跳轉到主內容
VATP SFC 香港 Web3 合規 雲架構 AWS Azure GCP 阿里雲 騰訊雲

香港持牌虛擬資產交易平台(VATP)雲端基礎設施部署指南:SFC 合規 + 多雲架構(2026)

技术顾问 - Alex
· 阅读时间:约 22 分钟
目录

為什麼 VATP 牌照的雲端基礎設施是一道”翻譯題”?

SFC VATP 牌照的雲端基礎設施部署,核心是四條硬要求:98% 冷儲存、HSM 香港本地保管、DMZ 網絡隔離、SOC 安全運營。 這篇文章把每條要求翻譯成具體的雲架構決策——哪一個廠商的什麼產品、怎麼配、多少錢。

2023 年 6 月 1 日,SFC(香港證監會)的虛擬資產交易平台(VATP)發牌制度正式生效。三年過去,截至 2026 年中,香港共有 9 家持牌 VATP——HashKey Exchange、OSL 等是第一批過線者,還有十幾家在申請通道中排隊。

這些平台的 CTO 面臨同一個困境:SFC 的 VATP 指引寫得很清楚——託管怎麼管、網絡怎麼隔、備份怎麼存、審計怎麼過——但它用的是法律文件的語言,不是架構文檔的語言。

雲廠商呢?AWS 有 “Financial Services on AWS - Hong Kong” 合規白皮書,Azure 有 “Hong Kong Regulated Workloads” 方案,GCP 有 Assured Workloads——但沒有一份告訴你”VATP 牌照的 IT 基礎設施到底該怎麼搭”。

這篇文章做的事很簡單:把 SFC VATP 指引中的技術要求,逐條翻譯成雲架構決策,然後對比五家雲廠商在 HK Region 的實際能力。讀完你拿到的不是法條摘要,是一份可以給架構團隊用的技術選型清單。

過去兩年,我們經手了 4 家 VATP 申請機構的雲端基礎設施部署——3 家走 AWS + Azure 雙雲,1 家走阿里雲 + AWS 混合。這篇文章的數據來自這些案例的架構評審記錄,不是官網白皮書的翻譯。

一、SFC VATP 指引——從法條到伺服器

TL;DR:SFC 對 VATP 基礎設施的要求可歸納為三條——錢包私鑰必須在香港用 HSM 保管、98% 客戶資產放冷儲存、網絡必須 DMZ 隔離+SIEM 實時監控。

SFC 對 VATP 的基礎設施要求散落在三份文件中:《VATP 指引》正文(2023 年 6 月)、網絡安全常見問題(2024 年 3 月更新)、以及 2019 年的外部資料儲存通函(19EC59)。下面按雲架構的三個層面拆開講。

1.1 託管與密鑰管理——HSM 是硬門檻

SFC 對客戶虛擬資產(CVA)託管有三條硬性要求,直接決定了你的雲架構選型:

98% 冷儲存。 VATP 指引要求至少 98% 的客戶虛擬資產存放在冷儲存中(§12.3)。注意 SFC 網絡安全 FAQ Q22 給了彈性——“遠程備份伺服器”可以算作”離線介質”(off-line medium),前提是它和主生產系統在物理上安全隔離。

VATP 安全架構:四層縱深防禦——互聯網→DMZ(WAF+API+前端)→私有子網(交易引擎+溫錢包+KYC+SIEM)→冷儲存隔離(HSM+98%冷錢包+遠程備份)

密鑰和種子必須存在香港。 所有加密種子和私鑰必須在香港境內生成、儲存、備份,且需要通過認證的 HSM(硬件安全模塊)保管(Sidley Austin 對 VATP 指引的解讀)。這一點直接斃掉了”用新加坡 Region 的 Cloud HSM 託管 HK 交易所密鑰”的方案——必須用各家雲廠商在 ap-east-1(AWS)或 Southeast Asia(Azure)的 HSM 實例,且 Region 必須是 Hong Kong。

補償安排。 VATP 必須為冷儲存損失覆蓋 50%、熱儲存和其他儲存覆蓋 100%。補償形式可以是第三方保險、銀行擔保、或平台自有資金信託(Trust Funds)。注意:信託資金必須與平台自有資產隔離,且存放在”認可金融機構”——這在香港意味著持牌銀行,不是隨便一家支付公司。

第三方託管暫不允許。 SFC 目前不允許 VATP 使用第三方託管商——必須通過自己的”關聯實體”(Associated Entity)持有客戶資產。關聯實體需要持有 TCSP(信託或公司服務提供者)牌照,且必須在香港運營。所以你的錢包基礎設施不能外包給 BitGo 或 Fireblocks 的託管服務——必須自建,然後在上面疊加 HSM 層。

1.2 網絡安全——SOC 不是可選項

SFC 的網絡安全要求是 VATP 指引中寫得最細的部分(§12.12),也是外部評估師審查最嚴的環節。以下是逐條技術翻譯:

DMZ 隔離。 Web 伺服器等”存放較不敏感資料”的系統必須放在 DMZ 內(FAQ Q12)。翻譯成雲架構:你的交易前端、API Gateway、登入頁面——放在公有子網或 DMZ 子網,通過 WAF 暴露給公網;交易引擎、錢包服務、KYC 資料庫——全部放在私有子網,通過內部負載均衡器通信。

供應商遠程訪問:用完即關。 FAQ Q13 明確——“不應授予外部方永久遠程訪問權限”,供應商訪問按需開通、完成後立即關閉。你不能給雲廠商的支持團隊開一個常駐的 SSH 隧道或 VPN 帳號——實操方案:用 AWS Session Manager / Azure Bastion 做即時訪問,每次生成臨時憑據,操作完成後自動過期,所有會話日誌寫入 SIEM。

補丁期限。 嚴重和高危級別的安全補丁必須在測試完成後一個月內部署。對雲端環境來說,託管服務(RDS、EKS、AKS)的補丁由雲廠商負責——自管 EC2/VM 實例需要自己的運維流程跟上。

SOC 駐場。“設立安全運營中心或同等功能,配備充足資源,負責所有安全監控流程和技術”(§12.12(c))。對於中小型 VATP 申請機構,自建 7×24 SOC 不現實——但你至少需要:① 部署 SIEM(各家雲廠商都有託管版)② 配置實時告警規則 ③ 指定至少一名在香港的 MIC-IT(資訊科技經理)負責安全事件響應。

年度滲透測試 + 外部評估師報告。 申請牌照時必須提交獨立外部評估師的網絡安全審查報告。所以你的雲架構從一開始就要設計成”可被審計的”——所有安全控制有文檔、有日誌、有截圖。不能等申請前兩個月才補。

1.3 風險和審計——SFC 看的是持續性

風險管理和審計是 SFC 審查中最容易被低估的環節。幾個關鍵點:

獨立風險經理。 VATP 指引要求指定獨立的風險管理負責人,不能是交易或業務線的人兼任。對小型平台來說,這等於至少要有一個全職的 CRO 或等效角色。

外部資料儲存需 SFC 批准。 2019 年通函(19EC59)規定:將監管記錄存放在外部提供商(包括公有雲和私有雲)的,必須根據《證券及期貨條例》第 130 條申請 SFC 批准。同時需要指定至少兩名在香港的 MIC,能夠隨時訪問所有監管記錄,並取得雲服務商的書面承諾——SFC 要求調取記錄時,雲廠商必須配合。

翻譯成架構決策:你的審計日誌、交易記錄、KYC 資料——這些”監管記錄”不能隨意丟到 S3 或 Blob Storage。需要:① 確保儲存桶/容器在 HK Region ② 配置不可變日誌(S3 Object Lock / Azure Immutable Blob)③ 雲廠商合同包含 SFC 資料訪問條款。

二、五廠商對比——誰能在 HK Region 接住 VATP 工作負載?

以下是五家雲廠商在香港 Region 對 VATP 關鍵需求的支持情況。這個對比不是從官網功能列表抄的——是按 SFC VATP 指引的三層要求(託管/網絡安全/審計)逐項核對的。

需求AWS (ap-east-1)Azure (Southeast Asia)GCP (asia-east2)阿里雲 (香港)騰訊雲 (香港)
Cloud HSM(HK Region 可用)AWS CloudHSMAzure Dedicated HSMCloud HSMKMS + HSMCloud HSM
SIEM 託管服務Security Hub + GuardDutySentinelChronicleCloud SIEM雲安全中心
不可變日誌儲存S3 Object LockImmutable BlobBucket LockOSS 合規保留COS 合規保留
DMZ/WAF 原生支持WAF + ShieldFront Door + WAFCloud ArmorWAF + Anti-DDoSWeb 應用防火牆
即時訪問(替代永久 VPN)Session ManagerBastionIAP TCP Forwarding運維安全中心堡壘機
HKMA/SFC 合規框架金融服務業合規中心香港受監管行業方案Assured Workloads(需定制)香港金融合規HK 金融合規(通用)
HK Region 服務完整度高(100+ 服務)高(80+ 服務)中(60+ 服務)高(ECS/OSS/KMS/WAF)中(CVM/COS/KMS/WAF)
HK 本地客戶案例OSL 全棧 on AWS多家持牌金融機構案例較少HashKey on 阿里雲案例較少
適合 VATP 規模中大型中大型 + 微軟生態中小型(數據驅動)中型 + 大陸關聯中小型

選型決策樹

VATP 雲廠商選型決策樹:微軟生態→Azure HK,內地關聯→阿里雲雙軌,機構級高吞吐→AWS,重數據分析→GCP,成本優先→騰訊雲

AWS 是當前 HK 持牌交易所的事實標準。OSL 的全棧部署在 AWS 上(EKS + ECR + CloudFront),部署時間從 30 分鐘壓到 10 分鐘以內。優點:服務最全、HK Region 成熟度最高、合規文檔最完整。缺點:不跟微軟 M365 生態打通。

Azure 的差異化在於 Azure Dedicated HSM——物理 HSM 獨佔,不是多租戶共享的 Cloud HSM。如果你的 VATP 合規團隊要求”HSM 必須是物理隔離的”,Azure 是目前唯一在 HK Region 提供這個選項的廠商。加上 Sentinel SIEM 和 Entra ID 身份治理,適合已經有微軟 EA 的企業。

GCP 在 HK Region(asia-east2,即香港)的服務完整度不如 AWS 和 Azure,但 Chronicle SIEM 和 Cloud Armor 在安全運營方面的整合度很高。適合數據驅動型平台——如果你計劃在 BigQuery 上跑交易監控和 AML 分析,GCP 是原生選擇。

阿里雲 在香港有 50,000+ 客戶基礎。HashKey Group 在 2025 年 5 月宣布與阿里雲達成合作,數據運營成本降低超過 50%。如果 VATP 有中國內地關聯業務(比如服務中國出海 Web3 項目),阿里雲 + 國際雲雙軌架構是唯一可行的路徑。

騰訊雲 在香港的金融合規案例較少,但 WAF、Cloud HSM、堡壘機等核心安全產品線已覆蓋 HK Region。中小型 VATP 如果預算有限,騰訊雲的安全產品性價比最高。

三、參考架構——一個可以過審的多雲模式

TL;DR:主雲(AWS 或 Azure HK)跑交易引擎 + 熱錢包,副雲存冷備份和 HSM,雙雲之間用不可變日誌同步。這種”雙層分離”模式在我們經手的 3 家 VATP 申請中全部通過外部評估師審查。

以下架構不是理論設計——是我們經手的 3 家 VATP 申請機構實際採用的模式。核心思路是雙層分離:交易層跑在主雲上,託管和備份跨雲分佈。

3.1 核心層:交易引擎 + 匹配系統

部署位置:主雲 HK Region(AWS ap-east-1 或 Azure Southeast Asia)

  • 交易引擎:部署在私有子網的 EKS/AKS 集群上。對外不暴露公網 IP,只通過內部 ALB 與 API Gateway 通信。
  • API Gateway + 前端:放在 DMZ 子網。前端 CDN 建議用 CloudFront 或 Azure Front Door,開啟 WAF、速率限制、DDoS 防護。
  • 資料庫層:交易記錄和用戶 KYC 資料用 RDS/Aurora(或 Azure SQL Database),多 AZ 部署。這些資料屬於”監管記錄”——記得開啟不可變日誌。
  • 消息隊列:訂單匹配用 Amazon MQ 或 Azure Service Bus,確保在高並發下訂單不丟失、不重複。

3.2 安全層:SIEM + SOC + HSM

監控和告警

  • SIEM 用雲廠商的託管方案(Security Hub + GuardDuty / Sentinel / Chronicle),不要自建 ELK 堆棧——VATP 指向 SFC 審計時,託管 SIEM 的合規文檔比自建的好過 10 倍。
  • SOC 功能:中小型平台不必 7×24 自建——可以混合模式:日常監控由內部 MIC-IT 負責,夜間和週末外包給 MSSP(託管安全服務商)。注意:MSSP 的遠程訪問必須按需開通、用完即關(FAQ Q13)。

HSM 部署

  • 錢包私鑰和種子存放在 Cloud HSM(或 Azure Dedicated HSM)中——必須在 HK Region。
  • 如果預算允許:一台 HSM 用於熱錢包簽名(低延遲),一台獨立 HSM 用於冷錢包密鑰儲存(物理隔離)。AWS CloudHSM 按小時計費,一台實例月費約 US$1,500——對持牌交易所來說這是合理開支。

審計日誌

  • 所有 API 調用(AWS CloudTrail / Azure Monitor / GCP Cloud Audit Logs)寫入不可變儲存。
  • 保留期建議設為 7 年——超過 SFC 的最低要求,但符合香港公司條例對交易記錄的保留標準。

3.3 多雲備份——冷儲存不能只放在一個雲上

多雲備份架構:主雲 AWS HK 跑交易引擎和熱溫錢包,副雲 Azure HK 存冷儲存和 HSM,離線物理介質做最終備份

SFC FAQ Q22 允許”遠程備份伺服器”作為離線介質。但實操中,把所有冷儲存備份放在同一家雲廠商的對象儲存裡不是一個好選擇——單點故障風險在高監管行業不可接受。

建議模式:

  • 主雲(如 AWS HK):熱錢包(2%)+ 溫錢包 + 交易引擎
  • 副雲(如 Azure HK):冷儲存獨立備份(S3 → Azure Blob 跨雲同步)+ HSM 備份
  • 離線備份:關鍵種子和密鑰的物理備份存放在香港本地保險箱——不是雲上的任何地方

四、為什麼 VATP 機構不該走官網直購?

VATP 機構的雲端採購有三個特殊需求,官網直購滿足不了:

1. SFC 要求港幣對公付款 + 香港 Invoice。 官網直購預設美元信用卡或 PayPal——VATP 申請機構需要港幣對公轉帳 + 本地 Invoice(不是 VAT 發票,香港沒有增值稅)。代理商可以開香港本地 Invoice,走公司戶口轉帳。FPS 轉數快是香港企業間支付最常用的通道——24×7 實時到帳,港幣和人民幣雙幣種支持。

2. 多廠商統一帳單。 VATP 的多雲架構意味著你同時在付 AWS、Azure(冷儲存備份)和可能的阿里雲(內地關聯業務)帳單。三家廠商的帳單週期、幣種、發票格式各不相同——代理商可以把三家的帳單合併成一張港幣月結單,對 SFC 審計來說更清晰。

3. 免信用卡驗證——用公司戶口。 香港註冊公司不需要信用卡——直接用公司銀行戶口(商業戶口)+ BR/BRN 驗證即可開通代理帳戶。驗證方式:公司註冊處網上查冊中心(cr.gov.hk),不是企查查。

申請 VATP 牌照期間,SFC 會審查公司的財務安排——包括雲服務採購合同。如果你用的是代理商,合同裡寫明了服務等級、幣種、帳期、發票類型——比官網的線上點擊同意條款好通過得多。

五、關於 VATP 雲端部署,我們被問到最多的六個問題

1. VATP 申請機構必須用 HSM 嗎?

SFC 指引要求加密種子和私鑰”以適當認證的方式存放在香港”(例如 HSM)。雖然文字裡有”例如”——但據我們所知,目前所有已獲批 VATP 的 IT 基礎設施方案中均包含 HSM。外部評估師的審查清單上也預設按 HSM 標準核對。不用 HSM 的替代方案理論上存在,但我們沒見過通過的案例。

2. AWS 和 Azure 怎麼選?

如果團隊技術能力強、需要快速迭代——AWS 的服務完整度和 HK 本地案例(OSL)更強。如果公司已有微軟 EA 或 M365 生態——Azure 的 Dedicated HSM + Sentinel + Entra ID 組合對 VATP 審計更友好。拿不準的話,先用 AWS 跑交易引擎 + Azure 做冷備份和 HSM——多雲本身就是加分項。

3. 中小型 VATP 的雲端成本大概多少?

按我們經手的案例:交易引擎(EKS 集群)+ 資料庫(RDS Multi-AZ)+ HSM + SIEM + WAF + 冷儲存備份——月費約 HK$80,000-150,000。其中 HSM 約 HK$12,000/月,SIEM 因日誌量不同差異大。走代理採購比官網直購低 5-10%。

4. VATP 指引有沒有要求資料不能出境?

VATP 指引本身沒有明文”資料本地化”條款。但 PDPO(個人資料(私隱)條例)對個人資料跨境傳輸有要求——用戶 KYC 資料屬於個人資料,傳輸到香港以外需要用戶明示同意和 DPA 合約。建議所有客戶資料預設放在 HK Region,避免觸發跨境合規流程。

5. SFC 會審查雲架構的具體配置嗎?

會。但不是 SFC 直接審——是 SFC 要求你提交的外部評估師報告會審。評估師的網絡安全審查清單覆蓋網絡分段、訪問控制、加密、日誌、補丁管理、事件響應——每一項都對應具體的雲端資源配置。你的安全組規則、IAM 策略、加密密鑰的保管方式——全在審查範圍內。

6. 第三方錢包服務(Fireblocks/BitGo)可以用來滿足託管要求嗎?

SFC 目前不允許 VATP 使用第三方託管商——客戶資產必須由平台的關聯實體(Associated Entity,持有 TCSP 牌照)自行託管。Fireblocks 和 BitGo 的底層技術(MPC、SGX)可以用,但法律上的託管主體必須是平台自己的關聯實體,不能是第三方。

關於 SevenColorYun

作為 AWS 高級合作夥伴 + 阿里雲/騰訊雲/Azure/GCP 授權代理商,我們在過去 2 年經手了 4 家 VATP 申請機構的雲端基礎設施部署。我們的香港團隊可以直接用 FPS 轉數快或公司戶口處理港幣對公付款,開香港本地 Invoice。

我們的服務:

  • VATP 雲端基礎設施架構設計(含 SFC 評估師審查準備)
  • HSM 部署 + 多層錢包架構(熱/溫/冷)實施方案
  • 多雲統一帳單 + 港幣結算 + 代理折扣(官網價 7.5 折起)
  • SIEM/SOC 部署——從 Security Hub/Sentinel 初始配置到告警規則調優

如果你的平台正在走 VATP 牌照申請,或者已經在持牌運營但架構需要升級——可以聯繫我們做一次免費的技術評審。你把現有的架構文檔發過來,我們出一份 SFC 合規差距分析。點右下角即時通訊直接找 Alex。

相關閱讀

分享这篇文章

Twitter LinkedIn WhatsApp Telegram
🚀

TokenByte— 开发者自助 AI API 平台

聚合 OpenAI / Claude / Gemini 等主流模型,在线注册即开即用

Dashboard 可视化管理秒级账单,按量计费全球专线低延迟
前往 TokenByte 自助开通
技术顾问 - Alex 资深云架构师 · 从业 8 年

8 年云服务行业经验,专注 AWS/GCP 架构设计与成本优化, 已协助 300+ 家企业完成云端部署与迁移。 熟悉跨境电商、游戏出海、SaaS 出海等场景的云架构设计。

AWS Solutions Architect AWS Solutions Architect
GCP Professional Cloud Architect GCP Professional Cloud Architect
AWS 架构设计多云迁移成本优化 查看完整资质 →

相关文章

香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026)
香港 雲服務採購 FPS

香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026)

香港註冊公司採購AWS/Azure/GCP/阿里雲/騰訊雲,付款用FPS轉數快(主流銀行$0手續費),發票沒有VAT,資料合規看PDPO六項原則,代理商上公司註冊處+Partner Directory交叉驗證。全中文互聯網第一篇HK本地企業視角的雲採購完整流程指南,含五廠商HK節點延遲實測資料與銀行FPS手續費對比。

· 约 18 分钟
香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026)
香港 雙軌雲架構 混合雲

香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026)

香港註冊企業天然需要兩套雲:國際雲(AWS/Azure)服務全球用戶,中國大陸雲(阿里雲/騰訊雲)覆蓋內地市場。四層雙軌架構拆解:跨境專線2-5ms、計算分流策略、PDPO+內地三法數據分層、統一管控(DNS/監控/賬單),附五廠商雙軌適配能力對比與四周落地路線圖。

· 约 23 分钟
香港PDPO雲合規實戰指南:六項保障原則逐條架構映射與企業自查清單(2026)
PDPO 雲合規 資料保護

香港PDPO雲合規實戰指南:六項保障原則逐條架構映射與企業自查清單(2026)

香港PDPO六項保障原則逐條拆解為雲架構配置。DPP4保安原則對應KMS加密密鑰輪換加CloudTrail審計日誌不可篡改,DPP2保留期限對應S3生命週期策略自動刪除,DPP3使用限制對應跨境傳輸DPA合約。附五廠商PDPO合規能力對比、PCPD審計實戰、行業差異化要求、合規成本拆解、三階段路線圖與逐項自查清單。

· 约 33 分钟
在线咨询