“迄今为止,还没有发生过一起因为盗刷而导致资金损失的安全事件。”在最新一期“铜板街高管面对面”直播活动中,铜板街安全部负责人梁远军说。
梁远军是金融科技技术安全共同体专家委员会委员,曾先后在苹果(中国)、中国平安集团负责风险管理业务,在用户安全领域有多年工作经验。在本次面对面活动中,他向客户详细介绍了铜板街的安全防御体系。
权威认证 业界领先
铜板街安全中心的任务就是确保用户信息安全、产品安全、业务安全。铜板街在安全上投入早、投入大,并逐步建立起自己特有的智能安全防控体系。
铜板街很早期获得了公安部门颁发的信息系统安全三级保护备案证明,确保整个企业的安全建设符合国家标准。在国际认证标准方面,铜板街已通过ISO27001认证。这些备案或认证表明,铜板街的安全管理、安全建设、安全防御都达到了较高标准。
铜板街创始人、董事长何俊在不久前召开的年中会上给梁远军领衔的安全部门提出了新要求,“从2018年下半年开始准备,到2019年,要把铜板街的业务安全技术外输,为整个行业,包括银行、证券、保险、互联网金融行业输出我们的安全能力。”
全场景、全流程、全生命周期的安全管理
梁远军介绍,铜板街所有用户均免费接入铜板街智能安防体系。该体系包括账户安全、交易安全、营销安全及支付安全等相关事宜。用户的每次业务请求,包括注册、登录、绑卡、交易、社区互动等,都会经过安全系统的检测。安全系统认为安全的请求,才予放行;当系统发现业务请求存在风险时,就会调动安全引擎进行安全验证。整个安全检测的耗时很短,反应毫秒级,用户本身是感知不到的。
到目前为止,铜板街的安全防御体系已累积了千余项安全策略。整个体系的枢纽,“安全大脑”,融合了行业领先的安防技术,包括防欺诈的计算策略、机器学习、图卷积神经网络(GCN)等,确保了整个策略和模型的精准性。梁远军说,该体系效果明显。
用户注册时,铜板街安全引擎需要判断注册行为的真实性,过滤垃圾用户及批量注册行为,给所有用户一个公平环境,防止恶意注册者去刷账户体系。
在登录时,系统会检测用户账户登录环境的安全性,因为很多用户在很多网站使用同一个账户名、同一个登录密码,一旦在其他平台泄露,存在被欺诈分子登录的风险,此时,安全引擎会去判断是否由本人发起,“单点登录”“常用设备”策略会要求更换手机登录时进行二次验证,最大化保护用户登录的安全性。
绑卡时,系统会判断是否是卡主本人在绑定银行卡,提现和支付时也要判断是否由本人发起。在社区,安全系统会甄别欺诈者发布的欺骗信息,并在第一时间过滤掉。用户也可以用铜板街App的“账户体检”功能定期做安全检测。
隐私、数据保护:技术驱动+管理赋能
用户隐私保护也是安全领域的热点话题,是铜板街智能安防体系的基本职责、基本功能。铜板街采用金融级加密技术,严格的密钥管理措施,保障信息安全。
首先,在内部作业系统中,用户的隐私信息都经过脱敏处理,包括链路系统、身份信息、银行账户信息等等;其次,在系统管理方面,系统管理员实行双钥匙制度,同一个账号有两把钥匙,分别由两个业务负责人保管,只有这两个人都在现场才能开启整个系统;第三,访问系统,包括查询、使用,都有日志记录,而且,定期的审计工作也有助于保障这些信息的安全性。
交易数据的留存方面,铜板街建立了用户全生命周期的数据保护机制。首先,在数据产生的过程中,全站采用HTTPS这种方式保障数据在传输过程中不被窃取、不被窥探;其次,在储存过程中,同样采用了金融级的加密技术;第三,数据访问方面,实行角色分离——生产环境和测试环境分离,运维和研发分离,审计角色和管理角色分离,同时实施严格的权限控制,并有严格的审计机制和脱敏处理。
此外,客户还特别关心如何验证后台数据的真实性。梁远军说,交易合同均有电子存证,同时有基于密码学的时间戳验证的电子签名。而且,这些数据均有三方验证,客户可以随时查询。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。