继证监会下发《关于加强证券公司信息系统外部接入管理的通知》后,中国证券业协会(下称“协会”)12日发布了《证券公司外部接入信息系统评估认证规范》(下称《规范》),此举旨在进一步加强证券公司信息系统外部接入的风险管理,维护证券公司信息系统安全、稳定运行,有效防范风险,保护投资者合法权益,切实维护市场秩序。
该规范根据《证券期货业信息安全保障管理办法》(证监会令第82号)、《证券公司融资融券管理暂行办法》(证监会公告[2011]31号)、《关于加强证券公司信息系统外部接入管理的通知》(证监办发[2015]35号)和《证券公司网上证券信息系统技术指引》(中证协发[2015]8号)等有关规定制定。
《规范》规定,若证券公司需要使用外部接入信息系统,应当经协会评估认证。证券公司已使用外部接入信息系统的,应当在自查整改完成后报协会评估认证;自《规范》下发之日起,证券公司不得接入新的未经评估认证的外部信息系统。向证券公司信息系统提供外部接入的信息技术服务机构等相关方应当是协会会员,接受协会的自律管理。
证券公司使用外部接入信息系统,证券交易指令必须在证券公司自主控制的系统内全程处理,即从客户端发出的交易指令处理应仅在发起交易的投资者与证券公司之间进行,其间任何其他主体不得对交易指令进行发起、接收、转发、修改、落地保存或截留。同时,证券公司应加强客户端交易指令监控,如发现交易指令被第三方接收、转发等,应及时采取措施进行整改。
证券公司使用外部接入信息系统不得有以下五类行为:一是为信息技术服务机构等相关方从事或变相从事证券经纪业务提供便利;二是为信息技术服务机构等相关方建立账户登记体系等登记结算业务提供便利;三是规避监管或自律管理;四是充当外部接入信息系统的业务通道;五是其他法律法规、监管规定和自律规则禁止的行为。
同时,证券公司使用外部接入信息系统应当遵守七个要求:
一是建立健全使用外部接入信息系统的内部管理制度,明确提供外部接入的信息技术服务机构等相关方应当具有的资质条件和筛选标准、系统的信息安全要求、相关合规审查要点、风险管理措施、后续监控检查及问题处理机制;
二是建立健全外部接入信息系统开展证券业务的审查机制,着重加强对开展相关业务的合规性审查,公司主要负责人和合规总监应当在相关审查文件上签字确认;
三是具备识别外部接入信息系统合规性的能力,不得接入无法辨别合规性的外部信息系统;
四是在与相关方签订的协议中明确由相关方承诺不得利用外部接入信息系统从事或变相从事配资活动,并建立相关责任追究机制;
五是严格执行开户审查制度,强化客户身份识别,对投资者提供的有效身份证明文件原件及其他开户资料的真实性、准确性、完整性进行审核;
六是做好投资者适当性管理和教育工作,提示投资者证券账户应当本人使用,不得转借他人从事非法证券活动;
七是加强日常监控,定期或不定期开展检查,了解外部接入信息系统运行和账户管理情况,对可疑账户和可疑交易行为采取有效措施并及时处理。
《规范》要求,证券公司应当每年至少自查一次,形成自查报告并存档备查。自查内容包括但不限于:是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况;外部接入信息系统开展的业务类型及基本情况;外部接入信息系统的业务合规性和系统安全性;外部接入信息系统开展业务的风险类型及隐患;公司认为必要的其他情况。
与此同时,除经国务院及中国证监会批准设立的合法证券交易场所及中国证监会认可的金融机构外,证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。第三方运营的客户端是指除证券公司、投资者之外,由第三方进行发布、升级等运营管理的客户端,
证券公司提供客户使用的客户端属于向第三方购置或租用的,应当与第三方签署正式的客户端系统购置或租用协议,并做好客户端测试、验收、变更发布管理等工作,对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。
(责任编辑:HF056)