![金融監管總局:強化第三方數據安全管理 | 藝賽旗推出第三方合作商安全管控方案]()
近日,國家金融監督管理總局向各地方銀保監局�、銀行�����、保險�����、理財公司等機構下發(fā)了《關(guān)于加強第三方合作中網(wǎng)絡(luò )和數據安全管理的通知》(下稱(chēng)《通知》��。
《通知》提到,近期,部分銀行保險機構的外包服務(wù)商發(fā)生多起安全風(fēng)險事件,對銀行保險機構的網(wǎng)絡(luò )和數據安全�、業(yè)務(wù)連續性造成一定影響,暴露出銀行保險機構在外包服務(wù)管理上存在突出風(fēng)險問(wèn)題�。
主要風(fēng)險體現在企業(yè)微信服務(wù)合作和科技外包合作,事件情況如下:
【事件1】某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù),將銀行客戶(hù)經(jīng)理和客戶(hù)的聊天會(huì )話(huà)存檔在該服務(wù)商租用的公有云服務(wù)器上,會(huì )話(huà)存檔數據包含部分客戶(hù)姓名���、身份證號���、手機號�、銀行賬號等敏感個(gè)人信息�����。該服務(wù)商未經(jīng)銀行同意,私自使用了存檔數據中的600余萬(wàn)條會(huì )話(huà)記錄,用于該公司的模型訓練,并提供給關(guān)聯(lián)公司���。銀行因未盡到對客戶(hù)敏感數據保護責任,引發(fā)了消費者維權投訴�。
【事件2】某軟件開(kāi)發(fā)公司負責程序投產(chǎn)包發(fā)布的員工,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼���。2022年5月,黑客登錄郵箱并下載了部分郵件內容,在向公司勒索未果后,7月將數據在海外網(wǎng)站售賣(mài),涉及34家銀行業(yè)金融機構2個(gè)信息系統的部分程序源代碼����、設計文檔和數據庫配置文件等技術(shù)敏感信息����。
【事件3】2023年2月,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導致某銀行互聯(lián)網(wǎng)域名解析失敗,在業(yè)務(wù)高峰期影響金融交易達68分鐘����。
針對這些事件《通知》中指出了主要風(fēng)險及問(wèn)題:
1����、銀行保險機構對數字生態(tài)場(chǎng)景合作情況了解不清,缺乏統籌管理���。
2����、銀行保險機構對合作中數據安全風(fēng)險和責任識別劃分不清��。
3���、銀行保險機構在供應鏈安全管理上履職不到位���。
4����、銀行保險機構對外包服務(wù)的應急管理機制不健全���。
5���、外包服務(wù)商的安全管理和技術(shù)防護能力嚴重不足��。
針對這些問(wèn)題《通知》要求各銀行保險機構要加強監管要求:
1����、展開(kāi)風(fēng)險自查�。
2�、加強科技風(fēng)險統籌管理�����。
3��、加強非駐場(chǎng)外包風(fēng)險監測和監管報告����。
4�����、切實(shí)履行網(wǎng)絡(luò )和數據安全保護義務(wù)����。
5��、采取針對性安全保護措施�。
6�、建立健全應急處置機制���。
藝賽旗方案及建議
在金融保險機構中,第三方服務(wù)外包合作主要體現在客服外包����、運維外包和開(kāi)發(fā)外包方面�。
為加強外包合作的監管要求,保護客戶(hù)個(gè)人隱私免受侵犯,并履行對客戶(hù)敏感數據保護的責任,藝賽旗推出了第三方行為安全管控方案——“iS-CDA(藝賽旗桌面行為分析)”��。
行為操作合規性跟蹤:
通過(guò)全程錄屏�����、關(guān)鍵詞監測和行為分析等技術(shù)手段,可以全面跟蹤第三方外包團隊在計算機桌面上的操作行為(每一次鍵盤(pán)操作和鼠標點(diǎn)擊),確保其合規性和遵守相關(guān)法規��、政策和合同要求����?��?梢詭椭l(fā)現潛在的合規風(fēng)險和違規行為����。
數據保護和隱私保護:
保護敏感數據和隱私信息免受第三方外包團隊的非法訪(fǎng)問(wèn)和濫用��。通過(guò)跟蹤數據訪(fǎng)問(wèn)和使用的手段,可以防止數據泄露����、未經(jīng)授權的數據操作和濫用����。
追溯和責任分配:
通過(guò)詳細的行為操作審計報告,提供對第三方外包團隊操作行為的追溯和追責��。有助于識別責任,并在需要時(shí)采取糾正措施,同時(shí)提供離崗審計以加強對第三方外包人員離崗時(shí)的規范性和風(fēng)險控制��。
多元化行為分析不僅限于計算機桌面上的操作行為,還可以擴展到包括手機拍照����、抄寫(xiě)等多樣化的操作行為��。這使得銀行保險機構組織可以全面監控和審計員工的各種操作行為,無(wú)論是在電腦上還是在手機,更大程度的保護數據的安全與隱私信息���。
綜上所述,通過(guò)“iS-CDA(藝賽旗桌面行為分析)”產(chǎn)品,可以為金融保險機構提供有效的風(fēng)險管理和數據安全保護解決方案�����。助力機構能夠更好地應對第三方合作外包風(fēng)險,確?����?蛻?hù)個(gè)人隱私和敏感數據的安全,同時(shí)提升合規性和服務(wù)可靠性�。
中企網(wǎng)微博
中企網(wǎng)微信