Facebook   LinkedIn   WeChat   YouTube 警示名單
網絡保安
(於2024年5月31日更新問10)

雙重認證

問1 :

平台營運者在選擇雙重認證解決方案時,應考慮甚麼因素?

答:

雙重認證是一項以原則為本的認證規定。平台營運者可自由選擇與其安全基礎設施最為匹配、並適合用來實現其風險紓減目標的雙重認證解決方案(包括內部研發的解決方案)。

尤其是,平台營運者在有需要時應尋求解決方案提供者或技術顧問的協助,以評估及衡量每項正在考慮的雙重認證解決方案的特點、局限性和漏洞,並按情況所需採取補償控制措施。舉例來說,平台營運者如使用短訊服務傳送一次性密碼,便應告誡其客戶不要把其流動裝置收到的一次性密碼轉發至其他裝置。

隨著時間過去,某些雙重認證解決方案可能會因科技進步而變得過時和無效,因此,平台營運者應盡其合理努力緊貼最新的科技發展,並完善其雙重認證解決方案,或在有需要時採取補償控制措施。

(主要參考:《虛擬資產交易平台指引》第12.12(b)段)

問2 : 經電郵傳送的一次性密碼可否被視為用於登入系統的“客戶所有的”認證元素?

答:

不可。經電郵傳送的一次性密碼不得被視為“客戶所有的”認證元素。經電郵傳送一次性密碼的做法並不可靠,因為登入的人不一定是實際的客戶,理由如下:

(i) 經電郵傳送的一次性密碼可被發送至多部裝置,例如同時發送至流動電話及電腦,以及可被這些裝置上的多個應用程式取用或讀取;

(ii) 經電郵傳送的一次性密碼未必一定由客戶本人讀取,原因是客戶電郵帳戶的登入資料可由多人共用;及

(iii) 電郵帳戶的安全保障不足,例如電郵的轉寄功能可導致不慎將一次性密碼與他人分享。

(主要參考:《虛擬資產交易平台指引》第12.12(b)段)

問3 : 一次性密碼可否同時經短訊服務及電郵發送?

答:

不可。經短訊服務傳送的一次性密碼是有效的第二認證元素,但鑑於上述理由,經電郵傳送一次性密碼仍存在風險。平台營運者不應經電郵傳送一次性密碼。

(主要參考:《虛擬資產交易平台指引》第12.12(b)段)

問4 : 客戶可否停用系統登入的雙重認證功能?

答:

不可。雙重認證是強制性的,因此平台營運者不應容許客戶停用此功能。

 

(主要參考:《虛擬資產交易平台指引》第12.12(b)段)

問5 :

可否採用“雙重密碼”模式(例如在登入系統時使用一組密碼,而在落盤時則須輸入另一組密碼;或在登入系統時須輸入兩組不同密碼)來符合雙重認證規定?

答:

不可。雙重密碼只構成認證程序中的單一元素(即“客戶所知的”),故不符合雙重認證規定。

 

(主要參考:《虛擬資產交易平台指引》第12.12(b)段)

問6 : 作為系統登入的認證元素,客戶交易帳戶可綁定或註冊多少個裝置?

答:

一般來說,平台營運者不應容許客戶綁定或註冊超過三個裝置。

(i) 若個人客戶要求綁定或註冊超過三個裝置,則平台營運者應了解箇中原因,及評估有關要求是否合理;及

(ii) 若公司客戶要求綁定或註冊多個裝置,以便獲其授權的人士可操作這些裝置,則平台營運者應提議該公司客戶為那些獲授權的人士開立子帳戶(各自具有獨立的雙重認證);及若子帳戶的安排並不可行,則平台營運者應向公司客戶詢問獲授權操作其交易帳戶的人數,並相應地限制並行登入。

(主要參考:《虛擬資產交易平台指引》第12.12(b)段)

密碼政策及網頁超時監控措施

問7 :

平台營運者應每隔多久提醒客戶更改密碼?

答:

平台營運者通常會提醒超過 90 個曆日未更改密碼的客戶。

(主要參考:《虛擬資產交易平台指引》第12.12(d)(ii)段)

問8 : 平台營運者可對多次無效登入的嘗試採取甚麼監控措施?

答:

平台營運者可(除其他事項外)採取以下的監控措施:

  • 封鎖帳戶;
  • 連續登入失敗的情況每發生一次,暫停登入的時間便會延長;及
  • 偵測是否受到暴力破解攻擊,並採取適當的對策。

以上所列的監控措施並非詳盡無遺。平台營運者可選擇採取任何其認為適當的監控措施。

(主要參考:《虛擬資產交易平台指引》第12.12(d)(v)段)

問9 : 平台營運者或客戶是否獲准停用網頁超時監控功能?

答:

。網頁超時監控功能不得停用。

(主要參考:《虛擬資產交易平台指引》第12.12(d)(vi)段)

問10 : 應就網頁超時監控功能設定多長的閒置超時時限

答:

平台營運者應限制閒置超時時限(例如30 分鐘內),並須事先作出評估持續進行監察。例如,進行程式交易的客戶可能需要隨時待命以進行交易。在這種情況下,平台營運者可以允許較長的閒置超時期限,但其必須更密切地監察該客戶的登入和登出記錄以及交易活動。

(主要參考:《虛擬資產交易平台指引》第12.12(d)(vi)段)

通知客戶

問11 :

如客戶已就不尋常的登入情況(例如,並非透過客戶慣常使用的裝置登入)收到通知,平台營運者是否仍須就每次系統登入通知客戶?

答:

本會要求平台營運者須就每次系統登入即時通知有關客戶。然而,只要符合以下規定,平台營運者可以讓客戶選擇不就每次系統登入收取通知:

  • 平台營運者有能力識別不尋常登入及就不尋常登入即時通知客戶;
  • 平台營運者向客戶作出了充分的風險披露,而客戶已確認他們了解選擇不就每次系統登入收取通知所涉及的風險;及
  • 客戶沒有選擇不收取執行交易的通知。

(主要參考:《虛擬資產交易平台指引》第12.12(e)段)

平台基礎設施的保安監控措施

問12 : 平台營運者如何實施妥善的網絡隔離措施?

答:

平台營運者應實施妥善的網絡隔離措施,並設置多重防火牆。平台營運者應:

(i) 將交易應用程式和其他關鍵系統(例如保管系統)設置於隔離區後的內部網絡內;及

(ii) 儲存敏感度較低的數據的伺服器(例如網絡伺服器)寄存於隔離區內。

(主要參考:《虛擬資產交易平台指引》12.12(f)(i)段)

問13 : 平台營運者可否向供應商授予永久的遙距接達權?

答:

不可。平台營運者應避免向外界人士授予永久的遙距接達權。遙距接達權應按需要授予有關人士,並應在遙距接達活動完結後停用。

(主要參考:《虛擬資產交易平台指引》第12.12(f)(ii)段)

問14 :

平台營運者可否分批配置保安修補及修正程式?

答:

被列為關鍵或高嚴重性的保安修補及修正程式應在測試完成後一個月內進行配置。

 非關鍵的保安修補程式修正程式可批量進行配置,並應至少每季進行配置一次,除非平台營運者在評估後斷定該等程式可能與系統應用程式不相容而無法執行。

 (主要參考:《虛擬資產交易平台指引》第12.12(f)(iii)段)

問15 : 平台營運者可否採用使用期完結或接近完結的軟件

答:

不可。平台營運者不可採用使用期完結的軟件至於使用期接近完結的軟件,平台營運者應監察軟件的有效性,並制定計劃以在軟件的使用期完結前替換或升級有關軟件。

(主要參考:《虛擬資產交易平台指引》第12.12(f)(iii)段)

數據加密

問16 : 應使用哪些數據加密程式?

答:

平台營運者應持續檢視國際保安標準(例如美國國家標準與技術研究所(National Institute of Standards and Technology)提供的加密標準),檢查其數據加密程式的狀況,及在適當時將其升級。

 

不嚴謹的加密程式的例子包括:

(i) 就數據傳輸而言:SSL 3.0TLS 1.0TLS 1.1TLS_RSA_WITH_RC4_128_MD5

(ii) 就數據儲存而言:DES3DESRC4RC5RSA 1024-bitBlowfishTwofishMD5SHA-1

(主要參考:《虛擬資產交易平台指引》第 12.12(g)段)

問17 : 就數據加密規定而言,隔離區是否被視為內部網絡的一部分?

答:

是的。就上述目的而言,隔離區被視為內部網絡的一部分。

 

(主要參考:《虛擬資產交易平台指引》第 12.12(g)段)

監察及監督

問18 : 就監察及識別未經授權而接達客戶交易帳戶的可疑情況而言,以人手進行檢視的方法是否可以接受?

答:

不可。鑑於虛擬資產交易平台業務的自動化及24 小時無間斷服務的性質,以人手進行檢視並非識別可疑和未經授權的虛擬資產交易活動的有效方法。平台營運者應實施有效的自動化解決方案,例如使用自動化IP地址監察工具及進行行為分析,以監察及識別未經授權而接達客戶交易帳戶的可疑情況。

(主要參考:《虛擬資產交易平台指引》第12.12(h)段)

問19 : 平台營運者應每隔多久監察及識別未經授權而接達客戶交易帳戶的可疑情況?

答:

平台營運者應實時監察及識別未經授權而接達客戶交易帳戶的可疑情況。

(主要參考:《虛擬資產交易平台指引》第12.12(h)段)

問20 : 可否舉例說明平台營運者可如何偵測未經授權而接達客戶交易帳戶的情況?

答:

平台營運者可監察是否有下列情況:(i) 由同一個IP地址登入多個客戶帳戶;及(ii) 接達同一個客戶帳戶的IP地址在短時間內由一個國家轉為另一個國家。

(主要參考:《虛擬資產交易平台指引》第12.12(h)段)

流動交易平台

問21 :

請舉列說明保護流動交易平台的保安監控措施。

答:

平台營運者最低限度應實施下列保安監控措施,以保護流動交易平台:

(i) 偵測及阻止被破解的流動裝置登入其流動交易平台;

(ii) 模糊其原始碼以加強保護,避免其遭惡意利用;

(iii) 將沒有使用的程式碼庫或模組從其原始碼中清除;

(iv) 在客戶一旦離開安裝於其流動裝置的流動交易平台或登出其交易帳戶後,便將客戶敏感資料從有關應用程式中清除,例如停用“記住密碼”、“自動填寫”及“自動完成”功能;及

(v) 加強生物特徵認證的保安監控措施,例如規定客戶若希望添加或修改儲存在其流動裝置紀錄中的生物特徵數據,便須停用並在經過核實後重新註冊其生物特徵認證,及限制認證嘗試失敗的次數,例如連續五次認證嘗試失敗。

(主要參考:《虛擬資產交易平台指引》第12.12段)

備份

問22 :

是否可將遙距備份伺服器視為用於系統及數據備份的離線媒體

答:

是。“離線媒體”1一詞是指與生產系統安全隔離的磁帶或任何其他類型的媒體,例如遙距備份伺服器。

(主要參考:《虛擬資產交易平台指引》第12.16段)

請參閱《虛擬資產交易平台指引》12.16

最後更新日期: 2024年5月31日

我們使用cookies來改善網站性能和用戶體驗。如果你繼續使用本網站及相關服務,則表示你同意其使用。詳細了解我們的隱私政策聲明
免责声明 Disclaimer statement

香港证券及期货事务监察委员会(简称证监会)于本网站免费提供一套繁简字体转换软件(该软件)。证监会允许本网站的使用者利用该软件将本网站内容由繁体中文版转换成为简体中文版。证监会不会就该软件欠妥之处承担任何法律责任,亦不会就其品质及性能作出任何担保;尤其是在无损前述的一般性的原则下,证监会无需就该软件对某用途的恰当性、其品质或可商售性承担任何该等明示或隐含的、法定或非法定的法律责任。

证监会明确陈述,本会并无核准或认可本网站内容的简体中文版,以及对于本网站内容的简体中文版不承担任何责任或法律责任(不论是何种及如何引致的责任或法律责任)。证监会同时明确陈述,本网站的简体中文版纯粹是利用该软件将繁体中文版内的中文字体转换成简体中文字而得来的,当中并不涉及香港特区与内地的用词及语句的对应转换。对于该简体中文版的内容的恰当性,证监会不承担任何责任或法律责任。在任何情况下,使用者都不应视本网站内容的简体中文版为其繁体中文版的对应版本。使用者应该参照该简体中文版的已发布繁体中文版来核实该简体中文版的网站内容,并且应该在依赖本网站内容的简体中文版或根据其内容行事之前,就该版本的内容的法律效力、有效性和效果自费征询独立的法律意见。

如果你将证监会网站的简体中文版的内容或网址传送予第三者,你承诺会将本免责声明同时传送予该第三者,并保证该第三者在浏览本网站的简体中文版的内容之前同意接纳本免责声明。

The Securities and Futures Commission (SFC) provides a character-based conversion software (this Software) free of charge in this website. Permission is granted for users to use this Software to convert the web content from traditional Chinese character version to simplified Chinese character version. The SFC undertakes no liability for defects in this Software and gives no warranty in relation to its quality and performance and in particular, but without prejudice to the generality of the foregoing, the SFC shall have no such liability regarding the fitness for purpose, quality or merchantability of this Software, whether express or implied, statutory or otherwise.

The SFC expressly states that it has not approved or endorsed the simplified Chinese character version of the web content and the SFC accepts no responsibility or liability (whatsoever and howsoever caused) for such simplified Chinese character version of the web content. The SFC also expressly states that this simplified Chinese character version of the website is solely established by converting the characters in the traditional Chinese character version via this Software, which involves no corresponding conversion between the terms and expressions used in the Hong Kong SAR and Mainland China. The SFC accepts no responsibility or liability for the fitness of the content of the simplified Chinese character version. Under no circumstances should users treat the simplified Chinese character version of the web content as an equivalent of the traditional Chinese character version thereof. Users should verify the simplified Chinese character version of the web content by making reference to the published traditional Chinese character version thereof, and should at their own costs seek independent legal advice on the legal status, validity and effect of the simplified Chinese character version of the web content before relying or acting upon it.

If you transmit the content of this simplified Chinese character version website or its URL to any third party, you agree to forward this Disclaimer Statement at the same time to the third party and guarantee that the third party agrees to accept this Disclaimer Statement before browsing the content of the simplified Chinese character version of this website.