各基金銷售機構:
為保護投資者的合法權益,促進基金銷售業務健康有序發展,保障基金銷售機構在互聯網上安全可靠地開展基金銷售活動,協會組織制定了《網上基金銷售信息系統技術指引》,現予發布,請參照執行。
網上基金銷售信息系統技術指引
第一章總則
第一條為保障網上基金銷售信息系統的安全、可靠、高效運行,促進基金銷售業務健康有序發展,保護投資者的合法權益,依據《中華人民共和國證券投資基金法》、《證券投資基金銷售業務信息管理平臺管理規定》等法律法規制定本指引。
第二條在中華人民共和國境內依法設立的基金銷售機構開展網上基金銷售業務適用于本指引。
基金銷售機構是指依法辦理基金份額認購、申購和贖回等業務的基金管理人,以及取得基金代銷業務資格的其它機構,包括基金管理公司、商業銀行、證券公司、證券投資咨詢機構、專業基金銷售機構等。
第三條網上基金銷售信息系統是指基金銷售機構在網上開展基金銷售業務活動中所采用的網絡設備、計算機設備、軟件及專用通信線路等構成的信息系統,包括網上基金銷售系統服務端、客戶端和門戶網站。
第四條基金銷售機構應采取技術和管理措施,保證網上基金銷售系統的安全性、完整性和可用性,并做好系統信息保密工作。
第五條中國證券業協會對基金銷售機構執行本指引的情況進行指導和督促。
第二章基本要求
第六條基金銷售機構對網上基金銷售信息系統應統一規劃、集中管理,保證網上基金銷售業務安全、有序發展。
第七條基金銷售機構應制定在網上開展基金銷售業務的各項安全管理制度,對安全管理目標、安全管理組織、安全人員配備、安全策略、安全措施、安全培訓、安全檢查、系統建設、運行管理、應急措施、風險控制、安全審計等方面作出規定。
第八條基金銷售機構應將網上開展基金銷售業務的風險管理納入本機構風險控制工作范圍,建立健全網上基金銷售風險控制管理體系。
第九條基金銷售機構的網上基金銷售信息系統應部署在中華人民共和國境內,滿足監管部門現場檢查要求及中國司法機構調查取證要求。
第十條基金銷售機構應當與投資者簽訂網上基金或網上金融業務服務協議或合同,明確雙方的權利、義務和風險的責任承擔,向投資者揭示使用網上基金銷售信息系統可能面臨的風險、基金銷售機構已采取的風險控制措施和客戶應采取的風險防范措施。
第十一條網上基金銷售信息系統應具有向投資者提示交易時間區間的功能。交易時間區間應嚴格遵守監管機構或交易所的相關規定。
第十二條網上基金銷售信息系統應由基金銷售機構自主運營、自主管理。如涉及第三方(指除基金銷售機構及其客戶以外的任何一方),必須與第三方簽訂保密協議和服務協議,明確責任,采取措施防止通過第三方泄露用戶信息。
第十三條基金銷售機構委托或定制開發網上基金銷售業務系統,應與軟件開發商簽訂詳細的商業合同及保密協議,明確軟件開發商應用軟件中使用的第三方產品具備合法版權。應要求開發商提供源代碼或對源代碼實行第三方托管。
第十四條基金銷售機構應建立可靠的運行環境,確保基金銷售系統有充足的處理能力、存儲容量和通訊帶寬,滿足業務增長的需要。
第十五條基金銷售機構應對網上基金銷售信息系統的各個子系統合理劃分安全域,在不同安全域之間進行有效的隔離,保障網上基金銷售前臺系統與其后臺系統在技術上進行有效隔離,門戶網站和網上基金銷售信息系統進行有效隔離。
第十六條網上基金銷售信息系統各環節必須有可靠的熱備或冷備措施,保證整個系統的高可用性。
第十七條用于網上基金銷售信息系統的服務器、操作系統、平臺軟件等應及時進行補丁和版本升級。升級前需進行嚴格的系統測試。
第十八條網上基金銷售信息系統應具備2個或2個以上不同運營商的互聯網接入,避免在同一運營商的線路接入上出現單點故障和瓶頸。
第十九條網上基金銷售信息系統應部署防火墻、入侵檢測系統或入侵防護系統,并定期對安全日志進行檢查,以提高網上基金銷售信息系統的防護能力。
第三章 門戶網站
第二十條門戶網站指基金銷售機構建立的實現信息發布、業務咨詢、營銷推廣、客戶服務和投資者教育等功能的網站。
第二十一條基金銷售機構門戶網站應在當地電信管理局辦理ICP備案,同時向當地工商局等有關部門辦理網站備案,在網站首頁公布ICP備案號,提供客戶查詢門戶網站備案信息的鏈接。
第二十二條基金銷售機構應采取有效措施監控門戶網站防止被篡改。當網站上的頁面內容、提供給投資者下載的客戶端軟件及其他文件被異常修改時,能及時發現并恢復。
第二十三條門戶網站中不得存放與基金交易業務有關的客戶資料、交易數據等客戶敏感數據。
第二十四條門戶網站中的客戶賬號及口令,應采用加密方式傳輸,并最低達到SSL協議128位的加密強度。
第二十五條基金銷售機構應建立對門戶網站內容發布的審核、管理和監控機制,對網頁內容進行監控,對有害信息進行過濾,防止網站出現不良信息。
|
