Nguồn: Singapore MAS ; Biên dịch bởi: AIMan@ Jinse Finance
Vào ngày 30 tháng 5 năm 2025, Cơ quan Tiền tệ Singapore đã ban hành "Hướng dẫn cấp phép cho Nhà cung cấp dịch vụ token", chính thức cấp phép và giám sát DTSP.
Sau đây là toàn văn “Hướng dẫn cấp phép cho nhà cung cấp dịch vụ token kỹ thuật số” của Cơ quan Tiền tệ Singapore:
1. Mục đích
2. Giấy phép theo Đạo luật Dịch vụ Tài chính và Thị trường
3. Tiêu chuẩn tuyển sinh
4. Yêu cầu về đơn xin cấp phép
5. Các yêu cầu liên tục đối với người được cấp phép
Phụ lục 1 Yêu cầu về quản lý và sở hữu
Phụ lục 2 Các thỏa thuận tuân thủ tối thiểu
Phụ lục 3 Hướng dẫn thông tin cần thiết cho đơn xin cấp phép
Phụ lục 4 Phí cấp phép hàng năm
Phụ lục 5 Quy định tham gia vào quá trình xét duyệt đơn
Phụ lục 6 Đánh giá độc lập của Kiểm toán bên ngoài
1. Mục đích
1.1 Hướng dẫn cấp phép cho Nhà cung cấp dịch vụ token kỹ thuật số (sau đây gọi là “Hướng dẫn”) nhằm mục đích cung cấp hướng dẫn về quy trình đăng ký, tiêu chuẩn cấp phép và các yêu cầu liên tục đối với các nhà cung cấp dịch vụ token kỹ thuật số (được định nghĩa là cá nhân, quan hệ đối tác hoặc công ty Singapore có địa điểm kinh doanh tại Singapore hoặc được thành lập tại Singapore nhưng thực hiện việc kinh doanh cung cấp dịch vụ token kỹ thuật số ở nước ngoài, được gọi là “DTSP”) theo Phần 9 của Chỉ dẫn thị trường và dịch vụ tài chính năm 2022 (“Đạo luật FSM”).
1.2 Hướng dẫn này cần được đọc cùng với Đạo luật FSM, Quy định về dịch vụ tài chính và thị trường (Nhà cung cấp dịch vụ token kỹ thuật số) (“Quy định FSM”) và các luật, thông báo, hướng dẫn và Câu hỏi thường gặp (FAQ) có liên quan khác do Cơ quan tiền tệ Singapore (“MAS”) ban hành.
1.3 MAS sẽ cập nhật hướng dẫn này định kì để cung cấp chỉ dẫn chi tiết hơn.
2. Giấy phép theo Đạo luật Dịch vụ Tài chính và Thị trường
2.1 Theo Mục 137 của Đạo luật FSM, bất kỳ cá nhân nào thực hiện dịch vụ token kỹ thuật số theo định nghĩa trong Phụ lục đầu tiên của Đạo luật FSM tại Singapore phải có giấy phép trừ khi người đó được miễn trừ. Mục 137(5) của Đạo luật FSM nêu rõ các miễn trừ áp dụng.
2.2 Vì MAS sẽ không cung cấp các biện pháp chuyển tiếp cho DTSP, nên các DTSP được yêu cầu phải có giấy phép theo phần 137 của Đạo luật FSM phải tạm dừng hoặc ngừng tham gia vào việc kinh doanh cung cấp dịch vụ token kỹ thuật số ở nước ngoài trước ngày 30 tháng 6 năm 2025. Các DTSP vi phạm yêu cầu cấp phép sẽ bị coi là phạm tội và phải chịu hình phạt theo quy định tại phần 137(6) của Đạo luật FSM.
Các loại dịch vụ token kỹ thuật số
2.3 Người nộp đơn nên đánh giá xem mô hình kinh doanh của họ có liên quan đến việc cung cấp dịch vụ mã thông báo kỹ thuật số theo mười loại dịch vụ token kỹ thuật số trong Phụ lục đầu tiên của Đạo luật FSM hay không. Người nộp đơn cũng nên cân nhắc xem các hoạt động được đề xuất của họ có nằm trong các ngoại lệ đối với quy định về token token được nêu trong Phần 2 của Phụ lục đầu tiên của Đạo luật FSM hay không.
Ghi chú của người dịch: Mười loại dịch vụ token kỹ thuật số được liệt kê trong Biểu luật FSM
1. Bất kỳ dịch vụ giao dịch token kỹ thuật số nào (trừ các dịch vụ giao dịch token kỹ thuật số do MAS quy định);
2. Bất kỳ dịch vụ nào tạo điều kiện thuận lợi cho việc trao đổi token kỹ thuật số (trừ các dịch vụ giao dịch token kỹ thuật số theo quy định của MAS);
3. Bất kỳ dịch vụ nào nhận token kỹ thuật số (dù là chủ thể chính hay đại lý) từ một tài khoản token kỹ thuật số (dù ở Singapore hay nơi khác) nhằm mục đích chuyển hoặc sắp xếp việc chuyển token kỹ thuật số sang một tài khoản token kỹ thuật số khác (dù ở Singapore hay nơi khác);
4. Bất kỳ dịch vụ nào sắp xếp (dù là bên chính hay bên đại lý) việc chuyển token kỹ thuật số từ một tài khoản token kỹ thuật số (dù ở Singapore hay nơi khác) sang một tài khoản token báo kỹ thuật số khác (dù ở Singapore hay nơi khác);
5. Bất kỳ dịch vụ nào dụ dỗ hoặc cố gắng dụ dỗ bất kỳ người nào tham gia hoặc đề nghị tham gia vào bất kỳ thỏa thuận nào để mua hoặc bán bất kỳ token kỹ thuật số nào để đổi lấy bất kỳ khoản tiền nào hoặc bất kỳ token kỹ thuật số nào khác (cho dù cùng loại hay khác loại);
6. Bất kỳ dịch vụ nào bảo vệ token kỹ thuật số, trong đó nhà cung cấp dịch vụ có quyền kiểm soát token kỹ thuật số;
7. Bất kỳ dịch vụ nào thực hiện hướng dẫn cho khách hàng liên quan đến token kỹ thuật số, trong đó nhà cung cấp dịch vụ có quyền kiểm soát token kỹ thuật số;
8. Bất kỳ dịch vụ nào nhằm bảo vệ công cụ token kỹ thuật số trong đó nhà cung cấp dịch vụ kiểm soát một hoặc nhiều token kỹ thuật số được liên kết với công cụ token kỹ thuật số đó;
9. Bất kỳ dịch vụ nào thực hiện cho khách hàng một hướng dẫn liên quan đến một hoặc nhiều token token quan đến một công cụ token kỹ thuật số trong đó nhà cung cấp dịch vụ kiểm soát;
10. Bất kỳ dịch vụ nào liên quan đến việc bán hoặc chào bán token kỹ thuật số bao gồm: 1. Cung cấp tư vấn liên quan đến bất kỳ token kỹ thuật số nào, trực tiếp hoặc thông qua các ấn phẩm hoặc bài viết (dưới dạng điện tử, in hoặc dạng khác); hoặc 2. Cung cấp tư vấn thông qua việc xuất bản hoặc công bố các phân tích nghiên cứu hoặc báo cáo nghiên cứu (dưới dạng điện tử, in hoặc dạng khác) liên quan đến bất kỳ token kỹ thuật số nào.
3. Tiêu chuẩn tuyển sinh
3.1 Do bản chất internet và bản chất xuyên biên giới của các dịch vụ token kỹ thuật số, DTSP dễ bị rủi ro rửa tiền, tài trợ khủng bố và tài trợ phổ biến vũ khí (“ML/TF”) hơn. Điều này sẽ dẫn đến rủi ro gia tăng các nhà cung cấp như vậy tham gia hoặc bị lạm dụng cho các mục đích bất hợp pháp, gây tổn hại đến danh tiếng của Singapore. Trước rủi ro này, MAS cấp phép cho DTSP một cách thận trọng và thận trọng và sẽ chỉ xem xét cấp cho người nộp đơn giấy phép DTSP theo Đạo luật FSM trong những trường hợp rất hiếm hoi . Những trường hợp hiếm hoi này bao gồm:
Mô hình kinh doanh của người nộp đơn có lý do chính đáng về mặt kinh tế và có thể chứng minh theo yêu cầu của MAS rằng mặc dù được điều hành hoặc thành lập/đăng ký tại Singapore, nhưng họ có lý do chính đáng để không có ý định tiếp tục việc kinh doanh dịch vụ token kỹ thuật số tại Singapore;
Người nộp đơn không hoạt động theo cách có thể gây ra mối lo ngại cho MAS và đã được các cơ quan quản lý có liên quan quản lý và giám sát tại mọi khu vực pháp lý mà người nộp đơn cung cấp dịch vụ token ở nước ngoài liên quan đến việc tuân thủ các tiêu chuẩn được công nhận quốc tế có liên quan (chẳng hạn như các tiêu chuẩn do Hội đồng ổn định tài chính, Tổ chức chứng khoán quốc tế và Lực lượng đặc nhiệm hành động tài chính về rửa tiền (“FATF”) đặt ra) ;
MAS không lo ngại về cơ cấu việc kinh doanh của người nộp đơn, chẳng hạn như khả năng tuân thủ các nghĩa vụ theo quy định.
3.2 Người nộp đơn phải đáp ứng đầy đủ các tiêu chí sau và chứng minh rõ ràng rằng họ có khả năng tuân thủ các nghĩa vụ của mình theo Đạo luật FSM với tư cách là người được cấp phép.
3.2.1 Yêu cầu về quản trị và quyền sở hữu Người nộp đơn phải tuân thủ cơ cấu quản trị và quyền sở hữu được nêu trong Phụ lục 1 và phải đăng ký với Cơ quan quản lý kế toán và doanh nghiệp (ACRA) của Singapore.
3.2.2 Phù hợp và Thích hợp Người nộp đơn phải thuyết phục MAS rằng chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và giám đốc điều hành (CEO), cổ đông và nhân viên của họ, cũng như chính người nộp đơn, phù hợp và thích hợp theo Hướng dẫn về Tiêu chuẩn Phù hợp và Thích hợp [FSG-G01]. Gánh nặng chứng minh rằng những người có liên quan phù hợp và thích hợp thuộc về người nộp đơn, không phải MAS. Ngoài sự trung thực, liêm chính và danh tiếng, khả năng và năng lực, và sự lành mạnh về tài chính cũng là những yếu tố cần được xem xét và MAS cũng sẽ xem xét các yếu tố khác như sự tồn tại của xung đột lợi ích và cam kết thời gian của người có liên quan đối với thực thể Singapore. Đặc biệt, thực thể và các nhóm liên quan của nó không được có bất kỳ danh tiếng bất lợi nào, đặc biệt là về tội phạm tài chính và tuân thủ lệnh trừng phạt.
3.2.3 Năng lực của Nhân sự chủ chốt Người nộp đơn phải đảm bảo rằng chủ sở hữu duy nhất, đối tác, nhà quản lý hoặc giám đốc điều hành và giám đốc điều hành của mình có đủ kinh nghiệm hoạt động trong ngành dịch vụ token kỹ thuật số, bao gồm hiểu biết đầy đủ về khuôn khổ quản lý của DTSP của Singapore.
Nếu cá nhân có liên quan sẽ quản lý một đội ngũ lớn hơn, người đó cũng phải có kinh nghiệm, khả năng và tầm ảnh hưởng phù hợp để giám sát và kiểm soát hiệu quả các hoạt động việc kinh doanh và nhân viên.
Người nộp đơn cũng nên xem xét bối cảnh học vấn và tư cách chuyên môn của nhân sự chủ chốt của mình.
3.2.4 Địa điểm kinh doanh cố định hoặc Văn phòng đăng ký Người nộp đơn phải có địa điểm kinh doanh cố định hoặc văn phòng đăng ký tại Singapore. Địa điểm phải là khu vực văn phòng nơi sổ sách và hồ sơ của người nộp đơn có thể được lưu giữ an toàn. Người nộp đơn cũng phải chỉ định ít nhất một người có mặt để giải quyết mọi thắc mắc hoặc khiếu nại từ khách hàng và các yêu cầu/thông tin từ các cơ quan chức năng.
3.2.5 Vốn cơ bản Người nộp đơn xin cấp phép phải chứng minh với MAS rằng họ đã quen thuộc với các yêu cầu về vốn cơ bản được nêu trong Quy định FSM và chứng minh rõ ràng cách họ sẽ đáp ứng các yêu cầu này một cách liên tục, như được nêu trong Bảng 3. Theo nghĩa vụ này, người nộp đơn phải đảm bảo rằng họ duy trì đủ mức đệm vốn vượt quá các yêu cầu về vốn cơ bản, có tính đến quy mô và phạm vi việc kinh doanh của mình cũng như khả năng lãi lỗ vốn . Nhìn chung, vốn cơ bản của một thực thể phải có khả năng trang trải chi phí hoạt động của người nộp đơn trong ít nhất sáu đến mười hai tháng. Người nộp đơn cũng phải thiết lập các quy trình giám sát hiệu quả để đảm bảo rằng các yêu cầu về vốn cơ bản được đáp ứng mọi lúc, chẳng hạn như báo cáo định kì hoặc thiết lập các mức đệm vốn cụ thể cao hơn các yêu cầu tối thiểu.
Bảng 1 Yêu cầu vốn cơ bản
3.2.6 Thỏa thuận tuân thủ Người nộp đơn phải có một kế hoạch thỏa thuận tuân thủ hiệu quả và đảm bảo rằng các nguồn lực tuân thủ đầy đủ được cam kết tương xứng với bản chất, quy mô và mức độ phức tạp việc kinh doanh. Các yêu cầu tối thiểu về thỏa thuận tuân thủ được nêu trong Phụ lục 2. Bất kể thiết lập thỏa thuận tuân thủ như thế nào, chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và CEO của người nộp đơn đều có trách nhiệm và giải trình cuối cùng về việc tuân thủ các luật và quy định hiện hành.
3.2.7 Quản lý rủi ro kỹ thuật Người nộp đơn phải tiến hành thử nghiệm thâm nhập các dịch vụ token kỹ thuật số mà họ dự định cung cấp, khắc phục tất cả các vấn đề rủi ro cao đã xác định và xác minh độc lập hiệu quả của các bản sửa lỗi. Công việc này không cần phải hoàn thành trước khi nộp đơn, nhưng phải hoàn thành trước khi cấp giấy phép.
3.2.8 Sắp xếp kiểm toán Người nộp đơn phải có kế hoạch sắp xếp kiểm toán độc lập phù hợp để đánh giá định kì tính đầy đủ và hiệu quả của các thủ tục, biện pháp kiểm soát và việc tuân thủ các yêu cầu theo quy định. Các sắp xếp kiểm toán phải tương xứng với quy mô, bản chất và mức độ phức tạp việc kinh doanh. Kiểm toán có thể được thực hiện bởi chức năng kiểm toán nội bộ của người nộp đơn, một đội ngũ kiểm toán nội bộ độc lập tại trụ sở chính của người nộp đơn hoặc thuê ngoài cho một nhà cung cấp dịch vụ bên thứ ba.
3.2.9 Yêu cầu kiểm toán hàng năm Người nộp đơn phải lập kế hoạch để đáp ứng các yêu cầu kiểm toán hàng năm được nêu trong phần 158 của Đạo luật FSM. Kiểm toán phải do người nộp đơn chỉ định với chi phí của riêng mình kiểm toán các tài khoản và giao dịch của mình và việc tuân thủ các quy định và yêu cầu có liên quan.
3.2.10 Thư cam kết và/hoặc Thư trách nhiệm Khi thích hợp, MAS có thể yêu cầu người nộp đơn xin thư cam kết và/hoặc thư trách nhiệm từ cổ đông kiểm soát, công ty mẹ và/hoặc các công ty liên kết. MAS sẽ cung cấp mẫu nếu đơn được chấp thuận.
3.2.11 Các yếu tố khác MAS cũng có thể xem xét các yếu tố sau (nếu có):
- Hồ sơ và tình hình tài chính của người nộp đơn và các công ty mẹ hoặc công ty liên kết của người nộp đơn;
- Mức độ sẵn sàng hoạt động của người nộp đơn, bao gồm khả năng tuân thủ các yêu cầu theo quy định;
- Liệu người nộp đơn có nhận thức đầy đủ các rủi ro chính liên quan đến hoạt động việc kinh doanh của mình và đã xác định, đánh giá và giảm thiểu rủi ro có liên quan một cách thỏa đáng hay không;
- Việc cấp giấy phép có vì lợi ích công cộng hay không.
3.3 MAS đánh giá từng đơn đăng ký dựa trên giá trị riêng của đơn và có thể xem xét các yếu tố khác theo từng trường hợp cụ thể. Các tiêu chí và cân nhắc nêu trên không phải là đầy đủ và MAS có thể áp dụng các điều kiện hoặc yêu cầu bổ sung để giải quyết rủi ro riêng biệt do người nộp đơn đặt ra.
3.4 Người nộp đơn phải nộp đơn theo Mẫu 1. Tất cả người nộp đơn và người được cấp phép phải trả các khoản phí liên quan được nêu trong Biểu phí của Quy định FSM. Để biết thêm thông tin về phí, hãy xem Phụ lục 4. Người nộp đơn cũng nên tham khảo Phụ lục 5 để biết các quy tắc tham gia vào quá trình xem xét đơn.
4. Yêu cầu về đơn xin cấp phép
4.1 Những người nộp đơn được đánh giá là đáp ứng các tiêu chí tuyển sinh nên tham khảo Phụ lục 3 để biết hướng dẫn về thông tin cần thiết cho đơn xin cấp phép.
Tư vấn pháp lý về đơn xin cấp giấy phép mới
4.1.1 Người nộp đơn xin cấp giấy phép DTSP mới phải nộp ý kiến pháp lý từ có tiếng cùng với đơn đăng ký của họ. Ý kiến pháp lý phải bao gồm tóm tắt rõ ràng và súc tích về mô hình kinh doanh của người nộp đơn và đánh giá xem các dịch vụ và/hoặc sản phẩm mà người nộp đơn dự định cung cấp có thuộc các dịch vụ token kỹ thuật số được quản lý theo Đạo luật FSM hay không.
4.1.2 Trong mọi trường hợp, nếu ý kiến pháp lý ban đầu không rõ ràng, MAS có quyền yêu cầu ý kiến pháp lý thứ hai.
Đánh giá độc lập của kiểm toán bên ngoài
4.1.3 Sau khi nhận được Phê duyệt về nguyên tắc (“IPA”), Người nộp đơn sẽ chỉ định một kiểm toán độc lập bên ngoài đủ điều kiện để tiến hành đánh giá độc lập các chính sách, quy trình và biện pháp kiểm soát của mình trong các lĩnh vực rủi ro công nghệ và an ninh mạng (yêu cầu này sẽ được đưa vào như một điều kiện của IPA. Phạm vi đánh giá rủi ro công nghệ và an ninh mạng được nêu trong Phụ lục 6).
5. Các yêu cầu liên tục đối với người được cấp phép
5.1 Người được cấp phép phải tuân thủ mọi yêu cầu áp dụng theo Đạo luật FSM và các luật liên quan khác trên cơ sở liên tục. Người được cấp phép phải thiết lập các quy trình, hệ thống, chính sách và thủ tục để đảm bảo rằng mọi nghĩa vụ liên tục đều được đáp ứng, bao gồm cả việc nộp đơn và thông báo cho MAS khi cần thiết. Sau đây là một số yêu cầu, nhưng không phải tất cả. Người được cấp phép phải theo dõi các diễn biến về quy định và truy cập trang web của MAS để biết các yêu cầu mới nhất.
5.2 Yêu cầu về Chống rửa tiền và Chống tài trợ khủng bố (“AML/CFT”) Người được cấp phép phải tuân thủ các yêu cầu về AML/CFT được nêu trong Quy định về dịch vụ tài chính và thị trường (bao gồm cả những yêu cầu liên quan đến các lệnh trừng phạt tài chính có mục tiêu), Đạo luật chống khủng bố (Ngăn chặn tài trợ) năm 2002, Đạo luật tham nhũng, buôn bán ma túy và các tội phạm nghiêm trọng khác (Tịch thu lợi ích) năm 1992, Thông báo về phòng chống rửa tiền và chống tài trợ khủng bố [FSM-N27] và Thông báo về hoạt động đáng ngờ và báo cáo gian lận [FSM-N28]. Người được cấp phép cũng nên tham khảo Hướng dẫn về Thông báo FSM-N27 để biết thông tin về các yêu cầu về AML/CFT của họ.
5.3 Báo cáo định kì Người được cấp phép phải nộp báo cáo định định kì theo quy định liên quan đến hoạt động token kỹ thuật số của họ theo Quy định FSM. Các yêu cầu có liên quan được nêu trong Thông báo về việc nộp Báo cáo theo quy định [FSM-N29].
5.4 Người được cấp phép an ninh mạng phải tuân thủ các yêu cầu về an ninh mạng được nêu trong Thông báo an ninh mạng [FSM-N31] và thực hiện biện pháp bảo đảm thích hợp để bảo vệ thông tin khách hàng.
5.5 Người được cấp phép quản lý rủi ro công nghệ phải tuân thủ Thông báo quản lý rủi ro công nghệ [FSM-N30] và tham khảo Hướng dẫn thực hành quản lý rủi ro công nghệ để biết các yêu cầu về quản lý rủi ro công nghệ.
5.6 Hành vi việc kinh doanh Người được cấp phép phải tuân thủ các yêu cầu về hành vi việc kinh doanh trong Đạo luật FSM, Quy định FSM và Thông báo về hành vi [FSM-N32]. Các nghĩa vụ này bao gồm ghi lại các giao dịch, phát hành biên lai, hiển thị tỷ giá hối đoái và phí và thông báo giờ làm việc bình thường. Người được cấp phép cũng phải đảm bảo tuân thủ tất cả các lệnh cấm và hạn chế, bao gồm các hoạt động việc kinh doanh bị cấm.
5.7 Tiết lộ và truyền thông Người được cấp phép phải đưa ra tuyên bố chính xác về phạm vi giấy phép của mình và, khi áp dụng cho việc kinh doanh, phải cung cấp các tiết lộ theo yêu cầu của Thông báo Tiết lộ và Truyền thông [FSM-N33]. Người được cấp phép cũng phải đảm bảo rằng khách hàng được cập nhật kịp thời về bất kỳ thay đổi quan trọng nào đối với các tiết lộ.
5.8 Yêu cầu kiểm toán hàng năm Người được cấp phép phải chỉ định một kiểm toán hàng năm kiểm toán các tài khoản và giao dịch của mình và việc tuân thủ các quy định và yêu cầu. Người được cấp phép phải đảm bảo rằng kiểm toán nộp báo cáo theo Mẫu 3 cho MAS.
Phụ lục 1
A1 Yêu cầu về quản lý và sở hữu
Phụ lục 2
A2 Các thỏa thuận tuân thủ tối thiểu
Người nộp đơn phải đảm bảo rằng họ có các thỏa thuận tuân thủ hiệu quả và các nguồn lực tuân thủ đầy đủ tương xứng với quy mô, bản chất và mức độ phức tạp việc kinh doanh. Điều này có thể ở dạng:
- Chức năng tuân thủ độc lập Người nộp đơn phải thiết lập một chức năng tuân thủ độc lập tại Singapore với đội ngũ nhân viên có đủ trình độ trong các lĩnh vực liên quan đến hoạt động việc kinh doanh của họ. Đội ngũ tuân thủ cũng có thể đảm nhiệm nhân vật bổ sung và không xung đột khác, chẳng hạn như cố vấn pháp lý nội bộ.
- Hỗ trợ tuân thủ từ các công ty mẹ hoặc các thực thể liên quan ở nước ngoài Người nộp đơn có thể nhận được hỗ trợ tuân thủ từ một đội ngũ tuân thủ chuyên trách độc lập tại công ty mẹ hoặc thực thể liên quan ở nước ngoài, với điều kiện là nhóm này có thể chứng minh được rằng có sự giám sát đầy đủ từ nhân viên tuân thủ, chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và giám đốc điều hành cùng các ban quản lý cấp cao khác của người nộp đơn.
Người nộp đơn cũng phải có các sắp xếp quản lý tuân thủ phù hợp, bao gồm ít nhất là việc bổ nhiệm một viên chức tuân thủ có trình độ phù hợp ở cấp quản lý. Người này phải có trụ sở tại Singapore, có đủ chuyên môn trong các lĩnh vực liên quan đến hoạt động việc kinh doanh của mình và có thẩm quyền giám sát chức năng tuân thủ của người nộp đơn, mặc dù người đó có thể được các nhân viên khác hỗ trợ trong các hoạt động hàng ngày.
Người nộp đơn cũng nên thiết lập một cấu trúc quản trị phù hợp để giám sát các vấn đề tuân thủ và AML/CFT (bao gồm cả những vấn đề liên quan đến lệnh trừng phạt tài chính có mục tiêu). Tùy thuộc vào quy mô của việc kinh doanh và cấu trúc nhóm, người nộp đơn có thể cân nhắc việc có một viên chức tuân thủ báo cáo định kì với hội đồng quản trị hoặc một ủy ban hội đồng quản trị về các vấn đề tuân thủ và AML/CFT và đưa ra quyết định về các vấn đề nằm ngoài thẩm quyền của viên chức tuân thủ.
Người nộp đơn cần lưu ý rằng, bất kể lựa chọn sắp xếp nào, chủ sở hữu duy nhất, các đối tác, người quản lý hoặc giám đốc điều hành và giám đốc điều hành của người nộp đơn đều phải chịu trách nhiệm cuối cùng về mọi vấn đề tuân thủ và quy định và phải giám sát đầy đủ việc sắp xếp đó.
Do đó, ban quản lý cấp cao và các cán bộ tuân thủ của người nộp đơn phải có khả năng chứng minh rằng họ hiểu đầy đủ về rủi ro tuân thủ và ML/FT mà các hoạt động việc kinh doanh của người nộp đơn phải đối mặt cũng như các biện pháp đã thực hiện để quản lý hiệu quả rủi ro này.
Phụ lục 3
Hướng dẫn thông tin về đơn xin cấp giấy phép A3
Người nộp đơn phải đảm bảo rằng họ đáp ứng đầy đủ các tiêu chí tuyển sinh và hồ sơ đăng ký của họ phải đầy đủ, không có lỗi hoặc mâu thuẫn và kèm theo các tài liệu hỗ trợ cần thiết như được nêu trong mẫu đơn đăng ký.
Thông tin cần thiết trong kế hoạch việc kinh doanh được đề xuất
Cụ thể, kế hoạch việc kinh doanh đề xuất phải bao gồm những thông tin sau:
Người nộp đơn phải cung cấp mô tả rõ ràng về mô hình kinh doanh và kế hoạch của mình, được hỗ trợ bởi kinh nghiệm chuyên môn và chuyên môn của đội ngũ quản lý được đề xuất. Kế hoạch việc kinh doanh phải mô tả cách thức tuân thủ Đạo luật FSM và các luật phụ liên quan và bao gồm các thông tin sau:
- Quyền tài phán của dịch vụ, bao gồm bằng chứng cho thấy người nộp đơn đã có được giấy phép hoạt động tại khu vực pháp lý nơi cung cấp dịch vụ token kỹ thuật số và chịu sự giám sát của các cơ quan quản lý có liên quan để tuân thủ các tiêu chuẩn được công nhận quốc tế có liên quan (chẳng hạn như các tiêu chuẩn do Hội đồng ổn định tài chính, Tổ chức chứng khoán quốc tế và FATF đặt ra).
- Hồ sơ khách hàng mục tiêu.
- Sản phẩm và dịch vụ cung cấp. Người nộp đơn phải nêu rõ các loại dịch vụ token kỹ thuật số mà mình sẽ cung cấp ở từng giai đoạn của quy trình giao dịch. Nếu người nộp đơn có ý định cung cấp nhiều hơn một loại dịch vụ token kỹ thuật số, thì mỗi loại dịch vụ token kỹ thuật số phải được đánh giá riêng.
- Lý do tại sao bạn không có ý định tiếp tục việc kinh doanh dịch vụ token kỹ thuật số tại Singapore mặc dù được điều hành hoặc thành lập/đăng ký tại Singapore.
- Kế hoạch và kênh dòng tiền chi tiết, bao gồm sơ đồ luồng giao dịch và/hoặc quy trình. Nếu có nhiều hơn một sản phẩm hoặc dịch vụ, hoặc nhiều hơn một loại giao dịch và/hoặc luồng quy trình, thì phải cung cấp sơ đồ cho từng luồng. Sơ đồ luồng phải:
Mô tả một giao dịch điển hình từ thời điểm người nộp đơn chấp nhận nguồn tiền (ví dụ: chuyển khoản ngân hàng, tiền mặt, thẻ ngân hàng) cho đến thời điểm người nộp đơn hoàn thành đầy đủ nghĩa vụ của mình đối với khách hàng.
Mô tả sự tương tác giữa khách hàng và người nộp đơn cũng như dòng tiền.
Chỉ ra mốc thời gian, bao gồm các thỏa thuận về mức dịch vụ với bên thứ ba và chu kỳ thanh toán và quyết toán áp dụng.
Nêu bật bất kỳ việc sử dụng công nghệ tiên tiến nào (ví dụ: sử dụng hoặc cung cấp token kỹ thuật số, công nghệ sổ cái phân tán) hoặc cách cung cấp sản phẩm hoặc dịch vụ khác so với cách thường thấy trên thị trường.
Bao gồm tất cả các bên thứ ba có liên quan (ví dụ: các nhà cung cấp dịch vụ token kỹ thuật số khác, đối tác ngân hàng, bên trung gian, các tác nhân khác) và giải thích nhân vật của họ trong quy trình.
- Kế hoạch triển khai, bao gồm mốc thời gian dự kiến ra mắt việc kinh doanh/sản phẩm và các hệ thống, quy trình và bên thứ ba sẽ đóng vai trò quan trọng trong hoạt động của doanh nghiệp/sản phẩm.
- Dịch vụ token kỹ thuật số có phải là dịch vụ bổ sung hay đi kèm với bất kỳ sản phẩm hoặc dịch vụ nào khác do người nộp đơn cung cấp hay không.
- Mô tả ngắn gọn về bất kỳ hoạt động nào khác mà người nộp đơn hiện đang thực hiện hoặc đề xuất thực hiện theo quy định của MAS (ví dụ: tư vấn tài chính, giao dịch chứng khoán, v.v.).
- Mô tả tóm tắt về bất kỳ hoạt động miễn trừ và không được quản lý nào hiện đang được người nộp đơn thực hiện hoặc đề xuất thực hiện.
- Đối với những người nộp đơn là thành viên của nhóm Global Digital Token Services:
Nhân vật của người nộp đơn trong nhóm, bao gồm các chức năng hoặc dịch vụ mà người nộp đơn sẽ nhận được từ và/hoặc cung cấp cho các chi nhánh của mình trong nhóm, nếu có. Nếu có thể, người nộp đơn nên cung cấp ước tính về mức độ nguồn lực (về số lượng nhân viên và thời gian cam kết) do các chi nhánh khác trong nhóm cung cấp để hỗ trợ hoạt động việc kinh doanh của mình tại Singapore.
Xác nhận rằng tất cả các thực thể của mình đều được cấp phép/đăng ký đầy đủ và cung cấp thông tin chi tiết về cấp phép/đăng ký của từng thực thể. Người nộp đơn phải cung cấp bản sao giấy chứng nhận cấp phép/đăng ký hoặc thông tin về tình trạng cấp phép/đăng ký từ trang web của cơ quan quản lý. Người nộp đơn phải tiết lộ bất kỳ hành động/cuộc điều tra thực thi quy định nào mà bất kỳ thực thể nào của mình có thể tham gia.
- Đánh giá rủi ro toàn diện của tất cả token kỹ thuật số và dịch vụ token kỹ thuật số (ví dụ: nền tảng giao dịch , lưu ký) mà bên đó dự định hỗ trợ hoặc cung cấp, bao gồm quy trình quản lý niêm yết token. Bên nộp đơn phải cung cấp danh sách đầy đủ token kỹ thuật số được hỗ trợ và giải thích đánh giá của mình về bản chất của token (ví dụ: chúng là token bảo mật hay token thanh toán) dựa trên khuôn khổ quản lý của MAS.
- Các biện pháp tiếp cận người tiêu dùng và các biện pháp ứng xử việc kinh doanh để duy trì quyền truy cập token kỹ thuật số của khách hàng và kiểm soát hoạt động tại Singapore, đối chiếu hàng ngày các tài khoản của khách hàng và cung cấp thông tin cho khách hàng trên các báo cáo tài khoản hàng tháng, kiểm soát quản lý rủi ro(kiểm soát việc chuyển động tài sản của khách hàng) và tiết lộ cho khách hàng.
Tư vấn pháp lý
Người nộp đơn phải cung cấp ý kiến pháp lý do có tiếng đưa ra liên quan đến các dịch vụ token kỹ thuật số được quản lý sẽ được cung cấp theo mô hình kinh doanh đề xuất của họ. Ý kiến pháp lý phải bao gồm (nhưng không giới hạn ở) những điều sau:
- Tóm tắt rõ ràng và súc tích về mô hình kinh doanh của người nộp đơn và từng dịch vụ và sản phẩm mà người nộp đơn đề xuất cung cấp (bao gồm tài sản /quỹ và các bên liên quan cho từng dịch vụ/sản phẩm, nếu có).
Đánh giá xem dịch vụ hoặc sản phẩm được đề xuất có phải là dịch vụ token kỹ thuật số được quản lý theo Đạo luật FSM hay không. Đánh giá này phải bao gồm phân tích chi tiết và toàn diện về việc liệu mỗi dịch vụ token kỹ thuật số được quản lý có phù hợp với từng dịch vụ hoặc sản phẩm được đề xuất hay không. Đánh giá cũng phải tính đến tất cả các luật, thông báo, hướng dẫn, thông tư và Câu hỏi thường gặp có liên quan.
Nếu bất kỳ dịch vụ hoặc sản phẩm được đề xuất nào được đánh giá là miễn trừ hoặc không được quản lý thì cần phải có giải thích chi tiết về cách áp dụng miễn trừ hoặc ngoại lệ có liên quan.
Xác nhận ý kiến pháp lý sẽ được tiết lộ cho MAS.
Thông tin cần thiết cho việc tuân thủ, quản lý rủi ro, hệ thống và kiểm soát
Quản lý rủi ro công nghệ
Người nộp đơn nên xây dựng một khuôn khổ để đánh giá và quản lý rủi ro công nghệ và thực hiện các biện pháp tương xứng với mức độ rủi ro và tính phức tạp của các dịch vụ tài chính được cung cấp và công nghệ hỗ trợ các dịch vụ đó để bảo vệ dữ liệu, giao dịch và hệ thống của khách hàng. Người nộp đơn nên tham khảo Thông báo quản lý rủi ro công nghệ [FSM-N30], Thông báo an ninh mạng [FSM-N31] và Hướng dẫn thực hành quản lý rủi ro công nghệ để biết các nguyên tắc quản lý rủi ro công nghệ thông tin và kỳ vọng theo quy định.
Tuân thủ và Kiểm toán
Người nộp đơn phải cung cấp các thông tin và tài liệu sau đây phù hợp với bản chất của mô hình kinh doanh được đề xuất:
Chứng minh sự tuân thủ các chính sách và thủ tục AML/CTF theo Thông báo FSM-N27 của MAS và các yêu cầu trừng phạt tài chính có mục tiêu liên quan. Điều này phải bao gồm một khuôn khổ đánh giá và giám sát các tác nhân và đối tác bên thứ ba (cả trong nước và nước ngoài).
Đánh giá rủi ro rửa tiền/tài trợ khủng bố/tài trợ phổ biến vũ khí hạt nhân trên toàn doanh nghiệp (“EWRA”). Người nộp đơn cũng nên đưa đánh giá rủi ro trốn thuế vào EWRA của mình.
Quản trị AML/CTF, các thỏa thuận nâng cấp và báo cáo. Điều này phải bao gồm thông tin chi tiết về sự tham gia của chủ sở hữu duy nhất, đối tác, người quản lý hoặc giám đốc và CEO cùng các quản lý cấp cao khác trong việc giám sát và giải quyết các vấn đề AML/CTF có thể phát sinh trong quá trình việc kinh doanh.
Kế hoạch triển khai các biện pháp quản lý tuân thủ, bao gồm các quy trình đã triển khai và các hệ thống sẽ được sử dụng.
Tên và sơ yếu lý lịch (“CV”) của Cán bộ tuân thủ, bao gồm thông tin chi tiết về bất kỳ chứng chỉ tuân thủ chính thức nào, ví dụ: chứng chỉ ACAMS, IBF.
Nếu biểu đồ tổ chức không bao gồm các sắp xếp về nhân sự và các dòng báo cáo cho chức năng tuân thủ, thì cần có các chi tiết liên quan. Điều này phải bao gồm các chi tiết về tất cả các chức năng tuân thủ được thuê ngoài, bao gồm vị trí của nhà cung cấp và đội ngũ được thuê ngoài, mối quan hệ của người nộp đơn với nhà cung cấp được thuê ngoài (ví dụ: nhà cung cấp, công ty mẹ), tình trạng cấp phép/đăng ký của nhà cung cấp được thuê ngoài và các sắp xếp giám sát.
Sắp xếp kiểm toán nội bộ và bên ngoài.
Cấu trúc vốn chủ sở hữu
Người nộp đơn phải cung cấp sơ đồ cơ cấu cổ đông đầy đủ (lên đến người kiểm soát cuối cùng) và người kiểm soát cuối cùng phải là một cá nhân.
Nếu người nộp đơn không có cổ đông kiểm soát 20% thì cần phải có xác nhận bằng văn bản.
Phụ lục 4
Phí cấp phép hàng năm A4
Theo mục 140 của Đạo luật FSM, phí cấp phép phải trả hàng năm theo quy định chi tiết trong Phụ lục của Quy định FSM. Tất cả phí cấp phép đã trả đều không được hoàn lại.
Người được cấp phép phải ký thỏa thuận GIRO với MAS để thanh toán phí cấp phép hàng năm. Người được cấp phép phải đảm bảo rằng các chi tiết trong thỏa thuận GIRO của họ được cập nhật và có đủ tiền trong tài khoản ngân hàng của họ vào ngày khấu trừ được chỉ định trong thông báo phí.
Phí cấp phép theo tỷ lệ cho người được cấp phép mới
Đối với người được cấp phép mới không được cấp phép vào ngày 1 tháng 1 của năm hiện tại, lệ phí cấp phép cho năm dương lịch đầu tiên sau khi giấy phép được cấp được tính theo mức lệ phí cấp phép cố định hàng năm, được tính từ ngày cấp giấy phép đến ngày 31 tháng 12 của cùng năm. Ví dụ 1 cho thấy cách tính lệ phí cấp phép năm đầu tiên.
Ví dụ 1 Một công ty nhận được giấy phép DTSP vào ngày 1 tháng 12 năm 2025.
Phụ lục 5
A5 Quy định tham gia vào quá trình xét duyệt đơn
Đánh giá ban đầu và yêu cầu thông tin
Quá trình xem xét đơn bắt đầu bằng việc phân công một nhân viên phụ trách hồ sơ và nhận tất cả thông tin và tài liệu cần thiết từ người nộp đơn. Tùy thuộc vào khối lượng đơn nhận được, việc phân công hồ sơ có thể không diễn ra ngay sau khi MAS nhận được đơn. Sau khi hồ sơ được phân công, nhân viên phụ trách hồ sơ sẽ liên hệ với người nộp đơn để thông báo cho họ về các bước tiếp theo cần thiết, có thể bao gồm một cuộc họp khởi động.
Cán bộ phụ trách hồ sơ sẽ xem xét toàn bộ bộ tài liệu đã nộp, thường là vòng yêu cầu thông tin đầu tiên mà người nộp đơn sẽ nhận được. Cán bộ phụ trách hồ sơ cũng sẽ tiến hành xem xét sơ bộ mô hình kinh doanh của người nộp đơn. Trong quá trình xem xét, có thể có nhiều vòng yêu cầu thông tin và làm rõ tùy thuộc vào mức độ đầy đủ của các phản hồi do người nộp đơn nộp.
Người nộp đơn phải luôn đảm bảo rằng đơn đăng ký của họ đáp ứng các tiêu chí tuyển sinh được nêu trong Hướng dẫn này và chứa thông tin cần thiết theo yêu cầu của Phụ lục 3 của Hướng dẫn này trước khi nộp đơn. MAS có quyền từ chối đơn đăng ký nếu đơn đăng ký được đánh giá là không đầy đủ về mặt vật chất hoặc chứa những thiếu sót đáng kể. Người nộp đơn cũng phải luôn có người liên hệ để theo dõi các yêu cầu thông tin này và cung cấp phản hồi đầy đủ kịp thời. Người nộp đơn phải thông báo ngay cho MAS về bất kỳ thay đổi nào đối với người liên hệ.
Người nộp đơn phải tiết lộ tất cả thông tin quan trọng cho viên chức phụ trách vụ án một cách nhanh chóng, chủ động và đầy đủ mà không che giấu bất cứ điều gì. Bất kỳ thông tin nào được phát hiện là cố tình che giấu, che giấu hoặc trì hoãn việc tiết lộ mà không có lý do chính đáng sẽ được coi là thiếu sót quan trọng. Người nộp đơn được nhắc nhở rằng họ phải hết sức cẩn thận để đảm bảo rằng thông tin và tài liệu cung cấp cho MAS không phải là thông tin sai lệch hoặc gây hiểu lầm. Một người vi phạm điều 176 (1) hoặc 176 (3) của Đạo luật FSM có thể phạm tội và có thể phải chịu phạt tiền hoặc phạt tù khi bị kết án.
Tính kịp thời và chất lượng của phản hồi
MAS thường sẽ đưa ra cho người nộp đơn một thời hạn để trả lời yêu cầu cung cấp thông tin. Nếu người nộp đơn không trả lời trong thời gian quy định, MAS sẽ coi đơn đã bị rút. Nếu người nộp đơn cần thêm thời gian để chuẩn bị trả lời, họ nên thông báo trước cho nhân viên phụ trách vụ việc.
Người nộp đơn cũng phải cân bằng giữa thời gian cần thiết để cung cấp phản hồi đầy đủ và toàn diện và nhu cầu phản hồi nhanh để đẩy nhanh quá trình kiểm tra. Việc không cung cấp phản hồi thỏa đáng và toàn diện sẽ được đánh giá là thiếu sót, có thể dẫn đến việc xem xét đơn không thuận lợi.
phỏng vấn
Cán bộ phụ trách vụ việc thường sẽ sắp xếp một cuộc phỏng vấn với nhân sự quản lý chủ chốt và/hoặc cán bộ tuân thủ của người nộp đơn. Tất cả đại diện của người nộp đơn nên coi trọng các tương tác của họ với cán bộ phụ trách vụ việc. Mục đích của cuộc phỏng vấn là để người nộp đơn giải thích cách họ dự định quản lý việc kinh doanh và rủi ro của mình để tuân thủ các yêu cầu của quy định. Các cố vấn, cố vấn pháp lý bên ngoài và các bên thứ ba khác không được phép tham dự cuộc phỏng vấn. Điều này là do ngay cả khi người nộp đơn thuê ngoài bất kỳ chức năng nào của mình, họ vẫn phải chịu trách nhiệm đáp ứng các nghĩa vụ theo quy định của mình.
Các tình huống tiềm ẩn mà viên chức phụ trách hồ sơ có lý do chính đáng cho rằng người nộp đơn không có khả năng thực hiện đầy đủ các nghĩa vụ của người được cấp phép bao gồm, nhưng không giới hạn ở, những trường hợp sau:
Không tham dự phỏng vấn mà không có lý do chính đáng;
Không có khả năng trả lời câu hỏi một cách rõ ràng trong buổi phỏng vấn;
Lăng mạ người xử lý vụ án.
Nếu có những thay đổi đáng kể đối với đơn xin của bạn sau buổi phỏng vấn nhưng trước khi quyết định được đưa ra, viên chức phụ trách hồ sơ có thể sắp xếp một buổi phỏng vấn bổ sung với người nộp đơn. Ví dụ về những thay đổi như vậy bao gồm những thay đổi trong việc bổ nhiệm nhân sự chủ chốt của người nộp đơn hoặc những thay đổi trong mô hình kinh doanh của người nộp đơn.
Quy trình đánh giá của MAS
Các viên chức phụ trách hồ sơ có nghĩa vụ phải tiến hành đánh giá toàn diện các đơn đăng ký. Ngay cả ở giai đoạn nộp đơn, mục tiêu của người nộp đơn là được cấp phép và do đó phải tuân theo quy định và giám sát liên tục, như thể họ đang ở trong một hệ thống được quản lý. Các viên chức phụ trách hồ sơ sẽ xem xét các đơn đăng ký trong bối cảnh này và mong đợi người nộp đơn hành xử như thể họ đã là các tổ chức tài chính được quản lý. Những người nộp đơn không làm như vậy sẽ được đánh giá là có những thiếu sót đáng kể tiềm ẩn, có thể dẫn đến việc đơn đăng ký bị từ chối.
Ứng dụng bị đình chỉ
MAS phải được thông báo ngay lập tức về bất kỳ thay đổi nào đối với thông tin được cung cấp sau khi đơn đã được nộp. Nếu có thay đổi đáng kể đối với đơn, người nộp đơn có thể muốn cân nhắc rút đơn và nộp lại sau khi đã thực hiện thay đổi, vì đơn sẽ không được xem xét cho đến lúc đó.
MAS có thẩm quyền giữ lại các đơn được đánh giá là chưa sẵn sàng để xem xét trong sáu tháng nếu có sự tái cấu trúc doanh nghiệp đáng kể, thay đổi đáng kể về nhân sự quản lý chủ chốt hoặc thay đổi đáng kể về mô hình/hoạt động kinh doanh trong quá trình xem xét. Mặc dù người nộp đơn có thể không lường trước được những thay đổi đáng kể như vậy, nhưng thời gian giữ lại cho phép chuyển hướng nguồn lực khỏi các đơn chưa hoàn thiện này để đảm bảo tính công bằng cho tất cả những người nộp đơn đã sẵn sàng khác trong hàng đợi.
Trong thời gian giữ, người nộp đơn có trách nhiệm đảm bảo rằng tất cả các thay đổi cần thiết đều được giải quyết/hoàn thành kịp thời và cung cấp các tài liệu có liên quan cho MAS để đánh giá vào cuối thời gian giữ. Thời gian giữ mặc định là sáu tháng và không được gia hạn. Nếu những thay đổi đáng kể không được hoàn thành trong thời gian giữ, đơn sẽ được đánh giá là chưa sẵn sàng để xem xét và người nộp đơn nên cân nhắc rút đơn.
Rút đơn
Người nộp đơn có quyền rút đơn của mình bất kỳ lúc nào. Người nộp đơn cũng có thể được khuyên rút đơn của mình nếu sau khi MAS xem xét, có những vấn đề cơ bản không thể giải quyết thỏa đáng trong thời gian hợp lý hoặc nếu đơn được đánh giá là có những thiếu sót đáng kể. Người nộp đơn nên lưu ý rằng nếu nhân viên phụ trách hồ sơ đưa ra đánh giá như vậy, thì những người nộp đơn khác trong hoàn cảnh tương tự đã không được chấp thuận. Các biện pháp kiểm soát chặt chẽ được áp dụng để đảm bảo rằng các nhân viên phụ trách hồ sơ đưa ra đánh giá công bằng, khách quan và có thể xác minh được. Mỗi đơn và các tài liệu hỗ trợ của nó đều trải qua quá trình xem xét nghiêm ngặt của đội ngũ nhân viên phụ trách hồ sơ, nhân viên giám sát và các cơ quan xem xét và phê duyệt. Do đó, người nộp đơn nên coi trọng quá trình xem xét và kết quả của nó.
Nếu người nộp đơn có ý định nộp lại đơn, họ phải đảm bảo rằng tất cả các vấn đề và thiếu sót đã được giải quyết thỏa đáng. Việc nộp lại đơn mà không sửa các vấn đề trước đó do MAS nêu ra có thể dẫn đến việc từ chối.
Liên quan đến đơn xin đình chỉ, những thay đổi đáng kể về nhân sự quản lý chủ chốt chủ yếu liên quan đến những thay đổi liên quan đến các vị trí C-suite chủ chốt như Tổng giám đốc điều hành, Giám đốc tài chính, Giám đốc rủi ro và Giám đốc tuân thủ. Tuy nhiên, người nộp đơn cũng nên đánh giá và nêu bật những thay đổi khác ở các vị trí cần được coi là nhân sự quản lý chủ chốt dựa trên tính quan trọng của mô hình kinh doanh và tầm quan trọng của các đường dây báo cáo của họ.
Phụ lục 6
A6 Đánh giá độc lập của Kiểm toán bên ngoài
A. Rủi ro về kỹ thuật và an ninh mạng:
(Người nộp đơn cần hoàn thành sau khi được chấp thuận về nguyên tắc)
Tiêu chí bổ nhiệm kiểm toán bên ngoài để thực hiện đánh giá độc lập về rủi ro công nghệ và an ninh mạng Kiểm toán bên ngoài do người nộp đơn bổ nhiệm để thực hiện đánh giá độc lập phải đáp ứng các tiêu chí sau:
Phạm vi đánh giá Dưới đây là danh sách các lĩnh vực rủi ro về kỹ thuật và an ninh mạng sẽ được kiểm toán độc lập bên ngoài đánh giá như một điều kiện của Phê duyệt về nguyên tắc (IPA).
Việc kinh doanh phải có đủ thâm niên và có đủ kinh nghiệm cũng như chuyên môn trong các lĩnh vực rủi ro công nghệ và an ninh mạng (rủi ro công nghệ). Người nộp đơn có trách nhiệm đảm bảo rằng một kiểm toán độc lập bên ngoài có trình độ phù hợp được bổ nhiệm để tiến hành đánh giá độc lập các chính sách, quy trình và biện pháp kiểm soát rủi ro công nghệ của mình.
I. An ninh mạng
a. Có tính đến mô hình kinh doanh, sản phẩm, dịch vụ, dòng tiền và kênh phân phối mà người nộp đơn đề xuất,
i. Xác định bất kỳ khoảng cách nào với các yêu cầu pháp lý có liên quan như được nêu trong Thông báo an ninh mạng FSM-N31 của MAS;
ii. Nêu bật các lĩnh vực cần cải thiện để giảm thiểu rủi ro an ninh mạng.
II. Phòng ngừa mất dữ liệu
a. Xem xét và đánh giá Chính sách và Kiểm soát Bảo vệ Thông tin (IPPC) do người nộp đơn đề xuất trong các lĩnh vực sau:
i. Bảo vệ dữ liệu nhạy cảm (bao gồm Dữ liệu khách hàng) trong quá trình truyền và lưu trữ;
ii. phát hiện và ngăn chặn truy cập trái phép hoặc tiết lộ dữ liệu nhạy cảm (bao gồm thông tin khách hàng) (bao gồm thông tin liên lạc, truyền tải và lưu trữ);
iii. Bảo vệ khóa crypto ví lưu ký.
b. Có tính đến mô hình kinh doanh, sản phẩm, dịch vụ, dòng tiền và kênh phân phối mà người nộp đơn đề xuất,
iv. xác định bất kỳ khoảng cách nào với các yêu cầu quản lý rủi ro công nghệ hiện hành (bao gồm nhưng không giới hạn ở Thông báo quản lý rủi ro công nghệ FSM-N30 của MAS và Mục 11 của Hướng dẫn quản lý rủi ro công nghệ);
v. Nêu bật các lĩnh vực cần cải thiện để giảm thiểu rủi ro kỹ thuật do mô hình kinh doanh đề xuất gây ra.
III. Kiểm tra thâm nhập
a. Xem xét và đánh giá các IPPC do người nộp đơn đề xuất liên quan đến hệ thống thử nghiệm thâm nhập, bao gồm:
i. Tần suất kiểm tra thâm nhập được xác định dựa trên các yếu tố như tính quan trọng của hệ thống và rủi ro mạng mà hệ thống phải đối mặt. Đối với các hệ thống có thể truy cập trực tiếp từ Internet, người nộp đơn phải tiến hành kiểm tra thâm nhập ít nhất hàng năm hoặc khi các hệ thống này trải qua các thay đổi hoặc cập nhật lớn để xác minh tính đầy đủ của các biện pháp kiểm soát bảo mật;
ii. Thỏa thuận mức dịch vụ (“SLA”) để khắc phục kết quả kiểm tra thâm nhập tương xứng với mức độ rủi ro liên quan.
b. Xem xét và đánh giá liệu thử nghiệm thâm nhập được tiến hành (trong vòng 12 tháng qua) trên các dịch vụ tài chính trực tuyến do người nộp đơn đề xuất có phù hợp và đủ để xác định lỗ hổng bảo mật quan trọng hay không.
c. Có tính đến mô hình kinh doanh, sản phẩm, dịch vụ, dòng tiền và kênh phân phối mà người nộp đơn đề xuất,
i. Xác định bất kỳ khoảng cách nào với kỳ vọng quy định về quản lý rủi ro công nghệ hiện hành (bao gồm nhưng không giới hạn ở Mục 13.2 của Nguyên tắc quản lý rủi ro công nghệ);
ii. Nêu bật các lĩnh vực cần cải thiện để giảm thiểu rủi ro kỹ thuật do mô hình kinh doanh đề xuất gây ra.
IV. Ví điện tử và hợp đồng thông minh
a. Xem xét các IPPC do người nộp đơn đề xuất và đánh giá xem các IPPC do người nộp đơn đề xuất có bao gồm các biện pháp kiểm soát sau đây có tương xứng với mô hình kinh doanh, sản phẩm, dịch vụ, dòng tài chính và kênh phân phối do người nộp đơn đề xuất hay không:
i. Thực hiện các nguyên tắc thiết kế an toàn (bao gồm kiểm soát truy cập phù hợp, thử nghiệm kỹ lưỡng, cập nhật định kì các bản phát hành ổn định, phân tích mã tĩnh và động) trong suốt vòng đời phát triển hệ thống của các hệ thống được đề xuất và hợp đồng thông minh (nếu có liên quan);
ii. Phát triển các hợp đồng thông minh, bao gồm các biện pháp kiểm soát để đảm bảo các hợp đồng thông minh được bảo vệ khỏi các mối đe dọa và lỗ hổng mạng thông qua phát triển an toàn, DevSecOps và thử nghiệm để ngăn chặn truy cập trái phép, vi phạm dữ liệu và khai thác lỗ hổng bảo mật;
iii. Các biện pháp kiểm soát nhằm đảm bảo tính khả dụng cao của các hệ thống quan trọng, cũng như các ưu tiên phục hồi hệ thống và phục hồi hoạt động việc kinh doanh(bao gồm phân tích nguyên nhân gốc rễ và tác động) nhằm đảm bảo các chiến lược phục hồi nhanh chóng cho các hệ thống đó;
iv. Sử dụng các công nghệ như tính toán bên long và các chương trình chữ ký ngưỡng để bảo vệ ví lưu ký;
v. Thực hiện cách ly mạng giữa hệ thống ví lưu ký và các hệ thống thông tin khác/Internet để ngăn chặn các kết nối trái phép;
vi. Tách biệt các thành phần khóa crypto của ví lưu ký để đảm bảo không có cá nhân hoặc hệ thống nào có quyền truy cập vào toàn bộ khóa tại bất kỳ thời điểm nào (tức là tuân theo nguyên tắc “không bao giờ đơn độc”, yêu cầu ít nhất hai người được ủy quyền để phối hợp và phê duyệt các hoạt động quản lý khóa).
