在保护金融服务行业的机密客户数据时,最重要的风险领域之一是暴露受 GDPR 和 PCI 等法规管辖的敏感信息。其中大部分(例如客户的个人身份信息 (PII))最终会出现在非生产环境中,例如开发、测试、分析和 AI/ML。许多企业没有像在生产环境中那样对非生产环境采取适当的保护,这是一个严重的风险。 幸运的是,金融服务组织可以采取一些步骤,但首先,为什么有这么多敏感数据从生产环境蔓延到非生产环境?
非生产环境中敏感数据的爆炸
企业正在快速原型设计、试验和开发 AI/ML 模型和应用程序,并且需要消费者数据来支持这些项目。再加上数字化转型、增加与客户的数字化交互、增加使用数据来支持决策以及云采用等因素,您就可以进行广泛的软件开发,从而导致数据从生产环境蔓延到非生产环境。
未能保护这些数据可能会导致合规性和审计问题、数据损坏或更改、数据泄露或盗窃。然而,保护非生产环境中的敏感数据可能很困难。跟踪和遵守不断变化和不断增长的法规的能力是问题的一部分。开发人员或测试人员还需要访问真实的敏感数据来完成他们的工作。一种方法可能是隐藏某些字段,但当团队进行测试时,数据不再像生产那样,测试会失败。此外,必须维护相互依赖的数据集之间的复杂关系。不匹配可能会导致团队使用不切实际的数据,进而导致生产中出现更多缺陷。
对发展放缓的担忧
在一些组织中,还有一种观点认为,在非生产环境中保护敏感数据会阻碍开发速度,因为在非生产环境中手动匿名和复制生产数据库可能需要数周时间。 此外,随着数据资产规模和复杂性的增长,当尝试使用次优方法保护庞大数据集时,可能会导致软件开发陷入停滞。敏感数据也可能很难找到,隐藏在各种数据库、格式、应用程序和其他来源中。出于所有这些原因,允许数据合规性例外可能很诱人,这是一种危险的策略,因为它可能为数据泄露、盗窃、不合规、审计和其他问题打开大门。
问题的解决方案
那么,金融服务组织实际上可以采取哪些措施来保护非生产环境中的敏感数据而不影响开发速度和质量?可以使用多种工具和流程。例如,静态数据脱敏不是动态数据脱敏,而是提供不可逆的数据匿名化,并可以提供类似生产的数据,使用预构建、可定制的算法库来确保跨数据源(本地和云端)的数据安全性和引用完整性。这使得软件测试等流程能够安全地进行,因为您知道数据是保密且合规的。根据所使用的工具,这可以自动发生,有助于加快开发速度,而不会给团队带来额外的工作量。
其他保护措施包括数据丢失防护 (DLP),这是一种外围防御安全方法,可检测潜在的破坏和盗窃并尝试保护它们,但它并非万无一失,因此应与其他技术结合使用,以防失败。数据加密是另一种方法,暂时将数据转换为代码,并仅允许授权用户通过加密密钥进行访问,但数据可能面临被不良行为者重新识别和利用的风险。
严格的访问控制根据角色和其他属性对用户进行分类,并相应地配置他们对数据集的访问权限。一般来说,访问控制总是一个好主意,但仍然存在内部利用的风险。定期的安全和隐私审计是预防的补充方法,并且具有重要作用,但除非定期进行,否则风险在于漏洞可能会在造成问题后才被发现。
多方面的方法 – 具有正确的心态
现实情况是,金融服务组织可能需要采用这些流程的组合,并将安全第一的思维方式和文化扩展到处理非生产数据的团队中。定期沟通和培训将帮助每个人了解自己在保护数据方面的角色。
为开发、测试、分析和人工智能团队提供消费者数据是金融服务组织快速改进产品并满足客户需求的一个重要组成部分。虽然保护数据显然是一个多方面的挑战,但有一些工具和技术可以帮助降低风险,而不增加团队的日常工作量,确保软件质量和上市时间,并有助于保持项目正常进行。
关键词:Finextra,新闻,在线,银行,银行,技术,金融,金融,fin,科技,fintech,IT, )打破(t)最新(t)零售(t)t交易,贸易,执行,头条新闻,区块链,数字,投资,移动,商业,挑战者,支付,监管科技,保险科技( t) 服务
