6月27日,中国证券报·中证金牛座记者从业内独家获悉,近期相关监管部门向银行、保险、理财公司等机构下发《关于加强第三方合作中网络和数据安全管理的通知》。
(资料图片仅供参考)
《通知》指出,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
《通知》要求,银行保险机构应强化“服务外包、责任不外包”的主体意识。银行保险机构应加强风险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据。
要求报告企业微信合作情况
《通知》列举了企业微信服务风险情况相关事件。
例如,某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
《通知》表示,银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。银行保险机构对合作中数据安全风险和责任识别划分不清。要求银行保险机构应按照监管隶属关系,将风险自查和整改情况、企业微信合作情况进行报告。
外包合作结束后必须删除数据
《通知》还介绍了银保机构科技外包风险情况,并列举相关事件。
如,2022年8月,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。2023年2月,某互联网域名代理商因私自变更失误导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。
《通知》指出,银行保险机构对外包服务商的准入控制不严,尽职调查和风险评估不深入,未充分识别外包合作存在的风险隐患,未按规定报告监管部门;监督检查不够,对系统运行和网络数据安全风险不掌握;合作结束后未及时清理删除数据;部分重要业务依赖单一外包服务商,缺乏冗余措施。
《通知》要求,银行保险机构应强化“服务外包、责任不外包”的主体意识,切实承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。
《通知》要求,切实履行网络和数据安全保护义务。银行保险机构应加强风险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据;强化合同的网络和数据安全要求条款,验收时严格执行安全风险检查,对发生安全生产事件的要按合同约定进行处罚。
关键词: