你的產(chǎn)品設(shè)計(jì)如何具有錯誤容忍度，描述你的解決方案如何解決失??？是否所有程序都

可以從失敗時間點(diǎn)重新開始，如果是，如何實(shí)現(xiàn)這一點(diǎn)？你是否將失敗測試納入你的產(chǎn)品測

試？

?數(shù)據(jù)分析和可視化應(yīng)用的設(shè)計(jì)純粹為滿足終端用戶的消劣，而不是數(shù)據(jù)提煉的目的：描述你

的解決方案如何體現(xiàn)這一聲明。

?描述你如何審核商業(yè)情報(bào)功能的使用，使得數(shù)據(jù)使用可以獲得。

?描述你的解決方案可支持的測試自動化的工具（自動化測試工具加上測試數(shù)據(jù)獲取機(jī)制）

?一項(xiàng)應(yīng)用程序的各個方面和它的運(yùn)行時間必須可通過代碼進(jìn)行配苴，代碼通過版本進(jìn)行控制

一請描述你的解決方案如何實(shí)現(xiàn)并支持這一原則。

?提供你如何管理產(chǎn)品升級訴求的細(xì)節(jié)。

?描述你的產(chǎn)品如何支持定制化，以及如何實(shí)施并管理。請注意基于你的產(chǎn)品、產(chǎn)而升級及其

依賴的技術(shù)路線圖，如何管理定制化。

?描述你的解決方案如何管理應(yīng)用程序和狀態(tài)數(shù)據(jù)，該解決方案是否以不可變的模式建設(shè)和運(yùn)

行？如，沒有狀態(tài)數(shù)據(jù)存儲在應(yīng)用實(shí)例中。

??通過提供的容積數(shù)據(jù)描述應(yīng)用效果的細(xì)節(jié)。其中要包含適用你的產(chǎn)品流程的相關(guān)績效標(biāo)準(zhǔn)。

?示例；吞吐量每秒處理量（TPS）、均值、探針、峰值、數(shù)據(jù)量、服務(wù)器負(fù)載、應(yīng)用程序和

網(wǎng)絡(luò)延遲和多樣性，應(yīng)用程序爭用、數(shù)據(jù)層表現(xiàn)、用戶交互表現(xiàn)、API接口表現(xiàn)。T

?描述你的解決方案如何支持工作量管理一不斷波動的工作量峰值批量負(fù)載處理時間和并行

用戶接入。

?提供產(chǎn)品范圍詳情，有沒有區(qū)域或全球限制？

??描述你的解決方案如何支持操作系統(tǒng)和瀏覽器獨(dú)立性？UI必須可運(yùn)行windows、Mac

OS、安卓、iOS、Linux操作系統(tǒng)并且完全羔容和響應(yīng)HTML5。

?確認(rèn)產(chǎn)品不依賴Silverlight、ActiveX.Flash和客戶端Java.請?zhí)峁┬枰谧烂?瀏覽器安

裝/卜載的其他構(gòu)件的相關(guān)信息。T

??解釋你的解決方案如何滿足“殘障歧視法”相關(guān)要求？

?你如何測試對法規(guī)的合規(guī)性？

?你的解決方案如何適應(yīng)法規(guī)的變化？》

?列舉解決方案界面針對設(shè)備的特點(diǎn)/方面。支持哪些設(shè)備？請?zhí)峁┪磥碇С值穆肪€圖。

?請描述UI架構(gòu)，包括邏輯層（如商業(yè)邏輯）與UI層的隔離。同時提供信息說明你梃供服務(wù)時

如何考量設(shè)備的局限性，如帶寬問題。

?提供信息說明解決方案對標(biāo)準(zhǔn)接入和外圍設(shè)備的兼容性，如對標(biāo)準(zhǔn)微軟Office軟件接入的兼

容性。

?你的解決方案接入用戶界面進(jìn)入客戶網(wǎng)絡(luò)分析工具是否存在制約？

?你可以支持應(yīng)用程序、操作系統(tǒng)和和中間件技術(shù)多少個之前的版本？

?對于新發(fā)布產(chǎn)品你的管理流程有何變化？

領(lǐng)域推薦考量因素

?描述環(huán)境管理以滿足發(fā)布交付和用戶參與需要（生產(chǎn)前解決方案、用戶測試、客戶做出是否

可行決策等）

?描述用戶信息和與應(yīng)用發(fā)展相關(guān)的培訓(xùn)。

?你如何向我們分發(fā)軟件以及你是否有完整的發(fā)布說明樣本？

?描述系統(tǒng)支持區(qū)塊鏈或API等新技術(shù)的能力，以及成功實(shí)施的案例

?你的解決方案是否利用TSWIFTMT報(bào)文等現(xiàn)有標(biāo)準(zhǔn)？

?描述你的解決方案如何采用正在研發(fā)的新標(biāo)準(zhǔn)或支持IS020022等更廣泛的行業(yè)標(biāo)準(zhǔn)？

?你多快可以支持新的操作系統(tǒng)或平臺？

?是否存在一個專用架構(gòu)可交付或提供給接收方？當(dāng)某一客戶數(shù)據(jù)以環(huán)境共享/公有云的方式建

立在另一客戶數(shù)據(jù)的原型上，詳細(xì)描述如何隔離并確保安全。

?如果需要，是否可安裝一個專用過漉器以確保向客戶的用戶交付服務(wù)僅能通過特定場所獲取

（如使用互聯(lián)網(wǎng)IP過濾器、VPN等）？

?測試結(jié)果指引，用以確定產(chǎn)品是否可從用戶驗(yàn)收測試（UAT）轉(zhuǎn)移到銀行共享的生產(chǎn)中。

?銀行可發(fā)起請求的特定數(shù)據(jù)的指引應(yīng)予以共享。銀行是否能請求行業(yè)匿名報(bào)告或該報(bào)告是否

可自動發(fā)布？

?指引說明產(chǎn)品多大程度可對每個銀行或客戶提供定制化？如，在融資方面，是否可支持不同

銀行授權(quán)要求？

?你的解決方案遵循的主要架構(gòu)原則？提供解決方案的軟件構(gòu)成圖表并解釋解決方案應(yīng)用的設(shè)

計(jì)原則（如分層架構(gòu)）。在移動設(shè)備支持的情況下，不要忘記移動設(shè)備的組成部分。

?描述每個組件的安裝功能或能力，并識別所用組件與外界的整合能力。

?實(shí)施邏輯是什么和如何運(yùn)轉(zhuǎn)，以及你為何選擇實(shí)施這種邏輯？

。展示邏輯

應(yīng)用程序設(shè)計(jì)。整合邏輯（數(shù)據(jù)轉(zhuǎn)換、協(xié)議轉(zhuǎn)換等）

。處理邏輯

。商業(yè)邏輯

。數(shù)據(jù)邏輯

?解梆所做的設(shè)計(jì)選擇如何對你的解決方案未來變化提供便利（模塊化、復(fù)雜性、依賴性、風(fēng)

險關(guān)注的隔離性等）

?說明屬于系統(tǒng)核心的組件且不能被第三方解決方案替換

?為更好理解應(yīng)用程序并確認(rèn)是否覆蓋客戶需求：

。提供所用的邏輯數(shù)據(jù)模型

。提供每一實(shí)體類型及相關(guān)類型的定義（邏輯數(shù)據(jù)模型可不同且可大于規(guī)范的數(shù)據(jù)模型）

?哪些組件用來增加可用性？解釋如何在以下方面加強(qiáng)可用性：

。數(shù)據(jù)存儲組件（如分發(fā)）

。處理組伶（如多維/分布式實(shí)例）

推薦考顯因素

領(lǐng)域

?與帽r原理相關(guān)要考慮哪些選項(xiàng)？

。一致性：系統(tǒng)關(guān)注信息一致性并對每一次請求做出正確響應(yīng)。

?？色@得性：系統(tǒng)關(guān)注可接受的響應(yīng)時間而非響應(yīng)的正確性。

。分區(qū)容錯性：系統(tǒng)關(guān)注保持操作性且可處理間歇性的網(wǎng)絡(luò)中斷。

?分區(qū)容錯性：系統(tǒng)關(guān)注保持操作性且可處理間歇性的網(wǎng)絡(luò)中斷。

?提供與你的解決方案互動或交流的數(shù)據(jù)模型圖表。

?為每一種實(shí)體類型提供定義。

?你的解決方案接觸點(diǎn)有哪些？

。網(wǎng)絡(luò)

。移動應(yīng)用程序

°桌面應(yīng)用程序

。其他

?解釋解決方案多大程度可被用于"而向服務(wù)架構(gòu)（SOA）

。你的解決方案體現(xiàn)出的服務(wù)哪些功能可稱為SOA（如，內(nèi)部流程的狀態(tài)）。

。你希望客戶服務(wù)或第三方解決方案提供哪些功能。

?解擇你的解決方案多大程度基于“事件驅(qū)動架構(gòu)（EDA）":

?你發(fā)布哪些事件、哪些內(nèi)容、以何種頻率（如，內(nèi)部商業(yè)流程事件、通知、數(shù)據(jù)事件等）？

?你希望從客戶收到哪些事件、哪些內(nèi)容、以何種頻率？

?你的解決方案遵循的主要架構(gòu)原則？提供解決方案的軟件組件圖表并解釋方案設(shè)計(jì)適用的原

則（如分布式架構(gòu)）。如果支持移動設(shè)備，不要忘記移動設(shè)備組件。可提供詳細(xì)描述和圖表

作為附件。

?提供解決方案對技術(shù)的見解（平臺、中間件、框架和協(xié)議）。即使對于SaaS解決方案這些信

息對于緩杼風(fēng)險也是有用的。

?提供架構(gòu)圖表，提供實(shí)現(xiàn)組件圖表中每?組件功能所用技術(shù)堆棧的完整視圖。列舉所有技

術(shù)：

。操作系統(tǒng)

。中間件平臺

。存儲

。數(shù)據(jù)庫技術(shù)

。結(jié)構(gòu)化

。非結(jié)構(gòu)化

。數(shù)據(jù)湖

。分布式

。內(nèi)容管理技術(shù)

。集成技術(shù)

。排隊(duì)技術(shù)（面向消息的中間件-MOM）

領(lǐng)域推薦考量因素

。服務(wù)總戰(zhàn)（ESB）

。數(shù)據(jù)庫集成技術(shù)

。處理引擎（BPMS）

。事件代理

。流媒體技術(shù)

。調(diào)度程序

。導(dǎo)出轉(zhuǎn)換負(fù)載（ETL）

°執(zhí)行

。網(wǎng)絡(luò)服務(wù)器

。應(yīng)用軟件服務(wù)器

。規(guī)則引擎（BRMS）

。處理引擎（BPMS）

°瀏覽器（IE,Chrome,Edge,Safari,Firefox等）

。運(yùn)行時庫（.Net,JRE等.）

。其他

?說明技術(shù)堆枝何處可將一項(xiàng)已有技術(shù)替換成另一項(xiàng)技術(shù)。

?你的解決方案遵循的主要架構(gòu)原則？提供解決方案的軟件組件圖表并解釋方案設(shè)計(jì)適用的原

則（如分布式架構(gòu)）。如果支持移動設(shè)備，不要忘記移動設(shè)備組件。

?解釋你的解決方案適用的每一個組件，其擴(kuò)展、配置和開發(fā)所用的語言。

技術(shù)概述

?如果涉及邊緣計(jì)算請予以考慮。

?你能否一直符合客戶標(biāo)準(zhǔn)：

。前端：HTML5,CSS3,Javascript

。語言：Java,Python?

?說明屬于系統(tǒng)核心的組件且不能被第三方解決方案替換（如一項(xiàng)客戶已經(jīng)擁有的蒯決方

案）。

?為更好理解應(yīng)用程序并確認(rèn)是否覆蓋客戶需求：

。提供所用的邏輯數(shù)據(jù)模型

。提供每一實(shí)體類型及相關(guān)類型的定義（邏輯數(shù)據(jù)模型可不同、且可大于規(guī)范的數(shù)據(jù)模

型）》

?解決方案的哪部分基于第三方產(chǎn)品，如由其他金融科技公司交付的組件（解決方案、流程、

數(shù)據(jù)等）？

?你的解決方案哪些模型可被第三方或客戶內(nèi)部解決方案替代？如何替代？?

?對于所有相關(guān)技術(shù)事項(xiàng)，你跟進(jìn)金融科技公司技術(shù)發(fā)布和標(biāo)準(zhǔn)迭代有多快？

。操作系統(tǒng)

。所有相關(guān)中間件

。所有相關(guān)架構(gòu)

。所有相關(guān)第三方組件

。對于所有相關(guān)事項(xiàng)，當(dāng)前可支持的版本

。展示你在該領(lǐng)域創(chuàng)新的速度

說明以上每一項(xiàng)技術(shù)主題如何進(jìn)行文本化（如，通過線下文本、放在公共或有防護(hù)協(xié)助或

支持的網(wǎng)站等）。

領(lǐng)域推薦考量因素

安全&接入?描述你的解決方案如何支持RBAC和ABAC接入控制方法。

?解釋在不同用戶類型（如管理員用戶和普通用戶）情況下產(chǎn)品有何差異。

?解釋在不同用戶類型及其授權(quán)下產(chǎn)品有哪些不同特點(diǎn)。

?解釋如何管理用戶，使其只能看到被授權(quán)的數(shù)據(jù)？

?描述授權(quán)功能并解釋如何進(jìn)行定制。

?解粹各項(xiàng)功能如何進(jìn)行明確分配或屏蔽。

?用戶特權(quán)/角色如何持續(xù)：如在服務(wù)器、網(wǎng)絡(luò)文件/URL參數(shù)方面？

?解釋你的產(chǎn)品如何實(shí)現(xiàn)用戶驗(yàn)證和單點(diǎn)登錄。

?系統(tǒng)必須控制接入數(shù)據(jù)和操作。請解稀在使用API接口和其他后端處理的情況下，如何實(shí)現(xiàn)這

一點(diǎn)？

?是否所有數(shù)據(jù)都放在可驗(yàn)證的數(shù)據(jù)存儲中？請解釋如何進(jìn)行數(shù)據(jù)存儲的驗(yàn)證，是通過個人用

戶賬戶還是系統(tǒng)賬戶？

?對于系統(tǒng)賬戶，請解釋密碼循環(huán)流程及控制，即解決方案如何滿足常見的系統(tǒng)密碼過期問題

并利用Cybcrark等產(chǎn)品。

?解釋產(chǎn)品如何支持多點(diǎn)登錄？

?描述產(chǎn)品如何確保用戶安全。請列舉所有技術(shù)，包括有關(guān)用戶安全的版本和維護(hù)，如幻燈片制

作工具Struts。

?解釋可為產(chǎn)品提供的標(biāo)準(zhǔn)強(qiáng)化指引。

?你的管理團(tuán)隊(duì)能否接入用戶數(shù)據(jù)庫？

?是否存在你可向客戶建議的遠(yuǎn)程接入方式？

?對于特殊權(quán)限用戶（管理員），解決方案是否可與強(qiáng)驗(yàn)證機(jī)制交互（多因素驗(yàn)證）？

?描述系統(tǒng)組件之間的通訊如何確保（HTTPS,MQJDBC/ODBC等）。是否存在任何組件間通

訊不能保證的因素？

?第三方評估人的系統(tǒng)安全評估，即滲透測試，是否已完成以確認(rèn)脆弱性？如果是，可否告知

對系統(tǒng)的哪個版本、在何時完成以及評估結(jié)果。

?解決方案必須具有抗病毒和抗惡意軟件保護(hù)。請解釋產(chǎn)品在這方面的能力。

?解釋建議的方案如何防范網(wǎng)絡(luò)安全攻擊。請清楚說明客戶應(yīng)承擔(dān)哪些責(zé)任。

?描述解決方案的安全特性，包括對第三方安全和加密軟件的兼容性？

?解釋在研發(fā)和測試過程中如何保障產(chǎn)品安全性。

?你的產(chǎn)品源代碼是否通過源代碼安全漏洞檢測工具掃描，作為管理流程變更的?部分？如果

是，請說明使用了哪個/哪些產(chǎn)品。

?解釋在你的產(chǎn)品源代碼開發(fā)過程中，如何解決10大OWASP漏洞和25大SANs問題？

?要求使用哪種數(shù)據(jù)對你的產(chǎn)品進(jìn)行測試（生產(chǎn)數(shù)據(jù)、模擬數(shù)據(jù)還是清潔數(shù)據(jù)）？

?一旦發(fā)現(xiàn)解決方案存在漏洞，客戶安全團(tuán)隊(duì)可以向你的公司提出問題：描述發(fā)現(xiàn)何題的方法，

包括有關(guān)披露政策和流程。

?應(yīng)要求客戶對解決方案應(yīng)用程序所集成的源代碼進(jìn)行評估，解釋這