js1996官网

20240925181105_9935数字经济的安全基石

申请试用
一文看懂《幼我金融信息;ぜ际豕娣丁罚ㄎ哪└狡肴妫2020_js1996官网动态_关于js1996官网_js1996官网信息

首页 > 关于js1996官网 > js1996官网动态 > 2020 > 正文

一文看懂《幼我金融信息;ぜ际豕娣丁罚ㄎ哪└狡肴妫

阅读量:

2月13日,中国人民银行正式颁布《幼我金融信息;ぜ际豕娣丁罚↗R/T 0171—2020)(以下简称“《规范》”)。该规范由中国人民银行提出,全国金融尺度化技术委员会归口治理,由中国人民银行科技司提出并掌管草拟,多家单元参加草拟。

20200306153042fSlIvp

一、规范概述

《规范》将幼我金融信息按敏感水平、泄露后造成的风险水平,从高到低分为C3、C2、C1三个类别;同时,划定了幼我金融信息在网络、传输、存储、使用、删除、销毁等性命周期各环节的安全防护要求,从安全技术和安全治理两个方面,对幼我金融信息;ぬ岢隽斯娣缎砸。

?

01? 规范作用

有助于规范金融业机构幼我金融信息;すぷ,提升金融数据风险防控能力,推进我国金融市场的健全发展;

有助于提高金融机构幼我账户信息、银行卡信息安全治理水平,加大互联网买卖风险防控力度,防备各类金融买卖风险,切实守护金融不变,;そ鹑谙颜吆戏ㄈɡ。

?

02? 合用机构

《规范》合用的主体蕴含两大类:金融机构和获取幼我金融信息的非金融机构。

20200306153136BGuxYM03? 根基准则

《规范》要求金融业机构应遵循“权责一致、主张明确、选择赞成、至少够用、公开通明、确保安全、主体参加”的准则。

?

04? 内容概况

《幼我金融信息;ぜ际豕娣丁啡墓卜治煊颉⒐娣缎砸梦募、术语和界说、幼我金融信息概述、安全根基准则、安全技术要求、安全治理要求等七个章节。整体内容架构图如下:

20200306154138VnMsqm

二、幼我金融信息分类分级

《规范》指出,幼我金融信息是指金融业机构通过提供金融产品和服务或者其他渠路获取、加工和保留的幼我信息,蕴含账户信息、甄别信息、金融买卖信息、幼我身份信息、财富信息、借贷信息及其他反映特定幼我某些情况的信息等7大类。

20200306161416fQOEz6

《规范》将幼我金融信息按敏感水平从高到低分为C3、C2、C1三个类别。

?

类型

重要信息内容

风险水平

合规要求示例

C3(用户甄别信息)

银行卡磁路

银行卡密码

网络支讣码;

?

账户登录密码

买卖密码

?

生物鉴别信息

?

一旦遭到未经授权的查看或未经授权的调换,会 对幼我金融信息主体的信息安全与财富安全造成严沉风险

不应共享、让渡,不得委托处置

C2(可鉴别信息主体身份与金融情况的幼我金融信息)

支付账号

证件信息

手机号码

?

账户登录名

?

用户甄别辅助信息

?

幼我财富信息

信贷信息

?

买卖信息

主体照片

音视频信息

?

一旦遭到未经授权的查看或未经授权的调换,会对幼我 金融信息主体的信息安全与财富安全造成肯定风险

除用户甄别辅助信息表,经奉告统一能够让渡共享,能够委托处置

C1(机构内部的信息资产)

账户开立功夫

开户机构

?

支付象征信息

?

一旦遭到未经授权的查看或未经授权的调换,可能会对幼我金融信息主体的信息安全与 财富安全造成肯定影响

经奉告统一能够共享、让渡,能够委托处置

?

三、性命周期技术要求沉点内容

01? 信息网络

1)不应委托或授权无金融业有关资质的机构网络C3、C2类别信息。

2)C3类别信息,通过受理终端、客户端利用软件、浏览器等方式网络时,应使用加密等技术措施保障数据的保密性,预防其被未授权的第三方获取。

3)《规范》中要求金融机构该当采取技术措施(如弹窗、显著地位URL链接等),疏导用户查阅隐身政策,并获得其明示赞成后再发展网络幼我金融信息。

?

02? 信息传输

1)通过公共网络传输时,C2、C3类别信息应使用加密通路或数据加密的方式进行传输,保险幼我金融信息传输过程的安全。

2)C3类别中的支讣感信息,其安全传输技术节造措施应切合有关行业技术尺度与行业主管部门有关划定要求。

?

03? 信息存储

1)C3类别信息应选取加密措施确保数据存储的保密性。

2)未获得信息主体与账户治理机构的授权,金融业从业机构不得留存非本机构的用户甄别信息(C3类)。

?

04? 信息使用

信息展示:处于未登录状态时,不应展示与幼我金融信息主体有关的C3类别信息;处于已登陆状态时,除银行卡有效期表的C3类别信息不应明文展示。

共享和让渡:C2类别中的支付账号及其等效信息在共享、让渡时该当进行脱敏处置;C3类别信息及C2类别中的用户甄别辅助信息不应共享、让渡。

公开披露:C3类别信息及C2类别中的用户甄别辅助信息不应公开披露;人生物鉴别信息,蕴含C3类别信息中的用于用户鉴此外幼我生物鉴别信息,一律不得公开披露。

委托处置:C3类别及C2类别中的用户甄别辅助信息,不应委托给第三方机构进行处置;对委托行为,必要确保受委托者具备足够的数据安全能力,且提供了足够的安全;ご胧。

加工处置:可参照等保及有关尺度,对幼我金融信息的特殊;びΤ闪⒂泄毓娣逗突,并可能对幼我金融信息加工处置操作纪录,对幼我金融信息滥用行为进行有效的鉴别、监控和预警。

汇聚融合:汇聚融合的数据不能超出在信息网络时对主体所申明的使用领域;发展幼我金融信息安全影响评估,并采取有效的技术;ご胧。

开发测试:开发环境、测试环境不应使用真实的幼我金融信息,若是测试必要应进行脱敏,可使用数据脱敏软件或编写脱敏规定进行脱敏。

?

05? 删除与销毁

1)幼我金融信息删除与销毁的区别,分辨删除与销毁的关键即在于幼我金融信息能否被复原。

2)金融机构在委托第三方处置幼我金融信息时,在委托关系解除后,金融机构该当要求受托方销毁所处置的幼我金融信息。

?

四、安全运行技术要求沉点内容

网络安全要求:承载与处置幼我金融信息的信息系统应满足国度等级;ぜ敖鹑谛幸档燃侗;さ母,并且存储幼我金融信息的数据库应处于金融业机构可控网络内,设置有效的接见节造措施。

WEB利用和客户端软件安全要求:涉及C2、C3类别信息的Web利用应拥有防篡改和防web攻击的措施,并具备对处置幼我金融信息的系统组件进行实时监测的能力;要求处置幼我金融信息有关的 Web 利用系统与组件上线前应进行安全评估。

?

五、安全治理要求沉点内容

《规范》的安全治理要求共5大类10个子类,从安全准则、安全战术、接见节造、安全监控微风险评估、安全事务措置五方面进行了安全治理要求。沉点蕴含对幼我金融信息网络、存储、使用的安全治理要求,对幼我金融信息安全治理的造度、组织、人员、接见节造、安全事务的安全治理要求。除相对传统的安全治理表,比力特殊的治理准则蕴含:

01? 网络

1)? 网络渠路:柜面、信息系统、金融自主设备、受理终端、客户端应 用软件等渠路。

2)? 向幼我金融信息主体明示网络与使用幼我金融信息的主张、方式、领域和规定等,获得幼我金融信息主体的授权赞成。

?

02? 存储

1)? 满足国度司法律规与行业主管部门有关划定要求。

2)? 并切合幼我金融信息 主体授权使用的主张所必须的最短功夫要求。

3)? 超过期限后,应对网络的幼我金融信息进行删除或匿名化处置。

?

03? 使用

1)? 准则上不应共享、让渡、公开披露其网络的幼我金融信息。

2)? C3类别信息以及 C2类别信息中的用户甄别辅助信息不应共享、让渡、公开披露。

3)境内网络的幼我金融信息应在境内存储、处置和分析。

?

六、js1996官网信息解决规划

1、幼我金融信息整体防护框架

202003061617176EMwk4

2、幼我金融信息性命周期技术防护系统

2020030616183432QuLy

3、幼我金融信息技术防护架构(js1996官网信息)

20200306162029ha2Onz

4、幼我金融信息治理造度系统

20200306162059e37INc

5、幼我金融信息;すぷ鞣⒄沽鞒

20200306162059THGsQa

关关

20240102184719_8730

客服在线征询入口,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】