Kryptowertpapierregister

​

Kryptowertpapierregister

​

Technische Architektur: Dezentralität und Sicherheit

• Eine Private Permissioned Blockchain, die auf Hyperledger Besu basiert und durch ein Netzwerk dezentraler Validatoren betrieben wird.
• Eine redundante und verschlüsselte Datenbank (PostgreSQL), die Off-Chain-Daten speichert.
• Eine sichere REST-API mit JWT-basierter Authentifizierung und Autorisierung für den programmatischen Zugriff auf die Registerfunktionen.
• Sichere und verschlüsselte Kommunikationskanäle (TLS 1.3) zwischen allen Komponenten.

​

Registerkomponenten: Funktionalität im Detail

• Hyperledger Besu: Hyperledger Besu ist ein quelloffener Ethereum-Client, der die Kernfunktionalität der Blockchain bereitstellt. Er ermöglicht die Ausführung von Smart Contracts, die Verwaltung von Transaktionen und die Erstellung neuer Blöcke. ecrop nutzt die Enterprise-Funktionen von Besu, um die Anforderungen des Finanzsektors zu erfüllen.
• Private Permissioned Blockchain: Die Private Permissioned Blockchain bildet das dezentrale Netzwerk, auf dem die Kryptoaktien verwaltet werden. Der Zugriff auf das Netzwerk ist auf autorisierte Teilnehmer beschränkt, um die Sicherheit und Integrität des Registers zu gewährleisten. Die Validatoren werden nach strengen Kriterien ausgewählt und unterliegen einer kontinuierlichen Überwachung. Das Konsensverfahren ist auf Effizienz und Sicherheit ausgelegt.
• Smart Contracts: Die Smart Contracts sind in Solidity geschrieben und implementieren die Geschäftslogik für die Verwaltung von Kryptoaktien. Sie ermöglichen die automatisierte Ausführung von Transaktionen, die Übertragung von Aktien, die Ausschüttung von Dividenden und andere Funktionen. Die Smart Contracts sind unveränderlich und gewährleisten die Integrität der Transaktionen, um die Übertragung von Kryptoaktien einzuschränken und die Einhaltung der regulatorischen Anforderungen zu gewährleisten.
• PostgreSQL Datenbank: Die relationale Datenbank (PostgreSQL) speichert alle Off-Chain-Daten, wie z.B. Stammdaten von Emittenten und Kryptowertpapieren, Benutzerdaten, Audit-Trails, Konfigurationsdaten und Transaktionsdetails. Die Datenbank ist redundant ausgelegt (Multi-AZ, geographically redundant), um höchste Verfügbarkeit und Ausfallsicherheit zu gewährleisten. Sie wird in der sicheren und skalierbaren AWS Cloud betrieben und ist durch Firewalls, Verschlüsselung nach Industriestandard (AES-256) und rollenbasierte Zugriffskontrollen (RBAC) geschützt. Regelmäßige Backups und ein Disaster Recovery Plan sorgen für zusätzliche Datensicherheit und die Einhaltung der regulatorischen Anforderungen. (Referenz: eWpG, eWpRV, Datenschutzbestimmungen, Best Practices für Datenbanken, AWS-Dokumentation)
• REST-API: Die REST-API ermöglicht den sicheren und effizienten Zugriff auf die Funktionen des Registers und bietet Entwicklern eine standardisierte Schnittstelle für die Integration mit anderen Systemen. Die API ist versioniert, umfassend dokumentiert und bietet Entwicklern eine einfache Möglichkeit zur Integration. Die Dokumentation enthält detaillierte Beschreibungen aller Endpunkte, Parameter, Datentypen und Rückgabewerte, sowie Code-Beispiele in verschiedenen Programmiersprachen. Die API unterstützt JSON als Datenaustauschformat und verwendet JWT-basierte Authentifizierung und Autorisierung, um die Sicherheit der Datenübertragung zu gewährleisten. Die API-Integration ermöglicht die Automatisierung von Prozessen und die nahtlose Anbindung an bestehende Systeme. (Referenz: eWpG, eWpRV, REST-API-Design-Prinzipien, JWT-Standard)

​

Sicherheitsarchitektur: Schutz auf allen Ebenen

• Mehrschichtige Sicherheitsarchitektur: Die Sicherheitsmaßnahmen umfassen alle Ebenen des Systems, vom Netzwerk über die Anwendungen bis hin zu den Daten. Dies gewährleistet einen umfassenden Schutz vor verschiedenen Arten von Bedrohungen.
• Zugriffskontrollen: Der Zugriff auf das Register ist streng kontrolliert und basiert auf dem Need-to-Know-Prinzip. Es werden rollenbasierte Zugriffskontrollen (RBAC) eingesetzt, um sicherzustellen, dass nur autorisierte Benutzer auf sensible Daten und Funktionen zugreifen können. Zusätzlich wird eine Multi-Faktor-Authentifizierung (MFA) für kritische Operationen verwendet. Das Vier-Augen-Prinzip kommt bei besonders sensiblen Vorgängen zum Einsatz.
• Verschlüsselung: Alle Daten werden sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt. Für die Übertragung wird TLS 1.3 verwendet, für die Speicherung AES-256. Die Schlüssel werden in Hardware Security Modules (HSMs) verwaltet.
• Regelmäßige Sicherheitsüberprüfungen: ecrop führt regelmäßig Sicherheitsüberprüfungen durch, um Schwachstellen zu identifizieren und zu beheben. Dazu gehören Penetrationstests, Sicherheitsaudits und Schwachstellen-Scans. Die Ergebnisse der Überprüfungen werden dokumentiert und in die kontinuierliche Verbesserung der Sicherheitsmaßnahmen eingebunden.
• Incident Response Plan: ecrop hat einen klaren Incident Response Plan für den Umgang mit Sicherheitsvorfällen definiert. Dieser Plan umfasst die Identifizierung von Sicherheitsvorfällen, die Analyse der Ursachen, die Einleitung von Gegenmaßnahmen und die Kommunikation mit den betroffenen Stakeholdern.

​

Datenmodell: Struktur und Beziehungen

• Relationales Datenmodell: Die Daten werden in Tabellen gespeichert, die über Beziehungen miteinander verbunden sind. Dies ermöglicht eine effiziente Abfrage und Verwaltung der Daten.
• Verknüpfung von On-Chain- und Off-Chain-Daten: Die On-Chain-Daten (z.B. Transaktionshashes) werden mit den Off-Chain-Daten (z.B. Stammdaten von Emittenten und Kryptoaktien) über eindeutige IDs verknüpft. Dies gewährleistet die Integrität und Konsistenz der Daten.
• Detaillierte Beschreibung der Tabellenstruktur und der Datenfelder: Die Dokumentation enthält eine detaillierte Beschreibung der Tabellenstruktur und der Datenfelder einschliesslich der Datentypen, Constraints und Beziehungen. (ER-Diagramm)

​

API & Integration: Schnittstelle für Entwickler

• Endpoints: Die API-Dokumentation enthält eine vollständige Beschreibung aller API-Endpunkte mit Beschreibung der Funktionen, Parameter, Datentypen und Rückgabewerte.
• Authentifizierung: Die API verwendet JWT-basierte Authentifizierung und Autorisierung über API-Keys. Die Dokumentation enthält eine detaillierte Beschreibung des Authentifizierungsprozesses und Code-Beispiele für die Authentifizierung in verschiedenen Programmiersprachen.
• Beispiele: Die Dokumentation enthält Code-Beispiele für die API-Integration in verschiedenen Programmiersprachen und für verschiedene Anwendungsfälle, z.B. die Ausgabe eines Kryptowertpapiers, die Übertragung eines Kryptowertpapiers und die Abfrage von Transaktionsdaten.

​

Compliance-Features: Sicherheit und Transparenz

• Audit-Trail: Das Register protokolliert alle Transaktionen und Registeränderungen detailliert, manipulationssicher und unveränderlich in einem revisionssicheren Audit-Trail. Die Protokolle können für Revisionszwecke exportiert werden und entsprechen den Anforderungen der GoBD. Der Audit-Trail ermöglicht die lückenlose Nachvollziehbarkeit aller Vorgänge im Register und dient als Beweismittel im Falle von Streitigkeiten oder behördlichen Untersuchungen.
• Reporting: Das Register ermöglicht die automatisierte Erstellung von standardisierten und individuellen Berichten für Emittenten, Investoren und Aufsichtsbehörden. Die Berichte können flexibel an individuelle Anforderungen angepasst werden und enthalten alle relevanten Informationen, wie z.B. Bestandsübersichten, Transaktionshistorien und Compliance-Daten. Die Berichte werden in einem maschinenlesbaren Format bereitgestellt und können über die API abgerufen werden.
• Kontrollen: Das Register enthält integrierte Kontrollmechanismen, um die Einhaltung der regulatorischen Anforderungen, insbesondere des eWpG, der eWpRV und des GwG, zu gewährleisten. Dazu gehören z.B. die automatisierte Prüfung von KYC/AML-Anforderungen, die Validierung von Transaktionsdaten und die Überwachung des Emissionsvolumens.