DORA 法规是否会改变金融机构和加密资产服务提供商利用 Fireblocks 等技术提供商的方式?在这一引人入胜的节目中, Matthias Bauer-Langgartner ( Chainalysis欧洲政策主管)与Jason Allegrante ( Fireblocks首席法律与合规官)坐在一起,回答这个问题,并揭开欧盟数字运营弹性法案 (DORA) 的复杂性及其对技术提供商、加密公司和金融机构的影响。
您现在可以在Spotify 、 Apple或Audible上收听或订阅。继续阅读以查看第 155 集的完整预览。
公钥第 155 集:Fireblocks 如何塑造数字资产安全的未来
DORA 法规会改变金融机构和加密资产服务提供商利用 Fireblocks 等技术提供商的方式吗?
在这一引人入胜的节目中, Matthias Bauer-Langgartner ( Chainalysis欧洲政策主管)与Jason Allegrante ( Fireblocks首席法律与合规官)坐在一起,回答这个问题,并揭开欧盟数字运营弹性法案 (DORA) 的复杂性及其对数字资产领域的影响。
两人研究了监管框架,并评估了最近的 Bybit 黑客攻击如何成为一个典型例子,表明该行业迫切需要提高运营弹性并改进网络安全协议。
Jason 利用他在公共部门和传统金融法律方面的敏锐洞察力,涵盖了 DORA 带来的挑战和机遇,以及加密领域重大业务问题对全球标准的需求,并强调了托管技术。
本集引言
“DORA 的基本意思是,如果您要成为欧盟金融机构或 CASP 的第三方技术服务提供商,那么您必须满足某些标准,否则金融机构或 CASP 基本上将无法与您合作。”
– Jason Allegrante(Fireblocks 首席法律与合规官)
逐分钟分析剧情
2 | Jason 从公共部门和传统法律框架向数字资产框架的转型
4 | Fireblocks:安全灵活的数字资产托管平台
7|使用 Fireblock 的技术可以避免 Bybit Hack 吗?
12 | DORA 对技术提供商、CASP 和金融机构的影响
19 |金融服务领域 DORA 合规的挑战与策略
24 |欧盟加密服务提供商如何应对 MiCA 和 DORA 合规挑战
30 | DORA 会提高标准还是扼杀创新?
33 |在传统金融框架内监管 DeFi 的挑战
37 |美国将引领网络安全和数字资产监管全球转变?
相关资源
查看 Chainalysis 提供的更多资源,它们可以完美补充本集的公钥。
- 网站: Fireblocks:处理数字资产最简单、最安全的方式
- 博客:什么是 MPC(多方计算)?
- 学习: Fireblocks 学院:针对每个角色、阶段和学习风格的教育和培训
- 报告: “加密安全的新前沿”报告:以一流的安全性应对最新威胁
- 报告: Chainalysis 2025 年加密犯罪报告(立即下载)
- 会议: Chainalysis Links NYC(2025 年 4 月 1 日和 2 日)* 立即获取门票!
- 博客: 防止大规模加密货币黑客攻击:交易所的关键安全措施
- 博客:国际行动摧毁臭名昭著的俄罗斯加密货币交易所 Garantex
- YouTube : Chainalysis YouTube 页面
- Twitter : Chainalysis Twitter:建立对区块链的信任
- Telegram : Telegram 上的 Chainalysis
今天节目的演讲者
- Matthias Bauer-Langgartner *主持人* ( Chainalysis欧洲政策主管)
- Jason Allegrante ( Fireblocks首席法律与合规官)
本网站可能包含不受 Chainalysis, Inc. 或其关联公司(统称“Chainalysis”)控制的第三方网站的链接。访问此类信息并不意味着 Chainalysis 与该网站或其运营商有关联、认可、批准或推荐,并且 Chainalysis 不对其中托管的产品、服务或其他内容负责。
我们的播客仅供参考,不旨在提供法律、税务、财务或投资建议。听众在做出此类决定之前应咨询自己的顾问。Chainalysis 对您使用此材料时做出的任何决定或任何其他行为或疏忽不承担任何责任。
Chainalysis 不保证或担保任何特定播客中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该类材料任何部分的错误、遗漏或其他不准确之处而导致的任何索赔负责。
除非另有说明,对任何特定产品或实体的引用并不构成 Chainalysis 的认可或推荐。嘉宾表达的观点仅代表他们自己,他们出现在节目中并不意味着对他们或他们所代表的任何实体的认可。Chainalysis 员工表达的观点和意见仅代表员工本人,并不一定反映公司的观点。
成绩单
马蒂亚斯
大家好。我叫 Matthias Bauer Langard,是 Chainalysis 的欧洲政策主管。今天,我很高兴有一位很棒的嘉宾与我们一起。我们请到了 Jason。Jason,很高兴今天能邀请到你来参加播客。嘿,谢谢你的邀请。是的,非常感谢你的加入。你知道,我们谈论了录制这个播客很长时间,内容是欧盟的数字运营弹性法案,或者简而言之,Dora,现在随着最近的 Bit 黑客攻击,谈论这个话题感觉更加切题和及时。所以我真的很期待更深入地了解这个监管框架。但首先,Jason,你是 Fireblocks 的首席法律和合规官,Fireblocks 显然是一个领先的数字资产存储、传输和发行平台。你管理着非常广泛的法律、监管、商业和合规事务。你五年前加入的,但我真的很感兴趣。在那之前你到底做了什么?
杰森·A.
是的,所以我实际上认为自己是一名传统的金融服务律师。所以我有传统金融背景。这对我来说是一段非常有趣的旅程。我在职业生涯的开始就进入了金融服务领域。听着,没有一个孩子会举手对父母说,我想成为金融服务律师,这是我进入这个行业的契机,我进入这个行业是因为 809 年的金融危机,它真的,真的强调了金融服务在人们生活中的重要性。我的意思是,当时整个经济都受到了影响。所以你知道,这就是我在 2018 年走上这条路的原因,我想做出改变。显然,我想找到一种方法来利用我随着时间的推移而积累的专业知识。但我也在寻找一种新的冒险。我发现自己进入了加密货币领域,老实说,对于当时有我背景的人来说,这是一个更好的决定,然后我当时甚至意识到我做了正确的决定。我之所以这么说,是因为我们今天所做的很多事情都是通过类比现有的金融服务法来进行推理的。我们今天可能会和 Dora 以及其他一些人讨论这个问题,但之所以会讨论这么多,是因为我们正在努力寻找一种方法来理解这个领域的创新。我们正在努力寻找一种方法来创建直接适用于数字资产的法律框架,使创新得以蓬勃发展。所以我们正在使用我们拥有的,也就是传统的金融服务框架,所以,在我今天的角色中,你知道,我能够成为传统金融世界和新兴数字资产经济之间的桥梁。这真的很棒。
马蒂亚斯
是的。我的意思是,你在寻找一项发明。我很确定你找到了一项与加密货币有关的发明。与加密货币有关的发明。没有什么比加密货币的沉闷日子更无聊的了。事实上,我也看到你这样做了。你之前在纽约的美联储工作过。所以我们俩都有监管背景,
杰森·A.
是的,再说一遍,确实如此。美联储是一个了不起的地方,那是一个了不起的时代。正如我所说,我是因为金融危机而进入金融服务行业的。金融危机期间,我还在读法学院。我一直在研究纽约联邦储备银行的情况。你知道,当时的行长蒂姆·盖特纳采取了非常措施来稳定经济,我能够在法学院毕业后立即去那里工作。那是一次不可思议的经历。正如我所说,当时是纽约联邦储备银行以及更广泛的联邦储备系统发生重大转变的时期。再说一遍,那段经历对今天非常适用。我在那里学到了什么,对吧?因为,再说一遍,代表我们,我们不是软件公司。我们本身并不是受监管的企业,但我们接触的许多客户都能与那些有信誉、有背景的客户共处一室,他们说,我来过这里,我了解这个观点,然后再次充当传统金融和数字资产之间的桥梁,向监管机构解释我们在数字资产领域所做的事情,它与他们熟悉的概念有何相似之处或不同之处。然后把这些经验反馈给客户,或者反馈给我们的执行团队,说,嘿,这是我们从监管机构那里听到的。让我用我们作为软件公司可以理解的正确术语来解释,这种技能非常有帮助。
马蒂亚斯
哦,是的,我完全同意。我的意思是,我也有传统金融背景,在多个监管机构工作过,也参与过微观监管。但今天我们将讨论一下 Dora。但在我们讨论之前。Dora 和数字运营弹性。我想问您是否可以为我们快速概述一下防火块,它们是谁,在讨论运营弹性之前该做什么。
杰森·A.
当然,绝对如此。正如我所说,我们主要将自己视为一家软件公司,所以我们从事开发和授权专有软件平台的业务。这是一个企业级软件解决方案,我们通过这个软件平台的使命是让每个想要进入数字资产领域的企业都能安全地进行交易。对吧?听着,我们有很多产品功能可以让我们做到这一点,对吧?最重要的是我们的钱包和钱包基础设施,对吧?因此,除了是一家软件公司之外,我们还是一家安全第一的公司。因此,围绕钱包、围绕密钥管理的安全功能。这是我们的核心价值主张,一直都是。然后,你知道什么才是真正有趣的,对吧?关于钱包,关于托管,事实上,它与传统托管有何不同。所以你想想传统托管,对吧?老实说,它很无聊,对吧?它是金条。它是放在某个金库里的金条,对吧?放在纽约联邦储备银行地下室。你知道,它们应该做的就是,你知道,它们应该放在数字资产领域,钱包则完全不同。当然,最重要的是数字资产在管理它们的钱包中保持安全。然而,钱包也是你在数字资产领域进行每项操作的起点,这就是为什么,在我们的钱包之上,在我们围绕钱包的多层安全架构之上,我们还有像火块网络这样的东西,这是一种连接和与生态系统内其他参与者互动的方式,这些参与者可能是交易所,可能是流动性提供者,可能是上下坡道,可能是双边交易对手,对吧?所以,钱包真的是数字资产体验的起点。再说一次,它不仅仅是其他目的地。它还有功能。对吧?我是否希望能够与 DeFi 协议进行交互?我是否希望能够拿走我的资产并进行质押,或许还能参与收益?我想代币化吗?我必须这么做吗?我是一家拥有代币化用例的真实世界资产的金融机构吗?因此,我们在钱包的基础上构建了所有这些功能,这使我们的客户不仅可以存储和管理他们的数字资产,还可以参与更广泛的数字资产用例生态系统。
马蒂亚斯
太棒了。我的意思是,显然,托管解决方案在加密资产领域至关重要,正如 bybit 的原因所表明的那样。你知道,公司的审慎安全和稳健性以及黑客和网络安全确实非常紧密地联系在一起。加密在某种程度上是并且仍然是熊市工具,因此确保你确实拥有安全性和正确的功能至关重要。入侵价值 15 亿美元的加密货币交易所和密码比携带价值 15 亿美元的黄金要容易得多,当我研究火块技术时,对我来说最突出的一件事是 MPC,即多方计算。我想知道,你是否也认为这是你所拥有的安全功能的重要组成部分。也许只是快速概述一下什么是 MPC 和什么是多方 SIG。我对此有后续问题或疑问。这就是为什么我认为听听你会很有趣。你怎么看?
杰森·A.
所以,我只是一名律师,对吧?所以,我的意思是,我会给你律师的答案,对吧?但是,你知道,MPC 代表多方计算。它在某些方面与多 SIG 类似,但也有很大不同。这是一项存在已久的技术。我们的再次是专有部署,但实际上,归根结底是减少密钥管理过程中的故障点,对吧?所以你想要做的是,你想要获取密钥材料,也就是访问材料,如果你愿意的话,能够用钱包读写,并且你想要将其分发到多个安全区域。因此,使用我们的解决方案,客户可以控制。Fireblocks 无法访问钱包。你。呃,足以做到这一点的密钥材料已交付到客户手中。除此之外,还有一个备份和恢复包,也交到了客户手中。这样他们就可以重建密钥。如果发生操作故障事件,那么一切照旧,正如我所说,客户拥有控制密钥,但密钥的碎片被安全地保存在在线的、基于云的飞地中,再次受到安全基础设施的保护。而这些密钥部分,即签署任何交易所需的部分,在我们的部署中由生物逻辑集独家管理,对吧?因此,这让客户能够真正做到的,就是跨多种交易和多种操作事件进行自定义,对吧?例如,如果您想更改管理密钥的规则。您可以将其设置为最高级别的安全性。这将使黑客很难在您不知情的情况下试图更改规则,然后做一些恶意的事情,类似,类似,对吧。您可以设置,您可以设置它,以便操作员能够进行 1000 美元等值数字资产的交易。但你可能会把它改成正确的,说,好吧,有人试图进行一笔超过 10 亿美元的交易。这将发出更高级别的安全或警报,而那些存储在安全区域中的密钥不会下来签署交易,除非数据集满足该逻辑集,
马蒂亚斯
对吧?我明白,Firebox 确实是一个非常灵活的平台,用于托管和发行数字资产。你们自己不提供服务,但你们是技术基础设施提供商。你们知道我的问题是关于多重签名和 MPC,而原因就是 Bybit 黑客攻击。对于所有还没有听说过 Bybit 黑客攻击的人,我们来快速了解一下,Genesis 网站上有一个很棒的博客,可以了解更多信息。但在 2 月 21 日,非常著名的加密货币交易所 Bybit 经历了一次重大安全漏洞。重大安全漏洞,损失了价值近 15 亿美元的 ETH。这起事件确实是加密货币历史上最大的数字盗窃案。幸运的是,Bybit 正在积极与包括我们 Genesis 在内的行业专家合作,追踪被盗资金,并使用最新的威胁检测系统,例如最近被收购的 hexagate 公司,我们已经能够追回 4000 万美元,这真是太棒了。现在,当你看到这些大型科技公司时,实际上发生的事情是,简而言之,这些员工想要执行从冷钱包到热钱包的常规加密货币转移。Bybit 运营一个多 SIG 流程来签署交易。因此,这本质上是一系列交易,在发起交易之前必须部署这些交易。这是一个非常常见的过程,但这里发生的事情是设计设备本身受到了损害,因此签名者实际上在屏幕上看到了一笔交易。他们最终签署了另一笔交易。所以他们确实签署了另一笔交易,黑客能够窃取 150 万、15 亿美元,这表明,你知道密码事件如何导致客户资金迅速而直接地损失。你知道,我提出的问题是,多 SIG 流程是否涉及 MPC 技术,或者 MPC 技术是否能提供帮助,或者是否能成为解决方案的一部分。
杰森·A.
是的。我的意思是,让我从两个角度来回答你的问题,对吧?我的意思是,我们来看看。我们从两个角度来看待它。一个是广泛的视角。这样的事件说明了行业的成熟度如何,它说明了托管的总体状况如何?然后是第二个问题,我们总是问自己这个问题,回到 FTX,对吧?部署防火墙系统是否可以防止这种情况发生?我们希望能够回答这个问题的原因,是因为,你知道,我们需要在我们的平台中引入什么来做到这一点,如果还没有,那么就回到一个广泛的视角,你知道,我们思考正在发生的事情,这很糟糕,你知道,这也是行业的一个机会。这是一个反思的机会,从我们的角度来评估我们所处的位置。这是 OP,这是行业团结起来并围绕托管标准进行联合的机会,对吧?正如我所说,托管传统上并不是这个领域最令人兴奋的问题。它绝对是根本性的,我们必须正确处理,不仅对每个服务提供商(如 bybidd)来说如此,当然,我们不希望看到这种情况发生,而对整个行业的完整性也是如此。当我想到这个行业的发展轨迹和我们面临的机遇时,我们看到 Mica 在欧盟生效。美国的情况正在迅速发展,希望至少就数字资产采用的前景而言有所改善。为了让我们实现这项技术在这个行业中的前景,我们必须共同找到一种方法,以确保这些事件不会发生,并且不会以任何频率或规律性发生,如果它们真的发生的话。我们认为这显然是一个好地方,我们是托管技术提供商。我们认为,开始讨论这个问题的一个很好的地方是托管技术的标准。这引出了第二点,即不同的托管技术部署是否可以防止这种情况发生?我认为有证据表明答案是肯定的。我听到的关于 bit 的最有趣的事情之一是,该系统在很大程度上是按照预期设计的,对吧?抱歉,按照设计运行。而且,我想,显然这里是否存在黑客攻击,对吧?我们知道 UI 被入侵了等等。但这些 HSM 设备主要用于在多 SIG 系统中对交易进行盲签,对吧?我们刚刚谈到了,对吧?多 SIG 和 MPC 之间存在差异。那么,在 Fire Block 系统上,目标地址是否可能被更改,就像我之前说的,没有人知道吗?我不这么认为。如果它是恰当的,如果正如我所说,逻辑、逻辑集经过适当校准,那么在没有触发适当校准的逻辑集来阻止该交易的情况下,十多亿美元是否可能被转移。你知道,再次重申,我认为有理由相信它不可能。因此,再次重申,这只是指出了一个事实,如果我们对此深思熟虑,那么通过适当部署不同的系统,很有可能可以避免很多朋友的损失。因此,再次重申,我认为有更好的选择。我并不是说在每种情况下,火灾封锁都是那个选择,但我想说的是,有些事情我们可以关注,我们可以确保我们的交易所,特别是当我们进入有 VASP 和 CASP 监管的监管环境时,这涉及到交易所,我认为我们可以进入一个最终状态,我们会非常认真地考虑我们想要建立什么样的托管系统。再次重申,我们无法控制一切。我们无法控制人为错误,就像我说的,比如没有意义的部署,或者所有那些事情,但我们可以确保系统至少具备能力和多层安全架构,可以防止将来发生这些事件。
马蒂亚斯
是的,完全同意。我的意思是,如果存在一定程度的犯罪意图和能力,监管框架很难制定出 100% 有效的措施,我认为你永远无法达到这一点。我对这次黑客攻击的另一个想法是,它表明,可能仅仅依赖网络安全的静态概念,例如审计特定的智能合约,本质上只是反映了安全方面的某个时间点,可能不再是前进的方向。我们可能需要更加积极主动地通过实时监控来处理网络安全问题,并利用区块链为我们提供的这种透明的跨交易透明度,如果有人有兴趣更深入地研究这类东西,请看看这个。是的。Hex Genensis 的一项未使用的收购基本上就是这么做的。因此第三方监控系统签署和验证交易和智能合约。我的意思是,Jason,您已经说过几次了,标准化、新标准,让我们来谈谈 Dora,即数字运营弹性法案。您知道前 10 条吗?实际上,确保运营弹性被视为更为关键的事情,因为您知道,ICT 提供商、信息和通信技术提供商对于提供金融服务越来越重要。它们与全球金融服务的运作方式更加融合,考虑到云、各种分析公司,等等。什么是 Dora,它试图做什么?
杰森·A.
从我们的角度来看,Dora 真的很有趣。它真的很有挑战性。但同样,我会把它放在我刚才所说的背景下,即可能需要找到正确的方法,引入标准并提高标准。但很抱歉。你知道,在某种高层次上,Dora 是一种第三方风险管理。所以第三方风险管理的概念。你知道已经存在了几十年吗?对吧?如果你是一家金融机构,并且你正在引入一个关键供应商,无论是你的后台办公室、分类账系统,还是你知道的其他类型的供应商和运营组件,你都需要咨询第三方风险管理指南,你需要实施某些保障措施和监控措施,等等。Dora 采用了这个概念,并将其扩展到所谓的 ICT 提供商。为了我们的目的,我们可以称他们为技术服务提供商。所以同样,在不同的背景下,我认为技术服务提供商总是陷入第三方风险管理的概念中。 Dora 非常明确地将其扩展到第三方技术服务提供商领域。Dora 基本上说,如果您要成为欧盟金融机构或 CASP 的第三方技术服务提供商,那么您必须满足某些标准,否则金融机构或机构基本上无法与您合作,对吧,对吧,所以从这个意义上讲,这不是直接适用于第三方技术服务提供商的规则,对吧?这些就像防火块。这些公司大多不受监管,但它们基本上有间接应用,对吧?因此,如果您作为一家公司希望继续竞争金融机构和 CASP 的业务,那么您必须使您的业务和业务运营基本达到标准,才能继续在欧盟竞争该业务,
马蒂亚斯
对吧?所以,Dora 本质上是欧洲框架,以确保运营弹性是一个严肃的问题。有第三方,嗯,技术提供商,你称之为,监督机制到位。有适当的风险管理。所以我只谈论金融机构。所以也许让我们重新开始。所以 Dora 不是关于监管技术提供商。它是关于监管金融监管实体。所以银行,我的意思是,
杰森·A.
我是说,
马蒂亚斯
和卡斯
杰森·A.
是,也不是
马蒂亚斯
古典律师回答说,
杰森·A.
是这样的,不是吗?是吗?当你知道,当你再想想,我非常赞成寻找方法来提高托管解决方案提供商的标准,例如。但是当你想到像 fireblocks 这样的公司时,对吧?我们是一家软件公司。软件不受监管,从未受到监管,事实上,我们并没有说它应该受到监管。但是当你想想,好吧,你如何才能达到一个可以拥有更高标准的地方,对吧?好吧,金融机构受到监管,受到严格监管,而且一直如此。现在,我们正在实施 VASP 风格的监管。这在欧盟被称为 CASP,但这是虚拟资产服务提供商,或数字资产领域的服务提供商。因此,这些机构受到监管,您可以做的是,您可以告诉这些机构,除非您采用了运营风险、运营风险管理指南,包括适用于您选择的关键供应商的指南,否则我们认为您不适合在这里做生意,或者您不符合我们的标准。这些供应商提供支持关键功能的服务。我认为托管绝对是其中之一。并且。作为监管者,您会说,好吧,所以我对软件行业没有管辖权,对吗?这不是我们做过或有兴趣做的事情,但我对金融机构有管辖权,然后是广大机构。因此,我们将对这些机构实施监管,因此,如果这些机构不遵守规定,它们就会陷入麻烦。但是你知道,你会意识到这将产生下游影响。你要做的是,提高服务提供商的门槛,再说一遍,即使他们不能继续提供不符合 Dora 更高标准的服务,他们也不能继续在这个受监管的业务领域继续这样做。对于那些想要这样做的人来说,他们将不得不找到一种方法来遵守规定。所以我说是和不是,对吧?你知道,这样做的影响是不可预知的。它将提高服务提供商领域对金融机构的竞争门槛。但你知道,再说一遍,这样做的好处是,这样做的方式很聪明。它不会越界,进入传统上不受监管的行业的监管。但要说它无意或不会对那些服务提供商提高标准,这并不完全正确,对吧?是的。
马蒂亚斯
不,这很有道理。所以,我认为你在这里提出的一个非常重要的观点是,即使是为欧盟监管的金融机构提供服务的服务提供商也会间接受到 Dora 的约束,这是这个框架非常独特的地方。当你,我的意思是,你在这个领域有这么多客户,显然,你已经为 Dora 做了相当一段时间的准备。我的意思是,Dora 的主要原则是什么?你提到了 ICT、风险管理,那么?报告、事件报告是另一个。我认为,数字测试、第三方风险管理你已经提到过了。在这些原则中,为了准备并确保你遵守 Dora,为了让你的客户遵守 Dora,对你来说最具挑战性的是什么?你最挣扎的是什么?对你或你的客户来说最具挑战性的部分是什么?
杰森·A.
是的,这是一段真正的旅程。这是一段真正的旅程。我的意思是,我认为 Dora 于今年 1 月生效,是的,17 日,是的。1 月 17 日。在此之前,我们已经处理了六个月,对吧?正如您所说,我们有许多直接受到影响的客户。我们与世界各地的金融机构合作,但特别是在欧盟,这些客户非常老练。因为他们拥有出色的法律团队,可以掌控所有正在发生的事情。六个月前他们来找我们,问我们,你们在做什么来遵守 Dora 规定,事实上,您知道,我们已经与欧洲监管机构进行了一个流程,基本上是在 Dora 下评估我们的适用性。是的,我们,这是我们与客户一起经历的过程。我们派人到欧盟现场,与客户、监管机构坐在一起,你知道,你是如何为这个过程做准备的,对吧?我的意思是,第一次是一个重要的学习经历,你知道,作为法律团队的经理,你知道,我们坐下来,分析法规文本,并得出我们最好的解释。但老实说,这是对话的起点,对吧?因为,你知道,我们对纸面上内容的法律解释,对我们的安全团队来说可能意味着非常不同的东西,对吧,它可能会产生影响,成本影响,你知道,无论它是什么,我们都不知道,律师只是坐在那里分析文本,一旦我们开始与公司内的其他职能部门进行交互,我们就会明白。然后我说这是一次对话的另一个原因是,你知道,监管机构也有期望,客户也是如此。所以,当你第一次经历这一切时,每个人都在共同努力,让 fireblocks 和客户通过这次检查,获得最好的结果。我喜欢这家公司的原因就在于此。我们完成了这个过程,但这只是我们旅程的开始,对吧?所以从这个过程出来,一切都还好。让我们坐下来谈谈我们可以做得更好的事情。你知道吗?我们在这里学到了什么教训?然后,我们如何与客户合作,提供产品、包装或一组服务,使平台在任何特定部署中都尽可能符合 Dora 标准,对吧?所以,这是一个迭代过程。但是,你知道,我们完成了第一次检查,我们基本上说,好吧,让我们比开始时做得更好,让我们与客户合作,确保他们在未来感到非常舒适,火箱在每个相关方面都已做好准备再次经历这一切。
马蒂亚斯
您认为 Dora 合规与 Dora 合规之间的差距有多大?对于金融机构或技术提供商来说,这是一个巨大的飞跃吗?因为我们都知道,外包规则已经存在了近 10 年,还有许多其他规则。那么对于你们和金融机构来说,这到底有多大的变化呢?
杰森·A.
我认为是这样。对于金融机构来说,我认为这是他们对某些服务提供商细分市场的思考方式的范式转变,对吧?所以你知道他们面临的挑战是确定我们的关键职能是什么,哪些 ICT 提供商将受到最高级别的审查,哪些将受到第二级审查?然后,我们是什么?作为一家金融机构,我们正在做什么来确保我们对这些服务提供商进行了尽职调查,让我们作为受规则约束的金融机构感到放心,在监管机构面前满怀信心地说,我出于 X、Y 和 Z 原因选择了这家服务提供商,包括我坚信这将是一家符合 Dora 标准的服务提供商,对吧?所以我认为这是金融机构面临的挑战,我认为对于像 Firebox 这样的公司以及所有服务提供商来说都是如此,对吧?我认为第一个问题是,你的出发点是什么?因此,我们首先将自己视为软件公司,然后又将自己视为网络安全公司,因此我们每年在网络安全方面的投资都是巨大的,既要维持现状,又要不断改进。因此,对于我们来说,对于进入这一过程的我们来说,我们之前所处的位置与我们需要的位置之间的差距可能并不像其他从不同地方起步的服务提供商那样大,我认为 Dora 的挑战在于,其中一些要求非常耗时,而且由于耗时,成本也很高。我认为找到一种方法来创建可扩展、可重复的 DORA 流程。这有点像这里有趣的业务挑战。因此,我在想,我们一直在处理的最困难的事情之一可能是,必须将审计权赋予客户。我认为,监管机构也必须拥有审计权。因此,作为一家企业,您再次尝试运营一个安全团队。您尝试运营一个办公室,在运营业务时,监管机构何时会到现场?他们会到现场吗?他们需要访问哪些内容?对吗?就像尝试预测和控制这一点一样,对吗?这确实是一个很大的挑战,而且这种事情可能非常耗时,非常昂贵。而且,您知道,我认为就我们已经确定的差距而言,就像,好吧,我们如何,如何围绕这些访问和自动费率等内容构建一个对客户和监管机构都有意义的框架。
马蒂亚斯
我的意思是,鉴于 Dora 的大部分内容实际上是了解您的 ICT、风险、管理风险、事件报告、治理、渗透测试,当您比较传统公司(例如全球甚至全球银行甚至全球运营的加密货币交易所)时,您是否看到准备程度的差异。
杰森·A.
是的,我再次这么认为。我的意思是,这也许会让我们陷入 Mika 实施过程中将要面临的挑战之一,对吧?那么,真正有趣的事情是什么,对吧?人们如此关注 Mica,这将产生重大影响。我马上就会谈到这一点。但 Dora 基本上与 Mica 的实施时间线平行,我认为它受到的关注要少得多,理解也少得多,尽管我认为它的影响也非常显著。所以我可以试着找出这两件事之间的联系,对吧?对于 Mica,欧盟引入了一个名为 CASP 的新注册人类别,即加密资产服务提供商。这是国际上所谓的 VASP 虚拟资产服务提供商的一个版本。但基本上,如果你在数字资产领域提供服务,你可能必须进入并注册为 CASP,这意味着在许可证下运营。这也意味着其他一些事情,对吧?这意味着新的合规义务,而且有趣的是,它还意味着你必须符合 Dora 的要求。所以 Dora 适用于金融机构和 CASP,这又回到了你的问题,我认为金融机构和 CASP 有什么不同,对吧?正如我所说,金融机构长期以来一直处于第三方风险管理的概念之下。因此,对于金融机构来说,这种分析并不一定是新的,对吧?他们在这方面有实力,必须以不同的方式展示,但他们有为 CASP 开发的实力。你可以是一个数字资产交易所。你可以是一个数字资产托管人,无论你经营什么业务。你知道,只要你还记得,作为这项业务的运营商,你基本上是在没有任何监管框架的情况下运营的,你知道,不管多久以前,你都要面对 Mica,正如我所说,它在合规性和其他方面都有自己的挑战,但随后你又受到了 Dora 的双重打击,对吧?所以现在你必须发展这种你以前从未有过的力量,比如真正强大的第三方风险管理评估。如果你是一家数字资产公司,你可能有一些相当重要和关键的第三方技术服务提供商,对吧?所以,对于这些公司来说,我认为这是一个非常艰难的过渡期,对吧?你正在处理 Mica 的实施,它有自己的要求,但随后你又受到了 Dora 的打击,它有这些第三方风险管理要求,我认为这些要求可能不像主动脉金融机构那样为 Casp 所熟知。
马蒂亚斯
我完全同意。我的意思是,明年甚至更久以后,欧洲的 CAS 将会非常繁忙。不仅仅是 Mika,这是一个巨大的游戏规则改变者,从反洗钱、反恐怖融资重点制度转变为真正全面的审慎行为规则。所以,这是一个巨大的游戏规则改变者。我认为,我也认为,听了你的发言,我真的明白 Dory 不仅仅是关于网络安全。它涉及的范围要广泛得多。它涉及整个金融服务业和加密货币的运营弹性,双方都需要为此做好充分的准备。这似乎甚至是一种文化转变,与 Mika 一起。这是目前相当艰难的演出阵容。然后,实际上,我认为他们必须处理三重问题。还有旅行规则,它与 Mika 和 Dora 一起存在。但我认为 Doris 也对此做出了反应,可能会考虑罚款和可能的执法,如果你遵守 Dora,罚款会非常高,高达全球营业额的 2%。甚至,正如你之前所说,Casper 和受监管的金融服务,如果他们不遵守 Dora,他们甚至有可能被吊销在欧洲的执照,并终止这里的业务,同时还要追究高管的责任,所以这里的高级管理人员制度就是这样,有一件事我很感兴趣,因为你提到了 Dora 的成本,你知道,显然合规的成本很高。在某些情况下,这也转化为竞争优势,因为事情变得更安全了。当我想到 Dora 时,我真的很想知道,你是有点担心 Dora 还是对 Dora 感到兴奋?我之所以问这个问题,是因为 Dora 非常规范,它在文档和第三方风险管理方面设定了非常高的标准。立场、管理和缓解。您认为 Dora 是否会真正促进网络安全发展,甚至推动对人工智能等新技术的投资,或者从本质上成为一种竞争优势?或者,您认为这种规定性制度实际上会阻碍欧盟的发展,并使企业更难与全球其他公司竞争。那么,Dora 是否会成为创新和网络安全的催化剂,或者您认为它会带来巨大的劣势和过度监管。
杰森·A.
听着,常规监管总是会改变竞争格局,对吧?它为某些人创造了机会,也为其他人创造了机会。所以,我认为 Dora 的挑战在于,我已经谈过了,这是一个很高的标准。正如我所说,即使对于像 Firebox 这样的公司,我们也在不断投资于网络安全,你知道,我们觉得有些事情在门禁合规方面可以做得更好。你知道,我们在投资这些事情,但当你设定一个非常高的标准时,对吧?我的意思是,你确实让一些人难以提高他们的水平,使他们能够达到这个标准,所以,你知道,我一直在谈论 Dora 的影响,我一直在说,服务提供商将继续能够提供服务,但他们希望在金融机构客户市场上具有竞争力,对吧?你必须进行资本支出,才能在市场上保持竞争力。而现实情况是,当你引入这样的规则时,并不是每个人都会这样做。你知道,希望是出于好的理由,对吧?比如他们对市场有不同的看法。但无论如何,这就是,我的意思是,这就是合规成本,这是 Dora 的缺点,它将对竞争产生影响。我对 Dora 仍然有两种看法,而另一种看法实际上是非常积极和充满希望的。所以我认为 Dora 是一个很好的机会。你知道,我们从头开始一点一点地讨论,我们讨论了可以在国家层面或跨国层面制定标准的想法,基本上是针对托管解决方案,针对这个数字资产领域的基础设施层。我认为作为一种法律结构,Dora 模型实际上是一个非常好的模型。而且,我认为,理性的人可能会对 Dora 的内容权以及这是否是正确的方法持有不同意见,您谈到了一些更具惩罚性的东西,你知道,管理人员、制度之类的东西,你知道。所以我们可能会对那里的内容持有不同意见。但我认为,就这种方式接触和附着在服务提供商社区的方式而言,在某些方面非常优雅,对吧?再说一次,它没有越过软件监管的红线。软件提供商可以继续提供软件。只是如果你想服务于这个特定的市场部分,你就必须达到更高的标准。我认为这是创建一系列服务提供商和一系列镀金或铂金服务的好方法,对吧,所以再说一次,从法律角度,法律构造角度来看,我将 Dora 视为一种模型,这是我在外出和监管机构交谈时一直在考虑的事情,当我谈论托管标准之类的事情时,我脑海中确实浮现出 Dora 之类的东西。也许我希望看到的内容有不同的重点,但我认为作为一种接触服务提供商社区和提高监管机构标准的方式,这些机构显然为市场提供了非常重要的服务。我认为 Dora 实际上可能是一个很好的起点。
马蒂亚斯
哦,很有趣。是的。不,当然。让我们看看如何,你知道事实胜于雄辩。所以让我们看看它是如何实施的,以及行业实际上如何应对,希望我们很快就能看到 Dora 的影响。Ish,你说了软件监管,你很高兴 Dora 没有这样做,而且显然 Mica 并没有涵盖任何真正的 DeFi,真正去中心化的服务。我只是想知道 Dora 大会上的 DeFi。Text,你知道,鉴于去中心化网络、无许可网络、DeFi 服务、DeFi 产品的数量增加,你认为公司如何能够遵守 Dora 以及与之相关的所有文档、报告和审计权利,同时保持服务或他们在 DeFi 领域与之交互的服务的去中心化,例如,你认为这仍然可能吗?
杰森·A.
我的意思是,听着,欧盟推迟制定规则是有原因的,因为这个问题不容易解决,不幸的是,我认为我们今天不会在这里解决这个问题,但需要几分钟时间。但你知道,我认为这是该领域最有趣的法律问题之一。所以我首先说,我是一名金融服务律师,我的背景是传统金融,我花了很多时间将传统金融的框架与数字资产领域的情况进行类比。从法律角度来看,我们面临的最大挑战是,我们的传统框架和金融服务是基于中介的。也就是说,Dora 就是一个很好的例子,也就是说,监管落在某种中介身上,无论是金融机构还是其他人。是的,DeFi 和智能合约的作用是直接挑战我们关于如何监管事物的基本法律概念,对吧?他们在那里取消了中介,你知道,在编码和发布之后,除了合约之外什么都没有,对吧?除了合约本身之外什么都没有。合约本身不能承担责任,或者我们这么说,所以,所以,所以,所以 DeFi 一直是一个挑战。我认为这个问题的答案,我今天还没有答案,但我认为这个问题的答案,谁应该负责?如果有人负责,我认为这是一个问题,对吧?然后我认为第二个问题是,忘记责任或义务的概念,我们如何确保这些智能合约是安全的?我们如何确保它们以预期的方式运行?我认为这正确地解决了运营弹性的问题。而且,你知道,老实说,我认为如果我们能先解决第二个问题,对吧?是的,那么我认为这会让我们走上一条很好的道路。希望我们不必找一个负责任的人,因为没有什么可以做的
马蒂亚斯
出错了。是的,没错。那将是理想的。这就是我一开始试图暗示的,我认为当涉及到 DeFi 的智能合约时,我们目前的监管思维并没有真正发挥作用,我认为我们仍然需要弄清楚我们真正想在 DeFi 领域做什么。我认为现在急于提出某种特定类型的概念还为时过早,但我们现在能做的一件事就是确保我们的安全标准更高,并真正更多地考虑主动的网络安全威胁、检测缓解策略。这就是我认为我们应该这样做的原因。我们应该更多地考虑实时监控,而不仅仅是像我们传统上那样进行审计。因为 Jason,你扮演着全球性的角色。所以你看到了这一切。你认为欧盟是否凭借 Dora 获得了另一部重磅炸弹,并且会有许多国家效仿 Dora 的例子?或者您认为 Dora 会以自己的方式设计,其设计非常规范。我的意思是,我很确定您知道,在 Dora 之初,谈判早在 2020 年就开始了,甚至考虑为各种服务提供模板、合同模板。所以它非常非常规范。您认为这个概念实际上会在不同的司法管辖区采用吗?您认为监管格局在全球范围内会如何发展?
杰森·A.
我认为我们正在进入一个非常有趣的时期,我非常期待看到会发生什么。所以我的意思是,只是为了回答你关于 Dora 的问题,我确实认为那里有些东西。我认为那里有一种服务提供商监管模型。正如我之前所说,我实际上并不认为,从概念上讲,它非常新,对吧?我认为第三方风险管理的概念已经存在很长时间了。我确实认为第三方风险管理的概念很有用,而 Dora 作为最新的例子,在这方面很棒,但我认为,总的来说,我们的发展方向可能与过去几年的情况截然不同。所以我讲的故事可以追溯到 1980 年的金融危机,那时我的职业生涯才刚刚开始。因此,当我们走出金融危机时,从监管的角度来看,我们基本上在原则层面上达成了全球共识,二十国集团和七国集团都同意,这些是我们要做的事情,以监管衍生品市场,改革金融服务。每个国家都采纳了这些原则性建议,并制定了立法,认为这导致了美国的第一种方法和第二种方法,导致了多德弗兰克法案,以及世界各地类似的东西。所以我的观点是,我们基本上达成了全球共识,原则上的一致,然后我们随后制定了同步的立法。我们在过去几年中看到的情况是,实际上我认为数字资产领域是看待这个问题的好方法,对吧?我们看到了地缘政治格局的分裂,这反映在我们推进数字资产监管的方式上。所以我们没有达成全球共识。从 Mt Gox 到 FTX,我们在太空领域经历了多次重大损失事件,以应对危机。我们从未有过国家齐心协力,也从未就如何应对达成原则性协议。相反,我们有的是各个行动者在前进。虽然有共同的概念,比如最后的监管,但基本上,这是各个国家在前进,当我想到一些这样的例子时,对吧?我想到新加坡这样的地方。我想到阿联酋这样的地方,那里有非常活跃的监管机构。我认为,当然,首先也是最重要的是欧盟正在发生的事情,我认为即将发生的事情是,我们将再次看到范式转变。我认为这完全取决于美国的情况。但如果美国兑现承诺,试图成为世界加密之都,对吧?我认为,在这种我所描述的地缘政治混合体中,我们出现了新的对立点,我们可能会有一个新的中心。我们可能会出现一种前所未有的新重心。因此,这里可能出现一种结果,即美国真正进入监管框架领域,了解经济风向和销售情况,并发布可能与欧盟所做的事有关也可能无关的规则,坦率地说,对吧?因为我们看到一个政府至少已经表示愿意完全走自己的路。如果发生这种情况,那可能是一个非常强大的新模式,值得全世界效仿。我认为,在西方影响的某个范围内,我们可以看到许多其他国家效仿美国。我与许多监管机构交谈过,他们基本上都说,我们想看看美国会怎么做。所以我认为,这是我们可以看到的一种新事物。是的,
马蒂亚斯
进入这个领域确实令人兴奋。我真的很好奇,事情会如何发展。因为很明显,你知道在国际上,数字资产的未来发展方向,包括运营弹性,将有多诚实,或者至少有多兼容的制度,否则,尤其是在全球范围内,运营公司会发现遵守竞争框架非常困难。更一般地说,是的,我认为我们的时间已经不多了。杰森,非常感谢你的见解。今天。很高兴和你谈论 Dora,我想我已经明白了 Dora 不仅仅是另一项合规规则,它实际上是一种思维转变,一种思维转变,推动金融机构,以及间接地,技术提供商,积极主动地实现网络安全和运营弹性,所以你们最好都做好准备。人们可以在哪里找到更多关于你或 Fire Block 的信息?
杰森·A.
我们。是的,当然。人们可以在 LinkedIn 上找到我。显然他们可以找到 company@fireblocks.com,是的,我们很乐意与大家联系
马蒂亚斯
非常感谢你们今天来到这里,我非常期待很快再次发言。谢谢。谢谢。掌声。
