银行卡信息安全管理的利器:数据脱敏技术

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

银行卡信息安全管理的利器:数据脱敏技术
任小抒;李福盛;曾嵩;吴蓉
【期刊名称】《中国信用卡》
【年(卷),期】2016(000)009
【总页数】3页(P52-54)
【作者】任小抒;李福盛;曾嵩;吴蓉
【作者单位】中国人民银行江苏省扬州市中心支行;中国人民银行江苏省扬州市中心支行;中国人民银行江苏省扬州市中心支行;中国人民银行安徽省马鞍山市中心支行
【正文语种】中文
相比股份制商业银行,以农商行为代表的地方性法人银行业机构,在风险防控方面无论是技防水平还是人力资源都较为薄弱。

为此,人民银行江苏省扬州市中心支行在扬州农商行试点推进数据脱敏技术应用,在全省无独立数据中心农商行中率先实现银行卡安全管理的创新。

综合分析国内外银行卡信息安全案例,不难发现,在大数据技术被广泛应用的背景下,银行卡客户信息呈现出数据量大、数据价值高、数据泄露破坏性强的特点,银行卡客户信息的数据流主要有数据搜索、数据传输和数据存储三个环节,而黑客攻击、内部违规和管理疏漏是客户信息泄露的主要原因。

其中,账号、客户姓名、交易记录等敏感信息成为银行卡信息安全风险积聚的焦点。

分析国内银行卡业务流程可见,发卡行、收单机构及银行卡清算机构为顺应业务量快速增长的需求,不断深化自身信息系统建设,业务生产系统积累了大量的敏感信
息数据。

从源头上防范客户敏感信息的泄露,选择切实有效的脱敏技术手段,在系统生产使用环节,实现对敏感信息的处理,杜绝信息泄露,是银行卡信息安全管理的必由之路。

基于农商行管理现状,全面防范客户敏感数据的泄露风险,必须从管理与技术两方面入手,全面构建起有效的数据脱敏平台机制。

一方面,增强风险意识,建立健全数据安全内控管理机制。

扬州农商行必须建立支付敏感信息的安全内控管理制度:一是明确岗位和人员的管理责任,严格分离不相容岗位并控制信息操作权限,制定信息数据操作流程和规范,强化内部监督、责任追究机制,严禁从业人员非法存储、窃取、泄露、买卖支付敏感信息;二是严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有效期、银行卡密码、网络支付交易密码等),确有必要留存的应取得客户本人及账户管理机构的授权;三是将敏感数据问题列为年度信息安全内部审计的重点,一旦发现因系统漏洞或内部违规造成支付敏感信息泄露的情形,立即启动危机应对程序,并向人民银行报告。

另一方面,建设数据脱敏平台,提升支付敏感信息安防技能。

2016年6月,扬州农商行数据脱敏平台正式上线。

数据脱敏平台的核心是脱敏技术的应用,主要通过区分敏感对象组成、确定敏感数据关联关系、制定数据脱敏规则等实现对数据的脱敏处理。

该技术应用后,当数据脱离生产系统,进入到开发平台、测试平台、培训平台等环境时,数据中可能含有的敏感信息,如客户个人信息、客户联系信息、银行卡及账号信息、金额等均实现了物理隔离,有效规避了客户信息的泄露风险。

数据脱敏平台的具体部署架构如图1所示。

1.区分敏感对象的组成
银行业务系统内的敏感对象主要分为个人和机构两大类,包括但不限于表1中所列内容。

一般而言,上述敏感对象都具有特殊的形式特征,从数据库角度出发,从数据模型设计的角度而言,各数据表的字段命名方式将会尽可能地体现业务描述,因此,也可通过字段名称来定位敏感对象。

2.确定信息系统中敏感数据的关联关系
为确保数据脱敏后的可用性和无遗漏,要对脱敏数据在各种使用场景下的关联性进行分析,确认敏感数据脱敏后能保障系统开发测试的数据可用性,并明确敏感信息字段名称、字段类型、字段长度、赋值规范等内容。

3.制定数据脱敏规则
根据敏感对象的信息,平台将会根据可能出现的数据使用需求,针对不同的敏感对象域设计并定义不同遮蔽强度的脱敏规则。

如银行卡号信息,特别是信用卡卡号一般由为16位数字组成,通过内嵌的“信用卡遮蔽规则”可以对卡号进行特殊遮蔽,还可以根据需要,选择是否保留前6位数字,即发卡机构代码,也可以制定生成
某发卡机构的卡号数据,如Visa、万事达卡等。

1.为金融机构全面应用支付标记化技术奠定技术保障
《关于进一步加强银行卡风险管理的通知》中明确要求,自2016年12月1日起,各商业银行、支付机构应使用支付标记化技术(Tokenization)。

运用数据脱敏
技术能够对银行卡卡号、卡片验证码、支付机构支付账户等信息进行脱敏处理,同时通过设置支付标记的交易次数、交易金额、有效期、支付渠道等域控属性,可从源头上防范信息泄露和欺诈交易风险。

2.有效提高法人银行业机构的数据安全管理能力
当前,信息安全形势严峻,法人银行业机构普遍存在没有独立数据中心、较多依赖服务外包、科技团队人力配置有限、自身风险防范能力不够强等问题。

在此背景下,扬州农商行立足于自身发展实际,在充分梳理管理制度、严格遵守流程控制的前提下,将具体数据安全防范措施落实到技术应用层面,实现了管理与技术水平的整体
升级,有效构筑起信息安全管控防线。

3. 有效保护金融消费者权益
目前,大部分银行在制度上明确了敏感数据的保护措施和查阅权限,通过手机银行、网上银行使用动态口令令牌,以及与外部机构间的数据加密机、密押机等的运用,对客户敏感数据已经进行了相应的保护,但数据脱敏、数据加密、数据防泄露、数据防篡改等先进技术的使用还不够。

人民银行江苏省扬州市中心支行成功试点推动扬州农商行构建数据脱敏平台,实现了脱敏技术的创新应用,为法人银行业机构运用先进技术全面提高敏感数据的防泄露提供了成熟的借鉴和实践参考,有效提升了农商行在金融消费者权益保护方面的技术水平,并使其确立了诚信、安全的良好社会形象。

相关文档
最新文档