銀行必須採取全面防護的方式來保護數據,以確保內部或外部不會產生安全漏洞。有哪些方式能幫金融業保護數據呢?
銀行保護數據的5種方式
銀行是個有歷史的行業,從金融專業領域來看,銀行業遠在幾個世紀之前就存在了。貨幣與銀行的發展歷史則是緊密地交織在一起。近代、銀行與金融交易的模式出現翻天覆地的變化,但基本的原則仍沒有多大變化。有非常多的銀行早在我們出生之前就已經存在了,這也是銀行客戶放心將資金、財務交給銀行保管的原因,因為、我們相信銀行能妥善保管客戶的錢與個人資料。
儘管銀行一直以來都存有大量的客戶個資與財物資訊,但直到近幾年,個資外洩與隱私權的問題才逐漸受到重視。只要你有權限,很容易就能取得銀行內部資訊是其主因。
過去的幾十年中,科技為金融發展帶來的諸多變革與創新,例如電匯、信用卡/簽帳卡、線上銀行與行動支付…等。銀行除了要跟上發展的腳步、升級系統來適應變化之外,還必須修改/更新作業流程來確保新技術的安全性。同時間、銀行相關的金融法規也因應需求而完善。銀行則負有法律責任,必須保證客戶資訊安全並防止其落入他人手中。以下、我們將看到一間現代化的銀行如何履行此職責。
為了確保資訊安全,銀行必須採取360度全方位無測漏的防護?以確保不會在內、外部發生安全漏洞。
這表示銀行既要保護客戶端的金融業務流程,又要針對員工、廠商、系統和內部作業流程做防護。
以下是針對金融資安的一些防護作業方案:
- 身份驗證:
- 稽核追查:
- 安全的基礎架構
- 強化流程安全性
- 持續溝通與教育
身份驗證:
身份驗證通常在交易過程中,確認交易發起人身份後進行。如大額刷卡的核實電話,或線上付費的簡訊確代碼…等。
這個功能重要且常見,無論是線上銀行或行動支付的用戶端,或者是操作ATM、使用信用卡或金融卡的客戶。同時、該功能也適用於有權限訪問客戶和內部資訊的銀行員工。
早期的身份驗證比較單純,僅需要一組ID與密碼/PIN即可,目前銀行多已實施雙重或多重身份驗證,藉以確保客戶是本人無誤。許多銀行開始使用生物識別技術來驗證客戶的身份,包括手指靜脈特徵辨識,或IVR(互動式語音應答)等銀行系統進行交互行為的生物識別。
稽核追查:
對銀行來說,金融交易的歷史記錄亦是資產的一部份,無論是記錄於對帳單或存摺上都一樣。此外、現行的銀行系統也會保留每一個客戶與系統互動時發生的所有事件(本行將全程錄音以確保…),以便日後稽核追查。
客戶無論使用電話或線上銀行服務,銀行系統中都會依照時間保存完整的交易/互動資訊,該資訊每日備份一次,永遠不會清除,只會在定義的時間內保留新紀錄。
安全的基礎架構:
本篇所述的基礎架構指的是資料庫系統與伺服器,而安全則意味著保護上述架構所建置的軟硬體設施。基礎資料在任何銀行的核心系統中都屬被加密的資訊。如要測試或應用時,則會遮蔽掉部分資料,如帳號、姓名或地址…等。
除了對系統使用設限以外,負責基礎架構環境的廠商也與一般的程式開發商不同。金融業通常會規範內部員工不得訪問社交網站,使用私人郵件和USB外接設備,並使用特殊的軟硬體設備來執行內規。若員工離開內部環境、使用公共Wi-Fi時,也只能通過VPN來進行內部作業。
強化流程安全性:
一般來說、金融業已經制訂了許多規範,用來確保其交易流程或測試均在安全範圍內。這包括為客戶提供KYC更新(認識你的客戶/Know your customer),為員工和廠商提供NDA(保密協議),藉此確保包含管制區域與遠端資訊中心的安全性。
銀行借助資料外洩防護(DLP)解決方案,可以減輕內部威脅並保護敏感的客戶資料,如姓名和信用卡號…等。同時、還可建立相關流程來符合 各國/各地區 的法規,並進行相關風險評估,以確保這些流程符合要求。
持續溝通與教育:
除了產生與寄送 帳單/對帳單 給客戶外,金融業者還必須定期幫客戶進行系統升級,包含導入新的身份驗證機制…等。而上述行為需要良好的溝通。此外、客戶能依照不同的條件自訂警報和限制,以確保他們能於第一時間知道帳戶的意外活動。雖然操作方式與溝通渠道複雜多變,但設計、應用時靈活,則可滿足絕大多數客戶的需求。
瞭解更多GDPR的資訊,同時支援Windows、MAC、Linux 的DLP系統
https://epptw.com/
留言列表
資訊名詞概述 (4)
