출처: 싱가포르 MAS; 번역: AIMan@진써차이징(Jinse)
2025년 5월 30일, 싱가포르 금융관리국은 '디지털 토큰 서비스 제공업체 라이선스 지침'을 발표하여 DTSP에 대한 공식 라이선스 발급 및 규제를 시행합니다.
다음은 싱가포르 금융관리국의 '디지털 토큰 서비스 제공업체 라이선스 지침' 문서의 전문입니다:
1. 목적
2. 금융서비스 및 시장법에 따른 라이선스
3. 진입 기준
4. 라이선스 신청 요건
5. 라이선스 보유자의 지속적 요건
부록 1 지배구조 및 소유권 요건
부록 2 최소 규정 준수 조치
부록 3 라이선스 신청에 필요한 정보 지침
부록 4 연간 라이선스 수수료
부록 5 신청 검토 프로세스 참여 규칙
부록 6 외부 감사인 독립 평가
1. 목적
1.1 '디지털 토큰 서비스 제공업체 라이선스 지침'(이하 "본 지침")은 2022년 금융서비스 및 시장법 제9부에 따른 디지털 토큰 서비스 제공업체(싱가포르에 사업장을 두거나 싱가포르에서 설립되었지만 해외에서 디지털 토큰 서비스 업무를 제공하는 개인, 파트너십 또는 싱가포르 기업, 약칭 "DTSPs")의 신청 절차, 라이선스 기준 및 지속적 요건에 대한 지침을 제공합니다.
(이하 생략)3.2.5 기본 자본 MAS에 허가증 신청인은 FSM 규정에 명시된 기본 자본 요구 사항에 대해 숙지하고 있음을 확신시키고, 이러한 요구 사항을 지속적으로 충족시킬 방법을 명확히 증명해야 하며, 표 3에 요약된 바와 같습니다. 이러한 의무를 고려하여, 신청인은 자신의 업무 규모와 범위, 그리고 수익과 손실의 가능성을 고려하여 기본 자본 요구 사항을 초과하는 충분한 자본 완충장치를 유지해야 합니다. 일반적으로, 기관의 기본 자본은 신청인의 6~12개월 운영 비용을 최소한 충당할 수 있어야 합니다. 신청인은 또한 정기 보고서 또는 최소 요구 사항을 초과하는 특정 자본 완충장치 설정 등을 통해 기본 자본 요구 사항을 항상 충족시키도록 효과적인 모니터링 프로세스를 수립해야 합니다. (이하 생략)- 控주회사 또는 해외 관련 법인의 규정 준수 지원: 신청인은 통제 회사 또는 해외 관련 법인의 독립적이고 전담된 규정 준수 팀으로부터 규정 준수 지원을 받을 수 있으며, 신청인의 규정 준수 책임자, 개인 사업자, 파트너, 관리자 또는 이사 및 CEO와 기타 고위 경영진이 충분한 감독을 수행했음을 입증할 수 있어야 합니다.
신청인은 또한 적절한 규정 준수 관리 체계를 수립해야 하며, 최소한 경영진에서 적절한 자격을 갖춘 규정 준수 책임자를 임명해야 합니다. 해당 인원은 싱가포르에 상주해야 하며, 자신의 사업 활동 관련 분야에서 충분한 전문 지식을 보유하고 신청인의 규정 준수 기능을 감독할 권한이 있어야 하며, 일상 운영에서는 다른 직원의 지원을 받을 수 있습니다.
신청인은 또한 규정 준수 및 자금세탁방지/테러자금조달 방지(AML/CFT) 문제(대상 금융 제재 관련 문제 포함)를 감독하기 위한 적절한 지배 구조를 수립해야 합니다. 사업 규모와 그룹 구조에 따라 신청인은 규정 준수 책임자가 정기적으로 이사회 또는 이사회 위원회에 규정 준수 및 AML/CFT 문제를 보고하고, 규정 준수 책임자의 권한을 벗어나는 사항에 대해 결정을 내리는 것을 고려할 수 있습니다.
신청인은 어떤 방식을 선택하든 신청인의 개인 사업자, 파트너, 관리자 또는 이사 및 CEO가 최종적으로 모든 규정 준수 및 규제 사항에 대해 책임을 지며, 관련 체계에 대해 충분히 감독해야 함을 유의해야 합니다.
따라서 신청인의 고위 경영진 및 규정 준수 책임자는 신청인의 사업 활동에서 발생하는 규정 준수 및 자금세탁/테러자금조달 리스크를 충분히 이해하고 있으며, 이러한 리스크를 효과적으로 관리하기 위해 취한 조치를 입증할 수 있어야 합니다.
如果组织架构图未包含合规职能的人员配置安排和汇报线,则需提供相关详情。这应包括所有外包合规职能的细节,包括外包提供商和团队的所在地、申请人与外包提供商的关系(如供应商、母公司)、外包提供商的许可 / 注册状态以及监督安排。
내부 및 외부 감사 배치.
주식 구조도
신청인은 완전한 주식 구조도(최종 지배주주까지)를 제공해야 하며, 최종 지배주주는 자연인이어야 합니다.
신청인에게 20% 이상의 지배주주가 없는 경우, 서면 확인이 필요합니다.
부록 4
A4 연간 라이선스 수수료
FSM 법 제140조에 따라 라이선스 수수료는 연간 지불되며, 구체적인 내용은 FSM 규정 부속서를 참조하십시오. 모든 지불된 라이선스 수수료는 환불되지 않습니다.
라이선스 소지자는 MAS와 은행 자동이체(GIRO) 계약을 체결하여 연간 라이선스 수수료를 지불해야 합니다. 라이선스 소지자는 GIRO 계약 세부 사항이 업데이트되었는지 확인하고, 수수료 고지서에 명시된 인출 날짜 이전에 은행 계좌에 충분한 자금이 있어야 합니다.
업무 담당자는 충분한 선임급 자격을 갖추고 기술 및 네트워크 보안 리스크(기술 리스크) 분야에서 충분한 경험과 전문 지식을 보유해야 합니다. 신청인은 기술 리스크 정책, 절차 및 통제 조치에 대해 적절한 자격을 갖춘 독립적인 외부 감사인을 임명하도록 보장할 책임이 있습니다.
I. 네트워크 보안
a. 신청인의 제안된 비즈니스 모델, 제품, 서비스, 자금 흐름 및 전달 채널을 고려할 때,
i. MAS의 'FSM-N31 네트워크 보안 통지'에 명시된 관련 규제 요건과의 차이점 식별;
ii. 네트워크 보안 리스크를 완화하는 데 필요한 개선 영역 강조.
II. 데이터 손실 방지
a. 다음 영역에서 신청인의 제안된 정보 보호 정책 및 통제 조치(IPPCs) 검토 및 평가:
i. 전송 및 저장 중 민감한 데이터(고객 데이터 포함) 보호;
ii. 민감한 데이터(고객 정보 포함)의 무단 접근 또는 공개 탐지 및 방지(통신, 전송 및 저장 포함);
iii. 호스팅된 지갑 암호화 키 보호.
b. 신청인의 제안된 비즈니스 모델, 제품, 서비스, 자금 흐름 및 전달 채널을 고려할 때,
iv. 적용 가능한 기술 리스크 관리 규제 요건(MAS의 'FSM-N30 기술 리스크 관리 통지' 및 '기술 리스크 관리 지침' 제11절 포함)과의 차이점 식별;
v. 제안된 비즈니스 모델로 인한 기술 리스크를 완화하는 데 필요한 개선 영역 강조.
III. 침투 테스트
a. 다음을 포함하여 침투 테스트 시스템에 대한 신청인의 제안된 IPPCs 검토 및 평가:
i. 시스템 중요성 및 시스템이 직면한 네트워크 리스크 등의 요인에 따라 결정된 침투 테스트 빈도. 인터넷에서 직접 접근 가능한 시스템의 경우, 신청인은 최소 연 1회 또는 이러한 시스템에 중대한 변경 또는 업데이트가 있을 때 침투 테스트를 수행하여 보안 통제의 적절성 검증;
ii. 관련 리스크 수준에 상응하는 침투 테스트 결과 시정을 위한 서비스 수준 협약("SLAs").
b. 신청인의 제안된 온라인 금융 서비스에 대해 수행된 침투 테스트(지난 12개월 내)가 중요 보안 취약점을 식별하기에 적절하고 충분한지 검토 및 평가.
c. 신청인의 제안된 비즈니스 모델, 제품, 서비스, 자금 흐름 및 전달 채널을 고려할 때,
i. 적용 가능한 기술 리스크 관리 규제 기대치('기술 리스크 관리 지침' 제13.2절 포함)와의 차이점 식별;
ii. 제안된 비즈니스 모델로 인한 기술 리스크를 완화하는 데 필요한 개선 영역 강조.
IV. 디지털 지갑 및 스마트 계약
a. 신청인의 제안된 IPPCs를 검토하고, 다음과 같은 신청인의 제안된 비즈니스 모델, 제품, 서비스, 자금 흐름 및 전달 채널에 상응하는 통제 조치를 포함하는지 평가:
i. 제안된 시스템 및 스마트 계약(해당되는 경우)의 시스템 개발 수명주기에서 보안 설계 원칙 준수(적절한 접근 통제, 포괄적인 테스트, 안정 버전으로 정기적 업데이트, 정적 및 동적 코드 분석 포함);
ii. 보안 개발, DevSecOps 및 테스트를 통해 스마트 계약이 네트워크 위협 및 취약점으로부터 보호되도록 하는 스마트 계약 개발 통제 조치. 무단 접근, 데이터 유출 및 보안 취약점 악용 방지;
iii. 중요 시스템의 고가용성 보장 통제 조치 및 시스템 복구 및 비즈니스 복구 우선순위(근본 원인 및 영향 분석 포함). 이러한 시스템의 신속한 복구 전략 보장;
iv. 다자간 계산 및 임계값 서명 방식 등의 기술을 사용하여 호스팅된 지갑 보호;
v. 호스팅된 지갑 시스템과 다른 정보 시스템/인터넷 간 네트워크 격리 구현. 무단 연결 방지;
vi. 호스팅된 지갑 암호화 키 구성 요소 분리. 언제든지 단일 개인 또는 시스템이 전체 키에 접근할 수 없도록 보장(즉, "절대 단독으로" 원칙 준수. 키 관리 작업을 조정하고 승인하기 위해 최소 두 명의 승인된 담당자 필요).
