央行加碼金融app監管力度,金融移動信息安全之路在何方?
近期,針對當前一些金融機構客戶端軟件存在的安全防護能力參差不齊、超范圍收集個人信息、仿冒釣魚現象突出等問題,央行監管劍指金融APP,劃定4大紅線,23家首批試點備案,移動金融安全進一步受到關注。
央行發聲!
2019年12月,在國家網絡安全通報中心官方公眾號發布的《公安機關開展APP違法采集個人信息集中整治》的通告中曾指出,2019年11月以來,公安部門集中發現、偵辦、查處整改了100款違法違規App及其運營的互聯網企業,其貸款等金融類APP受到關注。 這次金融APP再次加大整治力度,央行加碼對移動金融APP安全,主要從提升安全防護、加強個人金融信息保護、提高風險監測能力、健全投訴處理機制、強化行業自律5個方面進行了管理規范。
目前,加大金融APP違規行為打擊力度正在填材料、申請備案中。據悉,央行此前已向部分金融機構定向下發《關于發布金融行業標準加強移動金融客戶端應用軟件安全管理通知》(237號文)。
移動金融APP備案動真格
12月9日相關報道稱試點機構涵蓋了23家來自銀行、證券、基金、保險、支付等領域的機構。這次試點工作的備案要點主要有三方面:
1、依托備案管理系統開展全線上的資料上傳和審核;
2、備案分為機構基本信息登記、APP信息登記和APP軟件上傳三部分系統所有項目均需填寫;
3、試點期間各試點單位至少提交1款有代表性的資金交易類或個人信息采集類APP進行備案。
央行從信息收集、使用、傳輸、存儲、銷毀等整個數據生命周期中,為各金融機構劃定四大紅線:
1、在收集、使用個人金融信息時,央行明確,各金融機構不得以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得收集與其提供金融服務無關的個人金融信息。
2、金融機構應采取數據加密、訪問控制、安全傳輸、簽名認證等措施,防止個人金融信息在傳輸、存儲、使用等過程被非法竊取、泄露或篡改。
3、在信息使用結束后,各金融機構應立即刪除敏感信息,在客戶端軟件卸載后不得留存個人金融信息。
4、金融機構不得違反法律法規與用戶約定,不得泄露、非法出售或非法向他人提供個人金融信息。
報道稱,與237號文同步發出的還有《移動金融APP應用軟件安全管理規范》,其中相比之前金融行業標準,提出了眾多更加具體的安全要求。
移動金融的安全之路
從此次規范來看,移動金融APP監管已走向深水區,后期監管一定會將個人信息保護、移動金融APP、金融數據等都納入非現場檢查的重要范疇。
各金融機構要建立客戶端軟件安全管理全程覆蓋機制,相關部門要建立健全客戶端軟件監督處置機制。
事實上,近年隨著金融科技的發展,個人信息采集和使用的合規邊界問題一直備受關注。
很多金融行業的公司,受限于規模,一般都是直接購買第三方應用開發公司給他們開發的企業應用來給自己的客戶或員工使用。這類的應用由于不是自己開發的,無法確認應用開發商會不會違法窺探最終使用者移動終端上的隱私(如通訊錄,短信驗證碼等)。
企業如何保證自己采購的第三方應用合規?那就需要對這些應用的使用權限做限制。聯軟的UniEMM企業移動安全支撐平臺(簡稱UniEMM)的應用限制策略就可以解決這個問題。
當應用發布在UniEMM平臺,即可對這個應用設置限制策略,禁止該應用違規收集移動終端上的個人隱私(包括個人通訊錄、短信驗證碼、個人相冊、身份證號碼、銀行賬號等)。舉個例子,假設有個手機應用會違規收集個人通訊錄,聯軟的UniEMM就可以限制這個應用訪問手機個人通訊錄的行為,并禁止這個應用向不明對象傳輸數據,這樣即使這個應用不是企業自己開發的也可以放心使用。
除了利用應用限制策略從源頭解決金融類APP的信息與數據安全問題外,UniEMM可幫助企業解決在向移動辦公拓展過程中面臨的安全、管理以及部署等各種挑戰,通過身份可識別、設備靈活管理、設備安全接入、杜絕數據泄密、建立企業應用商店、打造企業辦公門戶等關鍵點,為企業提供端到端的安全管理解決方案,能夠支持企業現有業務的移動化安全保護,并支持未來業務的移動化創新,將安全與高效相統一。
而對于數字金融發展中數據使用的邊界問題,更是全世界都非常關注的重要問題。
聯軟認為,隨著云技術的廣泛運用和興起,互聯網側終端必然不能使用傳統的強管控方法,在這種場景下要對終端進行零信任,只有經過身份、設備驗證的終端,才能臨時獲取訪問權限,并且通過軟件的方式進行規則的編排,從而實現自動、靈活擴展,以滿足云計算的彈性特點,所以云安全聯盟,針對云訪問安全、數據安全的最佳實踐是軟件定義邊界。
當前“默認可信,先連接,后認證”的處理方式使網絡邊界存在安全風險,聯軟UniSDP軟件定義邊界系統,是基于零信任模型實現軟件定義邊界的解決方案,打破傳統“內部=可信”的安全模式,旨在通過軟件的方式為企業構建安全虛擬邊界,有效保護企業的數據安全,能很好地實現對移動辦公設備的統一安全管控。
UniSDP區別于傳統的VPN方案,重新建立企業應用的安全訪問方式:
多因素身份認證,解決密碼破解或盜取仿冒接入的安全問題;
應用層安全隧道,非網絡層打通,消除網絡攻擊風險,隱藏企業應用;
細粒度訪問控制,非VLAN控制,基于角色等多維度控制訪問權限;
企業數據防泄密,企業數據安全隔離,數據外發的控制、審計及追溯;
短連接代理轉發,用戶辦公體驗更高效、更穩定、更易用;
安全與業務融合,建立企業應用門戶,實現單點登錄及安全訪問;
集中化運維管理,無需分布式部署運維,適應數字時代的全新IT架構;
多因素身份認證,解決密碼破解或盜取仿冒接入的安全問題。
移動金融在信息使用的安全規范并非一朝一夕,需要多方參與治理,以促使金融應用合法合規化發展。聯軟已經服務了超80%的金融證券客戶,產品應用于中國頂尖的13家大型銀行,在中國金融行業市場總體市場占有率領先,今后聯軟科技會不斷創新,用過硬的產品和優質的服務保障各行各業網絡安全、可靠、高效。