Account 登录
Jump to section

什么是金融服务中的安全性和合规性?

复制 URL

金融服务中的安全性和合规性是指金融服务公司负责保存、管理和保护其客户的资金和财务信息。这包括遵守决定客户数据相关的安全标准级别的联邦、州和地方法规。

对金融客户的资产和信息的保护随着访问方式的变化一直在不断演变。 

当资产和信息保存在保险库中,并在物理环境中转移时时,有物理障碍就足够了。当贷款机构(如银行和信用合作社)和保险公司通过金融技术(FinTech)向客户提供金融产品时,他们还需要增加符合法规的安全系统。

世界各地的政府实施各种不同的法律、法规和技术标准,并调整监管要求,以适应世界金融体系面临的新威胁。

为什么说安全性和合规性至关重要?

因为再也没有什么是与世隔绝的了。万事万物都有数字连接。因此,某一点上发生的威胁可能会影响到少数其他金融服务提供商。不妨想想越来越多的知名金融犯罪和数据泄露事件。一家金融服务公司的违规经常会影响到其他金融服务提供商。

大规模的监管需求、公司治理和合规计划有助于强化在端点和传输途径中保护客户数据。当所有金融服务提供商都遵守或超出监管机构或合规官的合规要求时,安全威胁的切入点就会随之减少。

网络安全措施、风险评估和持续的尽职调查有助于保护敏感信息,但没有任何一个系统是万无一失的。持续投资应用安全技术,以及遵守最新法规,可以帮助金融服务组织领先威胁一步。

便利性和客户期望

为了适应当今社会对便利性和功能性的期望,银行业已经从传统的实体模式向前迈出了一大步。但是,技术和客户情绪变化的速度可远远领先于政府针对日新月异的数字化功能的监管要求,因此银行不仅要在适应客户需求,同时还要遵守滞后的法律法规,这势必是不小的挑战。此外,金融服务业的新生力量也在迅速填补市场空白,不断向成熟公司发起挑战以保持竞争力。

数据保护

当数字化信息变得更加方便访问时,数据欺诈和数据泄露的风险也随之而来。数据要经过多点传输才能到达最终目的地,每个点都有潜在的安全隐患。移动应用尤其容易成为目标。应用本身以及它所在的服务器都有可能存在可供利用的漏洞。用户行为也会为风险推波助澜。

政府法规(例如欧盟(EU)的一般数据保护条例(GDPR))一直在试图消除其中的许多漏洞,即便数据是跨境传输的。

机构理念

在金融服务业改变理念的过程中,也会遇到许多挑战。对于从一种可靠的业务模式转变为可能带来风险的业务模式,金融行业会十分谨慎。未消除安全隐患,就急于为消费者提供更多便利,这可能会带来灾难性的后果。但如果安全防护流程让用户体验变得困难重重,客户就会寻找更轻松的方式来实现自己的需求。即便是最具创新性和前瞻性的公司,要想维持这种微妙的平衡也是一项艰巨的挑战。

公信力

转变消费者的认知就像技术的采用一样重要。这些年来,重大数据泄露问题已引起公众对处理个人数据的公司的质疑。而信任这种东西,失去容易,修复起来难。客户都希望确保自己的信息得到妥善保管。为了建立信任关系,在如何保护信息安全并确保免受网络犯罪和数据泄露之害方面,金融服务公司应尽可能做到公开透明。

消费者意识和教育

在提供高效、安全的银行服务体验中,对客户进行自我保护的教育可能是最重要的一个举措。让消费者了解最新的信息保护方法以及在发生数据泄露时所要采取的措施,可以改善银行与客户之间的关系。这些信息会随着新技术和新威胁的出现而变化,而让消费者在第一时间了解这些情况会对吸引和留住客户大有帮助。

金融服务行业解决风险和合规性问题的方式各不相同。世界各地的政府机构(如美国联邦储备委员会)、公司和组织都投入了大量资金用于反洗钱、风险管理和合规流程方面。 

下面是一些用于满足金融服务合规性需求的安全选项。

加密

我们可以将敏感数据加密处理,转换为只能用正确的解密密钥来破译的代码。但是,加密、验证和解密数据会花费额外的时间和处理能力。数据处理量在不断增长。为了加快数据处理速度,银行正在升级和扩展现有的 IT 基础架构,或者实施更灵活、更强大、可轻松扩展的新系统,以适应快速加密数据的要求。在数据加密方式方面,支付卡行业数据安全标准(PCI DSS)发挥着重要的作用。

多重身份验证

使用多重身份验证进行登录已成为一种被普遍接受的方案,不仅限于金融服务网站。用户输入密码或 PIN,从而触发请求并通过短信将代码发送到之前注册的设备。该代码中包含一组随机生成的字符,用户输入这些字符后才能完成登录过程。尽管这会在登录过程中增加一个额外步骤,但犯罪分子要想入侵就会变得更加困难。欧盟的《第二支付服务指令》(PSD2)要求银行对所有的交易(甚至是跨国交易)实施多重身份验证。

数据存储与分发

GDPR 的影响力已扩展到欧盟以外的国家/地区,并推动了全球金融机构在数据存储、访问和分发方面的政策变化。对于企业而言,将数据存储在一个地方已不再是一种安全方案,即便是那些依赖云服务来存储数字化信息的企业也是如此。依赖于单个提供商会带来集中风险,使数据容易发生泄露。而将存储空间和功能分开并分配给多个提供商,则可以降低风险并提高犯罪分子的访问难度。

人工智能(AI)

预定义的算法可以标记出不符合正常模式的交易,例如常居于美国的客户却在伦敦进行交易。但是,如果该客户每年多次访问伦敦,那么即便是合法,该算法仍会继续标记在此处进行的每笔交易。人工智能则可以学习、适应客户的行为并更新算法,从而使未来与该模式相匹配的交易不太可能被标记。此外,人工智能还推动了生物识别技术(一种利用客户的独有特性来识别客户身份,从而访问其账户信息的方法)的发展 。指纹、"眼纹"和面部识别是许多智能设备都具有的功能,并且现在有越来越多的银行在其移动应用中都提供了这些选项。这相当于增加了一层额外的安全保护,使罪犯行为更难以得逞。

改进 AI/ML 应用管理

借助这一系列的网络研讨会,获取有关如何简化人工智能/机器学习(AI/ML)应用部署和生命周期管理的专家见解, 从而更快地构建、协作和共享 ML 模型与 AI 应用。 

我们的愿望是让您安心地采用持续防护策略,我们致力于帮助企业做好开源准备,实现这一目标。我们的宗旨是帮助您的企业保持竞争力、灵活性和良好的适应性,并持续满足相关的安全和监管合规要求。

继续阅读

文章

什么是 DevSecOps?

如果您想要充分发挥出 DevOps 的敏捷性和响应力,则必须在应用的整个生命周期内兼顾 IT 安全性。

文章

云安全有何不同之处

一些重大安全问题同时影响着传统 IT 和云系统。了解它们的不同之处。

文章

什么是 SOAR?

SOAR 指的是安全团队所使用的 3 大软件功能:案例和工作流管理、任务自动化,以及集中式管理访问、查询和共享威胁情报。

详细了解安全防护

Illustration - mail

获取更多类似的内容

免费订阅我们的 Red Hat Shares 通讯邮件