數字/在線支付係統風險

本博客由我的同事Sundeep Bablani撰寫,他是IT和網絡安全總監

現在有幾種支付係統可以提高金融交易的便利性。金融和非金融機構繼續開發和提供支付係統,隻需點擊幾下就可以驗證和傳輸資金。這些新引入的應用程序的用戶依賴於各自的供應商,以確保實現了所有所需的控製,以保護靜止和傳輸過程中的數據。監管機構也通過附加的法規遵從性要求來解決這些風險,並且已建立的框架繼續提高行業標準,以進一步指導組織將風險降低到可接受的水平。

這些應用程序的使用增加了總體風險,進而增加了對符合行業最佳實踐的數據加密和身份驗證機製的需求。應用程序用戶的責任在冗長的條款和條件中被概述,這些條款和條件被承認,但並不總是遵守,因為它涉及到確保不包含用戶憑證。對客戶和金融機構用戶來說,安全意識仍然是一個挑戰。

金融機構有責任確保在支付係統的規劃和部署階段考慮到所有威脅。然而,利用潛在的空白,新的威脅不斷地引入到環境中。金融機構有責任通過已知的威脅不斷重新評估威脅環境。欺詐交易一直是一個風險,但添加的日誌記錄和監視控製為管理層提供了潛在的額外安全層的能力。此外,多因素身份驗證已成為符合網絡責任保險要求的一項要求。

提供這些產品的供應商被要求提供額外的文檔,作為組織盡職調查工作的一部分,以確保他們的IT環境已被評估,並針對已識別的漏洞定期進行測試。建議加強合作,以確保這些係統的所有用戶都具備必要的製衡機製,不僅能識別重大事件,還能製定事件應變計劃,以處理重大事件。確保實施或適應支付係統產品的機構了解數據如何流動並與現有係統集成是至關重要的。在審查中發現的任何缺陷都應該通過減輕控製來解決。責任之戰是引入這些控製的一個驅動因素,因為作為這些應用程序的最終用戶,各種機構都承擔著聲譽風險。對組織來說,支付係統既是一種資產,也是一種負債,這帶來了額外的挑戰。

支付係統繼續為各自金融機構的零售和商業客戶帶來便利,因此缺乏控製的影響可能非常大。因此,風險落在相關各方身上,需要加強合作以抵禦網絡威脅。管理層必須引入創造性的方法,在最初的培訓和對條款和條件的確認之外,不斷地對應用程序用戶進行教育。現有的安全層需要不斷增強,以滿足行業監管標準和最佳實踐,這一切都是為了讓黑客難以利用安全漏洞。因此,在做出實現這些服務的決策時,組織必須做出有意的努力來評估操作、安全、信用和聲譽風險。

CLA如何提供幫助

如果您的金融機構沒有采取措施應對這些風險,我們可以幫助您。我們經驗豐富的專業團隊可以幫助評估網絡安全項目,並在其他方麵提供幫助。

分享

  • 410-308-8153

布列塔尼有超過12年的經驗,專門為金融機構提供審計和會計服務。除了為總資產從1,000萬美元到500億美元的機構規劃、管理和執行財務報表審計外,她還執行了旨在測試貸款文件和準備金充分性、遵守內部控製政策、外包內部審計以及為各種合規要求提供谘詢的審計業務。

評論都關門了。

通過電子郵件接收CLA的金融機構博客

*表示需要

Baidu
map