原標題:
(資料圖)
個人支付信息保護新規:明確安全框架及安全保護范圍
人民網北京8月15日電 (黃盛)據中國支付清算協會消息,為適應國家法律法規最新要求,更好地服務行業發展,日前中國支付清算協會對2016年發布的團體標準《個人信息保護技術指引》進行了修訂,并更名為《個人支付信息保護指引》(以下簡稱《指引》)。《指引》用于指導中國支付清算協會會員單位信息系統處理個人支付信息的服務與活動。
據介紹,《指引》規范了個人支付信息的定義及范圍,提出了個人支付信息保護的基本原則、安全框架、安全保護范圍、業務主體及主要義務、組織建設、人員管理、終端和業務系統安全等內容,并針對不同業務場景提出了典型的保護要求。
明確個人支付信息分類及安全框架
具體來看,《指引》明確個人支付信息的分類——是指個人參與支付活動中涉及的、能夠被知曉和處理、與個人相關、能夠單獨或與其他信息結合識別該個人的任何信息,包括賬戶信息、鑒別信息、支付交易信息、個人身份信息,除此之外還包括特定個人支付信息主體的消費意愿、支付習慣和其他衍生信息以及在提供支付服務過程中獲取、加工、保存的其他個人信息。
此外,《指引》在個人支付信息安全框架中提出了三項要素,分別為支付業務主體、業務場景和支付技術。支付主體宜按照處理支付信息的主要類別開展信息保護工作,甄別各類支付業務主體的主要職責,確定自身的安全保護范圍,并按照基本要求、管理要求、人員要求、系統要求等不同的維度建立個人支付信息保護能力;在業務場景中個人支付信息保護需要實現場景的全覆蓋,根據支付服務參與角色的不同,需要考慮用戶場景、業務運營場景、系統運維場景的數據保護;支付技術宜根據支付技術的不同設定具體的個人支付信息保護要求,包括網絡支付、移動支付、銀行卡收單等不同的技術模式。
個人支付信息安全框架。 來源:《個人支付信息保護指引》
對于支付業務主體,《指引》表示,個人支付信息保護需要覆蓋以下三類范圍:直接收集、存儲、處理和傳輸個人支付信息的系統組件、人員和流程;可能不收集、存儲、處理或傳輸個人支付信息的系統組件,但它們可以連接到存儲、處理或傳輸個人支付信息的系統組件,且連接后對其訪問行為沒有有效的控制和審計的系統組件、人員和流程;可能影響個人支付信息處理環境安全的系統組件、人員和流程。
明確從業機構及其人員的管理要求
《指引》對從業機構的組織架構、個人支付信息保護負責人、管理制度和崗位設置分別提出了針對不同支付業務主題的管理要求。
在組織架構方面,從業機構應建立個人支付信息保護的組織架構,并提供必要的資源,保障其獨立履行職責;在個人支付信息保護方面,負責人應由具有相關管理工作經歷和個人信息保護專業知識的人員擔任,參與有關個人信息處理活動的重要決策;在管理制度方面,應將個人支付信息保護納入到企業全面風險管理和內部控制流程中,建立適合機構條件的決策機制,制定有效的決策流程;在崗位設置方面,各支付業務主體應根據自身業務特點合理設置人員崗位,明確機構各層級內設部門與相關崗位個人支付信息保護職責與總體要求。
此外,《指引》對從業機構的人員錄用、培訓、轉崗或離職以及違規人員管理等方面提出了明確的要求,支付業務從業機構在人員錄用時需要進行必要的背景調查,確保員工未參與過危害持卡人支付信息安全或其他信息泄漏事件,并且簽署保密協議和信息安全責任承諾書;在員工培訓方面,員工上崗前應及時安排其參加支付信息安全培訓,并至少每年開展一次支付信息安全相關的培訓或宣貫,提升員工的支付信息安全防護意識和技能;在員工轉崗或離職時應立即變更、凍結或刪除離崗員工對支付信息所有訪問權限,立即取回相關身份證件、鑰匙等物品以及機構提供的軟硬件設備,同時應辦理嚴格的調離手續,并要求其履行保密義務;在違規人員管理方面,應對違反支付信息安全管理規定并造成 C2、C3 類支付信息泄漏事件的員工進行處罰,情節嚴重的應向相關監管部門報送違規員工個人信息并標明報送原因,涉嫌違法犯罪的,應及時報告公安機關。
《指引》還要求,支付業務主體宜根據不同場景設計個人支付信息的保護策略,建立個人支付信息保護基本要求,并在支付業務系統中正確、有效實現。例如,用戶支付場景的信息保護至少包含用戶注冊、用戶信息變更、用戶登錄、支付、交易查詢、用戶注銷等;運營場景信息保護主要包含運營人員進行信息查詢、修改、刪除等操作;運維場景信息保護主要關注數據庫、日志等信息的保護。(實習生王鼎倫對此文亦有貢獻)
關鍵詞:
責任編輯:Rex_15
營業執照公示信息