构建安全堡垒,守好发展生命线——专访百胜软件数据安全负责人Hellen

来源:互联网 阅读:- 发布:2021-11-24 18:00:16

      随着我国数据安全领域的法律框架日益完善,国家对于网络安全、数据安全、用户信息安全等方面的保护要求在不断提升。在如今的网络时代,所有平台和服务商都严格遵守法律红线,规范运营,做好数据安全治理工作。

      在新零售模式下,众多传统零售商和互联网企业积极驱动数字化转型,基于大数据、人工智能等先进技术,打造场景化、线上线下相融合的消费方式,不断挖掘零售行业新的增长点。在此过程中,新模式带来的数据安全、信息安全等问题也不容忽视。一旦数据泄露或者遭到恶意攻击,都将给平台、商家以及消费者个人带来不同程度的损失。作为全渠道数字零售解决方案服务商,百胜软件如何为客户企业构建安全堡垒,帮助客户成就智慧品牌?为此,我们特邀百胜软件数据安全负责人Hellen进行了访谈。


      Q1:各行各业都在进行数字化转型的今天,我们为什么要更加重视数据安全?

      Hellen:的确,数字化转型是大势所趋。国家“十四五”规划强调,数据作为生产要素是推动社会经济发展的重要基础资源,同时要求加快数字化发展和建设数字中国,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。这也将极大地推动我们各大企业的数字化转型进程。

      大家都在讲数字化,企业的业务转变为运营数字化之后,业务数据就会演变成其数智化能力提升所需的基础养料,进而也将成为企业的重要资产以及企业最重要的竞争资本之一,当然就更加需要重视数据安全问题。从百胜软件自身来讲,20多年来,我们专注于帮助零售企业进行数字化转型变革,我们深知数据安全的重要性。因此,在为客户提供业务解决方案的同时,我们非常关注对企业数字资产的安全保护,也在同步为客户提供数据安全保障技术。

/百胜软件安全产品及服务示例/


      Q2:国家今年密集出台了《数据安全法》《个人信息保护法》等政策和法规,在您看来,这对零售行业将产生哪些方面的影响?

      Hellen:是的,今年9月1日,《数据安全法》正式颁布实施;最近,也就是11月1日,《个人信息保护法》也正式颁布实施。这两大安全法规的相继出台,对零售行业的影响还是非常大的。

      因为从零售行业的特性来看,零售是to C的,也就是为终端消费者、购买者提供服务的,消费者的姓名、手机号、收件人地址等都是隐私信息,都是处于《数据安全法》《个人信息保护法》保护范围之内的。具体来说,基于最新的法律法规以及各平台的安全规则、安全方案,我们可以从最终消费者端、平台端、ISV端、商家端、物流端,来看看到底要面对哪些变化:

      最终消费者:今年双十一第一波爆发,即11月1日当天,大家打开各社交平台或电商平台APP时,是不是发现都会弹出需要大家重新阅读新的隐私条款并做确认的提醒?在各大电商平台加购商品或支付购买商品时,是不是会弹出让您加入商家会员可享额外会员权益的提示?在您的手机淘宝支付页面上,是不是出现了是否要保护个人信息的选项……这些是显性层面的影响,背后涉及更为复杂的平台、系统改造,我们往下看。

      平台端:各电商平台早在2020年就开始推出一波波的安全规则,比如拼多多、唯品会、抖店、淘宝、京东、当当、有赞、寺库、苏宁、网易严选等,都相继输出了针对个人隐私数据的加密脱敏方案,就电商零售订单履约链路做了全链路的加密脱敏约束。部分平台还针对客户OMS系统环境,提出了主机网络相关的安全加固要求。

      ISV厂商:为应对各平台提出的安全要求,ISV厂商需要完成自身的安全等保或企业安全标准认证工作。同时,ISV厂商还要配备专职的安全官来对接各大电商平台,根据平台要求完成各项安全改造,保障客户环境按照平台安全要求正常运行。这无疑对ISV厂商安全人员、技术等方面的投入都会增加预算。

      物流商:快递业务要接入各大平台厂商的物流体系,否则就拿不到收件人的信息,完成不了快递物流业务。例如,顺丰在10月开始接入菜鸟物流,双十一前完成预发环境的渗透。目前已有多个平台提供了物流面单取号和面单打印的能力,也即接管了这部分的系统集成和业务对接。

      商家:要对消费者的隐私数据进行脱敏,整个订单履约、售后环节以及商家客服、仓库发货业务的操作模式上都要进行不同程度的变更。例如,登录操作系统必须要实名;客服、仓管如因特殊情况需查看收件人详细信息,就要额外点击查看操作,并有系统日志记录;所有商家自有而非平台提供的OMS、WMS应用中都不允许出现收件人的明文数据导出。此外,绝大多数的快递业务要走平台提供的链路,后续可能还会影响全域会员运营、数据中台建设等。

      总之,在《数据安全法》《个人信息保护法》两大法律正式实施前,各大电商平台相继新增了各自关于个人隐私信息安全保障的规则和配套信息化方案。对百胜软件而言,无论是处于我们生态体系中的各大ISV厂商,还是百胜服务的商家,都要共同遵循平台的规则,并具备应对新规则的能力。


      Q3:百胜软件一直以来都非常重视网络安全、数据安全问题,公司主要进行了哪些管理举措?

      Hellen:从组织上而言,我们2016年就组建了集团层面的安全技术委员会,委员会成员都是来自各业务条线的管理和技术骨干。同时,公司以质量安全中心作为安全技术赋能和管理部门,专职建立了公司信息安全保障体系,从产品、技术、开发、业务、交付、运维、内部信息化支撑以及人力、法务等环节,全方位地保障百胜软件客户业务数据安全与公司内部运营的信息化安全。

      从资质上而言,百胜软件于2020年通过ISO27001企业安全标准认证,同时也建立了集团的信息安全标准和信息安全管理规范,从技术标准和安全业务流程上确立了适用于百胜软件信息安全业务运作的系列规范。

      百胜软件虽然专注于服务零售行业的企业,但由于我们的中台产品会与各大电商、支付等第三方平台对接,且是对焦零售业务,就会涉及到个人消费者隐私数据的管理。因此,我们和各大第三方平台都建立了对接机制,有专职的安全运营官与各大平台的安全技术团队、安全运营团队开展对接工作,适时就一些新安全规则,共创安全保障方面的解决方案。

      与此同时,我们也会参与电商运营环境相关的安全法律法规拟定及试点运行。例如,2017年,我们参与了《电子商务平台数据开放第三方软件提供商评价准则》这一国家标准的拟定。今年,在国家新出台《数据安全法》和《个人信息保护法》环境下,我们也正在参加阿里组织拟定的《网上购物服务数据安全指南》国标试点工作。目前,这个指南标准已完成第一轮的试点评估工作。

      除了对内保障百胜产品安全外,我们也会基于百胜软件客户的特殊情况及其业务生产环境,思考如何健全安全保障机制,以此来加强百胜软件中台产品的应用价值。因此,我们于2020推出了百胜软件安全产品,基于安全服务和云上安全解决方案,为零售企业提供更多的业务数字化转型变革的安全保障。


      Q4:面对双十一这样一个特殊关口,百胜软件应对各大平台的安全改造要求,主要采取了哪些措施?

      Hellen:首先,我们通过公司推行的OKR机制,将安全专项工作直接纳入到“质量安全”OKR目标中,并推动质量安全委员会达成共识,共同推进目标执行。

      从7月开始,我们内部就实施了每周的“安全改造专项”进度透视,及时播报客户安全改造工作进度、产品版本支持情况、平台新动向以及一线团队和客户反馈的新问题等,并适时确定新的应对方案,包括产品解决方案、运营策略等,确保安全改造工作顺利推进。

      其次,我们与各大平台的安全技术团队、安全运营团队都建立了紧密的连接。在筹备双十一项目前期,针对安全改造要求,我们与各大电商平台就方案层面进行了适用性探讨,对具体方案开发完成后的客户环境渗透也提出运营方面的建议方案。例如:针对下游仓储适配性问题,提出可给商家一定的过渡期,以逐步渗透方式提出改造建议,让整个安全举措能够平稳地在零售商家落地,保障客户业务能够在安全举措部署过程中顺利开展。

      同时,与客户共同推进。在进行安全改造过程中,由于我们很多客户采用的是全部私有化部署的,还有部分客户的客制化量比较大,甚至存在专版的场景,因此我们通过钉钉工具就每个平台的安全特性版本创建了钉钉项目空间,并梳理出了涉及到的客户名单,通过项目方式来保障整个改造策略及解决方案能够透达到全国各地一线机构,并实时了解进展,确保每家客户的改造工作顺利进行。

      可以预见,未来的线上零售仍将持续增长,但我们已经准备妥当——我们已经提前拟定了完整的安全自查清单,也即从平台安全合规、基础应用安全、账号安全、主机网络环境安全方面,就百胜软件的每个产品出具了安全自查清单,指导我们的一线机构和产品团队帮助客户完成安全保障准备工作。在万全准备之下,相信我们的客户一定能够安全度过忙中不错、再创业绩高峰!


      Q5:面对日益严格的数据安全、信息安全监管要求,作为百胜软件负责数据安全方面的专家,您认为我们该如何应对?

      Hellen:在新零售时代,数据的重要程度不言而喻,确保数据安全是企业的责任也是重任。我作为一个老百胜人,是参与过百胜软件主产品的研发设计、研发管理、产品管理、产品运营等各个业务环节的,所以对百胜所要面临的数据安全和个人隐私安全等方面风险深有感触,也深知数据安全的重要性。

      应对越来越严格的安全监管环境,我们一方面要不断学习新的安全技术,从原先的应用安全、数据安全技术,到目前承载这些应用、数据的环境网络安全方面技术;从原先仅基于软件开发过程的安全测试和百胜软件产品的业务安全解决方案,到目前基于攻防技术、安全运维、安全监控等技术配套,以及日后更为复杂的环境,我们都要不断地深入学习,用最新技术和合适的解决方案为客户赋能。

      另一方面要以安全可靠的产品服务客户,例如百胜软件正在打造的胜鼎计划,我们要将胜鼎的安全底座打扎实,在BSEIP平台增加安全中心,推进从SDLC到DevSecOps模式的演进,并将整个链路的工具链整合到我们的平台中去,以更好地服务我们的客户,提升百胜的业务价值。


      在全球数字化趋势下,数据价值越来越高,但也面临着更高的泄露风险。因此,“数据安全”关乎企业数字化发展和未来的商业模式及竞争力。对零售行业而言,用户数据与业务数据所带来的安全问题都可能成为零售行业巨大隐患。

      通过本次访谈,我们再次深刻了解到,一直以来,百胜软件牢牢把守“安全”这一发展的生命红线,在保证自身产品、应用安全、稳定的前提下,严格遵守法律法规及平台的合规性要求,实现商家业务数据整合,保障客户业务、安全一体化诉求。当然,安全问题也会不断变化,共创共建,共同守护,也是百胜软件的承诺。

推荐阅读:尾浚