Redian新闻
>
600万条银行客户数据泄露,监管整顿金融科技外包

600万条银行客户数据泄露,监管整顿金融科技外包

公众号新闻

有关监管《通知》称,银行保险机构应强化“服务外包、责任不外包”的主体意识,统筹管理科技风险,压实外包服务商安全责任


文|《财经》记者 陈洪杰
编辑|袁满

“企业微信服务商私自使用数家银行600余万条会话存档数据,省联社大量客户信息和账户信息被窃取,因代理商失误,银行的金融交易受影响达68分钟......”

针对近期部分银行保险机构的外包服务商发生安全风险事件,2023年6月金融监管部门下发的《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》)称,银行保险机构应强化“服务外包、责任不外包”的主体意识,统筹管理科技风险,压实外包服务商安全责任。

具体来看,在企业微信服务风险情况通报中,监管部门称,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。

“该事件的主要风险和问题:一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。开展数字生态合作时,银行保险机构外包风险主管部门、科技和数据管理部门未参与,缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。二是银行保险机构对合作中数据安全风险和责任识别划分不清,存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。”上述《通知》称。

在科技外包风险方面,监管部门通报了5个事件,其中包括:2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取;某软件开发公司负责程序投产包发布的员工,因私自使用国外邮件代理工具而被黑客盗取工作邮箱密码。2023年2月,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟等。

“对于该业务,监管一直都很严格,核心是要求银行加强对金融数据的加密、存储、传输、使用等全流程全生命周期管理。”某股份制银行总行人士表示。

一位华东地区农商行行长表示,当地省联社的科技能力较强,该省辖区内的银行一般不太与第三方合作。但上述《通知》对科技能力较弱的省联社以及不少城商行的外包服务有较大的影响。

这次排查和之前相比力度更大,也更有针对性。“本次更侧重业务合作中涉及内部重要数据和个人客户敏感信息留存于第三方的场景。监管担心银行在这类业务层面的合作可能没有从信息科技外包风险的角度管控到位,数据安全隐患识别不全面。”某城商行人士称。

监管部门进一步提出了以下要求:一是切实履行网络和数据安全保护义务。银行保险机构应加强风险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全风险检查,对发生安全生产事件的要按合同约定进行处罚。

二是采取针对性安全保护措施。银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据。梳理外包服务商获取、留存的银行保险机构数据,排查个人信息和程序源代码、系统文档等内部技术资料,排查缺省账户密码、弱口令、未定期更新口令、明文存储口令等问题,排查系统和外部产品的漏洞,整改问题隐患。

三是建立健全应急处置机制。银行保险机构应将外包合作场景的事件应急处置纳入应急预案管理,将涉及外包服务商的投诉纳入投诉管理办法,要求外包服务商第一时间报告自身的安全生产事件和投诉举报,报告其产品或服务发现的安全缺陷和漏洞等。

“各银行保险机构应对照上述问题,深入排查供应链风险隐患,切实加强整改。各级派出机构要督促辖内银行保险机构严格落实上述工作要求,严肃处置因管理不当引发的重大风险事件。涉及安全事件的机构,要制定风险整改方案和计划,各级派出机构要加强评估,严格督促,确保落实,不留问题死角。对整改不力的机构,要及时采取监管措施。”《通知》还称。




责编 | 张雨菲
本文为《财经》杂志原创文章,未经授权不得转载或建立镜像。如需转载,请添加微信:caijing19980418

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
《金融博览》│金融戍边,青春无悔——记2023年全国五一劳动奖章获得者、中国农业银行新疆阿勒泰兵团分行185团支行客户经理樊小辉加拿大大型公司惊现数据泄露!客户姓名、SIN号、地址全曝光社招 | 蔡司职位热招!员工礼金+内部福利,居家办公,知名科技外企社招 | 蔡司社招进行中!员工礼金+内部福利,居家办公,知名科技外企韩国游戏监管部门“游戏委员会”被查出腐败问题,监管体系或迎变化谷歌薪资数据泄露,软件工程师基本年薪高达71.8万美元美国一银行客户存款冻结,与沃尔玛有合作谷雨有感三大名牌手机苹果、三星、华为到底哪个好把爱外包时,你也把你的人生外包出去了震惊!暗网泄露数据我中招了!Weee数据泄露后...大家快查查邮箱BB鸭 | iPhone 15将采用叠层电池;微博会员新增VVIP;谷歌薪酬数据泄露;任天堂严惩不当使用账号行为Weee数据泄露后...暗网中招了!大家快查查邮箱​钉钉公布全面智能化最新进展;Q1中国市场新能源轻型汽车销量133万辆;特斯拉大规模数据泄露事件影响逾7.5万人……LifeLabs数据泄露集体诉讼 数百万加拿大人将有资格获赔!【金融行业】监管部门加强银行间与交易所债市发行监管—监管政策周报乌俄最新:震惊!恐怖!俄军真实阵亡数据泄露,比乌军统计的还多……惊了!净资产60元公司,拟收购8300万资产,监管火速关注数据泄露的噩梦,律所该怎么破?四十岁以上女性减脂的误区,你中了几个?逾12万条个人信息泄露,竟是“熟人”作案?余承东:我不喜欢吹牛打广告,喜欢做产品;特斯拉100GB数据泄露,涉及员工隐私;马斯克回应嘲笑比亚迪 |雷峰早报首届 2023· 上海站 FCon 全球金融科技大会:智能驱动,重塑金融数字化转型安慕希回应主播不当言论:非公司员工;特斯拉100GB数据泄露原因查明;盒马15城上线“移山价”丨大公司动态医院数据泄露被罚6.2万元!衡南县网信办依据《数据安全法》开出罚单!OpenAI:已不再使用客户数据训练模型提价后又降价?!加拿大5G通讯大降价!所有现有客户数据提速!科技外企社招 | Honeywell霍尼韦尔,世界500强,平均月薪15k,女性友好,偏爱留学生中国足球,战略不行张庭夫妇又有新动作;安慕希回应主播直播间骂人;京东前CEO徐雷称不会打工和创业;特斯拉100GB数据泄露原因查明...晨跑—-You can never win澳洲银行账户存款离奇消失! 银行客服竟一问三不知, 澳男崩溃…北大黄益平等:金融科技或可减弱“金融加速器”效应社招 | ZEISS蔡司职位热招!员工礼金+内部福利,居家办公,知名科技外企FCon 全球金融科技大会启动,探寻金融与科技的未来
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。