中国证监会和中国银监会近日联合发布并施行《证券公司客户交易结算资金商业银行第三方存管技术指引》(以下简称《指引》)，旨在推动第三方存管技术系统建设、管理、运行的规范化和标准化。

    所谓“第三方存管”，是指证券公司将客户交易结算资金存放在指定的商业银行，并以每个客户名义单独立户管理，商业银行负责资金存取，发挥第三方监督作用，以保障客户资金安全为目的的资金存管模式。第三方存管系统，系支撑第三方存管业务运行的网络信息系统。而证券公司和商业银行第三方存管系统因不符合指引规定要求，导致出现重大技术事故的，监管部门可以根据监管职责划分而采取相应的监管措施。

    此次发布的《指引》在技术管理体系、系统建设、数据交换、运营保障、应急恢复与事故处理等方面进行了详细的说明。

    在技术管理体系中，明确了各参与方的总部主要负责人作为第三方存管系统安全稳定运行的第一责任人，负责本单位第三方存管系统的管理。同时，还要求指定专门的技术联络员，具体负责与监管机构、技术协调小组、相关参与方之间的对口联络。另外还规定，各参与方应积极参与探索建立证券业和银行业之间的第三方存管技术沟通协调机制。等到时机成熟，可成立由证券业和银行业共同组成的技术协调小组，负责对第三方存管系统的重大问题及安全情况进行沟通、协调和通报，建立健全联动机制及制度。

    在第三方存管系统的建设上，《指引》对各参与方总体主要提出了以下明确要求：系统日处理能力应达到最近一年内银证转账最大日处理量的5倍以上；应建立灾难备份系统、主用系统；灾难备份系统的设计恢复时间目标应少于60分钟，恢复点目标应少于10分钟，系统运行性能降低预期应少于50％，主用系统和灾难备份系统的通信线路应保持畅通。有条件时，建议采用主用系统和灾难备份系统处理能力相同、轮换交替使用的双系统模式；相关的应用系统应实现系统的热备份，支持自动切换。

    在系统建设一项里，《指引》还分别对证券公司和商业银行的第三方存管系统分别提出要求。证券公司第三方存管系统的单项压力测试处理性能应满足如下要求：转账类交易的处理能力应大于每百万客户50笔/秒，查询类交易的处理能力应大于每百万客户150笔/秒。单笔业务最长处理时间应小于30秒。

    商业银行第三方存管系统的单项压力测试处理性能应满足如下要求：转账类交易的处理能力应大于每百万客户50笔/秒，查询类交易的处理能力应大于每百万客户100笔/秒，单笔业务最长处理时间应小于30秒。

    在数据交换方面，《指引》提出：第三方存管系统所采用的数据交换协议应保证业务数据的可靠性和完整性，并具有良好的可扩展性。除去银证转账业务外，数据交换协议还需支持如下业务：客户指定（及预指定）存管银行、存管银行确认、撤销存管银行、客户资料变更、业务信息查询、结息通知、总部级对账、总分平衡校验反馈等。

    在进行数据交换时，安全措施是必不可少的。《指引》指出，数据交换机制应支持报文校验、动态密钥交换、数字签名等安全措施。在交换的数据中，客户资金密码、银行结算账户密码等重要信息应加密，不得以明文方式交换。同时，为确保客户资金的安全，对转账交易类业务，第三方存管系统应具备“不可否认性”。

    为了有力保障运营的顺利，《指引》提出了较高的要求：第三方存管系统全年实际可用性应达到99.9%，单次故障停机时间不超过60分钟。

    而充分考虑到第三方存管系统是证券公司与银行之间各有分工又各有合作，因此，沟通协调是非常重要的。《指引》要求各相关参与方之间应建立直接的沟通协调机制，协作完成第三方存管系统的联调、上线等工作，共同确保第三方存管系统的安全运行。并对可能出现的问题事前做好应急处理，各参与方应对第三方存管系统的软件升级、变更等操作建立规范的流程，确保变更的请求发起、开发测试、发布实施等工作规范开展。并在冗余备份及处置技术事故时规定当出现故障时，应能在30分钟内完成备用设备的切换。并在30分钟内向相关参与方紧急通报，以便共同配合解决问题，并在2个工作日内向相关参与方提供有效的事故说明及处理文档，各参与方应共同做好技术事故发生后的投资者解释与安抚工作。

    按证监会规定的时间表，所有券商必须在今年8月31日前实现证券客户交易结算资金在银行的第三方存管业务，12月底前全面完成上线工作。此《指引》在第三方存管业务全面上线之前推出，也为第三方存管在技术的实现上提供了相应的标准，从而有据可依，为此业务提供坚实的技术基础。