金融服务行业要加强员工安全意识培训

近期金融行业安全丑闻再起,央视315晚会曝工行、招行、农行员工兜售客户信息,三月底又爆出全球最大线上交易付款服务公司之一的Global Payment信息卡数据库被黑客入侵。

招行是银行界的创新服务标兵,315晚会曝光的胡斌更是招商银行信用卡中心风险管理部贷款审核员,通常提到风险管理,提到审核,人们都觉得从业人员在严格的控管环境中受到无形的熏陶,应该有较高的安全觉悟和保密意识,特别是在保护机密客户数据防止外泄方面。

然而事实上并非如此,虽然作者本人并无金融服务公司的工作经验,但举亲身经历的例子可窥一斑,在联系同一家银行要求进行密码重置时,从多名银行工作人员那里获得的密码重置流程和所需提供的证明资料并不一致,甚至有的表明不清楚,排除沟通中可能存在理解的误差,以及银行员工岗位和知识面的限制,我们仍然也可看到其内部的安全控管流程并不为多数员工所了解,其根本原因是进行安全控管的精神和理念不为员工所理解和接受。

说到底,很多大型金融机构都是中央控管,比如总行设置统一标准的安全控管体系,各地分行支行都按照同一模式运作,根据规模大小可能在产品和服务的项目上有所差异,这种中央控管的方式最大的好处在大批量的规模化优势,标准化的服务体系也避免了重复性的工作,在这儿我们不谈个性化服务和地域差别等因素,在安全控管方面,远离中央的分支机构只需按总部和上一级制定的标准框架,或由其它网点转派的领导进行复制,即可以轻易搭起服务体系,毕竟金融机构通过建立这多网点也积累了丰富的经验。

中央控管不足之处是分支机构内的员工普遍缺乏业务一体化的观念,在安全控制和防范上,只了解“该怎么做”,但是“为什么要这样做”的基础理念不够,因为“为什么要这么做”由总部在制定各个规章制度、各种岗位职责等等的时候给包揽了,而在员工培训时只重视告诉其“该怎么做”,忽视向员工告知这些规章制度的缘由和精神理念,除了部分员工会在工作中慢慢领悟和理解这些道理,多数员工会慢慢淡忘掉那些和日常工作关联并不太大的规章制度,自然结果会表现在员工为了点蝇头小利,躲避或忽视安全制度,进而铤而走险,最终给自己和公司带来信誉方面的损失。

金融服务业虽然是暴利产业,但在信息化时代,却面临着各类信息安全相关的威胁,信息系统与服务本身的安全性往往有专业的团队和服务机构帮忙,但面对客户的网上交易、移动支付等等多种金融服务的安全状况并不容忽视,尽管金融业有值得骄傲的安全控管体系,用户终端的安全不能仅仅靠一纸法律协议便让用户自行承担自行失误或无知所造成的金钱损失,不过,在营业厅悬挂大屏幕对用户进行培训是值得肯定的举措,不过无疑应该加强更多惠及客户的内容方面的制作和发布。

金融机构内部工作大都都已经信息化,尽管关键业务系统和办公系统有物理隔离,更有其它信息安全相关的控管措施,不过,最难的也最需要进行的是对员工进行安全意识培训,使他们不仅能够了解“该怎么做”的工作规范和流程,更要让他们了解“为什么要这样做”的基础理念,只有这些基础的信息安全理念被员工们所理解,他们才能真正从内心接受对其工作规范的要求,才能真正保护起客户的信息安全和公司的商业信誉以及业务成功。

尽管泄露的数据并不多,敏感信息如持卡人姓名和地址并未受到影响,但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡,不过新闻一出,仍然导致其公司股价大跌9%。

金融服务机构在安全事故的处理上,也应该向Global Payment学习,保护客户的利益,应该做到及时透明的沟通,让客户在第一时间意识到安全事故对自己的影响和了解到需采取的后期应对措施,此外,尽管安全意外事故和不良员工行为不可能100%避免,加强员工的安全意识培训可以降低安全事故和不良行为的发生概率,更能在发生安全事故后进行及时和正确的响应。

信用卡安全泄露事故引发网络金融界重视

2012年3月底MasterCard和VISA向百万信用卡持卡人发起数据安全警告,称最大的信用卡交易数据处理机构Global Payment出现严重的数据泄露。

尽管泄露的数据并不多,敏感信息如持卡人姓名和地址并未受到影响,但Global Payment仍然通知发卡机构以及持卡人注意网络犯罪分子可能会利用这些数据伪造信用卡,虽然Global Payment的确认受到入侵并不是很及时,但其安全危机响应措施却无可厚非,不过新闻一出,仍然导致其公司股价大跌9%。

2014年3月底,携程银行卡信息泄露事件让中国消费者和业界猛醒,中国特有的信用卡密码在无卡支付的互联网上形同虚设,信用卡安全离我们这么近,中国更应该同国际标准要求靠拢。

国内当然也有众多组织机构受到各类严重攻击,阿里、当当、京东、亚马逊、携程等等知名电商无一幸免。在众多安全事件中,能如此对用户、合作伙伴负责的并不多,除了CSDN能够依据国际标准主动承认错误和采取正当补救行动之外并不多。多数厂商要么掖着藏着,要么悄悄处理,让用户不明不白受难。表面上,服务商胜利了,至少短期内股价没受到大跌的影响,实际上用户心里明白或者至少对这些服务商的服务品质心存怀疑,在随后的相当长一段时间内会越来越对服务商失去信心,这就是为什么国际大牌厂商不断召回不良产品却仍受追捧,而本土企业没有什么不良新闻,产品品质却一直受到质疑的原因。

说到底,不是我们本土企业不想留住这些用户,不想改进产品和服务的品质,更不是本土企业不尊重用户的知情权,问题在于我们缺乏必要的安全事故沟通技巧,意外的安全事故不可能完全避免,这是科学和客观的真理,大多数用户也都懂这些,并能理解和接受这些意外发生的可能,但是用户最关心的是对自身的影响以及如何同服务商一道共同挽回可能造成的损失。

多数本土企业产不是怕承担一时的巨额赔偿损失,而是怕用户由于不理解而对产品或服务失去信心,所以喜欢在出现负面消息后赶紧找媒体进行舆论公关,而忘了真正应该面对的是客户、监管机构和受影响的合作伙伴。实际上,越是这样做,越发让用户觉得厂商不厚道,越是得不到用户的理解,越是不得人心当然也就也来越失去客户,除非是垄断行业让用户没得它选。

所以,真正把顾客当上帝的服务商,在出现客户资料外泄等安全事故时,应该向CSDN学习,及时讲清楚事故对用户造成的不良影响,为挽回这些影响,自身已经做了、正在进行以及将来还要做哪些方面的安全改进工作,用户需要配合哪些工作。当然,也还要表个姿态,对这起事件给用户造成的影响表示歉意,当然造成金钱损失的,要愿意按照法定的标准进行赔付工作,多数不直接涉及金钱的赔付标准欠缺,无法真正达成赔偿,所以道歉会为服务商加分。而造成金钱损失的,这次咱赔了,客户对使用咱的产品或服务比较放心,知道以后继续用咱的产品和服务能有保障,自然会有更高的忠诚度,客户的忠诚度和赔付的那点儿小钱孰轻孰重相信大家明白。

此外,除了公开透明及时沟通之外,说说安全事故发生之后的应急响应和危机处理,并不能只看表面功夫,更多的努力应该在事前做好准备,建立紧急事件响应体系,完善相关的安全响应流程,通过培训和演练加强同全体员工、合作伙伴以及最终用户的安全意识沟通等等都是未雨绸缪的安全防范措施。

最后,中国消费者越来越与全球接轨,个人隐私信息保护意识在上升,国内电商想进入国际市场,获得海外客户的信任,在信用卡信息安全保护方面无疑得遵循全球PCI-DSS标准,加强员工安全培训必不可少,欢迎支付卡行业相关厂商及业界朋友访问我们的PCI-DSS培训课件及服务栏目。