什么是金融服务中的安全性和合规性?

复制 URL

金融服务中的安全性和合规性是指金融服务公司负责保存、管理和保护其客户的资金和财务信息。这包括遵守决定客户数据相关的安全标准级别的联邦、州和地方法规。

考虑实现安全合规自动化

对金融客户的资产和信息的保护随着访问方式的变化一直在不断演变。 

当资产和信息保存在保险库中,并在物理环境中转移时时,有物理障碍就足够了。当贷款机构(如银行和信用合作社)和保险公司通过金融技术(FinTech)向客户提供金融产品时,他们还需要增加符合法规的安全系统。

世界各地的政府实施各种不同的法律、法规和技术标准,并调整监管要求,以适应世界金融体系面临的新威胁。

为什么说安全性和合规性至关重要?

因为再也没有什么是与世隔绝的了。万事万物都有数字连接。因此,某一点上发生的威胁可能会影响到少数其他金融服务提供商。不妨想想越来越多的知名金融犯罪和数据泄露事件。一家金融服务公司的违规经常会影响到其他金融服务提供商。

大规模监管需求、公司治理、数据管理策略和合规计划有助于强化在端点和传输途径中保护客户数据。当所有金融服务提供商都遵守或超出监管机构或合规官的合规要求时,安全威胁的切入点就会随之减少。

网络安全措施、风险评估和持续的尽职调查有助于保护敏感信息,但没有任何一个系统是万无一失的。持续投资应用安全技术,以及遵守最新法规,可以帮助金融服务组织领先威胁一步。

视频:红帽的安全防护和合规路径

红帽资源

便利性和客户期望

为了适应当今社会对便利性和功能性的期望,银行业已经从传统的实体模式向前迈出了一大步。但是,技术和客户情绪变化的速度可远远领先于政府针对日新月异的数字化功能的监管要求,因此银行不仅要在适应客户需求,同时还要遵守滞后的法律法规,这势必是不小的挑战。此外,金融服务业的新生力量也在迅速填补市场空白,不断向成熟公司发起挑战以保持竞争力。

数据保护

当数字化信息变得更加方便访问时,数据欺诈和数据泄露的风险也随之而来。数据要经过多点传输才能到达最终目的地,每个点都有潜在的安全隐患。移动应用尤其容易成为目标。应用本身以及它所在的服务器都有可能存在可供利用的漏洞。用户行为也会为风险推波助澜。

政府法规(例如欧盟(EU)的一般数据保护条例(GDPR))一直在试图消除其中的许多漏洞,即便数据是跨境传输的。

机构理念

在金融服务业改变理念的过程中,也会遇到许多挑战。对于从一种可靠的业务模式转变为可能带来风险的业务模式,金融行业会十分谨慎。未消除安全隐患,就急于为消费者提供更多便利,这可能会带来灾难性的后果。但如果安全防护流程让用户体验变得困难重重,客户就会寻找更轻松的方式来实现自己的需求。即便是最具创新性和前瞻性的公司,要想维持这种微妙的平衡也是一项艰巨的挑战。

公信力

转变消费者的认知就像技术的采用一样重要。这些年来,重大数据泄露问题已引起公众对处理个人数据的公司的质疑。而信任这种东西,失去容易,修复起来难。客户都希望确保自己的信息得到妥善保管。为了建立信任关系,在如何保护信息安全并确保免受网络犯罪和数据泄露之害方面,金融服务公司应尽可能做到公开透明。

消费者意识和教育

在提供高效、安全的银行服务体验中,对客户进行自我保护的教育可能是最重要的一个举措。让消费者了解最新的信息保护方法以及在发生数据泄露时所要采取的措施,可以改善银行与客户之间的关系。这些信息会随着新技术和新威胁的出现而变化,而让消费者在第一时间了解这些情况会对吸引和留住客户大有帮助。

金融服务行业解决风险和合规性问题的方式各不相同。世界各地的政府机构(如美国联邦储备委员会)、公司和组织都投入了大量资金用于反洗钱、风险管理和合规流程方面。 

下面是一些用于满足金融服务合规性需求的安全选项。

加密

我们可以将敏感数据加密处理,转换为只能用正确的解密密钥来破译的代码。但是,加密、验证和解密数据会花费额外的时间和处理能力。数据处理量在不断增长。为了加快数据处理速度,银行正在升级和扩展现有的 IT 基础架构,或者实施更灵活、更强大、可轻松扩展的新系统,以适应快速加密数据的要求。在数据加密方式方面,支付卡行业数据安全标准(PCI DSS)发挥着重要的作用。

多重身份验证

使用多重身份验证进行登录已成为一种被普遍接受的方案,不仅限于金融服务网站。用户输入密码或 PIN,从而触发请求并通过短信将代码发送到之前注册的设备。该代码中包含一组随机生成的字符,用户输入这些字符后才能完成登录过程。尽管这会在登录过程中增加一个额外步骤,但犯罪分子要想入侵就会变得更加困难。欧盟的《第二支付服务指令》(PSD2)要求银行对所有的交易(甚至是跨国交易)实施多重身份验证。

数据存储与分发

GDPR 的影响力已扩展到欧盟以外的国家/地区,并推动了全球金融机构在数据存储、访问和分发方面的政策变化。对于企业而言,将数据存储在一个地方已不再是一种安全方案,即便是那些依赖云服务来存储数字化信息的企业也是如此。依赖于单个提供商会带来集中风险,使数据容易发生泄露。而将存储空间和功能分开并分配给多个提供商,则可以降低风险并提高犯罪分子的访问难度。

人工智能(AI)

预定义的算法可以标记出不符合正常模式的交易,例如常居于美国的客户却在伦敦进行交易。但是,如果该客户每年多次访问伦敦,那么即便是合法,该算法仍会继续标记在此处进行的每笔交易。人工智能则可以学习、适应客户的行为并更新算法,从而使未来与该模式相匹配的交易不太可能被标记。此外,人工智能还推动了生物识别技术(一种利用客户的独有特性来识别客户身份,从而访问其账户信息的方法)的发展 。指纹、"眼纹"和面部识别是许多智能设备都具有的功能,并且现在有越来越多的银行在其移动应用中都提供了这些选项。这相当于增加了一层额外的安全保护,使罪犯行为更难以得逞。

改进 AI/ML 应用管理

借助这一系列的网络培训课堂,获取有关如何简化人工智能/机器学习(AI/ML)应用部署和生命周期管理的专家见解, 从而更快地构建、协作和共享 ML 模型与 AI 应用。 

观看网络培训课堂系列点播视频

我们的愿望是让您安心地采用持续防护策略,我们致力于帮助企业做好开源准备,实现这一目标。我们的宗旨是帮助您的企业保持竞争力、灵活性和良好的适应性,并持续满足相关的安全和监管合规要求。

了解红帽如何为您提供帮助
中心

红帽官方博客

获取有关我们的客户、合作伙伴和社区生态系统的最新信息。

所有红帽产品试用

我们的免费试用可让您亲身体验红帽的产品功能,为获得认证做好准备,或评估某个产品是否适合您的企业。

扩展阅读

一文看懂什么是风险管理?

风险管理是指识别和评估风险并制定相关计划,从而最大程度降低或控制这些风险及其对企业造成的潜在影响。风险管理策略就是应对这些风险并理解其潜在后果的策略。了解风险防范和管控的方式。

什么是 CI/CD 安全防护?

CI/CD 安全防护通过自动化检查和测试保护代码管道,以防止软件交付中出现漏洞。

什么是入侵检测与防护系统(IDPS)?

入侵检测和防护系统(IDPS)可以监控网络中的威胁,并采取行动来阻止检测到的任何威胁。

安全防护 相关资源