国内 VASP 安全・审计・ISMS 认证实况
#exchanges#vasp#security#audit#isms#iso27001
概要
国内 VASP 在 FSA 监督指针 + JVCEA 自主监管规则 + 业界自主标准 三层之上承担安全 + 审计义务。除法定要件外,ISMS (ISO/IEC 27001) 及 SOC2 Type II 报告书 等第三方认证的取得已事实上标准化,成为机构投资者 onboarding + 海外协作 + B2B custody 受托的前提条件。历经 Coincheck NEM 流出 (2018) + DMM Bitcoin Lazarus 流出 (2024),认证取得已处于”虽属自愿但不取得就无法立足业界”的状态。
法令上的义务 (修订资金结算法 + 监督指针)
- 系统风险管理体制: 经营层参与 + 风险评估 + 内部审计 (年度)
- 客户资产分别管理: 信托保管 + 内部审计 + 审计法人外部审计
- 冷存储 95% / 热存储 5%: JVCEA 规则 运用审计义务
- AML/CFT 内部控制: 犯罪收益移转防止法对应 + JAFIC 报告体制
- 个人信息保护: 个人信息保护法 (个信法) + GDPR 域外适用 (若有海外客户)
第三方认证 (虽属自愿但事实上必需)
- ISMS (ISO/IEC 27001): bitFlyer / Coincheck / GMO Coin / SBI VC Trade / bitbank 等主要全社取得
- SOC2 Type II: 以机构 OTC / 托管为中心 (Crypto Garage / Custodiem / Komainu Japan 等)
- PCI DSS: 法定货币卡支付相关 (部分)
- 公认内部审计人 (CIA) / 公认信息系统审计人 (CISA): 内部审计部门必设化
审计法人别 负责 VASP
- EY 新日本: bitFlyer / Coincheck
- PwC Aarata: SBI VC Trade
- 德勤 Deloitte Touche: GMO Coin
- KPMG AZSA: Custodiem / Mercury 系
- 全球 4 大 100% 寡占 — 中小审计法人难以进入 VASP 审计 (专门人才 + 成本 + 风险承受度)
国际比较
- 美国: SOC2 + 州 MTL 个别审计 + NYDFS Part 500 (BitLicense)
- EU: MiCA + DORA 强化 ICT third-party 审计 (2025-)
- 韩国: ISMS-P (个人信息 + 信息保护整合) 必须取得
- 日本: ISMS + 内部审计 + FSA monitoring 三层 — 由自主监管 (JVCEA) 将认证取得实质义务化的独特结构