¿Cuáles son los riesgos legales de la banca en línea?
Además del riesgo de liquidez, riesgo de tasa de interés, riesgo de liquidación, riesgo moral y riesgo de nuevos instrumentos financieros de los bancos tradicionales, los bancos en línea de mi país también han agregado algunos riesgos nuevos en el entorno de red.
1. Riesgos que enfrentan los bancos en línea de mi país
1. Riesgo del sistema
(1) Riesgo del sistema operativo. El sistema operativo es el administrador directo de los recursos informáticos. Se ocupa directamente del hardware y proporciona interfaces para los usuarios. Es la base para el funcionamiento normal y seguro del sistema informático. Existen muchas vulnerabilidades de seguridad en el sistema operativo Windows. El sistema operativo UNIX es un sistema abierto y el código fuente se ha hecho público. Según los Criterios comunes para la evaluación de la seguridad de TI (Estándar CC) desarrollados conjuntamente por los Estados Unidos, los Países Bajos, Francia, Alemania, el Reino Unido y Canadá, el sistema operativo Windows de Microsoft y la mayoría de los sistemas operativos UNIX tienen un nivel de seguridad altamente seguro. solo alcanza el nivel C2, mientras que el nivel de seguridad del sistema operativo de banca en línea debe alcanzar al menos el nivel B.
(2) Riesgos del sistema de aplicación. Existen lagunas en el diseño del sistema empresarial de red. Actualmente, el software de aplicación de red tiene las siguientes vulnerabilidades de seguridad: parámetros no válidos, control de acceso no válido, cuentas no válidas, vulnerabilidades de secuencias de comandos entre sitios, desbordamientos de búfer, vulnerabilidades de inyección de comandos, problemas de manejo de errores, explotación insegura de sistemas de contraseñas, vulnerabilidades de administración remota, red y Mala configuración del servidor de aplicaciones.
En el proceso de diseño, solo se enfatiza el aspecto de diseño de "cómo la computadora completa la tarea", y no se considera completamente el control o inspección del programa durante la operación. El sistema no deja una interfaz para auditoría. lo que dificulta la realización de auditorías en tiempo real.
(3) Riesgo de almacenamiento de datos. Riesgos causados por el acceso a los datos, la confidencialidad y los daños al disco duro.
(4) Riesgo de transmisión de datos. Existen riesgos como robo y modificación durante la transmisión de datos.
2. Riesgo operativo
El riesgo operativo de la banca por Internet se refiere a las consecuencias directas o indirectas de la banca en línea debido a imperfecciones o errores en los procedimientos internos, el personal, los sistemas y los eventos externos. de Pérdida Consecuente. Las razones de los riesgos operativos son las siguientes:
(1) Los bancos en línea tienen poca conciencia de los riesgos operativos.
(2) Las responsabilidades de la estructura organizacional no están claras.
(3) El sistema de control interno está incompleto o mal implementado.
(4) No existe un departamento de auditoría adecuado para la banca online.
3. Riesgo crediticio
El riesgo crediticio de la banca en línea se manifiesta principalmente cuando los clientes sobregiran maliciosamente cuando usan tarjetas de crédito para pagar en línea o usan tarjetas de crédito falsificadas para engañar al banco.
4. Riesgo de asimetría de la información
La asimetría de la información se manifiesta en dos aspectos: por un lado, se debe a la incapacidad de los bancos en línea para obtener suficiente información de los clientes; Por un lado, se debe a la incapacidad de los clientes de obtener información relevante para la banca online. La asimetría de la información facilita que los clientes en línea oculten su información y acciones, y tomen acciones que son beneficiosas para ellos pero perjudiciales para los bancos en línea. También hace que los clientes no puedan evaluar correctamente las ventajas y desventajas de los bancos en línea.
5. Riesgos legales
Mi país carece de regulaciones correspondientes para la banca y las transacciones en línea. Por ejemplo: cómo recaudar y gestionar impuestos en línea, si las firmas digitales tienen efecto legal, cuestiones transfronterizas en transacciones, cuestiones de propiedad intelectual, cuestiones de contratos electrónicos, cuestiones de moneda electrónica y cuestiones de transferencias electrónicas.
2. Contramedidas de prevención de riesgos para los bancos en línea de mi país
1. Prevención de riesgos del sistema
(1) Seguridad física. Se refiere principalmente a las medidas de defensa de seguridad para equipos clave, como sitios de equipos informáticos, sistemas informáticos, equipos de red y claves. Para evitar fugas electromagnéticas, se deben instalar filtros en las líneas eléctricas y de señal para reducir la impedancia de transmisión y el acoplamiento cruzado entre cables y, al mismo tiempo, proteger la radiación.
(2) Aplicar tecnología de sistema operativo seguro.
Un sistema operativo seguro no sólo puede evitar que los piratas informáticos utilicen vulnerabilidades en la propia plataforma del sistema operativo para atacar los sistemas de transacciones bancarias en línea, sino que también puede proteger hasta cierto punto ciertas vulnerabilidades de seguridad en los sistemas de software de aplicaciones. Estados Unidos ha desarrollado varios niveles de sistemas operativos de seguridad, entre los cuales los comerciales incluyen el sistema operativo de seguridad DG UX B1/B2 de Data General, el sistema operativo de seguridad de nivel HPUX CMW B1, etc. Las principales instituciones y empresas nacionales de investigación científica también han desarrollado sistemas operativos de alta seguridad, como el sistema operativo seguro SECLINUX desarrollado por el Centro de Investigación de Ingeniería de Seguridad de la Información de la Academia de Ciencias de China y el sistema COSIX LINUX desarrollado por ChinaSoft Corporation. En la actualidad, el sistema bancario en línea de China Construction Bank se basa en una plataforma de sistema operativo seguro. El sistema se basa en la plataforma de hardware HP9000 y adopta el sistema operativo de seguridad de nivel B1 de HP.
(3) Aplicación de la tecnología de cifrado de comunicación de datos. Para cifrar el flujo de datos durante la transmisión, se puede dividir en cifrado de enlace, cifrado de nodo y cifrado de extremo a extremo según el nivel de comunicación para lograr el cifrado. Cuando hay una gran cantidad de enlaces y los requisitos para el análisis del tráfico no son altos, el método de "cifrado de extremo a extremo" es adecuado. En el caso de altos requisitos para el análisis de tráfico, se puede utilizar una combinación de "cifrado de enlace" y "cifrado de extremo a extremo": utilice "cifrado de enlace" para cifrar el encabezado del mensaje para evitar el análisis de tráfico y luego utilice "Cifrado de extremo a extremo" para cifrar y proteger los mensajes transmitidos.
Existen dos algoritmos principales para cifrar datos: DES y RSA. DES pertenece al sistema de cifrado de clave privada (también conocido como sistema de cifrado simétrico). Sus ventajas son la rápida velocidad de cifrado y descifrado, la fácil implementación del algoritmo y la buena seguridad. RSA pertenece al sistema de cifrado de clave pública (también conocido como sistema de cifrado asimétrico). Sus ventajas son una buena seguridad y una sencilla gestión de claves en la red. Por lo tanto, se puede utilizar un sistema de cifrado integral que combine DES y RSA: el algoritmo DES se utiliza para cifrar los datos y el algoritmo RSA se utiliza para cifrar la clave.
(4) Seguridad del sistema de aplicaciones. La seguridad del sistema de aplicación incluye principalmente la identificación de ambas partes de la transacción y la confirmación de la transacción. En el sistema bancario en línea, la autenticación de la identidad del usuario se basa en la doble verificación del mecanismo de firma digital y la contraseña de inicio de sesión. En el futuro, la autenticación de la identidad también se podrá realizar a través del sistema de autenticación automática de huellas dactilares. Las firmas digitales también garantizan el no repudio de las instrucciones de transacción enviadas por los clientes. Infraestructura de clave pública: PKI (Infraestructura de clave pública) es una buena solución para resolver los problemas de confianza y cifrado en entornos de red a gran escala. Al mismo tiempo, se adoptan protocolos de transacciones electrónicas seguras. Los principales estándares de protocolo actuales son: Protocolo seguro de transferencia de hipertexto (S-HTTP), Protocolo de capa de conexión segura (SSL), Protocolo de tecnología de transacciones seguras (STT) y Protocolo de transacciones electrónicas seguras. (SET). Entre ellos, SET cubre acuerdos de transacciones con tarjetas de crédito, confidencialidad de la información, integridad y autenticación de datos, firmas digitales, etc., y se ha convertido en un estándar de facto de la industria.
Fortalecer la auditoría del proceso de desarrollo del sistema de aplicaciones y la auditoría en tiempo real durante la operación del sistema de aplicaciones.
(5) Aplicar tecnología de seguridad de bases de datos. Aplique tecnología de control de acceso, tecnología de cifrado de datos, tecnología de protección de particiones del disco duro, tecnología de auditoría de seguridad de bases de datos, tecnología de recuperación de fallas, etc.
(6) Aplicar tecnología de seguridad firewall. Establezca un firewall de cuarta generación que integre tecnología de detección de virus informáticos, tecnología de servicio de proxy y tecnología de filtrado de paquetes para proporcionar cifrado DES, soporte de cifrado de enlaces o red privada virtual, escaneo de virus y otros servicios de seguridad, y tenga informes en tiempo real, en tiempo real. monitoreo y registro de inicios de sesión ilegales, análisis estadístico y otras funciones. Al configurar el firewall, debe cortar todas las conexiones TCP y UDP de 135 a 142, cambiar el puerto de configuración predeterminado, rechazar los paquetes PING e implementar la función de filtrado de paquetes configurando las reglas de filtrado de la LISTA DE ACCESO. Adopte una estrategia de copia de seguridad en frío de doble máquina con firewall. Realice detección de intrusiones y análisis periódicos de vulnerabilidades.
2. Prevención de riesgos operativos
Los riesgos operativos provienen principalmente del interior del banco. Se debe mejorar el sistema de control interno de los bancos en línea, se deben establecer especificaciones operativas científicas y el control interno. Los mecanismos deben aplicarse estrictamente en posiciones separadas como administradores y gerentes, programadores y operadores, productores y ejecutores. Implementar la autenticación de identidad con tarjeta IC para supervisores y operadores, y agregar contraseñas al mismo tiempo. Cualquier operación que ingrese al sistema debe registrarse en un. registro. .
Establecer un centro de gestión de riesgos operativos para brindar capacitación técnica a los empleados sobre la prevención de riesgos operativos, supervisar la implementación de diversos sistemas de gestión de riesgos operativos, evaluar los riesgos operativos de los bancos en línea y tomar las medidas correspondientes. Establecer un centro de respuesta a emergencias de riesgo operativo para estudiar los factores que afectan el negocio, identificar situaciones que puedan llevar a la suspensión del negocio, realizar copias de seguridad del sistema y pruebas periódicas del plan de emergencia ante desastres de la empresa, y brindar soporte técnico y soluciones a los problemas de seguridad que surjan. Utilice un seguro para cubrir esos riesgos operativos de “baja frecuencia y alto riesgo”. Establecer un centro de auditoría de riesgos operativos para monitorear y escanear todos los negocios de banca en línea en tiempo real y utilizar registros de auditoría para auditar a los operadores comerciales y administradores de sistemas informáticos.
En términos de riesgos operativos externos, especialmente en términos de fraude financiero en la banca en línea, es necesario no sólo monitorear el negocio minorista de servicios personales, sino también fortalecer el monitoreo de las empresas que inician sesión en línea. banca y utilizar software de extracción de datos para detectar operaciones sospechosas. Analizar transacciones de capital para evitar transacciones de capital ilegales a través de Internet.
3. Prevención del riesgo crediticio
Establecer un sistema nacional de información de gestión del crédito de los usuarios, dividir a los usuarios en diferentes niveles de crédito y adoptar diferentes medidas de gestión para usuarios de diferentes niveles. Debe compartir la base de datos de información de los clientes y cooperar con otros bancos comerciales, compañías de seguros y otras instituciones financieras no bancarias, así como con bancos y otras instituciones financieras de todo el mundo, para registrar la confiabilidad y las situaciones de incumplimiento de los clientes de manera oportuna.
4. Prevenir el riesgo de asimetría de la información.
Establecer un sistema de divulgación de información y fortalecer la calidad de la divulgación de información. Se debe publicar periódicamente información justa sobre las actividades operativas y el estado financiero de los bancos en línea auditados por contadores públicos certificados, y se debe divulgar información sobre la magnitud de los riesgos de la banca en línea y las medidas adoptadas por los bancos en línea para evitar riesgos y proteger los derechos de los consumidores. . Establecer un sistema de supervisión social y llevar a cabo una supervisión mutua entre los bancos en línea.
5. Prevención de riesgos legales
Se deben utilizar e implementar plenamente las “Medidas Provisionales para la Gestión del Negocio de Banca en Línea”, así como la “Ley de Contratos, Ley de Contabilidad y Negociables”. "Debe utilizarse plenamente la Ley de Instrumentos", "Medidas de Pago y Liquidación" y otras leyes para formular acuerdos relevantes para la banca en línea y formular procesos comerciales y regulaciones de procesamiento comercial relevantes. Debemos hacer pleno uso de las regulaciones administrativas actualmente implementadas sobre seguridad de la red. como el "Reglamento de protección de la seguridad del sistema de información informática", el "Reglamento de protección de la seguridad del sistema de información informática" y el "Reglamento de protección de la seguridad del sistema de información informática", haciendo pleno uso del mismo. autoridad del Centro de Certificación Financiera de China en tecnología de certificación y la racionalidad de la certificación de terceros. Los bancos en línea deberían centrarse en el almacenamiento de datos de transacciones y preparar pruebas para posibles disputas o procesos litigiosos.
Establecer un sistema de supervisión legal para los bancos de Internet, formular medidas punitivas externas para los bancos de Internet y un mecanismo de salida del mercado para los bancos de Internet. Establecer un sistema legal para las operaciones comerciales de banca en línea, como establecer leyes y regulaciones como la Ley de Banca Electrónica, la Ley de Firma Electrónica y la Ley de Transferencia Electrónica de Fondos, y al mismo tiempo enriquecer y modificar las leyes y regulaciones existentes. Mejorar la construcción de leyes y regulaciones de apoyo para la banca en línea, incluyendo principalmente leyes de recaudación y administración de impuestos, leyes tributarias internacionales, leyes de comercio electrónico, leyes penales, leyes de litigios, leyes de instrumentos negociables, leyes de valores, leyes de banca comercial, leyes de protección de los derechos del consumidor. , ley contra la competencia desleal, etc. leyes y reglamentos. Fortalecer los intercambios y la cooperación con la legislación y la práctica judicial internacionales, y aumentar los esfuerzos para combatir los delitos electrónicos como el lavado de dinero y el robo en línea.