2020年2月13日,中国人民银行发布实施金融行业标准《个人金融信息保护技术规范》(JR/T 0171—2020),在《信息安全技术个人信息安全规范》(GB/T 35273—2017)等国家标准基础上,就个人金融信息的保护作出的细化规定,就个人金融信息全生命周期提出安全技术和安全管理方面的要求。
适用主体范围:
《个人金融信息保护技术规范》(JR/T 0171—2020)适用于提供金融产品和服务的金融业机构,具体指由国家金融管理部门监督管理的持牌金融机构,以及涉及个人金融信息处理的相关机构。
哪些个人金融信息受到规范:
根据《个人金融信息保护技术规范》(JR/T 0171—2020),个人金融信息是指通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其他反映特定个人某些情况的信息。
个人金融信息按照其敏感程度从高到低分为C3、C2、C1三个类别,以下为简要整理的类别、范围和以上行业标准针对不同类别设定的要求:
在金融业由于企业应用系统连接内部网络和互联网,应用系统数据的使用者既有来自互联网的用户、合作伙伴,也有来自企业内部的员工,因此涉及个人信息和敏感数据的信息在处理、共享和使用过程中,面临违规越权使用或被用于非法用途等数据泄漏的安全风险。然而,数据的治理与保护也面临着诸多困难,当前金融机构数据多采用分散存储,对数据控制的有效性面临挑战,主要有:
1、内部人员通过客情系统(crm)违规窃取公民金融信息、个人信息等;
2、内部人员对业务应用系统的越权访问、数据滥用,导致数据外泄事件发生;
3、企业重要敏感信息,被员工或第三方合作公司滥用、外泄,给企业造成巨大的经济和声誉损失;
4、员工对于应用系统的访问不透明,无法了解数据的流动方向;
5、企业应用系统敏感接口管理混乱,无法有效的识别和管理;
因此,建立数据安全及风险治理体系,对应用系统中敏感数据访问情况进行审计和监控,对异常数据访问行为进行识别和告警,让敏感数据访问现状全部展现在“灯光”之下,避免敏感数据接口未知造成的安全隐患长期存在,同时建立快速有效的数据泄漏事后溯源机制,是金融机构自身发展的客观要求。
解决方案
我们建议金融业机构对照该行业标准,对业务中涉及的个人金融信息分级分类,参照该行业标准执行收集、处理、委托处理等个人金融信息全生命周期的安全要求。同时还应根据具体服务场景以及该信息在其中的作用对信息的类别进行识别,并实施针对性的保护。
针对金融行业业务特点,我们提供以下两种解决方案:
方案一:应用数据风险分析和审计
此方案主要是面向应用业务系统的安全管理覆盖,通过应用数据安全网关与数据风险分析审计系统来完成,实现敏感数据接口识别、数据行为审计、数据流向识别、异常风险分析以及安全事件的溯源,解决方案逻辑拓扑如下:
应用数据风险分析和审计方案主要提供了三个层次的功能:
1、应用数据扫描
通过对应用网络全流量的分析,可以对企业内部应用层面的数据进行扫描,从而使安全运维人员第一次具备了从全局了解所有系统数据流向的能力。利用系统的数据扫描及敏感接口发现功能,安全运维人员能够知道系统对内外的数据流出渠道,哪些类型的数据通过什么渠道在流出,流出的数量是多少。
2、数据流动审计
系统对应用数据进行扫描之后,对于其中的敏感接口之上的数据流动需要进行进一步的精准监控,将对敏感数据的访问行为定位至用户账户,安全运维人员能够对访问这些接口的账户及其行为进行记录,从而实现对这些敏感数据的访问行为进行审计。系统能够对敏感接口的所有访问都进行记录,并且从账户/IP/接口多个维度进行行为画像,从而使安全运维人员对系统的敏感数据流动有更为精准的把握。
3、风险感知及泄露溯源
在对所有已经配置接口数据进行监控的基础上,系统能够通过主动的风险发现及被动的线索溯源功能,实现整个应用数据的风险预警及可追溯。
核心价值
自动梳理涉敏应用和接口、及时发现新的涉敏应用和接口;
智能监测失活接口、低频高敏接口、未脱敏接口等;
宏观掌握不同信任域之间的数据流向链路;
方案二、数据地图
数据地图是一款针对数据存储的隐私合规与数据治理的产品。采用数据扫描技术、数据打标技术、热词分析技术、数据归类技术构建数据图谱,帮助企业识别有哪些数据、存储在哪里、谁可以使用,进而对数据结构变动进行监测,进行有针对性的治理。同时采用隐私数据发现与识别技术、数据主体聚合技术,帮助识别企业有哪些隐私数据、存储在哪里、如何被使用,进而满足GDPR或《个人信息安全规范》的要求。
数据地图提供的的主要功能:
1、数据资产梳理
通过对数据存储中的数据进行采样分析,依据数据内容进行数据特征识别,为数据进行打标。根据业务特点制定数据集规则,并结合热词分析等技术对数据进行分类,帮助企业了解自己有什么数据存储在哪、是否保护得当。
2、数据主体分析
系统通过数据主体定义,识别企业已经采集的数据主体信息,并结合隐私政策与用户同意记录,分析隐私数据的采集合法性。通过数据主体关联聚合技术,以数据主体视角展示数据分析。帮助企业了解有哪些主体数据,采集是否合规,同时具备响应数据主体权利的能力。
3、数据流图绘制
系统提供智能化数据流图绘制功能,通过以数据主体为中,以数据存储为起点,快速构建上下游数据流动关系。帮助企业快速梳理数据被用在哪些场景,谁在使用数据,实际使用目的与对外声明的是否一致。
4、数据质量监测
通过建立数据质量模型,然后在实际数据中进行比对分析,监测数据表和字段的变化,及时发现不合规的数据,帮助企业落地数据治理规范,提升数据质量。
核心价值:
自动化校验隐私数据采集合法性;
低成本满足数据主体权利要求;
可视化记录数据处理活动;