主要包括以下四类:作业计算机登陆账号和密码、催收系统登陆账号和密码、服务器登陆密码、登录账号和密码。
B.账号与权限的设置
数据销毁作业计算机须设置个人开机账号和密码,保持专人使用,禁止使用他人作业计算机。密码设置要求具有一定的复杂性,必须由字母和数字组成,至少为8位,有效期(更新周期)为30天,每个更新周期后须更换不同的密码。作业计算机密码的重试最多为三次,如第三次输入仍不正确,登录界面将被锁定30分钟以上。30秒不操作后自动启用屏保。 作业计算机进入催收系统,须设置催收系统账号和密码,账号的设置原则是“每位操作员单独设立账号”,如公司新增操作员,则根据该原则新增相应催收系统账号。
催收系统账号和密码专人专用,催收系统账号密码由操作员自行设定,密码设置要求具有一定的复杂性,必须由字母和数字组成,且至少为8位,有效期(更新周期)为30天,每个更新周期后须更换不同的密码。催收账号用户名及密码的重试最多为三次,如第三次输入仍不正确,登录界面将被锁定30分钟以上,并在管理后台形成相应的日志记录。
催收系统按照员工岗位与职级不同,应设置不同权限(后附各级权限表)。
附:各级权限表
| 催收管理 | natr-241协催管理 | 外访管理 | 减免管理 | 统计报表 | 员工管理 | 数据管理 | 系统设置 |
电催 | √ | √ | √ | √ | | | | |
外访 | | | √ | √ | | | | |
项目负责人 | √ | √ | √ | √ | √ | | | |
业务总监 | √ | √ | √ | √ | √ | √ | | |
行政 | | | | | | √ | √ | √ |
品管 | | | | | | √ | √ | √ |
IT | | | | | | √ | √ | √ |
| | | | | | | | |
系统账号仅限于公司职能部门员工及业务部门负责人开启,禁止业务部门操作人员开启系统。系统账号和密码专人专用,账户命名为个人姓名的全拼,如遇重名情况应在姓名全拼后增加阿拉伯数字1、2、3予以区分。账户密码由操作员自行设定,密码设置要求具有一定的复杂性,必须由字母和数字组成,且至少为8位,有效期(更新周期)为30天,每个更新周期后须更换不同的密码。
C.账号的使用和管理
催收系统登录账户、作业计算机、固定催收操作人员三者应保持固定,做到“专号专用、专机专用、专人专用”。
催收账户与密码仅限该操作员本人使用,禁止他人随意登陆。公司须建立专门的“催收系统账号管理台账”,由IT负责在每天作业时间结束后及时核对操作人员、作业计算机与催收系统登陆账号,如有变动,应及时在“催收系统账号管理台账”中进行记录。
服务器登陆密码分两段,由IT和行政分段掌管,如需开启服务器,应由分别持两段密码的人员同时开启,分别输入各自持有的密码段时他人应回避,服务器密码要求每月更换一次,新设定的密码须采用全新的数字组合。密码连续3次输错后账户会锁定三十分钟。
D.账号的注销
根据公司人员管理和业务规模变化的需要,对催收系统账号的保有数量和动态情况进行管理。如操作员离职,应于离职当日内注销该人员的催收系统账号,变更作业计算机的登陆用户名和密码。
(2)网络安全管理
我司网络采用完全物理隔离,分为内网和外网(内网:不能访问互联网只能访问局域网内的作业服务系统,外网:可以访问互联网)。我们的办公区分为彼此分离的作业区和行政区,作业区终端(PC)只用内网,无法连接到外网,无外网线路接口,对作业区终端采用加域控制,限制登录系统操作。行政区(PC)无法访问作业系统。
a)内网管理
①禁止催收作业用计算机连接互联网。作业计算机通过系统终端接触债务人数据,数据不保留在本地计算机。所有终端计算机应卸载光驱软驱和USB接口。
②禁止远程访问催收作业用计算机。所有存有数据的相关服务器须放置在专用、封闭的机柜中。
③禁止员工私人终端连接内网。
b)外网(互联网)管理
①能够连接互联网的计算机应被限制不能访问催收系统、不能接触任何账户资料。
②能够连接互联网的电脑必须必须设有安全密码并由IT掌握。员工办公区域电脑不允许连接互联网。
③连接互联网的计算机须及时更新系统补丁、进行补丁升级以防止病毒攻击发生。
④连接互联网的计算机须启动软件防火墙,开启“默认拒绝”选项并启用白名单。
公司所有的IT设备(包括但不限于机柜、服务器、监控主机、网络交换机、门禁、电话交换机、机房空调、风扇、VPN\显示器、摄像头等)严禁随意断电,若遇到大楼停电或物理设备故障时,IT应及时关闭设备。恢复通电后,IT须对机房设备开启和运行状态进行检查。
(3)数据管理
a)数据安全传输的管理
①员工须使用公司的企业专用邮箱系统对案件数据实行接收,禁止使用个人邮箱、qq、等方式接收案件数据。
②通过专用邮箱与单一接收方进行数据传输,专用邮箱只能与单一接收方通信,限制邮箱的外发权限即邮件不能发送至指定银行之外的其他邮箱。
③通过API接口限定外发权限,通过白名单限制外发邮箱域名地址或IP地址。
④案件数据压缩密码须通过其它通讯渠道另行传递给接收方,禁止随含案件压缩文件的邮件一同传输。
⑤传输完成后,应彻底删除邮箱与此件相关的记录。
⑥外访客户信息需由IT负责导出,对客户卡号、身份证号等敏感信息应进行部分屏蔽。
⑦我司对外传输的数据都严格加密,禁止以明文传输数据,加密使用的密码须设定为至少8位,且包含大小写字母、数字符号三种字符类型,每30天定期修改加密传输密码。由客服及IT作为A、B角负责检查,并列明台账登记。
丁pv病毒
b)数据处理安全性压屏机
公司设置专用电脑负责数据的解密和导入,该专用电脑的登陆账号和密码由IT负责保管,并只能由IT开启。对该专用电脑的管理要做到“四个不允许”,即不允许连接外网、不允许使用邮件功能、不允许安装任何输出设备(打印机、传真机、复印机、USB接口、光驱)、不允许安装和做业无关的软件。
数据的解密和导入全过程应由且只由客服、品控两个岗位人员参与,不允许其它岗位员工参与该过程。
数据导入催收系统后,应彻底删除电脑硬盘内的备份和邮件中的原始数据。
①数据备份
催收业务数据存储于自有机房的服务器上,该服务器为委托方业务作业专用服务器,数据会存储于本地硬盘,①硬盘采用LUKS方式加密,保证数据的安全;②采用磁盘阵列(raid)来保证数据不会丢失;③当硬盘存储达到上限时,会更换新存储硬盘;④定期刻录光盘的形式进行长期保存;⑤数据硬盘及光盘(双备份)的贴上标签后,存放于专用保险柜中,保险柜由客服、品控作为A、B角分别掌握钥匙和密码。
②数据删除安全性
公司根据甲方要求建立严格的数据及数据介质销毁制度,并进行销毁记录,要求做到“彻底灭失、不可重建”。
根据委托方对数据存储时间的要求,到期的数据统一于月末由客服及IT双蛋合体作为A、B角负责删除,并列明台账登记。①电子数据删除:使用专有工具(如:DiskGenius)清除扇区数据,删除扇区并且格式化等操作,防止数据被恢复;②纸质数据采用纸张破碎机物理销毁。
c)域控策略
我司作业区终端(PC)采用域控策略管理,作业区终端(PC)均安装杀毒软件,每周通过域服务器更新病毒库。服务器定时每日凌晨1时进行全局扫描和清理,作业区终端(PC)每天中午12时进行全局扫描和清理。作业区终端(PC)、服务器等系统漏洞补丁每月月底更新一次。
(4)iccn档案资料管理
a)监控图像及催收电话录音
我司对针对接触敏感数据的终端、服务器均采用了硬盘数据加密,如服务器采用LUKS方式加密,终端PC采用微软的bitlocker进行加密;②对敏感信息,如身份张号码、电话号码等采用加密、屏蔽、替换等方式存储。
所有催收录音文件的保存年限至少为三年。监控系统图像的保存应大于六个月。调取监控信息及录音文件信息须向所属部门负责人申请,经同意后由IT进行调取,申请人须填写《信息调取登记表》,对调取时间、内容、调取用途等事项进行登记,并由调取申请人所属的部门负责人签字确认。
在监控信息及录音文件信息的日常管理中禁止以下四类行为:一是违规私自调取信息的行为;二是未经总经理批准擅自删除、修改监控系统和录音系统运行记录的行为;三是擅自改变图像信息系统及录音系统的用途、摄像设备位置的行为;四是干扰、妨碍监控系统及录音系统正常运行的行为。
公司严禁擅自复制、查询或者向公安机关、所属甲方以外的其他单位和个人提供、传描图像及录音信息的行为,因此给公司名誉及经济造成损失的,公司有权追究相关责任人的经济及法律责任。
b)外访资料
外访的录音、照相资料须由客服及IT作为A、B角负责导出和整理。对外访携带设备中的资料,应于导出后及时进行删除。
c)含有债务人信息的纸质材料
禁止将使用中的含有债务人信息资料的纸张、文件随意放置或丢弃,禁止未经业务经理的批准私自将有关材料带出办公区域。如若因此给公司名誉及经济造成损失的,由总经理给
予处罚决定。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议