建清单、设专委会……金融App安全管理制度体系这样创新
近日,中国互联网金融协会(以下简称“协会”)公布了2022年移动金融App创新实践典型案例遴选结果,共有25个案例入选。为此,南方都市报联合中国互联网金融协会推出移动金融App创新实践案例系列报道,围绕入选创新案例的实践经验,看看他们如何从制度体系建设、安全防护手段、个人信息保护、服务实体经济和技术创新探索几个方面发挥示范引领作用。
安全管理,制度先行。中国人民银行发布的《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》要求,金融机构要加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。今日推出第一期专题报道,通过5个案例来看安全管理制度体系如何创新。
民生银行App:“合规双循环”与“三张清单”形成安全合规闭环
“民生银行手机银行”App在首批试点工作中率先获得金融科技产品认证证书,并完成移动金融客户端备案工作。在此基础上,民生银行通过建立移动应用的内部管理体系,健全移动客户端安全生命周期管理,建立安全合规和隐私合规的“合规双循环”及合规差距清单、 应用变更清单、问题跟踪清单的“三张清单”制度,明确了行内移动金融客户端安全合规管理工作计划、里程碑及交付物、跨部门工作职能和机制等。
具体来看,一方面,民生银行制定了《中国民生银行移动应用安全管理办法》。通过客户端版本上线前的安全评审、合规检测,客户端上线后的安全合规后评估,以及应用市场渠道7×24小时实时运营监测,形成常态化的移动客户端合规管理机制。
另一方面,民生银行完善了移动客户端安全合规管理体系。成立跨部门的移动客户端安全合规工作组,配置专人专岗负责移动客户端的合规日常、外部评估备案工作。除积极开展移动金融客户端的金融科技产品认证和备案外,还积极开展移动互联网应用程序(App)安全认证等相关工作。同时,持续外规内化,通过梳理解读人民银行、各部委针对移动客户端的法律法规、标准制度以及相关要求,完成外部标准规范的转化落地。此外,定期组织协调外部监管机构专家,面向全行组织移动客户端外部认证及客户端个人信息保护相关专题培训,提升全员安全合规意识。
民生银行“合规双循环”与“三张清单”
中国银联云闪付App:专设“个人信息与隐私保护专业组”,尝试个性化个人信息保护措施
中国银联以《网络安全法》《个人信息安全规范》《中国人民银行金融消费者权益保护实施办法》《个保法》等为依据,不断建立健全组织架构、制度体系建设。
在组织架构层面,银联信息安全委员会下设“个人信息与隐私保护专业组”统筹数据安全和个人信息保护工作。在制度建设层面,在《中国银联数据管理办法》等现有制度的基础上,补充制定了《中国银联数据安全与个人信息保护细则》《中国银联云闪付个人信息安全影响评估指南》等多项内部管理办法,以业务数据的分类分级保护和全生命周期管理为基础,进一步细化个人信息保护管理要求。
除此外,中国银联主动探索个人信息保护新形式,尝试个性化个人信息保护措施。其中值得一提的是,云闪付App对隐私政策进行了两次大改版,2019年8月进行的第一次改版中,采用“正文 附件”的隐私政策架构将用户的隐私权益等核心内容在正文中进行总结性、归纳性的描述,详细业务情况则通过附件按类别逐项列举;2021年11月,第二次改版中,使用更通俗易懂、便于理解的语言编写,以更易于用户浏览的形式呈现;增加速览版隐私政策,篇幅控制在完整版的30%,阅读时长可控制在1分钟内;还补全了《儿童隐私保护指引》。
京东金融App:打造“标准化”“工具化”“平台化”隐私合规保障体系
面对当前隐私合规监管部门较多,法律法规更新较快,且呈常态化趋势,京东科技专门成立了隐私合规治理虚拟小组,专门负责“京东金融”App隐私合规问题的处理,小组成员包括了研发、产品、测试、安全、法务合规、安全合规等部门人员。
为保障用户隐私安全,“京东金融”App通过“标准化”“工具化”“平台化”打造了一套完善的隐私合规保障体系。
一是制定了App隐私合规问题处置SOP(标准作业程序),在政策解读、需求阶段、研发阶段、测试阶段、发布阶段和运营阶段都制定了相关的标准流程,用于指导团队成员日常工作。
同时,为解决 App 隐私合规问题排查与治理过程中手段单一且低效的问题,在App隐私合规问题排查与治理过程中, 公司自研多种工具,用于排查、分析、治理隐私合规问题。
此外,在App产研阶段, 由于不了解相关隐私合规风险点, 设计或开发了存在合规问题的功能或流程, 在应用发布前没有有效的手段进行检测排查。为解决上述问题,公司通过自主研发的Utrust隐私合规检测平台,对移动应用个人信息安全问题进行多方位的全面检测。
(Utrust隐私合规检测平台能力图谱)
浦发银行App:建立全生命周期安全管理体系
为加强App及其他信息系统建设项目的精细化安全管理,浦发银行App建设了信息系统全生命周期安全管理体系。
安全管理体系主要由安全开发管控流程、安全支撑体系、安全保障体系组成,其中安全管控流程主要涉及四个方面。
即在需求阶段,利用资产库和工具进行安全评估,明确安全要求与目标;在方案设计阶段进行安全设计和审核;在测试阶段开展安全需求验证;在系统运行阶段定期开展上线后的回归测试及渗透测试。
目前,浦发银行App已形成了安全需求模板化、安全设计标准化、安全开发组件化、安全测试专业化、安全流程线上化的闭环管理体系。
(浦发银行信息系统全生命周期安全管理体系)
交通银行App:健全信息安全防护体系顶层设计
交通银行从组织结构、管理制度、产品设计以及文化建设等多方面入手,完成了信息安全防护的顶层设计,形成了包括部门职责划分,信息保密制度、数据备份制度、风险预警制度、系统维护制度、人员管理制度等规范编制以及产品迭代计划制定的体系架构。
以交行企业手机银行为例,团队组织架构采取流程管理和业务管理的矩阵化管理模式进行,其中在流程管理上包括业务、产品、体验、研发、测试、运营、数据、风控、运维等岗位,分别承担App的业务诉求、需求设计、UI设计、开发、测试、营销推广、数据分析、反洗钱和风险控制、日常经营维护等职责。从业务管理上,按业务和功能模块进行管理,各业务模块主要负责各业务功能的完整性、流程合理性及操作体验连续性等方面内容。
采写:南都记者 熊润淼
通讯员:王立飞