完成认证的网贷平台不足10%, 传说中的三级等保难在哪里?
和银行资金存管一样,信息系统三级等保认证也是网贷平台备案登记的标配,可以肯定这是一场对所有拟备案平台资金和技术实力的一场大考。
和银行资金存管一样,信息系统三级等保认证也是网贷平台备案登记的标配,可以肯定这是一场对所有拟备案平台资金和技术实力的一场大考。
P2P风险专项整治整改验收工作正在收紧。据报道,北京第一批网贷备案平台有望在4月初公示,而中国互金协会也将在本周公布首批通过网贷存管测评的银行名单。除了基础性的银行存管,想要申请备案的P2P平台还需闯过另一道大关,那就是网贷平台信息系统的三级等保认证。
全国不到一成平台完成认证
三级等保简称“等保三”,是一种网络信息安全评价标准,一般由市级网络安全公安大队来负责给企业备案。金评媒记者了解到,我国把信息系统的安全保护等级分为五级,其中第三级是非银机构的最高级认证,属于“监管级别”。
2016年8月,《网络借贷信息中介机构业务活动管理暂行办法》的发布,让开展信息系统定级备案和等级测试,成为互金平台合规的门槛之一。如今对P2P网贷平台按照三级进行备案,要求十分严格。根据《信息系统安全等级保护基本要求》,网贷平台只有在完成定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等严格的审查工作后,才能获得等保三级认证。
据北京市网安总队的一位工作人员向金评媒记者介绍,平时企业进行等保三备案,需要从网络安全、物理隔离等方面提高网络安全能力,经过专业评估机构认证后,可以直接到公安机关进行备案。但由于网贷的涉众性风险,目前公安机关对于网贷平台的申请比较谨慎,放行者较少。
据第三方机构不完全统计,截至2018年2月底,国内网贷行业正常运营平台数量已降至1700余家,其中已经通过信息系统安全等保三级备案认证的平台为164家,仅占在运营平台数量的9%。
上海平台还需通过公安局审核
值得注意的是,虽然三级等保是网贷平台备案登记的标配,但各地金融办对平台取得三级等保的要求也存在差异,其中上海地区较为严格。上海地区的网贷平台不仅要聘请专业机构进行信息安全等级测评(要求不低于90分),还需申请并通过公安部门的信息安全系统审核。
截至2018年2月底,上海市正常运营的P2P网贷机构数量为252家。在3月底前,上海的P2P机构要完成整改并向注册地所在区整治办提交整改完成情况报告。目前,上海地区的备案工作已经取得了明显进展,金评媒记者了解到,已经有220家左右的网贷平台提交了90分以上的三级等保测评报告,且已经有部分企业获得了公安部门出具的“信息系统安全审核回执”,该回执是上海网贷平台申请备案所必须提交的材料之一。
值得一提的是,已经完成三级等保备案的平台都普遍低调,包括已经取得回执的点融网以及北京一家等保测评90分以上的平台都谢绝了相关采访。对于上海地区后续的备案工作,一位不愿透露姓名的上海互金平台副总裁告诉金评媒记者,上海地区正式的P2P备案管理办法尚未出台,还存在一些政策上的不明朗,各平台目前只能先参照2017年6月1日上海金融办发布的《上海市网络借贷信息中介机构业务管理实施办法(征求意见稿)》来做备案的相关准备工作,同时等待正式管理办法的出台。
平台财力和技术实力的大考
上述互金平台副总裁称,上海地区网贷平台在三级等保方面的工作相较于全国其他地区进行得更早。
采访过程中,金评媒记者了解到,宜贷网就已通过三次等保测评,在这方面积累了丰富的经验。这家平台的相关负责人表示,如果平台在设计信息安全系统之初就整体按照三级等保的相关要求进行,后续的三级等保测评就会比较轻松。
这位负责人认为,目前大多数平台在互金专项三级等保认证过程中可能会遇到如下三点困难:
一、对平台的安全设备要求苛刻。不仅要实现防篡改、防ddos攻击等功能,还需配备堡垒机、日志审计、防火墙、灾备系统等安全设备;更要聘请专业技术维护人员为平台系统安全提供支撑,这些都需要公司投入大量资金,对公司的财力是一大挑战。
二、对平台运营公司制度体系的完善程度要求高。其中包括完善的管理制度和对应制度执行情况的证明、记录,涉及人事、财务、项目工程开发、管理等各个方面,每一个环节都须提供制度对应的表格来支撑。
三、对业务平台系统应用自身的安全性要求高。例如对账号密码复杂度定期修改就有很苛刻的要求:需要有所有相关用户的登陆时间、Ip地址;需要对如何更改手机号码、身份证号码、银行卡号等重要操作进行详细的日志审计记录;需要对用户数据隐私性保护、业务系统敏感信息的脱敏、加密存储要求等要求有详细说明;需要实时监测系统是否存在应用安全漏洞。
“换句话说,如果平台自身技术实力不过硬,仅漏洞修复就是一项非常吃力与消耗时间的工作。”上述平台负责人感慨。