2024.4.29-5.12
输入“/”快速插入内容
2024.4.29-5.12
2024.4.29-5.12
飞书用户9832024年5月16日修改
金融行业密码有效期
•
咨询大佬们一个问题,金融行业是否有关于密码有效期的监管要求,比如登录的密码应该每一年更换一次?
•
是的,我也没找到面对用户的强制性密码轮换的要求
•
可以看下《金融行业网络安全等级保护实施指引》,好像是四级-3个月;三级-半年。
•
好的谢谢,这个是对于金融系统的要求,对于用户个人应该还没有强制轮换密码的要求
•
如果是PCI支付卡产业,根据最新的pci 4.0的要求8.3.9,密码作为单一口令对用户身份进行验证的话,需要至少90天更新一次
•
但这也是对于企业内部员工的强制要求,对于个人用户,better to have吧
•
总结:金融行业没有强制用户换密码的要求
母公司与子公司的数据共享
•
各位大佬,请问子公司自行收集的客户信息,现在集团公司要求进行数据共享,子公司能直接共享吗? 保险行业
•
集团公司收集数据的目的是为了二次开发
•
需要梳理数据项,金融行业有些数据项是明确不能共享的
•
•
感觉可以参考蚂蚁集团针对这个问题的回复。感觉在采取必要措施下,是没问题。
◦
1.感觉这个二次开发能被一开始向用户展示的隐私政策所包含
◦
2.最好有一个内部的数据共享协议
◦
3.可能内部也需要有PIA并形成结论内部存档论证这个操作。
•
总结:需要履行一般的法律措施,同时金融行业有些数据是明确不能共享的
隐私政策撰写
•
昨天看何律师的云文档,看到这个,大家谁有这种清单可以分享一下吗
•
这里我一般提供的就是隐私政策、个人信息清单、第三方个人信息清单,把需要业务填的地方标记出来。我一般是到confluence之类业务使用的协同管理系统中把产品功能,UI,基本的技术方案逻辑看一遍,找业务沟通一轮,然后自己写隐私政策、个人信息清单、第三方个人信息清单,然后让业务去补充和确认,最后再定稿。
•
总结:不同的人操作方法不一样
海外公司国内网站ICP备案
•
•
可能是这些域名18年前完成过备案,当时还是可以用国际域名注册商备案的。然后虽然显示的是18年后完成的审批,其实只是信息变更?
•
总结:阿里云有相关文档介绍得很清楚
公司数据合规组织的建立