光大信用卡：打造不一样的信息安全品牌

发布时间：2018.12.17 作者：阅读：

近些年来，随着移动互联网的普及和线上数据的飞速积累，数据安全和隐私保护逐渐成为全民关心的重要话题。“大数据时代无隐私”，数据安全隐患愈渐突出，也成为业内人士深知的事实。特别是在信用卡消费等金融领域，消费者在享受刷卡便捷的同时，因数据泄露导致信用卡被盗刷的事件屡有发生。

对金融类企业而言，重要信息的泄露不仅带来用户被骚扰的风险，更可能直接造成巨额经济损失。如何有效保护用户隐私信息，保证自身和用户的数据安全，成为所有企业必须解决的一道难题。解决这一难题，需要从技术、服务和管理三方面同时入手：技术上，要建立起科学有效的信息安全保障体系;服务上，要紧随时代发展趋势，将移动端服务逐步精细化;管理上，更要以高标准提供信息安全服务。如此多管齐下，才能有效保证数据安全，在信息安全方面建立起具有竞争力的企业品牌。光大银行信用卡就是个很好的代表案例。

不一样的技术：建立科学有效的信息安全保障体系

何谓“科学有效的信息安全保障体系”?简言之，就是以技术手段，通过对信息系统的风险分析，制定并执行相应的安全保障策略，降低安全风险到可接受的程度，确保信息系统的保密性、完整性和可用性。

在信息安全保障体系的建立上，光大银行信用卡进行了长期探索。特别不一样的是，光大银行信用卡不只着眼于技术本身，还将相关技术进行了系统化、场景化的应用：通过全站HTTPS、密码控件与卡片限额设置等技术，构筑起信息安全保护的系统“防火墙”。

全站HTTPS是一种堪称全方位的安全保护措施，让客户全程都在HTTPS协议的保护下访问网站，避免信息泄漏、防止信息篡改、确保站点安全、屏蔽骚扰攻击、加密数据传输，有效防止各类网站的钓鱼木马及黑客窃密。

目前，各类App几乎都需要用户提供各种数据才能使用，这在客观上显著增加了用户隐私信息泄露的风险。一台手机、pad或其他设备如果存在漏洞，就有可能被不法者利用，把用户的视频、音频等私密信息泄露出去，而全站HTTPS可有效解决这一问题。光大银行信用卡地带所采用的正是全站HTTPS的技术，它降低了网站访问者信息被泄露的风险，提升了用户对网站的信任度，有力保护用户隐私。

为解决业界普遍存在的IE浏览器网银密码被盗难题，光大银行信用卡针对IE浏览器卡片激活密码，设置了专门的支持密码控件，保护用户交易密码安全。

过去用户在不慎遗失卡片或者出现盗刷时，需要锁定卡片来制止或减少资金损失，而锁定卡片往往需要拨打客服电话，操作过程较长。时间越久，资金损失的风险越高。为此，光大信用卡通过自助渠道，快速实现卡片交易止付，保证用户资金安全。

随着自身业务的不断发展，光大银行的客户基数、系统应用更新速度、各板块各流程间的协调性要求显著增强，对数据安全的要求也越来越高。为加强互联网环境下的安全管理，光大银行的互联网系统开展了上线前的安全测试以及上线后的渗透测试工作。通过模仿黑客攻击的技术手段，对应用系统的源代码安全、配置安全进行综合性检测，发现系统可能存在的安全隐患并提供解决建议，有效增强系统安全度。目前，光大的信用卡地带、阳光惠生活APP等互联网系统均已纳入执行。

不一样的移动服务：移动APP的深度场景化服务

在体验至上的当代，任何技术落实到应用层面，都要基于对消费场景的深刻理解。在现代金融服务如信用卡消费中，场景化的深度服务能力甚至先于技术，技术只是服务的一部分。特别不一样的是，除了重视技术本身的场景化应用外，光大还对场景化的深度服务本身做了研究，在移动互联网时代以“阳光惠生活”APP为核心，建立起移动端的深度场景化服务体系。

譬如，为降低信用卡被盗刷的潜在风险，光大信用卡将额度设置做得更加精细化：“阳光惠生活”APP和信用卡地带网站提供全面的限额服务，用户可以根据自身需求，设置单笔、每日累计账单周期内消费的网上支付限额，以及每日累计、账单周期内消费的笔数、账单周期内ATM取现总额等多种设置项。通过精细化的技术支撑，满足了用户在各种消费场景下的需求，最大程度减少信息泄露带来的损失。

在用户使用手机银行客户端的过程中，需要键盘输入的往往都是关键、敏感的信息，如登录密码、支付密码、账户和资金信息等，容易被木马病毒盗取。针对伪基站群发“钓鱼”短信、木马软件复制手机信息、消费时卡片信息泄露导致被盗刷等行为，“阳光惠生活”APP采取了一系列技术防护手段：在客户输入密码时采用自定义随机键盘，防止木马监听，让木马病毒无计可施;在客户登录APP支付时，以交易密码及V+预留手机号动态密码的双因素验证，为用户的用卡安全保驾护航。

值得重视的是，Android移动客户端由于其开源性，导致其在所有架构层次上都存在一些根本性的安全问题，存在被破解、篡改、盗版、钓鱼欺诈、内存调试、数据窃取等各类安全风险。为此，“阳光惠生活”APP对Android版采取了安全加固措施：基于源代码加密和防篡改技术，保证用户使用的手机客户端始终为官方纯净版本，防止客户端反编译、被恶意篡改、键盘劫持、数据文件泄露、代码安全及重要协议保护等，杜绝来自篡改版、二次打包版、钓鱼应用的威胁。同时，还将客户的卡号、有效期、证件号、姓名等信息进行脱敏处理，进一步防范风险。

传统的交易通知仅限于短信，需要有运营商信号才能接收，而不少用户早已习惯看微信、推送，很少看短信。对此，“阳光惠生活”APP会及时推送各类通知，方便在出国、飞机、高铁等场景下，客户能够随时知悉卡片的资金交易情况。

“阳光惠生活”APP支持“单点登录”，禁止同一个账号在两台设备中登录，新设备登录时会提醒上一台设备，同时可以查询历史登录信息，让客户随时了解资金使用情况，进一步保证资金安全。

这些基于技术手段、丰富消费场景的举措，让光大赢得了社会的认可与消费者的信赖。在新华网主办的2016年“3·15”金融消费者权益保护高峰论坛荣获“消费者权益保护优秀奖”。

不一样的管理：以国际标准提升信息安全服务

由于信息安全的相关法律和市场环境尚待完善，当前我国市场上的信息泄露现象，很多时候不仅是技术缺失的原因，也与企业内部的管理疏漏，乃至管理混乱、纵容贩卖信息有关。

光大银行信用卡对此早有清醒认识，并不断提升管理的标准化、规范化水平，提供更好的信息安全服务。特别不一样的是，光大银行信用卡以国际标准严格自律，率先在国内同行中引入ISO管理思想，2006年9月，中国光大银行信用卡中心正式通过ISO9001质量管理体系国际认证，并连续11年通过审核，以质量管理体系为基准，持续提升我中心服务质量。2007年，信用卡中心正式通过ISO27001信息安全管理体系国际认证，成为国内第一家通过此项认证的信用卡中心，并连续10年通过认证。

据悉，ISO27001是信息安全领域的管理体系标准，是目前被全球各国普遍认同的权威标准。光大银行遵循ISO27001综合的、由信息安全最佳惯例组成的实施规则，通过确定信息安全管理体系范围，明确管理职责，以风险评估为基础选择控制目标和控制措施等一系列手段，使信用卡达到动态、系统、以预防为主的信息安全管理方式，对消费者的信息安全进行了系统管理。

内部流程管控方面，光大银行信用卡从国家、行业和自身的多个维度出发，搭建起符合“基础法律规范、行业通用标准、企业最佳实践”的管理架构，建立起个人信息的分类保护机制、完善泄露危机应急预案。可以说，光大银行信用卡在一定程度上提高了征信机构和数据信息行业的准入门槛。

在打造自身防火墙的同时，光大银行也致力于帮助消费者提升安全防范意识，营造更加健康良好的市场生态。2016年，光大银行制作的三部信用卡安全用卡宣传动画片被北京银监局推荐在全辖范围内宣传播放，吸引了业内众多同行学习借鉴。2017年6月，北京银监局和秉正促进中心联合主办“金融知识进万家”授课案例大赛，光大银行“认清电信诈骗”视频短片获得二等奖和个人风采奖，通过各种案例，普及金融知识，为消费者的用卡安全保驾护航。

也正因为如此，从2015年到2017年，光大银行信用卡中心的消费者权益保护工作，连续3年被北京银监局评级为一级。

从世界范围看，加强信息保护、提升数据安全已是大势所趋，有效的数据保护，一定程度上已成企业品牌的生命线。对此，光大银行信用卡部相关负责人表示：将继续深入实施品牌战略和标准化战略，进一步优化和完善信息安全管理体系，立足行业、专注行业，将信息安全管理纳入信用卡产品的研发、生产、经营、管理和服务等各个环节，全面提升核心竞争力，以自我的超越和客户的信赖，铸就光大安全品牌。