银行卡信息管理存在的安全隐患亟待重视

近年来，有关银行员工“买卖客户银行卡信息”、“泄漏客户信息”的媒体报道逐渐增多，严重损害了银行的形象和声誉。由于银行内部存储了大量的客户信息，一旦发生信息泄露案件，势必造成较大的损失和不良影响。因此，如何保护客户银行卡信息成为银行亟待解决的问题。

一、银行卡信息安全管理现状

        1．相关规章制度不断完善

        近年来，为保障银行卡信息安全，维护银行业客户权益，相关部门出台了一系列规章制度：2009年3月，银监会发布《关于进一步加强银行卡服务和管理有关问题的通知》和《商业银行信息科技风险管理指引》；2009年4月27日，人民银行、银监会、公安部、国家工商总局联合下发《关于加强银行卡安全管理预防和打击银行卡犯罪的通知》；2011年3月15日，人民银行发布《关于推进金融IC卡应用工作的意见》；2012年12月28日，全国人大常委会发布《关于加强网络信息保护的决定》；2013年7月5日，人民银行发布《银行卡收单业务管理办法》；20l3年8月30日，银监会发布《银行业消费者权益保护工作指引》。这些文件和规章制度的发布实施对有效保护客户银行卡信息起到了积极作用。

        2．银行业金融机构加大银行卡信息安全建设

        银行业金融机构在实现总行数据大集中的基础上，不断完善银行卡信息系统建设，业务流程不断优化，总行和分行针对银行卡相关的客户信息和交易信息建立了较为完善的信息安全管理制度和严密的业务信息系统。各商业银行基本建立了覆盖IT系统运行、业务处理、数据管理等方面的风险管控机制，部分银行还对银行卡制卡、发卡、银行卡敏感信息安全、信息传输控制等环节设置了稽核审计流程。

        3．银行卡信息泄露事件频现

        虽然相关部门和银行业金融机构在银行卡信息安全方面一直不懈努力，但近年来银行卡信息泄露事件还是不断发生。例如，2012年3月，央视“3.15”晚会曝光某些银行的员工以每份十元到几十元的价格大肆兜售个人征信报告、银行卡信息，导致部分用户银行卡账号被盗；2013年7月13日，《人民法院报》刊登了一篇题为《银行卡内近250万元不翼而飞》的报道，法院认定银行对个人账户信息保管不善以致泄露应承担相应责任，判决银行返还客户存款本金及相应利息。

二、银行卡信息管理存在的安全隐患

        目前，虽然大部分银行内部对银行卡信息建立了相应的保护措施，但个别银行仍存在信息系统设计有漏洞、外包服务管理不完善、员工安全意识淡薄等问题，严重威胁着客户银行卡信息的安全。

        1．系统设计的安全性不高

        银行卡交易信息在银行自助终端、银行前置服务器、银行数据库服务器、银联服务器等环节进行传输。个别银行因系统设计有漏洞，在信息系统的日志文件中保留了银行卡磁道、卡密码密文等关键信息，系统管理员可登录访问或下载这些数据，使客户敏感信息面临被批量盗取和非法使用的风险。此外，有的银行对银行卡信息的保护措施不够完善，缺乏对用户登录、访问操作等进行审核、监控和事后审计的风险控制机制，员工可用查询账号在信息系统查询或下载本（他）行卡的银行卡关键信息。

        2．外包服务的保密性不强

        一是对外包服务的后续监督有待加强。银行卡所有交易信息均存储在银行自助终端硬盘中，而目前银行机构普遍聘请外包公司进行自助终端的日常检测和维护，若银行对外包公司的监控不力，可能导致银行卡信息的泄露。某银行曾发生外包公司员工利用为银行设计、维护ATM软件之便，从ATM上盗取他人银行卡信息，盗取现金6万元的事件。二是对外包设备的处置方法存在漏洞。个别银行的自助终端服务设备是从外包公司处租用的，当租用合约到期后，银行将包括硬盘在内的自助终端服务设备直接退交外包公司，相关银行卡信息存在泄密风险。

        3．操作权限的管控力度不够

        银行的中心机房保存着银行卡客户的个人信息和交易信息，由于工作需要，系统管理员需访问服务器进行数据查询、导出、变更等操作，但个别银行对员工访问关键信息的权限管理不够科学，存在过多授权或授权过大的现象，银行卡客户信息、存在被篡改或非法访问的风险。如某银行对不同岗位的系统管理员设置了同样权限的账号登录核心系统，或采用直接修改数据库数据的方式变更网上银行客户信息。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文