互联网支付公司客户信息安全保护制度彩打模版.pdf

客户信息安全保护制度客户信息安全保护制度 一、总则 为了加强公司客户信息安全管理，规范客户信息访问的流程 和权限以及规范承载客户信息的环境，降低客户信息被违法使用 和传播的风险，满足业务发展的安全性要求，保证信息系统和相 关基础设施功能的正常发挥，有效防范、控制和化解信息技术风 险，增强信息系统安全预警、应急处臵和灾难恢复能力，保障数 据安全，显著提高新生支付业务持续运行保障水平。特制定本规 定。 保护客户信息安全及其合法权益是新生支付应承担的企业 社会责任，新生支付的各级员工应严格保护客户信息安全，严禁 泄露、交易和滥用客户信息。新生支付员工有权利和义务制止对 于任何可能危害客户信息的安全的行为，并向上级领导或安全员 举报。 客户信息生命周期结束后，新生支付的各级组织有义务和权 力根据相关的法律、法规及合同约定，妥善的处理客户信息以及 客户信息相关的数据载体。 新生支付各相关部门应定期组织客户信息安全评估和检查， 对发现的隐患及时整改。 本规定是全公司进行客户信息安全管理工作的基本依据，各 地分公司和各部门可根据工作需要，结合本单位的具体情况制定 相应的实施细则或补充规定，做好客户信息安全管理工作。 二、客户信息内容 客户信息包括：客户客户基本资料、鉴权信息、客户交易信 息、客户资金账户信息等。 （一）客户基本资料包括但不限于：企业用户资料、个人用 户资料、流动用户资料。 （二）客户身份鉴权信息包括但不限于:客户的登陆密码、 支付密码、安全问题、实名认证等。 （三）客户的交易信息包括但不限于：网关交易详情、出款 交易详情、预付卡交易流水、充值、提现等。 （四）客户账户信息包括但不限于：新生网络账户、卡账户， 开立时间，与新生进行交易的银行卡信息等。 （五）在与用户建立业务关系过程中获取、保存的其他信息。 三、信息安全保护的组织与职责 客户信息安全的统一归口管理部门是网络支付业务部。 各部门应负责各自主管的业务系统的客户信息安全保护，明 确各业务系统的客户信息安全责任人，按照本规定落实业务系统 的安全管理要求。 （一）安全管理责任负责人的职责 1.负责客户信息的全面管理； 2.明确公司信息安全目标和方针策略，负责推动安全管理体 系的运行，提供需要的资源，安全事件的决策，管理体系的评审 等。 3.负责信息安全具体工作，包括管理体系的执行、风险评估、 漏洞修复、安全审计、安全监控、安全培训、事件响应等。 4.负责信息安全事件处理、应急响应和业务连续性工作。 5.负责信息安全管理体系的定期评审。 （二）涉及客户信息的其他相关部门职责 1.行政与人力资源部：组织接触客户信息的员工签订保密承 诺书，及时发布人员岗位变动、离职的信息给账号管理部门，参 与对客户信息泄密人员的查处，以减少从业人员对客户信息安全 管理的疏忽懈怠； 2.市场拓展部：在收集、保存、使用个人信息时，要严格遵 守法律规定，确保信息安全，防止信息泄露和滥用，遵循合法、 合理原则，不得收集与业务无关的信息或采取不正当方式收集信 息。对记载有关客户个人金融信息的废弃材料均应做粉碎处理。 3.网络支付业务部：不断加强客服理念、服务意识与专业水 平，提高对客户的服务需求满足能力与风险防控意识。负责提醒 客户保障信息安全及风险预警，负责受理客户信息泄密事件的投 诉、上报，协助完成客户信息泄密现象的市场调查及事件的查处； 4.产品技术部：应在系统规划、方案设计极端，考虑客户信 息安全保护的要求，配备完善信息安全技术防范措施，确保个人 信息在收集、传输、加工、保存、使用等环节中不被泄露，安全 管理，建立办公网客户信息的监控与防泄密机制； 5.风险合规部：负责开展客户信息风险的防范与排查，开展 常态化的合法合规教育与监督，在合同中列入客户信息保密的条 款。 6.运营部：规范内部系统平台权限管理，对不同部门操作人 员明确信息使用权限，按规定严格执行开通关闭流程，保护客户 信息安全。对信息系统中发生的信息安全事件分等级响应、处置。 四、客户信息系统技术管控 （一）安全模型设计 1.安全描述 新生在线支付