![金融監(jiān)管總局:強化第三方數(shù)據(jù)安全管理 | 藝賽旗推出第三方合作商安全管控方案]()
近日,國家金融監(jiān)督管理總局向各地方銀保監(jiān)局�、銀行、保險、理財公司等機構(gòu)下發(fā)了《關(guān)于加強第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(下稱《通知》�����。
《通知》提到,近期,部分銀行保險機構(gòu)的外包服務(wù)商發(fā)生多起安全風(fēng)險事件,對銀行保險機構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全����、業(yè)務(wù)連續(xù)性造成一定影響,暴露出銀行保險機構(gòu)在外包服務(wù)管理上存在突出風(fēng)險問題。
主要風(fēng)險體現(xiàn)在企業(yè)微信服務(wù)合作和科技外包合作,事件情況如下:
【事件1】某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù),將銀行客戶經(jīng)理和客戶的聊天會話存檔在該服務(wù)商租用的公有云服務(wù)器上,會話存檔數(shù)據(jù)包含部分客戶姓名���、身份證號、手機號�����、銀行賬號等敏感個人信息����。該服務(wù)商未經(jīng)銀行同意,私自使用了存檔數(shù)據(jù)中的600余萬條會話記錄,用于該公司的模型訓(xùn)練,并提供給關(guān)聯(lián)公司���。銀行因未盡到對客戶敏感數(shù)據(jù)保護(hù)責(zé)任,引發(fā)了消費者維權(quán)投訴�����。
【事件2】某軟件開發(fā)公司負(fù)責(zé)程序投產(chǎn)包發(fā)布的員工,因私自使用國外郵件代理工具而被黑客盜取工作郵箱密碼�。2022年5月,黑客登錄郵箱并下載了部分郵件內(nèi)容,在向公司勒索未果后,7月將數(shù)據(jù)在海外網(wǎng)站售賣,涉及34家銀行業(yè)金融機構(gòu)2個信息系統(tǒng)的部分程序源代碼����、設(shè)計文檔和數(shù)據(jù)庫配置文件等技術(shù)敏感信息��。
【事件3】2023年2月,某互聯(lián)網(wǎng)域名代理商因私自變更失誤,導(dǎo)致某銀行互聯(lián)網(wǎng)域名解析失敗,在業(yè)務(wù)高峰期影響金融交易達(dá)68分鐘。
針對這些事件《通知》中指出了主要風(fēng)險及問題:
1����、銀行保險機構(gòu)對數(shù)字生態(tài)場景合作情況了解不清,缺乏統(tǒng)籌管理�����。
2、銀行保險機構(gòu)對合作中數(shù)據(jù)安全風(fēng)險和責(zé)任識別劃分不清���。
3、銀行保險機構(gòu)在供應(yīng)鏈安全管理上履職不到位�����。
4����、銀行保險機構(gòu)對外包服務(wù)的應(yīng)急管理機制不健全。
5、外包服務(wù)商的安全管理和技術(shù)防護(hù)能力嚴(yán)重不足�����。
針對這些問題《通知》要求各銀行保險機構(gòu)要加強監(jiān)管要求:
1�����、展開風(fēng)險自查。
2�、加強科技風(fēng)險統(tǒng)籌管理����。
3���、加強非駐場外包風(fēng)險監(jiān)測和監(jiān)管報告���。
4��、切實履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)��。
5、采取針對性安全保護(hù)措施���。
6、建立健全應(yīng)急處置機制��。
藝賽旗方案及建議
在金融保險機構(gòu)中,第三方服務(wù)外包合作主要體現(xiàn)在客服外包�、運維外包和開發(fā)外包方面。
為加強外包合作的監(jiān)管要求,保護(hù)客戶個人隱私免受侵犯,并履行對客戶敏感數(shù)據(jù)保護(hù)的責(zé)任,藝賽旗推出了第三方行為安全管控方案——“iS-CDA(藝賽旗桌面行為分析)”。
行為操作合規(guī)性跟蹤:
通過全程錄屏�����、關(guān)鍵詞監(jiān)測和行為分析等技術(shù)手段,可以全面跟蹤第三方外包團(tuán)隊在計算機桌面上的操作行為(每一次鍵盤操作和鼠標(biāo)點擊),確保其合規(guī)性和遵守相關(guān)法規(guī)�、政策和合同要求??梢詭椭l(fā)現(xiàn)潛在的合規(guī)風(fēng)險和違規(guī)行為����。
數(shù)據(jù)保護(hù)和隱私保護(hù):
保護(hù)敏感數(shù)據(jù)和隱私信息免受第三方外包團(tuán)隊的非法訪問和濫用��。通過跟蹤數(shù)據(jù)訪問和使用的手段,可以防止數(shù)據(jù)泄露、未經(jīng)授權(quán)的數(shù)據(jù)操作和濫用。
追溯和責(zé)任分配:
通過詳細(xì)的行為操作審計報告,提供對第三方外包團(tuán)隊操作行為的追溯和追責(zé)���。有助于識別責(zé)任,并在需要時采取糾正措施,同時提供離崗審計以加強對第三方外包人員離崗時的規(guī)范性和風(fēng)險控制。
多元化行為分析不僅限于計算機桌面上的操作行為,還可以擴展到包括手機拍照、抄寫等多樣化的操作行為���。這使得銀行保險機構(gòu)組織可以全面監(jiān)控和審計員工的各種操作行為,無論是在電腦上還是在手機,更大程度的保護(hù)數(shù)據(jù)的安全與隱私信息。
綜上所述,通過“iS-CDA(藝賽旗桌面行為分析)”產(chǎn)品,可以為金融保險機構(gòu)提供有效的風(fēng)險管理和數(shù)據(jù)安全保護(hù)解決方案。助力機構(gòu)能夠更好地應(yīng)對第三方合作外包風(fēng)險,確保客戶個人隱私和敏感數(shù)據(jù)的安全,同時提升合規(guī)性和服務(wù)可靠性���。
中企網(wǎng)微博
中企網(wǎng)微信