2017年07月14日
盒子支付:数据安全是信息安全链条中最重要的一环
伴随着互联网科技的发展,无现金交易支付日益普遍,人们的资金与信息安全也变得越来越重要。我国在2014年将每年9月第三周定为网络安全宣传...
伴随着互联网科技的发展,无现金交易支付日益普遍,人们的资金与信息安全也变得越来越重要。我国在2014年将每年9月第三周定为网络安全宣传周,并在今年6月1日颁布生效了《网络安全法》,可见国家对公民信息安全保护的高度重视。
作为聚合支付第一梯队的盒子支付,从成立伊始,就把用户的信息安全保护放在第一位,将其作为业务能力建设的重中之重,并按照行业最高安全标准,建设信息安全防御体系。
在保护信息安全方面,盒子支付严格按照行业最高标准,从数据安全、产品安全、制度安全、行业安全四大维度开展工作,而数据安全则是整个安全环节中最最重要的一环。今天,就带大家了解盒子支付数据安全相关的工作日常。
(信息安全四大维度)
“讲到数据安全的工作,必须从数据储存、数据保护和数据管理三个方面说起。”
360度全方位数据守护 达到银联ADSS安全标准
机房对于盒子支付来说,就是心脏地带,它存储和运行着所有的数据。
1. 严格的机房管理制度
机房有专人看守、戒备森严,公司内部工作人员如因业务操作需要进入机房,需要经过层层关卡,整个过程都在机房摄像头的监控之下。这一整套数据存储和管理系统,完全按照银联ADSS存储标准执行。
(进入机房的管理制度)
2. 异地灾备方案
除此之外,盒子支付还专门设置了异地灾备方案,即便发生了意外、自然灾害等人力不可控情况,依然能保证数据的完整。
智能防御系统 纵横防御恶意攻击
数据的保护除了基本的存储运行,还需要强有力的“盾牌”来保护数据不被破坏。
盒子支付的智能防御系统就起到了“盾牌”的作用——通过硬件防火墙和自主研发的应用防火墙的双重结合,来拦截常见的漏洞和恶意攻击,并且结合大数据威胁情报系统来快速抓取数据漏洞,相对于以往传统的安全系统,其风险识别率高、探索能力强、风险模型能更快速地运算组建起来,并不断更新和发现问题。
(智能防御系统)
另外,盒子支付还与多家专业安全服务公司合作,对产品及系统进行安全检测评估,检测过程中如发现问题,则及时优化完善,使系统能通过不断地自我学习,提升自我防御能力,降低数据安全风险,真正实现了安全系统智能化。
“堡垒机”无死角监控 执行信息隔离墙制度
保护数据安全,也要从内部人员的业务操作进行风险核查,而对于自身的风险管理,盒子支付从来没有放松。
在数据的展现上,盒子支付使用AES算法,密钥长度达512位,对敏感数据进行加密处理。
在数据调取方面,盒子支付严格执行信息隔离墙制度:
1.坚持“专人专岗”原则
在数据展示方面,不同岗位接触的数据不同,有规定的接触范围,只有极少数特定岗位才能接触到敏感数据,并且任何对数据的访问行为要都执行“事前监控、事后审计”的标准。
2.坚持“最小化权限原则”
在信息调取方面,不同岗位只能拥有相应等级的信息查看权限,每一次的信息调取,都有安全日志和电脑界面的操作视频作为记录,安全责任可追溯到个体。同时,盒子提倡用软件代替人工处理数据,以减少人为接触数据的机会,降低安全风险。
3.制定数据变更规范
每个版本数据的更新发布除了要经过安全、风控团队的双重审核,还要经过专业的安全检测机进行检测。
4.“堡垒机”无死角监控
为全方位监控工作人员的风险操作,盒子支付研发了一套“堡垒机”系统,保证任何一次数据访问、任何一次工作人员的异常举动,都能被强大的“堡垒机”监控记录。
安全,从来不止是一种信念,更是一项需要真真正正落实开展的工作,让客户的信息安全受到全方位的保护,是盒子支付始终坚持并会一直努力践行实现的目标和使命。