个人金融信息保护技术规范到底如何落地
讲讲我们这实际落地《个人金融信息保护技术规范》,望有所借鉴。
1、首先看看《个人金融信息保护技术规范》适用范围及引用的文件
2、来看看对于个人金融信息的定义:
是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
3、看完了定义,正式进入落地相关内容,来看看对个人金融信息的分类:
分类级别通过重要程度分三级,C3类数据为最高级别数据,可以形成模板组织公司各互联网系统、业务系统、移动端应用针对分类列表,对数据先进行分类
4、组织梳理完数据分类后,再看看拿这些数据做什么来满足安全的需求呢?
首先就需要看看个人金融信息的生命周期,个人金融信息的生命周期包括对个人金融信息进行收集、传输、存储、使用、删除、销毁等处理的整个过程,每个环节都要有相应的安全保护措施。因此企业不仅应该从静态数据出发,也要动态地从个人金融信息全生命周期出发,对“收集、传输、存储、使用、删除、销毁等”各环节进行统计和梳理,个人信息类别也会在不同的使用场景中有所变化。
5、下面就整理出各个生命周期阶段,各类数据应该满足什么条件:
(一)收集环节,对于C3、C2类别的个人金融信息的要求如下:
(二)传输、存储环节,对于C3、C2类别的个人金融信息的要求如下:
(三)使用(信息展示)、使用(公开披露)环节,对于C3、C2类别的个人金融信息的要求如下:
(四)使用(委托处理)、使用(加工处理)环节,对于C3、C2类别的个人金融信息的要求如下:
以上可以提供相关资料,按模板组织各业务系统梳理现状是否符合全生命周期数据安全规范,根据现状在组织人员进行整改方案讨论,制定方案和计划。按计划执行修改即可
6、之后就是如果金融机构与外部数据公司在各个层面比如核身数据、风控数据有合作的话,需要在安全策略方面参考以下内容:
7、针对Web应用的一个管理要求,说白了这块就是需要采购安全厂商服务来做的了,渗透测试、互联网漏洞监控、网银评估等措施:
8、主要是针对脱敏技术的应用,明确在个人金融信息的多个生命周期环节中的各个要求,这块也是单独的脱敏要求,需要负责数据安全的人员针对这些要求梳理现状,如果不满足进行方案制定,最后研讨后制定计划。按计划整改即可:
9、针对个人金融信息汇聚融合情况的要求,如果公司有同一公司内部不同业务线的数据共享;同一集团内不同关联企业间数据共享;与集团外第三方的数据共享这三种情况,需要满足:
10、针对个人金融信息开发测试的要求,开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。
11、《规范》对于个人金融信息生命周期增加了个人金融信息的销毁环节。分别对“删除”和“销毁”作出了明确的定义:
12、这部分是完全的企业内部管理方面的要求,首先是组织架构方面
13、针对公司内部需要有哪些个人金融信息的规范及办法做了要求
14、这部分又是采购外部安全厂商的服务要求了,主要是移动安全部分
15、针对密码技术的要求,这块可能要求就是针对咱们企业使用的外部密码技术,再对他们选型的时候需要加上这条要求:
16、针对安全监控和审计的要求,写的也比较详细,没有就按要求整改就可以了。
17、对公司内部及合作的安全服务厂商的要求
18、对公司内部安全事件处置的要求:
总结:
根据分解已经很明确各部分内容,剩下就是如果把各部分分给各自负责人,梳理各自部分的现状,差距,和安全厂商专家内部讨论整改方案,制定相关的工作计划,按计划整改即可。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。