前阵子一家金融科技公司的安全负责人跟我聊了件事。他们把所有客户服务外包给了一家呼叫中心,这家呼叫中心的客服人员可以直接查询客户的姓名、身份证号和账户余额。后来一个客服离职后被人利用,批量查了上千个客户的信息,拿去搞诈骗。事情曝光后,媒体追问"你们的数据怎么就随便让人查",这家公司百口莫辩。
这个案例让我很感慨。外包服务商的数据访问管控,说到底是一个"能不能少给"的问题。很多企业外包时为了业务流程顺畅,给服务商的权限往往超出了实际需要。客服能看到所有客户数据,但其实他们只需要知道客户叫什么、事情处理到哪一步了,根本不需要知道完整的身份证号。
外包服务商的数据访问管控可以从几个方面入手。
首要步是做数据最小化处理。在把数据交给外包服务商之前,先梳理一下对方真正需要哪些信息才能完成工作。比如做客服外包的,把手机号中间四位隐藏掉,把身份证号只展示后四位,把住址信息模糊到小区级别。做财务外包的,供应商账号给全,但客户账号只提供业务必需的字段。外包数据处理环节结束后的原始数据,要求服务商在规定期限内彻底删除,只保留处理结果。
第二步是建立分级授权体系。不同岗位的外包人员看到的字段应该不一样。一线客服只能看基本信息,遇到需要补充资料的情况,由带班长申请临时查看权限,审批通过后才有操作入口。权限不能永久开放,完成任务后自动收回。我在一家物流公司见过他们的外包数据权限设计,做得挺细致:快递员只能看到派送范围内的收件人姓名和地址,查不到寄件人信息,更查不到其他区域的数据。这样就算个别人员出问题,影响范围也是有限的。
第三步是技术管控手段必须跟上。光靠协议和制度不够,要有系统层面的隔离。外包服务商的数据查询要有统一入口,不能私下拷贝走。每一次查询都留日志,谁查的、查了什么数据、什么时间查的,都记录清楚。有条件的话,可以设置异常查询告警,比如同一个账号短时间内大量查询、非工作时间查询、查询与业务范围不匹配的数据,都自动触发告警。
说到日志和告警,有个客户跟我反映,他们设置了告警规则,但从来没收到过告警。后来一查才发现,系统的告警通知没有真正配置到运维人员的手机上。所以这个事情不只是技术问题,流程上得有闭环,告警配置完要有人实际验证。
还有一类比较容易忽视的场景,就是外包服务商的人员流动。外包行业人员流动性大,一个外包人员离职后,企业的系统里可能还保留着他的账号。我建议企业与外包服务商的HR系统做对接,或者要求外包商每月提交人员变更清单,确保账号在员工离职当天就冻结。
近几年不少大企业开始采用零信任架构来管外包数据访问。核心思路就是不信任任何连接,每次访问都要重新验证身份和权限。虽然零信任的部署成本不低,但对于数据敏感度高的企业来说,确实是一个方向。
外包服务商数据管控这件事,没有一劳永逸的方案。业务变化、外包商人员变化、技术环境变化,都需要定期审视和调整。每年至少做一次外包数据安全专项审计,看看权限给得是不是还是原来那么多。
