OTA相对于电商来说一个低频的消费形态,但是用户的个人信息、订单、开房记录、出行信息却是比传统电商更加敏感的数据。所以OTA行业中信息安全管理是个非常有行业特点的话题,如此重要的数据会在很长很复杂的生态链条证流转,安全边界就异常模糊,又很难通过频繁的行为去判断风险,因为用户的消费频率普遍都很低。
此次分享会从两个事件来展开:
事件1:用户消费后立刻会收到诈骗信息
复杂的营销和供应链条,是这个风险可能发生在任何一个环节,所以我们的数据安全管理体系主要划分了4个大的场景,分别治理:
第一, 线上生产系统场景
不仅需要传统的防护方案,如WAF,IDS,我们还与腾讯合作分享安全情报,识别用户行为,判别哪些人可能被入侵或者盗号,并进行及时的处理
第二, 大数据场景
数据化时代,数据的消费和使用日益频繁,结合在线计算,加密脱敏,水印多种技术,做到数据的存储安全和使用安全
第三, 生态安全场景
生态链条中的安全,也是重要的一环。保证生态安全需要在审计,链路,端点上进行全方位的布控
第四, 员工安全
OTA行业员工办公也会比较分散,门店,客服分散在各地,这些末节端点的风险就暴露出来了。我们使用零信任思想,对每个终端进行了数据安全域隔离,保证内网数据不会扩散出去。
事件2:因违反国家法规,APP惨遭下架
个人隐私保护目前在国际和国内都是个越来越被关注的话题。个人信息保护不仅是国家的要求也是企业的社会责任。
我们在研究了国家法规标准后制定了一套落地的实施方案:
第一,用户权益保护
这里通过隐私政策告知了用户收集数据的情况,保护用户知情权。用户的明确授权,撤销,注销,删除等权利也通过不同方式得到了保障。
第二,企业数据保护
我们建立了一整套数据保护体系,从数据使用,存储,传输,共享,销毁等各个方面对数据进行了严格的管控。