دفتر کنترل‌کننده ارز (OCC)، هیئت فدرال رزرو (Fed) و شرکت بیمه سپرده فدرال (FDIC) بیانیه مشترکی منتشر کردند که در آن توضیح می‌دهند قوانین بانکی موجود چگونه برای نگهداری (کاستدی) رمزارز توسط مؤسسات مالی برای مشتریان اعمال می‌شود.

این راهنما، «نگهداری امن» را به معنای حفظ دارایی دیجیتال به نمایندگی از مشتری تعریف کرده و تأکید می‌کند که این موضوع موجب ایجاد الزامات نظارتی جدید نمی‌شود.

کنترل ریسک؛ تمرکز بر کلیدهای رمزنگاری

نهادهای ناظر به هیئت‌مدیره‌ها و مدیران بانکی توصیه کردند نگهداری رمز ارز را به عنوان خدمتی در نظر بگیرند که بر کنترل انحصاری کلیدهای خصوصی و داده‌های حساس متکی است.

بانک باید ثابت کند هیچ طرفی، حتی خود مشتری، نمی‌تواند به تنهایی دارایی را پس از ورود به کاستدی جابجا کند.

مدیریت باید ارزیابی کند که ابزارهای تولید کلید، نوع کیف پول و برنامه‌های اضطراری چقدر با ساختار کلی کنترل داخلی مؤسسه همخوانی دارند و اطمینان حاصل کند کارکنان مهارت‌های فنی لازم برای حفظ این محافظت‌ها را دارند.

توجه به نوسان بازار و تغییرات فناوری

این بیانیه از بانک‌ها خواسته هنگام تخصیص سرمایه و نیروی انسانی برای عملیات نگهداری، نوسان بالای دارایی‌های دیجیتال و سرعت تغییرات تکنولوژیکی را در نظر بگیرند.

برنامه‌های ایمن باید شامل بررسی مداوم نرم‌افزارهای وابسته به هر توکن و طراحی دفتر کل (لجر) باشند تا آسیب‌پذیری‌هایی که ممکن است امنیت و سلامت دارایی‌ها را تهدید کنند، شناسایی شود.

رعایت قوانین، حاکمیت و نظارت بر طرف‌های سوم

سه نهاد نظارتی یادآوری کردند که نگهداری رمزارز باید مطابق با قوانین قانون رازداری بانکی (BSA)، مبارزه با پول‌شویی، مقابله با تأمین مالی تروریسم و مقررات دفتر کنترل دارایی‌های خارجی (OFAC) از جمله «قانون سفر» باشد؛ قانونی که اطلاعات شناسایی را به تراکنش‌ها متصل می‌کند.

هیئت‌مدیره باید مسئول BSA و مدیران ارشد را از ابتدا در فرآیند راه‌اندازی نگهداری درگیر کند تا ریسک‌های مربوط به تأمین مالی غیرقانونی را ارزیابی و کنترل‌ها را مستند کند.

بانک‌هایی که نگهداری را به زیرکاستدی‌ها (ذخیره‌کنندگان فرعی) واگذار می‌کنند، همچنان مسئول عملکرد آن‌ها هستند. این راهنما از مؤسسات خواسته قبل از قرارداد با زیرکاستدی، روش‌های مدیریت کلید، تفکیک دارایی‌ها و حفاظت‌های مربوط به ورشکستگی آن‌ها را بررسی کنند.

اطلاع‌رسانی، مدیریت ریسک نرم‌افزار و بازرسی‌ها

مؤسسات باید الزامات اطلاع‌رسانی درباره هرگونه نقص امنیتی یا رخداد عملیاتی را ایجاد کنند. بانک‌هایی که دارایی‌ها را در داخل نگهداری می‌کنند ولی نرم‌افزارهای شخص ثالث می‌خرند نیز باید همان استانداردهای مدیریت ریسک فروشندگان را رعایت کنند.

در نهایت، نهادهای ناظر خواستار افزایش دامنه بازرسی‌های حسابرسان شده‌اند تا موارد خاص رمزارز مانند تولید کلید، امنیت کیف پول و کنترل تسویه تراکنش‌های زنجیره‌ای را نیز شامل شود.

اگر تیم داخلی تخصص کافی نداشته باشد، مدیریت باید متخصصان مستقل استخدام کند تا این محافظت‌ها را اعتبارسنجی کرده و گزارش مستقیم به کمیته حسابرسی ارائه دهند.

جمع‌بندی

بیانیه مشترک تأکید کرده که قوانین موجود مربوط به وظایف امانتداری، نگهداری و امنیت اطلاعات چارچوب کافی برای بانک‌هایی است که می‌خواهند رمزارز را امن نگه دارند.

با این حال، این بانک‌ها باید نشان دهند که در لحظه می‌توانند کلیدها را کنترل، فروشندگان را مدیریت و قوانین فدرال مبارزه با جرایم مالی را رعایت کنند.