6.4數據安全

6.4.1提供商數據安全要求

金融信息服務提供商對數據安全的基本要求應至少滿足GB/T 20271—2006,6.2.3中的規定，同時應制定完整的數據安全解決方案，包括但不限于以下5個方面：
a)應提供金融信息數據資料的分類存儲、恢復、調用、加密和銷毀等技術措施；
b)檢測金融信息和數據在采集、加工、處理、存儲、傳輸和使用過程中完整性，并在檢測到完整性錯誤時采取必要的恢復措施；
c)提供本地數據備份與恢復功能，采用實時備份與異步備份或增量備份與完全備份的方式，確定數據備份的范圍、時間間隔等內容；
d)金融信息數據在存儲介質上的數據恢復服務應符合GB/T 31500—2015第6章的規定；

6.4.2用戶數據安全要求

金融信息服務提供商應嚴格保管用戶數據，遵循個人信息保護相關的法律法規，用戶數據安全要求包括但不限于以下6項：
a)制定用戶數據管理制度，明確各崗位在用戶數據保護管理方面的工作內容，對用戶數據的訪問、存儲、使用、傳輸和銷毀等環節提出具體要求；
b)嚴格管理、控制對用戶數據的訪問權限，監控所有用戶數據的訪問活動；
c)使用用戶數據時，包括身份信息、認證信息和衍生信息等，不得用于商業目的，保證其不被非法泄漏；向境外提供用戶數據時，應根據相關法規要求，完成安全評估后使用；
d)應告知用戶用途及范圍，用戶許可后才允許使用數據；
e)及時處理涉及用戶數據的突發安全事件；