香港持牌虛擬資產交易平台(VATP)雲端基礎設施部署指南:SFC 合規 + 多雲架構(2026)
目录
為什麼 VATP 牌照的雲端基礎設施是一道”翻譯題”?
SFC VATP 牌照的雲端基礎設施部署,核心是四條硬要求:98% 冷儲存、HSM 香港本地保管、DMZ 網絡隔離、SOC 安全運營。 這篇文章把每條要求翻譯成具體的雲架構決策——哪一個廠商的什麼產品、怎麼配、多少錢。
2023 年 6 月 1 日,SFC(香港證監會)的虛擬資產交易平台(VATP)發牌制度正式生效。三年過去,截至 2026 年中,香港共有 9 家持牌 VATP——HashKey Exchange、OSL 等是第一批過線者,還有十幾家在申請通道中排隊。
這些平台的 CTO 面臨同一個困境:SFC 的 VATP 指引寫得很清楚——託管怎麼管、網絡怎麼隔、備份怎麼存、審計怎麼過——但它用的是法律文件的語言,不是架構文檔的語言。
雲廠商呢?AWS 有 “Financial Services on AWS - Hong Kong” 合規白皮書,Azure 有 “Hong Kong Regulated Workloads” 方案,GCP 有 Assured Workloads——但沒有一份告訴你”VATP 牌照的 IT 基礎設施到底該怎麼搭”。
這篇文章做的事很簡單:把 SFC VATP 指引中的技術要求,逐條翻譯成雲架構決策,然後對比五家雲廠商在 HK Region 的實際能力。讀完你拿到的不是法條摘要,是一份可以給架構團隊用的技術選型清單。
過去兩年,我們經手了 4 家 VATP 申請機構的雲端基礎設施部署——3 家走 AWS + Azure 雙雲,1 家走阿里雲 + AWS 混合。這篇文章的數據來自這些案例的架構評審記錄,不是官網白皮書的翻譯。
一、SFC VATP 指引——從法條到伺服器
TL;DR:SFC 對 VATP 基礎設施的要求可歸納為三條——錢包私鑰必須在香港用 HSM 保管、98% 客戶資產放冷儲存、網絡必須 DMZ 隔離+SIEM 實時監控。
SFC 對 VATP 的基礎設施要求散落在三份文件中:《VATP 指引》正文(2023 年 6 月)、網絡安全常見問題(2024 年 3 月更新)、以及 2019 年的外部資料儲存通函(19EC59)。下面按雲架構的三個層面拆開講。
1.1 託管與密鑰管理——HSM 是硬門檻
SFC 對客戶虛擬資產(CVA)託管有三條硬性要求,直接決定了你的雲架構選型:
98% 冷儲存。 VATP 指引要求至少 98% 的客戶虛擬資產存放在冷儲存中(§12.3)。注意 SFC 網絡安全 FAQ Q22 給了彈性——“遠程備份伺服器”可以算作”離線介質”(off-line medium),前提是它和主生產系統在物理上安全隔離。

密鑰和種子必須存在香港。 所有加密種子和私鑰必須在香港境內生成、儲存、備份,且需要通過認證的 HSM(硬件安全模塊)保管(Sidley Austin 對 VATP 指引的解讀)。這一點直接斃掉了”用新加坡 Region 的 Cloud HSM 託管 HK 交易所密鑰”的方案——必須用各家雲廠商在 ap-east-1(AWS)或 Southeast Asia(Azure)的 HSM 實例,且 Region 必須是 Hong Kong。
補償安排。 VATP 必須為冷儲存損失覆蓋 50%、熱儲存和其他儲存覆蓋 100%。補償形式可以是第三方保險、銀行擔保、或平台自有資金信託(Trust Funds)。注意:信託資金必須與平台自有資產隔離,且存放在”認可金融機構”——這在香港意味著持牌銀行,不是隨便一家支付公司。
第三方託管暫不允許。 SFC 目前不允許 VATP 使用第三方託管商——必須通過自己的”關聯實體”(Associated Entity)持有客戶資產。關聯實體需要持有 TCSP(信託或公司服務提供者)牌照,且必須在香港運營。所以你的錢包基礎設施不能外包給 BitGo 或 Fireblocks 的託管服務——必須自建,然後在上面疊加 HSM 層。
1.2 網絡安全——SOC 不是可選項
SFC 的網絡安全要求是 VATP 指引中寫得最細的部分(§12.12),也是外部評估師審查最嚴的環節。以下是逐條技術翻譯:
DMZ 隔離。 Web 伺服器等”存放較不敏感資料”的系統必須放在 DMZ 內(FAQ Q12)。翻譯成雲架構:你的交易前端、API Gateway、登入頁面——放在公有子網或 DMZ 子網,通過 WAF 暴露給公網;交易引擎、錢包服務、KYC 資料庫——全部放在私有子網,通過內部負載均衡器通信。
供應商遠程訪問:用完即關。 FAQ Q13 明確——“不應授予外部方永久遠程訪問權限”,供應商訪問按需開通、完成後立即關閉。你不能給雲廠商的支持團隊開一個常駐的 SSH 隧道或 VPN 帳號——實操方案:用 AWS Session Manager / Azure Bastion 做即時訪問,每次生成臨時憑據,操作完成後自動過期,所有會話日誌寫入 SIEM。
補丁期限。 嚴重和高危級別的安全補丁必須在測試完成後一個月內部署。對雲端環境來說,託管服務(RDS、EKS、AKS)的補丁由雲廠商負責——自管 EC2/VM 實例需要自己的運維流程跟上。
SOC 駐場。“設立安全運營中心或同等功能,配備充足資源,負責所有安全監控流程和技術”(§12.12(c))。對於中小型 VATP 申請機構,自建 7×24 SOC 不現實——但你至少需要:① 部署 SIEM(各家雲廠商都有託管版)② 配置實時告警規則 ③ 指定至少一名在香港的 MIC-IT(資訊科技經理)負責安全事件響應。
年度滲透測試 + 外部評估師報告。 申請牌照時必須提交獨立外部評估師的網絡安全審查報告。所以你的雲架構從一開始就要設計成”可被審計的”——所有安全控制有文檔、有日誌、有截圖。不能等申請前兩個月才補。
1.3 風險和審計——SFC 看的是持續性
風險管理和審計是 SFC 審查中最容易被低估的環節。幾個關鍵點:
獨立風險經理。 VATP 指引要求指定獨立的風險管理負責人,不能是交易或業務線的人兼任。對小型平台來說,這等於至少要有一個全職的 CRO 或等效角色。
外部資料儲存需 SFC 批准。 2019 年通函(19EC59)規定:將監管記錄存放在外部提供商(包括公有雲和私有雲)的,必須根據《證券及期貨條例》第 130 條申請 SFC 批准。同時需要指定至少兩名在香港的 MIC,能夠隨時訪問所有監管記錄,並取得雲服務商的書面承諾——SFC 要求調取記錄時,雲廠商必須配合。
翻譯成架構決策:你的審計日誌、交易記錄、KYC 資料——這些”監管記錄”不能隨意丟到 S3 或 Blob Storage。需要:① 確保儲存桶/容器在 HK Region ② 配置不可變日誌(S3 Object Lock / Azure Immutable Blob)③ 雲廠商合同包含 SFC 資料訪問條款。
二、五廠商對比——誰能在 HK Region 接住 VATP 工作負載?
以下是五家雲廠商在香港 Region 對 VATP 關鍵需求的支持情況。這個對比不是從官網功能列表抄的——是按 SFC VATP 指引的三層要求(託管/網絡安全/審計)逐項核對的。
| 需求 | AWS (ap-east-1) | Azure (Southeast Asia) | GCP (asia-east2) | 阿里雲 (香港) | 騰訊雲 (香港) |
|---|---|---|---|---|---|
| Cloud HSM(HK Region 可用) | AWS CloudHSM | Azure Dedicated HSM | Cloud HSM | KMS + HSM | Cloud HSM |
| SIEM 託管服務 | Security Hub + GuardDuty | Sentinel | Chronicle | Cloud SIEM | 雲安全中心 |
| 不可變日誌儲存 | S3 Object Lock | Immutable Blob | Bucket Lock | OSS 合規保留 | COS 合規保留 |
| DMZ/WAF 原生支持 | WAF + Shield | Front Door + WAF | Cloud Armor | WAF + Anti-DDoS | Web 應用防火牆 |
| 即時訪問(替代永久 VPN) | Session Manager | Bastion | IAP TCP Forwarding | 運維安全中心 | 堡壘機 |
| HKMA/SFC 合規框架 | 金融服務業合規中心 | 香港受監管行業方案 | Assured Workloads(需定制) | 香港金融合規 | HK 金融合規(通用) |
| HK Region 服務完整度 | 高(100+ 服務) | 高(80+ 服務) | 中(60+ 服務) | 高(ECS/OSS/KMS/WAF) | 中(CVM/COS/KMS/WAF) |
| HK 本地客戶案例 | OSL 全棧 on AWS | 多家持牌金融機構 | 案例較少 | HashKey on 阿里雲 | 案例較少 |
| 適合 VATP 規模 | 中大型 | 中大型 + 微軟生態 | 中小型(數據驅動) | 中型 + 大陸關聯 | 中小型 |
選型決策樹

AWS 是當前 HK 持牌交易所的事實標準。OSL 的全棧部署在 AWS 上(EKS + ECR + CloudFront),部署時間從 30 分鐘壓到 10 分鐘以內。優點:服務最全、HK Region 成熟度最高、合規文檔最完整。缺點:不跟微軟 M365 生態打通。
Azure 的差異化在於 Azure Dedicated HSM——物理 HSM 獨佔,不是多租戶共享的 Cloud HSM。如果你的 VATP 合規團隊要求”HSM 必須是物理隔離的”,Azure 是目前唯一在 HK Region 提供這個選項的廠商。加上 Sentinel SIEM 和 Entra ID 身份治理,適合已經有微軟 EA 的企業。
GCP 在 HK Region(asia-east2,即香港)的服務完整度不如 AWS 和 Azure,但 Chronicle SIEM 和 Cloud Armor 在安全運營方面的整合度很高。適合數據驅動型平台——如果你計劃在 BigQuery 上跑交易監控和 AML 分析,GCP 是原生選擇。
阿里雲 在香港有 50,000+ 客戶基礎。HashKey Group 在 2025 年 5 月宣布與阿里雲達成合作,數據運營成本降低超過 50%。如果 VATP 有中國內地關聯業務(比如服務中國出海 Web3 項目),阿里雲 + 國際雲雙軌架構是唯一可行的路徑。
騰訊雲 在香港的金融合規案例較少,但 WAF、Cloud HSM、堡壘機等核心安全產品線已覆蓋 HK Region。中小型 VATP 如果預算有限,騰訊雲的安全產品性價比最高。
三、參考架構——一個可以過審的多雲模式
TL;DR:主雲(AWS 或 Azure HK)跑交易引擎 + 熱錢包,副雲存冷備份和 HSM,雙雲之間用不可變日誌同步。這種”雙層分離”模式在我們經手的 3 家 VATP 申請中全部通過外部評估師審查。
以下架構不是理論設計——是我們經手的 3 家 VATP 申請機構實際採用的模式。核心思路是雙層分離:交易層跑在主雲上,託管和備份跨雲分佈。
3.1 核心層:交易引擎 + 匹配系統
部署位置:主雲 HK Region(AWS ap-east-1 或 Azure Southeast Asia)
- 交易引擎:部署在私有子網的 EKS/AKS 集群上。對外不暴露公網 IP,只通過內部 ALB 與 API Gateway 通信。
- API Gateway + 前端:放在 DMZ 子網。前端 CDN 建議用 CloudFront 或 Azure Front Door,開啟 WAF、速率限制、DDoS 防護。
- 資料庫層:交易記錄和用戶 KYC 資料用 RDS/Aurora(或 Azure SQL Database),多 AZ 部署。這些資料屬於”監管記錄”——記得開啟不可變日誌。
- 消息隊列:訂單匹配用 Amazon MQ 或 Azure Service Bus,確保在高並發下訂單不丟失、不重複。
3.2 安全層:SIEM + SOC + HSM
監控和告警:
- SIEM 用雲廠商的託管方案(Security Hub + GuardDuty / Sentinel / Chronicle),不要自建 ELK 堆棧——VATP 指向 SFC 審計時,託管 SIEM 的合規文檔比自建的好過 10 倍。
- SOC 功能:中小型平台不必 7×24 自建——可以混合模式:日常監控由內部 MIC-IT 負責,夜間和週末外包給 MSSP(託管安全服務商)。注意:MSSP 的遠程訪問必須按需開通、用完即關(FAQ Q13)。
HSM 部署:
- 錢包私鑰和種子存放在 Cloud HSM(或 Azure Dedicated HSM)中——必須在 HK Region。
- 如果預算允許:一台 HSM 用於熱錢包簽名(低延遲),一台獨立 HSM 用於冷錢包密鑰儲存(物理隔離)。AWS CloudHSM 按小時計費,一台實例月費約 US$1,500——對持牌交易所來說這是合理開支。
審計日誌:
- 所有 API 調用(AWS CloudTrail / Azure Monitor / GCP Cloud Audit Logs)寫入不可變儲存。
- 保留期建議設為 7 年——超過 SFC 的最低要求,但符合香港公司條例對交易記錄的保留標準。
3.3 多雲備份——冷儲存不能只放在一個雲上

SFC FAQ Q22 允許”遠程備份伺服器”作為離線介質。但實操中,把所有冷儲存備份放在同一家雲廠商的對象儲存裡不是一個好選擇——單點故障風險在高監管行業不可接受。
建議模式:
- 主雲(如 AWS HK):熱錢包(2%)+ 溫錢包 + 交易引擎
- 副雲(如 Azure HK):冷儲存獨立備份(S3 → Azure Blob 跨雲同步)+ HSM 備份
- 離線備份:關鍵種子和密鑰的物理備份存放在香港本地保險箱——不是雲上的任何地方
四、為什麼 VATP 機構不該走官網直購?
VATP 機構的雲端採購有三個特殊需求,官網直購滿足不了:
1. SFC 要求港幣對公付款 + 香港 Invoice。 官網直購預設美元信用卡或 PayPal——VATP 申請機構需要港幣對公轉帳 + 本地 Invoice(不是 VAT 發票,香港沒有增值稅)。代理商可以開香港本地 Invoice,走公司戶口轉帳。FPS 轉數快是香港企業間支付最常用的通道——24×7 實時到帳,港幣和人民幣雙幣種支持。
2. 多廠商統一帳單。 VATP 的多雲架構意味著你同時在付 AWS、Azure(冷儲存備份)和可能的阿里雲(內地關聯業務)帳單。三家廠商的帳單週期、幣種、發票格式各不相同——代理商可以把三家的帳單合併成一張港幣月結單,對 SFC 審計來說更清晰。
3. 免信用卡驗證——用公司戶口。 香港註冊公司不需要信用卡——直接用公司銀行戶口(商業戶口)+ BR/BRN 驗證即可開通代理帳戶。驗證方式:公司註冊處網上查冊中心(cr.gov.hk),不是企查查。
申請 VATP 牌照期間,SFC 會審查公司的財務安排——包括雲服務採購合同。如果你用的是代理商,合同裡寫明了服務等級、幣種、帳期、發票類型——比官網的線上點擊同意條款好通過得多。
五、關於 VATP 雲端部署,我們被問到最多的六個問題
1. VATP 申請機構必須用 HSM 嗎?
SFC 指引要求加密種子和私鑰”以適當認證的方式存放在香港”(例如 HSM)。雖然文字裡有”例如”——但據我們所知,目前所有已獲批 VATP 的 IT 基礎設施方案中均包含 HSM。外部評估師的審查清單上也預設按 HSM 標準核對。不用 HSM 的替代方案理論上存在,但我們沒見過通過的案例。
2. AWS 和 Azure 怎麼選?
如果團隊技術能力強、需要快速迭代——AWS 的服務完整度和 HK 本地案例(OSL)更強。如果公司已有微軟 EA 或 M365 生態——Azure 的 Dedicated HSM + Sentinel + Entra ID 組合對 VATP 審計更友好。拿不準的話,先用 AWS 跑交易引擎 + Azure 做冷備份和 HSM——多雲本身就是加分項。
3. 中小型 VATP 的雲端成本大概多少?
按我們經手的案例:交易引擎(EKS 集群)+ 資料庫(RDS Multi-AZ)+ HSM + SIEM + WAF + 冷儲存備份——月費約 HK$80,000-150,000。其中 HSM 約 HK$12,000/月,SIEM 因日誌量不同差異大。走代理採購比官網直購低 5-10%。
4. VATP 指引有沒有要求資料不能出境?
VATP 指引本身沒有明文”資料本地化”條款。但 PDPO(個人資料(私隱)條例)對個人資料跨境傳輸有要求——用戶 KYC 資料屬於個人資料,傳輸到香港以外需要用戶明示同意和 DPA 合約。建議所有客戶資料預設放在 HK Region,避免觸發跨境合規流程。
5. SFC 會審查雲架構的具體配置嗎?
會。但不是 SFC 直接審——是 SFC 要求你提交的外部評估師報告會審。評估師的網絡安全審查清單覆蓋網絡分段、訪問控制、加密、日誌、補丁管理、事件響應——每一項都對應具體的雲端資源配置。你的安全組規則、IAM 策略、加密密鑰的保管方式——全在審查範圍內。
6. 第三方錢包服務(Fireblocks/BitGo)可以用來滿足託管要求嗎?
SFC 目前不允許 VATP 使用第三方託管商——客戶資產必須由平台的關聯實體(Associated Entity,持有 TCSP 牌照)自行託管。Fireblocks 和 BitGo 的底層技術(MPC、SGX)可以用,但法律上的託管主體必須是平台自己的關聯實體,不能是第三方。
關於 SevenColorYun
作為 AWS 高級合作夥伴 + 阿里雲/騰訊雲/Azure/GCP 授權代理商,我們在過去 2 年經手了 4 家 VATP 申請機構的雲端基礎設施部署。我們的香港團隊可以直接用 FPS 轉數快或公司戶口處理港幣對公付款,開香港本地 Invoice。
我們的服務:
- VATP 雲端基礎設施架構設計(含 SFC 評估師審查準備)
- HSM 部署 + 多層錢包架構(熱/溫/冷)實施方案
- 多雲統一帳單 + 港幣結算 + 代理折扣(官網價 7.5 折起)
- SIEM/SOC 部署——從 Security Hub/Sentinel 初始配置到告警規則調優
如果你的平台正在走 VATP 牌照申請,或者已經在持牌運營但架構需要升級——可以聯繫我們做一次免費的技術評審。你把現有的架構文檔發過來,我們出一份 SFC 合規差距分析。點右下角即時通訊直接找 Alex。
相關閱讀
- AWS EC2 香港伺服器實測:延遲 P99、頻寬帳單與實例可用性的真實帳本(2026) —— VATP 選型之前,先看懂 ap-east-1 的延遲、頻寬成本與實例可用性(此文為簡體版)
- 香港PDPO雲合規實戰指南:六項保障原則逐條架構映射與企業自查清單(2026) —— VATP 的用戶 KYC 與交易資料保護,逐條落到 PDPO 六項保障原則的操作手冊
- 香港企業雙軌雲架構實戰指南:國際雲+中國大陸雲混合部署與跨境合規(2026) —— VATP 若有中國內地關聯業務,多雲架構怎麼在國際軌+大陸軌之間分流與統一管控
- 海外企業合規雲架構:GDPR + 東南亞 PDPA/PDPO 資料合規實踐指南(2026) —— PDPO 和 GDPR 的合規對照,VATP 涉及用戶 KYC 資料時必須同步滿足
- 香港雲伺服器選型完整指南:AWS vs Azure vs 騰訊雲 延遲、成本、合規三維對比(2026) —— VATP 基礎設施的伺服器選型前置決策:HK Region 三家廠商延遲/成本/合規橫向對比
- 香港註冊公司如何採購雲服務?FPS對公付款、Invoice做賬、PDPO資料合規、代理商驗證全流程(2026) —— VATP 機構落地前,先搞清楚 FPS 付款、香港 Invoice 做賬與代理商查冊驗證
- 雲廠商代理商資質怎麼驗證?AWS/Azure/GCP/阿里雲/騰訊雲官方授權核查指南 —— 用公司註冊處查冊中心(cr.gov.hk)驗代理商——不要用企查查
TokenByte— 开发者自助 AI API 平台
聚合 OpenAI / Claude / Gemini 等主流模型,在线注册即开即用