和银行资金存管一样,信息系统三级等保认证也是网贷平台备案登记的标配:
①根据2016年4月发布的 《互联网金融风险专项整治工作实施方案》 ,由公安部负责“指导、监督、检查互联网金融从业机构落实等级保护工作,监督指导互联网金融网站依法落实网络和信息安全管理制度、措施,严厉打击侵犯用户个人信息安全的违法犯罪活动”。简而言之,所有互联网金融平台都必须通过等保测评。
②根据《网络借贷信息中介业务管理暂行办法》,“三级等保”是互金平台合规运营的标配。P2P网络借贷平台也必须通过三级等保测评,才能顺利备案。
但据第三方机构不完全统计,截至2018年2月底,国内网贷行业正常运营平台数量已降至1700余家,其中已经通过信息系统安全等保三级备案认证的平台为164家,仅占在运营平台数量的9%。
网贷平台完成等保认证的数量为什么这么少?网贷平台三级等保认证究竟难在哪?
根据已经通过三级等保测评的宜贷网相关负责人的说法,如果平台在设计信息安全系统之初就整体按照三级等保的相关要求进行,后续的三级等保测评就会比较轻松。
这位负责人认为,目前大多数平台在互金专项三级等保认证过程中可能会遇到如下三点困难:
1、对平台的安全设备要求苛刻。不仅要实现防篡改、防ddos攻击等功能,还需配备堡垒机、日志审计、防火墙、灾备系统等安全设备;更要聘请专业技术维护人员为平台系统安全提供支撑,这些都需要公司投入大量资金,对公司的财力是一大挑战。
2、对平台运营公司制度体系的完善程度要求高。其中包括完善的管理制度和对应制度执行情况的证明、记录,涉及人事、财务、项目工程开发、管理等各个方面,每一个环节都须提供制度对应的表格来支撑。
3、对业务平台系统应用自身的安全性要求高。例如对账号密码复杂度定期修改就有很苛刻的要求:需要有所有相关用户的登陆时间、Ip地址;需要对如何更改手机号码、身份证号码、银行卡号等重要操作进行详细的日志审计记录;需要对用户数据隐私性保护、业务系统敏感信息的脱敏、加密存储要求等要求有详细说明;需要实时监测系统是否存在应用安全漏洞。
“换句话说,如果平台自身技术实力不过硬,仅漏洞修复就是一项非常吃力与消耗时间的工作。”宜贷网平台负责人发出感慨。
此外还要注意的是,虽然三级等保是网贷平台备案登记的标配,但各地金融办对平台取得三级等保的要求也存在差异,其中上海地区较为严格。上海地区的网贷平台不仅要聘请专业机构进行信息安全等级测评(要求不低于90分),还需申请并通过公安部门的信息安全系统审核。
