近日,国家金融监督管理总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》。
《通知》提到,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
主要风险体现在企业微信服务合作和科技外包合作,事件情况如下:
【事件1】某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。该服务商未经银行同意,私自使用了存档数据中的600余万条会话记录,用于该公司的模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发了消费者维权投诉。
【事件2】某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2022年5月,黑客登录邮箱并下载了部分邮件内容,在向公司勒索未果后,7月将数据在海外网站售卖,涉及34家银行业金融机构2个信息系统的部分程序源代码、设计文档和数据库配置文件等技术敏感信息。
【事件3】2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。
针对这些事件《通知》中指出了主要风险及问题:
1、银行保险机构对数字生态场景合作情况了解不清,缺乏统筹管理。
2、银行保险机构对合作中数据安全风险和责任识别划分不清。
3、银行保险机构在供应链安全管理上履职不到位。
4、银行保险机构对外包服务的应急管理机制不健全。
5、外包服务商的安全管理和技术防护能力严重不足。
针对这些问题《通知》要求各银行保险机构要加强监管要求:
1、展开风险自查。
2、加强科技风险统筹管理。
3、加强非驻场外包风险监测和监管报告。
4、切实履行网络和数据安全保护义务。
5、采取针对性安全保护措施。
6、建立健全应急处置机制。
艺赛旗方案及建议
在金融保险机构中,第三方服务外包合作主要体现在客服外包、运维外包和开发外包方面。
为加强外包合作的监管要求,保护客户个人隐私免受侵犯,并履行对客户敏感数据保护的责任,艺赛旗推出了第三方行为安全管控方案——“iS-CDA(艺赛旗桌面行为分析)”。
行为操作合规性跟踪:
通过全程录屏、关键词监测和行为分析等技术手段,可以全面跟踪第三方外包团队在计算机桌面上的操作行为(每一次键盘操作和鼠标点击),确保其合规性和遵守相关法规、政策和合同要求。可以帮助发现潜在的合规风险和违规行为。
数据保护和隐私保护:
保护敏感数据和隐私信息免受第三方外包团队的非法访问和滥用。通过跟踪数据访问和使用的手段,可以防止数据泄露、未经授权的数据操作和滥用。
追溯和责任分配:
通过详细的行为操作审计报告,提供对第三方外包团队操作行为的追溯和追责。有助于识别责任,并在需要时采取纠正措施,同时提供离岗审计以加强对第三方外包人员离岗时的规范性和风险控制。
多元化行为分析不仅限于计算机桌面上的操作行为,还可以扩展到包括手机拍照、抄写等多样化的操作行为。这使得银行保险机构组织可以全面监控和审计员工的各种操作行为,无论是在电脑上还是在手机,更大程度的保护数据的安全与隐私信息。