根据 Qpos：

下面我就讲一下我们实际执行《个人金融信息保护技术规范》的情况，希望对大家有所帮助。

1.首先我们来看一下《个人金融信息保护技术规范》的适用范围和参考文件

2、我们先来看看个人财务信息的定义：

是指金融机构通过提供金融产品和服务或者其他渠道获取、处理和存储的个人信息，包括账户信息、身份识别信息、金融交易信息、个人身份信息、财产信息、贷款信息以及反映特定个人特定情况的其他信息。

3、看完定义，我们来正式进入实施相关的内容，看一下个人金融信息的分类：

分类级别按照重要性分为三级，C3数据为最高级别数据，可以形成一个模板，将公司的互联网系统、业务系统、移动应用等进行先行分类。

4. 对数据进行组织和排序后，可以对数据做什么来满足安全需求？

首先，我们需要看个人金融信息的生命周期，它包括个人金融信息的收集、传输、存储、使用、删除、销毁等全过程，每个环节都要有相应的安全防护措施。因此，企业不仅要从静态数据入手，更要动态地从个人金融信息的全生命周期入手，对“收集、传输、存储、使用、删除、销毁等”每个环节进行统计和整理。在不同使用场景下，个人信息的类别也会发生变化。

5.以下总结了各类数据在生命周期各个阶段应该满足的条件：

（一）在采集阶段，对C3、C2类个人金融信息的要求如下：

（二）C3、C2类个人金融信息在传输、存储方面的要求如下：

（三）在使用（信息展示）和使用（公开披露）阶段，对C3、C2类个人金融信息的要求如下：

（四）C3、C2类个人金融信息在使用（委托处理）和使用（处理）阶段的要求如下：

以上信息可组织各业务系统按照模板梳理现状是否满足全生命周期数据安全规范，根据现状组织人员研讨整改方案，制定计划和方案。

6、金融机构若与身份认证数据、风控数据等外部数据公司有层级合作，在安全策略方面需参考以下内容：

7. Web应用程序的管理需求要求采购安全供应商服务，包括渗透测试、互联网漏洞监控和网上银行评估：

8.主要针对脱敏技术的应用，明确个人金融信息多个生命周期环节中的各项要求。这也是一项单独的脱敏要求。负责数据安全的人员需要根据这些要求，梳理当前的情况，若不满足则应制定方案，经过讨论后最终制定方案。可按照方案进行整改：

9.关于个人金融信息归集整合的要求，若公司在同一公司内部不同业务线之间存在数据共享；同一集团内部不同关联公司之间存在数据共享；与集团外第三方存在数据共享的，需满足以下要求：

10、关于个人金融信息开发测试的要求，开发测试环境不应该使用真实的个人金融信息，而应该使用虚构的或者去标识化（不仅仅是加密技术）的个人金融信息，但真正用于测试的信息除外，例如账号、卡号、协议号、支付指令等。

11.《规范》在个人金融信息生命周期中增加了销毁环节，对“删除”和“销毁”进行了明确定义：

12.这部分完全是企业内部管理要求，首先是组织结构

13.公司内部个人金融信息处理标准及方法要求

14.此部分是采购外部安全供应商的服务要求，主要是移动安全部分

15.关于密码技术的要求，这个可能是针对我们公司使用的外部密码技术，在选择的时候需要增加这个要求：

16、安全监控和审计的要求写的很详细，如果不符合，按要求改正就行。

17. 对内部和合作安全服务提供商的要求

18、公司内部安全事件处置要求：

总结：

按照分解下来，每个部分的内容已经很清晰了，剩下的就是将每个部分落实到各自的负责人，梳理各个部分的现状和差距，与安全厂商的专家内部讨论整改方案，制定相关工作计划，并按照计划进行整改。

Qpos是海科融通推出的一款智能手机POS机，经过4年用户和代理商的使用和检验，依然站在行业领先地位，可见Qpos的稳定性和口碑非同凡响！Qpos现面向全国招募代理商和加盟商，终端用户可免费领取一台机器！

上一篇：反思“微盟删库”事件探索银行数据安全防护技术

下一篇：丁香会社网络3.0荣获金松奖“最佳金融科技创新奖”

相关文章

我也留言了