關於印發《證券公司客戶交易結算資金商業銀行第三方存管技術指引》的通知
證監信息字[2007]10號
中國證券業協會,中國銀行業協會,各證券公司,各商業銀行,各相關技術服務機構:
為落實《證券法》、做好證券公司客戶交易結算資金商業銀行第三方存管工作,中國證監會和中國銀監會制定了《證券公司客戶交易結算資金商業銀行第三方存管技術指引》,現印發給你們,請遵照執行。
中國證券監督管理委員會 中國銀行業監督管理委員會
二○○七年十一月十五日
證券公司客戶交易結算資金商業銀行第三方存管技術指引
第一章 總則
第一條 為推動證券公司客戶交易結算資金商業銀行第三方存管(以下簡稱為“第三方存管”)技術系統建設、管理、運行的規範化和標準化,依據《中華人民共和國證券法》、《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律和有關行政法規,制定本指引。
第二條 本指引所指的第三方存管,是指證券公司將客戶交易結算資金存放在指定的商業銀行,並以每個客戶名義單獨立戶管理,商業銀行負責資金存取,發揮第三方監督作用,以保障客戶資金安全為目的的資金存管模式。
本指引所指第三方存管系統,是指支撐第三方存管業務運行的網絡與信息系統。
第三條 本指引適用於第三方存管業務的各參與方,具體包括:參與第三方存管業務的證券公司、商業銀行、以及提供數據交換服務的機構(以下簡稱為“仲介服務機構”)。
第四條 本指引中所提出的各項要求,是第三方存管系統應達到的基本要求。
第五條 證券公司和商業銀行第三方存管系統因不符合本指引規定要求,導致出現重大技術事故的,監管部門可以根據監管職責劃分而採取相應的監管措施。
第二章 技術管理體系
第六條 各參與方應指定其總部主要負責人作為第三方存管系統安全穩定運行的第一責任人,負責本單位第三方存管系統的管理,對與第三方存管相關的業務需求分析、系統開發、運營管理、技術審計、安全保障等工作進行組織、協調。
第七條 各參與方應指定專門的技術聯絡員,具體負責與監管機構、技術協調小組、相關參與方之間的對口聯絡。
第八條 各參與方應積極參與探索建立證券業和銀行業之間的第三方存管技術溝通協調機制。時機成熟時,成立由證券業和銀行業共同組成的技術協調小組,負責對第三方存管系統的重大問題及安全情況進行溝通、協調和通報,建立健全聯動機制及制度。
第三章 系統建設
第九條 證券公司與相關商業銀行之間的第三方存管系統對接應遵循總對總的原則,聯接線路既可以採用銀證直聯,也可以通過相關仲介服務機構進行聯接。
第十條 各參與方第三方存管系統的建設總體上應符合以下要求:
1、系統功能應滿足第三方存管的業務規則和各參與方的內控要求;
2、系統日處理能力應達到最近一年內銀證轉賬最大日處理量的5倍以上;
3、相關的應用系統應實現系統的熱備份,支持自動切換;
4、應建立災難備份系統,主用系統和災難備份系統的設計恢復時間目標應少於60分鐘,恢復點目標應少於10分鐘,系統運行性能降低預期應少於50%,主用系統和災難備份系統的通信線路應保持暢通。有條件時建議採用主用系統和災難備份系統處理能力相同、輪換交替使用的雙系統模式;
5、應配備與主用系統技術架構相同的獨立測試系統。
第十一條 第三方存管系統的運行機房應符合《電子計算機機房設計規範》(GB50174)B類以上(含B類)的要求。
第十二條 各參與方之間應至少建立兩條不同運營商或不同類型的通信線路(如DDN、SDH、幀中繼、衛星等)。各條通信線路之間互為備份,當主通信線路發生故障時,應能夠及時切換到備用線路。
第十三條 主通信線路的帶寬應考慮充分的冗余,本地局域網的網絡時延應小于50ms。仲介服務機構與其它參與方之間的通信線路,應根據承載的通信量保證足夠的帶寬。
第十四條 各參與方應建立完整、規範的第三方存管系統測試操作流程,包括系統備份、環境搭建、測試實施、系統恢復等內容。
第十五條 各參與方第三方存管系統應具備完善的自動和人工重發、超時衝正等機制,以減少轉賬差錯率。
第十六條 證券公司第三方存管系統的單項壓力測試處理性能應滿足如下要求:轉賬類交易的處理能力應大於每百萬客戶50筆/秒,查詢類交易的處理能力應大於每百萬客戶150筆/秒。單筆業務最長處理時間應小于30秒。
第十七條 商業銀行第三方存管系統的單項壓力測試處理性能應滿足如下要求:轉賬類交易的處理能力應大於每百萬客戶50筆/秒,查詢類交易的處理能力應大於每百萬客戶100筆/秒。單筆業務最長處理時間應小于30秒。
第十八條 各參與方應在其第三方存管系統內部實現有效隔離,以確保與不同業務對象之間的業務和數據不會發生相互影響。
第十九條 各參與方第三方存管系統應具備較強的穩定性,確保不會因對方第三方存管系統的阻塞或挂起而導致自身第三方存管系統失效,確保不會因對方第三方存管系統故障而導致與其它方之間的業務不能正常開展。
第四章 數據交換
第二十條 第三方存管系統所採用的數據交換協議應保證業務數據的可靠性和完整性,並具有良好的健壯性和可擴展性。
第二十一條 除銀證轉賬業務外,數據交換協議還需支持如下業務:客戶指定(及預指定)存管銀行、存管銀行確認、撤銷存管銀行、客戶資料變更、業務信息查詢、結息通知、總部級對賬、總分平衡校驗反饋等。
第二十二條 數據交換機制應支持報文校驗、動態密鑰交換、數字簽名等安全措施。
第二十三條 在交換的數據中,客戶資金密碼、銀行結算賬戶密碼等重要信息應加密,不得以明文方式交換。
第二十四條 各參與方在進行日終清算文件交換時,應對日終清算文件的合法性和完整性進行校驗。
第二十五條 為確保客戶資金的安全,對轉賬交易類業務,第三方存管系統應具備“不可否認性”。
第二十六條 各證券公司與商業銀行的第三方存管系統應具備轉賬類交易和賬戶類交易(賬戶類交易指存管銀行的指定、確認、撤銷,資料變更等)的對賬與調賬機制,以確保數據的一致性。
第二十七條 數據交換協議建議採用《證券期貨業與銀行間業務數據交換消息體結構和設計規則》。
第五章 運營保障
第二十八條 第三方存管系統全年實際可用性應達到99.9%,單次故障停機時間不超過60分鐘。
第二十九條 各相關參與方之間應建立直接的溝通協調機制,協作完成第三方存管系統的聯調、上線等工作,共同確保第三方存管系統的安全運行。
第三十條 各參與方應對第三方存管系統的軟體升級、變更等操作建立規範的流程,確保變更的請求發起、開發測試、發佈實施等工作規範開展。
第三十一條 各參與方需要進行第三方存管系統聯調或升級時,應提前至少5個工作日通知相關參與方。
第三十二條 各參與方對第三方存管系統提出重大的新業務或管理需求時,應當為相關參與方留有充足的技術準備時間,原則上不少於30個工作日。
第三十三條 各參與方應對其網絡設備及線路狀態在生産時段作不間斷的監控,發現問題時及時處理,並通知相關參與方。
第三十四條 各參與方在對相關網絡及設備做重大變更時應提前告知相關參與方,以免對方運行監控人員採取不必要的操作。
第三十五條 各參與方出現日終處理異常和文件交換異常等事故時,應採取必要措施,不能影響投資者下一交易日的非轉賬類業務。
第三十六條 商業銀行日終對賬數據送達證券公司的截止時間為當日21:00。如需延遲,商業銀行應提前至少一小時通知證券公司。
第三十七條 證券公司日終清算數據送達商業銀行的時間要求為:非結息日的截止時間為次日淩晨2:00,結息日的截止時間為次日淩晨3:00。如需延遲,證券公司應提前至少一小時通知商業銀行。
第三十八條 各參與方如果因網絡故障等原因,無法通過第三方存管系統自動傳送日終清算數據到相關參與方,應及時通知對方,並以其它方式將數據及時送達對方。
第三十九條 各參與方第三方存管系統的前置機、加密設備、網絡設備等硬體設備應有冗余備份,當出現故障時,應能在30分鐘內完成備用設備的切換。
第四十條 各相關參與方之間應相互提供與第三方存管系統相關的信息,包括但不限于:廣域網接入設備及端口類型、相關網絡拓撲結構及必要參數、主機類型與配置、相關系統參數、技術接口協議、系統運行性能測試報告、主要應急預案及相關聯絡人等。
第六章 應急恢復與事故處理
第四十一條 各參與方應制定完整的應急預案及應急協調預案,並定期組織演練及聯合演練。
第四十二條 各參與方應建立並完善內部責任機制和協調機制,堅持信息安全事故問責制度,做好自動留痕和書面留痕工作,以便於責任事故的認定。
第四十三條 各參與方應妥善處置第三方存管發生的重大技術事故,任何一方出現預警信息或者發生重大技術事故時,應在30分鐘內向相關參與方緊急通報,以便共同配合解決問題,並在2個工作日內向相關參與方提供有效的事故説明及處理文檔,各參與方應共同做好技術事故發生後的投資者解釋與安撫工作。
第四十四條 各參與方在第三方存管系統發生技術事故時應相應按照證券業、銀行業的信息安全信息通報制度規定的程序及要求,及時上報。對重大技術事故,還應同時報送對業務造成的影響、投訴糾紛情況等內容。
第七章 附則
第四十五條 本指引自發佈之日起施行。