新加坡金管局“DTSP发牌指南”（全文）

来源：新加坡MAS；编译：AIMan@金色财经

2025年5月30日，新加坡金管局发布《数字代币服务提供商发牌指南》（Guidelines on Licensing for Digital Token Service Providers），正式对DTSP发牌并进行监管。

以下为新加坡金管局《数字代币服务提供商发牌指南》文件全文：

1、目的 

2、《金融服务与市场法》项下的许可牌照

3、准入标准

4、牌照申请要求

5、持牌人的持续要求

附录1 治理和所有权要求

附录2 最低合规安排

附录3 许可申请所需信息指南

附录4 年度许可费

附录5 申请审核流程参与规则

附录6 外部审计师独立评估

1、目的  

1.1  《数字代币服务提供商申牌指南》（以下简称“本指南”）旨在为《2022年金融服务与市场法》（“FSM法”）第9部分项下的数字代币服务提供商（定义为在新加坡设有营业场所，或在新加坡成立但在境外从事提供数字代币服务业务的个人、合伙企业或新加坡公司，简称“DTSPs”）提供申请流程、许可标准和持续要求的指引。  

1.2  本指南应与FSM法、《金融服务与市场（数字代币服务提供商）条例》（“FSM条例”）及新加坡金融管理局（“MAS”）发布的其他相关法律、通知、指南和常见问题解答（FAQs）结合阅读。  

1.3  MAS将定期更新本指南以提供进一步指引。  

2、《金融服务与市场法》项下的许可牌照

2.1  根据FSM法第137条，任何在新加坡从事FSM法第一附表所定义的数字代币服务的个人，除非获得豁免，否则必须持有许可牌照。FSM法第137(5)条规定了适用的豁免情形。  

2.2  由于MAS不会为DTSPs提供过渡安排，根据FSM法第137条需取得许可证的DTSPs必须在2025年6月30日前暂停或停止在境外从事提供数字代币服务的业务。违反许可要求的DTSPs将构成犯罪，并须承担FSM法第137(6)条规定的处罚。  

数字代币服务的类型  

2.3  申请人应根据FSM法第一附表中的十类数字代币服务，评估其商业模式是否涉及提供数字代币服务。申请人还应考虑其拟开展的活动是否属于FSM法第一附表第2部分规定的数字代币服务监管范围之外的例外情形。  

译者注：FSM法附表标注的十类数字代币服务

1、任何数字代币交易服务（MAS所规定的数字代币交易服务除外）；

2、任何促进数字代币交换的服务（MAS所规定的数字代币交易服务除外）；

3、任何从一个数字代币账户（无论是在新加坡还是其他地方）接受数字代币（无论是作为委托人还是代理人）的服务，目的是将数字代币传输或安排传输到另一个数字代币账户（无论是在新加坡还是其他地方）；

4、任何安排（无论是作为委托人还是代理人）将数字代币从一个数字代币账户（无论是在新加坡还是其他地方）转移到另一个数字代币账户（无论是在新加坡还是其他地方）的服务；

5、任何诱导或试图诱导任何人订立或提供订立任何协议以购买或出售任何数字代币以换取任何金钱或任何其他数字代币（无论是相同还是不同类型）的服务；

6、任何保护数字代币的服务，其中服务提供商对数字代币具有控制权；

7、为客户执行与数字代币相关的指令的任何服务，其中服务提供商对数字代币具有控制权；

8、任何保护数字代币工具的服务，其中服务提供商可以控制与数字代币工具相关的一个或多个数字代币；

9、为客户执行与数字代币工具相关的一个或多个数字代币相关的指令的任何服务，其中服务提供商对数字代币工具具有控制权；

10、任何与销售或提供销售数字代币有关的服务，涉及——1、直接或通过出版物或著作（无论是电子形式、印刷形式还是其他形式）提供与任何数字代币有关的建议；或2、通过发布或公布与任何数字代币相关的研究分析或研究报告（无论是电子版、印刷版还是其他形式）提供建议。

3、准入标准  

3.1  由于数字代币服务的互联网属性和跨境性质，DTSPs更容易受到洗钱、恐怖主义融资和扩散融资（“ML/TF”）风险的影响。这将导致此类提供商参与或被滥用于非法目的的风险增加，损害新加坡的声誉。鉴于这些风险，MAS以审慎和谨慎的方式对DTSPs进行许可发牌，并且仅会在极少数情况下考虑根据FSM法授予申请人DTSP许可牌照。极少数情况包括：  

• 申请人的商业模式具有经济合理性，并能向MAS满意地证明，尽管其在新加坡运营或成立/注册，但其有正当理由不打算在新加坡从事提供数字代币服务的业务；  

• 申请人的运营方式不会引起MAS的担忧，并且已在其提供境外数字代币服务的所有司法管辖区，就遵守相关国际公认标准（如金融稳定委员会、国际证券委员会组织和反洗钱金融行动特别工作组（“FATF”）制定的标准）接受相关监管机构的监管和监督；  

• MAS对申请人的业务结构无担忧，例如其遵守监管义务的能力。  

3.2  申请人必须完全满足以下标准，并清楚证明其作为持牌人能够遵守FSM法规定的义务。  

3.2.1 治理和所有权要求  申请人必须遵守附录1规定的治理和所有权结构，并在新加坡会计与企业管理局（ACRA）注册。  

3.2.2 适当和合适性  申请人必须根据《适当和合适标准指南》[FSG-G01]，使MAS确信其独资经营者、合伙人、经理或董事及首席执行官（CEO）、股东和员工，以及申请人本身，均为适当和合适的。证明相关人员适当和合适的责任在于申请人，而非MAS。除诚实、正直和声誉外，能力和胜任力以及财务稳健性也是考量因素，MAS还将考虑其他因素，例如是否存在利益冲突以及相关人员对新加坡实体的时间投入。特别是，该实体及其关联集团不应有任何不良声誉，尤其是在金融犯罪和制裁合规方面。  

3.2.3 关键人员的能力  申请人必须确保其独资经营者、合伙人、经理或执行董事及CEO在数字代币服务行业具备足够的运营经验，包括对新加坡DTSPs监管框架的充分理解。  

如果相关人员将管理一个规模较大的团队，其还应具备相关经验、能力和影响力，以便对业务活动和员工进行有效监督和控制。  

申请人还应考虑其关键人员的教育背景和专业资格。  

3.2.4 永久营业场所或注册办公室  申请人必须在新加坡设有永久营业场所或注册办公室。该场所必须是能够安全保存申请人账簿和记录的办公区域。申请人还必须至少任命一名人员在场，以处理客户的任何查询或投诉，以及当局的询问/信息请求。  

3.2.5 基本资本  许可证申请人必须使MAS确信其熟悉FSM条例规定的基本资本要求，并清楚证明其将如何持续满足这些要求，概述如表3所示。鉴于这一义务，申请人必须考虑其业务规模和范围以及盈利和亏损的可能性，确保维持超过基本资本要求的足够资本缓冲。一般来说，实体的基本资本应至少能够覆盖申请人6至12个月的运营费用。申请人还应建立有效的监控流程，以确保始终满足基本资本要求，例如定期报告或设定高于最低要求的特定资本缓冲。  

表1 基本资本要求

3.2.6 合规安排  申请人必须制定有效的合规安排计划，并确保投入与业务性质、规模和复杂性相称的充足合规资源。最低合规安排要求见附录2。无论合规安排的设置如何，确保申请人的独资经营者、合伙人、经理或董事及CEO遵守适用法律法规的最终责任和问责性。  

3.2.7 技术风险管理  申请人必须对其拟提供的数字代币服务进行渗透测试，修复所有已识别的高风险问题，并对修复措施的有效性进行独立验证。此项工作无需在申请前完成，但必须在许可证授予前完成。  

3.2.8 审计安排  申请人必须制定适当的独立审计安排计划，定期评估其程序、控制措施的充分性和有效性，以及对监管要求的遵守情况。审计安排应与其业务规模、性质和复杂性相称。审计可由申请人内部审计职能部门、申请人总部的独立内部审计团队或外包给第三方服务提供商进行。  

3.2.9 年度审计要求  申请人必须制定计划，满足FSM法第158条规定的年度审计要求。审计师必须由申请人自费任命，对其账户和交易以及遵守相关法规和要求的情况进行审计。  

3.2.10 责任函和/或承诺函  在适当情况下，MAS可能要求申请人从其控股股东、母公司和/或关联公司处取得责任函和/或承诺函。如果申请获得批准，MAS将提供模板。  

3.2.11 其他因素  MAS还可能考虑以下因素（如适用）：  

- 申请人及其控股公司或关联公司的记录和财务状况；  

- 申请人的运营准备情况，包括遵守监管要求的能力；  

- 申请人是否已充分认识到与其业务活动相关的主要风险，并已对相关风险进行充分识别、评估和缓解；  

- 授予许可牌照是否符合公共利益。  

3.3  MAS根据每个申请的具体情况进行评估，并可能根据个案考虑其他因素。上述标准和考量并没列尽，MAS可能会施加额外条件或要求，以应对申请人带来的独特风险。  

3.4  申请人应提交Form 1申请。所有申请人和持牌人必须支付FSM条例附表规定的相关费用。有关费用的更多信息，请参见附录4。申请人还应参考附录5，了解申请审核流程的参与规则。  

4、牌照申请要求  

4.1  已评估自身能够满足准入标准的申请人，应参考附录3，了解许可申请所需信息的指南。  

新牌照申请的法律意见  

4.1.1  申请DTSP许可牌照的新申请人需随申请提交由知名律师事务所出具的法律意见。法律意见应包括申请人商业模式的清晰简明摘要，以及对申请人拟提供的服务和/或产品是否属于FSM法规定的受监管数字代币服务的评估。  

4.1.2  在任何情况下，如初始法律意见不明确，MAS保留要求提供第二份法律意见的权利。  

外部审计师的独立评估  

4.1.3  获得原则性批准（“IPA”）后，申请人须任命一名合格的独立外部审计师，对其技术和网络安全风险领域（此项要求将作为IPA条件纳入。技术和网络安全风险评估范围见附录6）的政策、程序和控制措施进行独立评估。  

5、持牌人的持续要求  

5.1  持牌人必须持续遵守FSM法及其他相关法律规定的所有适用要求。持牌人应建立流程、系统、政策和程序，以确保履行所有持续义务，包括在必要时向MAS提出申请和通知。以下概述了部分要求，但并非全部，持牌人应及时了解监管动态，并可访问MAS网站获取最新要求。  

5.2 反洗钱和反恐怖主义融资（“AML/CFT”）要求  持牌人必须遵守《金融服务与市场条例》（包括针对定向金融制裁的条例）、《2002年恐怖主义（制止融资）法》、《1992年腐败、贩毒和其他严重犯罪（没收利益）法》、《防止洗钱和反恐怖主义融资通知》[FSM-N27]和《可疑活动和欺诈事件报告通知》[FSM-N28]规定的AML/CFT要求。持牌人还应参考《FSM-N27通知指南》，了解其AML/CFT要求。  

5.3 定期报告  持牌人必须根据FSM条例，提交与其数字代币活动相关的定期监管报告。相关要求载于《提交监管报告通知》[FSM-N29]。  

5.4 网络安全  持牌人必须遵守《网络安全通知》[FSM-N31]规定的网络安全要求，并采取适当的保障措施保护客户信息。  

5.5 技术风险管理  持牌人必须遵守《技术风险管理通知》[FSM-N30]，并参考《技术风险管理实践指南》，了解技术风险管理要求。  

5.6 业务行为  持牌人必须遵守FSM法、FSM条例和《行为通知》[FSM-N32]中的业务行为要求。这些义务包括交易记录、出具收据、显示汇率和费用以及通知正常营业时间。持牌人还必须确保遵守所有禁止和限制规定，包括禁止的业务活动。  

5.7 披露和通信  持牌人必须对其许可牌照范围作出准确陈述，并在适用于其业务的情况下，提供《披露和通信通知》[FSM-N33]规定的披露内容。持牌人还应确保客户及时收到有关披露内容的任何重大变更的更新。  

5.8 年度审计要求  持牌人必须每年任命一名审计师，对其账户和交易以及遵守法规和要求的情况进行审计。持牌人必须确保审计师以Form 3向MAS提交报告。  

附录1  

A1 治理和所有权要求  

附录2

A2 最低合规安排  

申请人应确保其拥有与业务规模、性质和复杂性相称的有效合规安排和充足合规资源。这可以采取以下形式：  

• - 独立合规职能部门  申请人应在新加坡设立独立合规职能部门，配备在与其业务活动相关领域具备适当资质的员工。合规人员可兼任其他无冲突的互补角色，如内部法律顾问。  

• - 控股公司或海外关联实体的合规支持  申请人可从其控股公司或海外关联实体的独立专职合规团队获得合规支持，前提是能够证明申请人的合规官、独资经营者、合伙人、经理或董事及CEO和其他高级管理人员已进行充分监督。  

申请人还必须制定适当的合规管理安排，至少包括在管理层 appoint 一名具备适当资质的合规官。该人员应驻在新加坡，在与其业务活动相关领域具备足够专业知识，并有权监督申请人的合规职能，尽管其可在日常运营中由其他员工协助。  

申请人还应建立适当的治理结构，以监督合规和AML/CFT问题（包括与定向金融制裁相关的问题）。根据业务规模和集团结构，申请人可考虑让合规官定期向董事会或董事会委员会报告合规和AML/CFT问题，并对超出合规官权限的事项作出决策。  

申请人应注意，无论选择何种安排，申请人的独资经营者、合伙人、经理或董事及CEO最终应对所有合规和监管事项负责，并必须对相关安排进行充分监督。  

因此，申请人的高级管理人员和合规官应能够证明其充分了解申请人业务活动中面临的合规和ML/FT风险，以及为有效管理这些风险而采取的措施。  

附录3  

A3 牌照申请所需信息指南  

申请人应确保其完全满足准入标准，并确保申请完整、无错误和不一致，并随附申请表中规定的必要支持文件。  

拟议业务计划中所需信息  

特别是，其拟议业务计划应包括以下信息：  

申请人应提供其商业模式和计划的清晰描述，该描述需得到拟议管理团队的专业经验和专业知识的支持。业务计划应说明如何遵守FSM法及相关附属立法，并包括以下信息：  

- 服务的司法管辖区，包括申请人在其提供数字代币服务的司法管辖区已获得运营许可并就遵守相关国际公认标准（如金融稳定委员会、国际证券委员会组织和FATF制定的标准）接受相关监管机构监督的证据。  

- 目标客户概况。  

- 拟提供的产品和服务。申请人应明确说明其在交易流程的每个阶段将开展的数字代币服务类型。如申请人拟提供不止一种类型的数字代币服务，应针对每种类型的数字代币服务分别进行评估。  

- 尽管在新加坡运营或成立/注册，但不打算在新加坡从事提供数字代币服务业务的原因。  

- 详细的资金流动计划和渠道，包括交易和/或流程流程图。如存在不止一种产品或服务，或不止一种类型的交易和/或流程流动，应为每种流动提供一张图。流程图应：  

• 描述从申请人接受的资金来源（如银行转账、现金、银行卡）到完全履行对客户义务的典型交易的始末。  

• 说明客户与申请人之间的互动以及资金流动。  

• 注明时间线，包括与第三方的服务水平协议，以及适用的支付和结算周期。  

• 突出显示其使用创新技术（如数字代币的使用或提供、分布式账本技术）或与市场常见方式不同的产品或服务交付方式的环节。  

• 包括所有涉及的第三方（如其他数字代币服务提供商、银行合作伙伴、中介机构、其他代理），并说明其在流程中的角色。  

- 实施计划，包括业务/产品启动的预期时间表，以及将在其运营中发挥关键作用的系统、流程和第三方。  

- 数字代币服务是否是申请人提供的任何其他产品或服务的附带服务或捆绑服务。  

- 申请人目前正在开展或拟开展的由MAS监管的任何其他活动的简要说明（如金融咨询、证券交易等）。  

- 申请人目前正在开展或拟开展的任何豁免和不受监管活动的简要说明。  

- 对于属于全球数字代币服务集团一部分的申请人：  

• 申请人在集团中的角色，包括其将从集团内关联公司接收和/或向其提供的职能或服务（如有）。如有可能，申请人应提供集团内其他关联公司支持新加坡业务运营的资源水平（以员工人数和时间投入计）的估计值。  

• 确认其所有实体均已获得充分许可/注册，并提供每个实体的许可/注册详情。申请人应提供其许可/注册证书的副本或其在监管机构网站上的许可/注册状态信息。申请人应披露其任何实体可能涉及的任何监管执法行动/调查。  

- 对其拟支持或提供的所有数字代币和数字代币服务（如交易平台、托管）的全面风险评估，包括其代币上市治理流程。申请人应提供所支持的数字代币的完整列表，并说明其根据MAS监管框架对代币性质的评估（如是否为证券代币或支付代币）。  

- 其在新加坡维持客户数字代币访问和运营控制的消费者访问措施和业务行为措施、客户账户的每日对账以及向客户提供月度账户对账单的相关信息、风险管理控制（客户资产流动的控制）、向客户的披露内容。  

法律意见  

申请人需提供由知名律师事务所出具的关于其拟议商业模式下将提供的受监管数字代币服务的法律意见。法律意见应包括（但不限于）以下内容：  

- 申请人商业模式以及申请人拟提供的每项服务和产品的清晰简明摘要（包括每项服务/产品的资产/资金流动和涉及的各方，如适用）。

• 对拟议的服务或产品是否属于《FSM 法》规定的受监管数字代币服务的评估。该评估应包括对每项受监管数字代币服务是否适用于每项拟议服务或产品的详细全面分析。评估还应考虑所有相关法律、通知、指南、通告和常见问题解答。

• 如任何拟议的服务或产品被评估为豁免或不受监管，需详细解释相关豁免或例外情况的适用方式。

• 确认法律意见将向MAS披露。

合规、风险管理、系统与控制所需信息

技术风险管理

申请人应制定评估和管理技术风险的框架，并采取与所提供金融服务的风险水平和复杂性以及支持这些服务的技术相称的措施，以保护客户数据、交易和系统。申请人应参考《技术风险管理通知》[FSM-N30]、《网络安全通知》[FSM-N31] 和《技术风险管理实践指南》，了解信息技术风险管理原则和监管预期。

合规与审计

申请人应提供以下与拟议商业模式性质一致的信息和文件：

• 证明符合 MAS《FSM-N27 通知》的反洗钱 / 反恐怖主义融资政策和程序，以及相关定向金融制裁要求。这应包括评估和监督代理和第三方合作伙伴（本地和海外）的框架。

• 企业范围内的洗钱 / 恐怖主义融资 / 扩散融资风险评估（“EWRA”）。申请人还应在 EWRA 中纳入逃税风险评估。

• 反洗钱 / 反恐怖主义融资治理、升级和报告安排。这应包括独资经营者、合伙人、经理或董事及 CEO 和其他高级管理人员参与监督和解决业务过程中可能出现的反洗钱 / 反恐怖主义融资问题的细节。

• 合规管理安排的实施计划，包括已推出的流程和将使用的系统。

• 合规官的姓名和简历（“CV”），包括任何正式合规认证详情，如 ACAMS、IBF 认证。

• 如组织架构图未包含合规职能的人员配置安排和汇报线，则需提供相关详情。这应包括所有外包合规职能的细节，包括外包提供商和团队的所在地、申请人与外包提供商的关系（如供应商、母公司）、外包提供商的许可 / 注册状态以及监督安排。

• 内部和外部审计安排。

股权结构图

申请人应提供完整的股权结构图（直至最终控制人），最终控制人应为自然人。

如申请人没有 20% 的控股股东，需提供书面确认。

附录 4

A4 年度许可费

根据《FSM 法》第 140 条，许可费按年度支付，具体见《FSM 条例》附表。所有已支付的许可费均不予退还。

持牌人应与 MAS 签订银行自动转账（GIRO）协议，以每年支付许可费。持牌人应确保其 GIRO 协议细节已更新，并在费用通知规定的扣除日期前，其银行账户中有足够资金。

新持牌人的按比例许可费

对于未在当年 1 月 1 日获得许可的新持牌人，其获许可牌照后第一个日历年的许可费按固定年度许可费的比例计算，计算期间为许可发放日期至同年 12 月 31 日。示例 1 展示了第一年许可费的计算方式。

示例 1 某公司于 2025 年 12 月 1 日获得 DTSP 许可证。

附录 5

A5 申请审核流程参与规则

初始审核和信息请求

申请审核流程始于分配案件官员并收到申请人提交的所有所需信息和文件。根据收到的申请数量，案件分配可能不会在 MAS 收到申请后立即进行。案件分配后，案件官员将联系申请人，告知其必要的下一步步骤，可能包括召开启动会议。

案件官员将检查提交的全套文件，这通常构成申请人将收到的首轮信息请求。案件官员还将对申请人的商业模式进行初步审核。在审核过程中，根据申请人提交的回复是否完整，可能会有多轮信息和澄清请求。

申请人在提交申请前，应始终确保申请符合本指南规定的准入标准，并包含本指南附录 3 要求的必要信息。如提交的材料被评估为严重不完整或存在重大缺陷，MAS 保留拒绝申请的权利。申请人还应始终有联系人可随时跟进这些信息请求，并及时提供充分回应。如联系人发生变更，申请人应及时通知 MAS。

申请人必须及时、主动、充分地向案件官员披露所有重要信息，不得有任何隐瞒。如发现申请人无正当理由故意模糊、隐瞒或延迟披露信息，将被视为重大缺陷。申请人需注意，必须合理谨慎地确保向 MAS 提供的信息和文件不虚假、不具误导性。违反《FSM 法》第 176 (1) 或 176 (3) 条的个人可能构成犯罪，经定罪后可处以罚款或监禁。

回复的及时性和质量

MAS 通常会为申请人提供回复信息请求的截止日期。如申请人未能在规定时间内回复，MAS 将视为申请撤回。如申请人需要额外时间准备回复，应提前通知案件官员。

申请人还必须在提供充分全面的回复所需时间与为加快审核而仓促回复之间取得平衡。未能提供令人满意和全面的回复将被评估为缺陷，可能导致对申请的不利考虑。

面试

案件官员通常会安排与申请人的关键管理人员和 / 或合规官进行面试。申请人的所有代表均应认真对待与案件官员的互动。面试的目的是让申请人解释其打算如何管理业务和风险，以遵守监管要求。顾问、外部法律顾问和其他第三方不得参加面试。这是因为即使申请人将其任何职能外包，仍需对履行监管义务负责。

案件官员有合理理由认为申请人无法充分履行持牌人义务的潜在情形包括但不限于以下情况：

• 无正当理由未参加面试；

• 面试中无法清晰回答问题；

• 辱骂案件官员。

如面试后但申请结果出炉前，申请内容发生重大变更，案件官员可能会安排与申请人进行额外面试。此类变更的示例包括申请人关键人员的任命变更或申请人商业模式的变更。

MAS 的审核流程

案件官员有义务对申请进行全面评估。即使在申请阶段，申请人的目标是获得许可，从而接受持续监管和监督，如同处于监管体系中一样。案件官员将在此背景下审核申请，并期望申请人表现得如同已受监管的金融机构。未能做到这一点的申请人将被评估为存在潜在重大缺陷，可能导致申请被拒绝。

搁置申请

如申请提交后提供的信息发生任何变更，应立即通知 MAS。如申请发生重大变更，申请人可能需要考虑撤回申请，并在变更完成后重新申请，因为在此之前申请将无法进行审核。

在审核过程中，如申请人发生重大企业重组、关键管理人员发生重大变更或商业模式 / 活动发生重大变化，MAS 有权将被评估为尚未准备好审核的申请搁置六个月。尽管此类重大变更可能是申请人无法预见的，但搁置期允许将资源从这些不完整的申请中转移，以确保对排队中的所有其他已准备好的申请人公平。

在搁置期内，申请人有责任确保及时解决 / 完成所有必要变更，并在搁置期结束时向 MAS 提供相关文件以供评估。默认搁置期为六个月，不可延长。如重大变更未在搁置期内完成，申请将被评估为尚未准备好审核，申请人应考虑撤回申请。

申请的撤回

申请人有权在任何时候撤回其申请。经 MAS 审核后，如存在无法在合理时间内充分解决的根本性问题，或申请被评估为存在重大缺陷，申请人也可能被建议撤回申请。申请人应注意，如案件官员作出此类评估，表明处于类似情况的其他申请人未获批准。已建立健全的控制措施，以确保案件官员进行公平、客观和可验证的评估。每个申请及其支持文件均由案件官员、监督官员以及审核和批准机构组成的团队进行严格审核。因此，申请人应认真对待审核流程及其结果。

如申请人打算重新提交申请，必须确保已充分解决所有问题和缺陷。未纠正 MAS 先前提出的问题而重新提交申请可能导致拒绝。

关于申请搁置，关键管理人员的重大变更主要指与首席执行官、首席财务官、首席风险官和首席合规官等关键 C-suite 职位相关的变更。然而，申请人还应根据其商业模式的关键性和汇报线的重要性，评估并强调其他应视为关键管理人员的职位变更。

附录 6

A6 外部审计师独立评估

A. 技术与网络安全风险：

（原则性批准后申请人需完成）

1. 被任命对技术和网络安全风险进行独立评估的外部审计师的标准
   申请人任命的进行独立评估的外部审计师应符合以下标准：
   

2. 评估范围
   以下列出了将作为原则性批准（IPA）条件的、由独立外部审计师评估的技术和网络安全风险领域。

业务负责人应具有足够的 seniority，并在技术和网络安全风险（技术风险）领域具备足够的经验和专业知识。申请人有责任确保任命具备适当资质的独立外部审计师，对其技术风险政策、程序和控制措施进行独立评估。

I. 网络安全

a. 考虑到申请人的拟议商业模式、产品、服务、资金流动和交付渠道，
i. 识别与 MAS《FSM-N31 网络安全通知》规定的相关监管要求的任何差距；
ii. 突出显示缓解网络安全风险所需的改进领域。

II. 数据防丢失

a. 审查和评估申请人在以下领域的拟议信息保护政策和控制措施（IPPCs）：
i. 传输和存储期间敏感数据（包括客户数据）的保护；
ii. 检测和防止敏感数据（包括客户信息）的未授权访问或披露（包括通信、传输和存储）；
iii. 托管钱包加密密钥的保护。
b. 考虑到申请人的拟议商业模式、产品、服务、资金流动和交付渠道，
iv. 识别与适用的技术风险管理监管要求（包括但不限于 MAS《FSM-N30 技术风险管理通知》和《技术风险管理指南》第 11 节）的任何差距；
v. 突出显示缓解其拟议商业模式带来的技术风险所需的改进领域。

III. 渗透测试

a. 审查和评估申请人在渗透测试系统方面的拟议 IPPCs，包括：
i. 根据系统关键性和系统面临的网络风险等因素确定的渗透测试频率。对于可直接从互联网访问的系统，申请人应至少每年或在这些系统进行重大变更或更新时进行渗透测试，以验证安全控制的充分性；
ii. 与相关风险水平相称的纠正渗透测试结果的服务水平协议（“SLAs”）。
b. 审查和评估对申请人拟议的在线金融服务进行的渗透测试（在过去 12 个月内）是否相关且足以识别关键安全漏洞。
c. 考虑到申请人的拟议商业模式、产品、服务、资金流动和交付渠道，
i. 识别与适用的技术风险管理监管预期（包括但不限于《技术风险管理指南》第 13.2 节）的任何差距；
ii. 突出显示缓解其拟议商业模式带来的技术风险所需的改进领域。

IV. 数字钱包和智能合约

a. 审查申请人的拟议 IPPCs，并评估拟议的 IPPCs 是否包括以下与申请人的拟议商业模式、产品、服务、资金流动和交付渠道相称的控制措施：
i. 在其拟议系统和智能合约（如相关）的系统开发生命周期中遵循安全设计原则（包括适当的访问控制、全面测试、定期更新到稳定版本、静态和动态代码分析）；
ii. 智能合约的开发，包括通过安全开发、DevSecOps 和测试确保智能合约免受网络威胁和漏洞的控制措施，以防止未授权访问、数据泄露和安全漏洞的利用；
iii. 确保关键系统高可用性的控制措施，以及系统恢复和业务恢复优先级（包括根本原因和影响分析），以确保此类系统的快速恢复策略；
iv. 采用多方计算和门限签名方案等技术来保护托管钱包；
v. 在托管钱包系统与其他信息系统 / 互联网之间实施网络隔离，以防止未授权连接；
vi. 托管钱包加密密钥组件的分离，以确保任何时候都没有单一个人或系统可以访问完整密钥（即遵循 “永不单独” 原则，要求至少两名授权人员协调和批准密钥管理操作）。