标准规范下载简介
JR/T 0200-2020 金融科技创新风险监控规范.pdf简介:
JR/T 0200-2020 金融科技创新风险监控规范.pdf部分内容预览:
金融科技创新机构fintechinnovationinstitution 从事金融服务创新的持牌金融机构及从事相关业务系统、算力存储、算法等科技产品研发的 科技公司。 3.2 金融科技创新应用fintechinnovation 在符合现行法律法规、部门规章、规范性文件等要求前提下,在尚不具备管理细则的领域,利用 新技术设计、面向金融用户的产品或服务。 3.3 个人金融信息personalfinancialinformation 金融科技创新机构通过提供金融服务或科技产品等方式获取、加工和保存的个人信息。 注1:本文件中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及 其他反映特定个人某些情况的信息。 注2:改写JR/T01712020,定义3.2。
下列缩略语适用于本文件。
《信息化工程监理规范 第5部分:软件工程监理规范 GB/T 19668.5-2007》JR/T02002020
主要涵盖金融科技创新机构(以下简称创新机构)的业务系统、API、SDK、APP等。
监控内容主要包括个人金融信息保护、金融交易安全、业务连续性、服务质量、技术使用安全 内控管理、网络安全、意见投诉、公开舆情等
5.3.1 安全可控原则
应按照安全可控原则,开展风险监测和防控,保障系统和服务的风险可控,提前做好应对威胁风 险的处置预案。
5.3.2 开放共享原则
应按照开放共享原则,开展风险信息报送与风险数据共享。
5.3.3隐私保护原则
应按照隐私保护原则,开展风险监控过程中对于可能涉及的个人或金融交易隐私信息应采取 安全保护措施,确保隐私信息安全不被泄露
5.3.4披露与监督原则
应按照披露与监督原则,积极披露系统及应用风险,定期发布报告,主动接受监督,确保系 应用安全运行。
创新机构应按照本文件接受监测机构的风险监测,并按照监管机构、自律组织要求进行风险处置。 监控流程包含数据采集、数据分析、风险预警、风险处置、信息共享。 在风险监控过程中各参与方应采取数据安全存储、访问权限控制、敏感信息脱敏等技术措施保证 数据全生命周期安全
监测机构应根据监控对象分类,明确定义数据采集的类型、接口和通讯方式,采集监测数据,为 数据分析提供源数据,具体包括: a)统一数据采集接口。 b)对数据进行标准化处理。
监测机构应根据监控对象的技术和业务风险防范要求,明确分析目的,选择合适的数据分析工具 和方法,进行数据分析处理,具体包括: a)选择数据,进行特征抽取,建立、训练、优化分析,计算分析结果。 b)对分析处理的过程和结果进行校验,格式化输出,产生分析报表。
JR/T 02002020
JR/T 02002020
创新机构应及时对风险进行处置,具体包括: a 针对系统级别风险,及时采取措施对风险进行处置。 针对流程管理类风险,及时进行分析并完善相关机制。 C 针对仿冒钓鱼类风险,及时与相关管理机构沟通并进行关停。 d 针对奥情类风险,及时根据相关机制采取应对措施。 e 针对意见投诉类风险,及时分析原因,进行处理。 f 针对不能有效证明因客户原因导致的资金损失的情况,建立风险拨备资金、保险计划、风险 赔付等制度面向客户进行赔付,保障客户合法权益。 针对新技术与业务融合造成的潜在风险,制定应急处置方案。 h 针对涉及多机构的风险,相关机构需主动开展联防联控,
在不干扰金融科技创新应用正常运行的前提下,以旁路或镜像等方式采集数据,通过预定 口进行信息采集,识别系统风险
在不干扰金融科技创新应用正常运行的前提下,使用自动化方式通过机构外部网络采集应 的状态数据,应用于风险识别。
7.1. 4 人工核验
对运行中的系统,在不事先告知创新机构的情况下,模拟用户进行核验,验证系统的业务功能 流程和控制措施等与事先报备的内容是否一致。
JR/T02002020
对国家网络安全管理部门、公安机关等通报的信息,认证机构、安全评估机构、科研机构或其他 组织报告或共享的信息进行分析,识别应用的风险,
7.1. 6 奥情监测
对通过创新机构、行业自律组织、监管部门或其他投诉渠道收集到的意见投诉信息进行分析跟踪, 为识别创新应用风险提供信息
7.2.1隐私政策合规
7.2.2信息收集权限和范围
对信息收集权限和范围进行监测,采取以下措施: 机构报送: 创新机构每季度定期报送信息收集的权限和范围; 在报送内容中包含但不限于应用名称、应用版本、权限名称、权限描述、开启时机 是否强制或默认开启、权限使用场景、用途、是否已告知用户权限和用途等:
JR/T 02002020
·针对应用中嵌入SDK的情况,报送内容包含但不限于应用名称、应用版本、SDK名 称、SDK类别、SDK开发厂商、SDK版本、SDK功能、使用场景、SDK安全测试情况、 SDK收集个人信息情况、SDK收集个人信息范围、SDK收集个人信息目的、SDK收集 个人信息方式等。 自动探测:通过自动化的技术手段对信息收集权限和范围进行检查,识别信息收集超范 围收集和采集范围越界风险。 一人工核验: ·对生产环境应用(或从应用市场获取生产环境的APP)收集信息的权限和范围进行 核验,确认无高危行为或与隐私政策不一致的行为,确认符合JR/T0171一2020要 求; ·确认数据收集的权限和范围是否与隐私政策不符。 意见投诉:对个人金融信息超范围收集的用户投诉、报告进行分析和跟踪。 信息共享:分析其他机构提供的信息,核验个人金融信息收集权限和范围的合理性。 应对信息收集权限和范围不当风险进行处置,采取以下处置措施: 监测机构: · 发现后及时通报创新机构,协助创新机构开展风险处置: ·视情况严重程度报送自律组织; ·对创新机构的处置结果进行核验。 创新机构: ·针对风险问题进行整改,移除非必要信息采集权限; 对收集信息的功能进行整改,删除超范围收集的信息,保证信息收集权限和范围与 隐私政策文本一致。 自律组织: ·将公众对信息收集权限和范围的意见投诉反馈至创新机构,并对意见投诉处理情况 进行核实; · 督促创新机构及时调整信息收集的权限和范围,组织对处置结果进行核验: ·视情况严重程度报送监管机构。 监管机构:监督创新机构处置信息收集权限和范围不当风险,
7.2.3异常访问管理
JR/T02002020
7.2. 4 信息泄露监测
)应对信息泄露进行监测,采取以下措施:
JR/T 02002020
7.3.2账户开立异常
7.3.3账户使用异常
JR/T02002020
a)应对账户开立后,连续发生大金额交易,连续发生身份验证、绑定或签约等非资金变动类交 易,连续发生交易失败,终端设备ID、网络地址、地理位置与申请开户时有明显差异,用户 立即或多次修改手机号码、绑定账户,多个不同身份的Ⅱ、IⅡ类银行结算账户在同一终端设 备或网络地址进行登录或操作使用等异常行为进行监测,采取以下措施: 机构报送:机构按照要求实时或按要求每季度定期报送账户开立后账户的交易异常情 况。 一 接口采集:通过接口对接创新机构内部的账户管理系统,当发现账户使用异常时,主动 采集相关信息。 b)应对账户使用异常风险进行处置,采取以下处置措施: 一监测机构: ·将账户使用异常的监测信息及时通知创新机构; ·视情况严重程度报送自律组织。 创新机构:核实监测信息的正确性后,根据实际情况对异常使用的账户进行处置,可采 取限制账户权限、账户锁定、删除账户等措施。 自律组织: · 督促创新机构及时进行整改和优化; ·视情况严重程度报送监管机构。 监管机构:监督创新机构处置账户使用异常风险
GB 51047-2014 医药工业总图运输设计规范7.3.4交易流程安全
7.3.5可疑/大额交易
应对《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令(2016)第3号发布,
JR/T 02002020
中国人民银行令(2018)年第2号修订)中规定的大额交易和可疑交易进行监测,采取以下 措施: 机构报送:创新机构应向监测机构报送可疑交易和大额交易的相关信息,并在交易发生 之日起5个工作日内以电子方式提交报告,交易监测标准包括但不限于客户的身份、行 为,交易的资金来源、金额、频率、流向、性质等存在异常的情形。 接口采集:通过接口对接创新机构内部的可疑交易和大额交易监控系统,当发现可疑交 易和大额交易时,主动采集相关信息。 一 信息共享:核实并分析其他机构、部门或技术平台分享的风险交易信息, b)应对可疑交易和大额交易风险进行处置,采取以下处置措施: 一监测机构: ·对监测发现的可疑交易和大额交易信息,应及时通知创新机构: ·根据交易类型及风险级别等信息,向创新机构提供处置建议; ·视情况严重程度报送自律组织。 创新机构:核实监测信息的止确性和时效性后,对批量、高频、异常时段、异常地点、 大额等可疑交易行为,采取风险提示、增强身份验证、拒绝交易等手段。 一一自律组织: ·督促创新机构适时处置可凝交易和大额交易; ·视情况严重程度报送监管机构。 一监管机构:监督创新机构处置可疑交易和大额交易风险
JR/T02002020
JR/T 02002020
对于因系统技术原因导致信息系统服务异常、重要业务停止运营的进行全面分析、 改造并进行充分验证; 对于因基础设施或运营环境不够完善,导致创新机构信息系统服务异常、重要业务 停止运营的,重新评估并完善其基础设施或运行环境,并加以充分验证; 对于因创新机构管理制度不够完善或管理不够严格,导致信息系统服务异常、重要 业务停止运营的,重新检查并完善管理制度,加强对技术风险的防范能力,切实提 高自身业务连续性保障水平。 自律组织: 及时将投诉意见反馈至创新机构; 督促创新机构积极处理风险: 视情况严重程度报送监管机构。 监管机构:对创新机构风险应按情况进行监督GTCC-097-2018标准下载,根据不同的风险等级进行处置: 对于高风险机构,给予1个月的整改期限,如期满未能符合业务连续性要求,则要 求退出创新测试; 对于中风险机构,对风险点做定期跟踪监测,并定期发布风险提示; 对于低风险机构,对风险点做定期跟踪监测