Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
OCC, Fed, FDIC publica orientação conjunta para bancos que oferecem custódia de criptografia
O Escritório do Controlador da Moeda (OCC), do Federal Reserve Board (Fed) e da Federal Deposit Insurance Corporation (FDIC) divulgou uma declaração conjunta explicando como as regras bancárias existentes se aplicam quando as instituições custódias criptografam para os clientes.
A orientação descreve a “proteção” como o ato de manter um ativo digital em nome de um cliente e enfatiza que ele não cria novas demandas de supervisão.
O controle de risco centra -se em chaves criptográficas
Os reguladores instruíram os quadros e executivos a ver a custódia de criptografia como Um serviço que se baseia no controle exclusivo de chaves privadas e outros dados sensíveis. Eles observam que um banco deve provar que nenhuma outra parte, mesmo o cliente, pode mover unilateralmente um ativo depois de entrar em custódia.
A gerência deve avaliar como as ferramentas de geração-chave, tipos de carteira e planos de contingência se alinham ao ambiente de controle mais amplo da instituição e garantir que a equipe possua as habilidades técnicas necessárias para manter essas salvaguardas.
O comunicado também disse aos bancos para pesar a volatilidade da classe de ativos e o ritmo rápido de mudança tecnológica ao alocar capital e pessoal para operações de custódia.
As agências disseram que os programas sólidos incluem revisões contínuas de cada dependências de software de cada token suportadas e design de ledger para identificar vulnerabilidades que poderiam ameaçar a segurança e a solidez.
Conformidade, governança e supervisão de terceiros
As três agências lembraram instituições de que a custódia de criptografia deve satisfazer a Lei do Sigilo Banco, a lavagem de dinheiro, o financiamento do terrorismo e o cargo de regras de controle de ativos estrangeiros, incluindo a “regra de viagem” que anexa informações de identificação às transferências.
Os conselhos devem envolver o oficial da BSA e os gerentes seniores em qualquer lançamento de custódia para avaliar a exposição e os controles de documentos de financiamento ilícito.
Além disso, os bancos que delegam o armazenamento aos sub-custodianos permanecem responsáveis pelo desempenho desses fornecedores. As orientações instruíram as empresas a examinar os principais métodos de gerenciamento, segregação de ativos e proteções de insolvência de um sub-corodiano antes de assinar contratos.
As empresas também deverão criar requisitos de aviso para qualquer violação ou evento operacional. As instituições que mantêm os ativos internamente, mas compram software de terceiros, devem aplicar as mesmas disciplinas de risco de fornecedor.
Finalmente, as agências solicitaram que os auditores expandissem seus testes para incluir elementos específicos de criptografia, como geração de chaves, segurança da carteira e controles de liquidação na cadeia.
Quando as equipes internas não têm experiência, a gerência deve contratar especialistas independentes para validar salvaguardas e se reportar diretamente ao Comitê de Auditoria.
A declaração conjunta concluiu que os regulamentos de segurança fiduciária, de custódia e informação existentes já fornecem uma estrutura para os bancos que desejam proteger sua criptografia.
No entanto, esses bancos devem demonstrar que podem controlar chaves, gerenciar fornecedores e cumprir os estatutos federais de crimes financeiros em tempo real.
