法大大李琳:“最強合規”背后的安全底座
來源:實況網時間:2023-05-11 14:15:51
4月26日���,國內領先的電子合同和電子簽云服務平臺法大大舉辦了以“數智‘簽’引 萬物生長”為主題的春季產品發布會,并推出全新一代數智化簽約管理平臺��。該平臺型產品經過2年半的調研分析及打磨驗證,聚焦新的市場環境下企業�����、組織、個人在簽約場景及管理需求上的變化���,圍繞合同簽署的前、中�、后全流程�����,融合AI�、NLP��、OCR等技術手段,實現了合同簽署�、合同管理從“數字化”到“數智化”的突破性升級���,是中國電子簽行業里程碑式的飛躍�。
本文為法大大技術中心總經理李琳在分享會上的發言精華�����,更多精彩內容�,歡迎關注法大大��。
大家好,我是李琳���,接下來由我為大家分享:法大大是如何打造安全、合規����、無憂的新一代數智化簽約管理平臺的���。
同時也提出了“沒有網絡安全就沒有國家安全”的重要理念�。從2017年到2021年����,國家陸續出臺了《網絡安全法》�����、《數據安全法》和《個人信息保護法》。到了2019年的時候���,國家又對《電子簽名法》進行了修訂。
依照這四部法律����,國家也制定了相應的管理辦法和安全標準���。由此可見�����,目前的監管形勢是越來越嚴了����。法大大一直嚴格以上述法律法規�、國家標準作為安全合規建設的指引����,致力于為大家打造一個安全����、合規����、無憂的電子簽約平臺����,下面我將為大家介紹我們本次新發布的數智化簽約管理平臺在安全合規體系的三重安全保障機制上���,都做了哪些升級:
第一重安全保障機制:業務合規升級
首先介紹法大大對《網絡安全法》的合規落地情況����。依據網絡安全法以及網絡安全等級保護基本要求(即等保2.0國家標準)��,公司成立了以CEO為首的信息安全管理委員會,組建了專業的信息安全團隊�����,致力于建立完善的防御感知體系與軟件開發全生命周期的安全審查流程���。同時我們還依據等保2.0的技術要求���,構建了完整的安全技術框架。
法大大的安全技術框架覆蓋了物理�����、網絡、主機����、應用���、數據���、業務等多個層面,形成了一套成熟的風險識別、防御���、檢測��、響應���、恢復體系�,實現了“事前、事中����、事后”的簽約場景全流程覆蓋��。
接下來介紹法大大是如何合規落地《個人信息保護法》的。
早在2017年����,我們組建了包含安全、法務���、合規等各領域專家的隱私保護團隊��,并依據PbD模型(privacy by design)�����,將保護個人數據與隱私的理念以技術手段運用到產品和服務的各個環節�。
我們在產品設計之初就把隱私保護納入需求����,使隱私保護的設計貫穿個人信息的采集����、傳輸���、存儲��、使用、展示�、注銷�、刪除的全生命周期�,而不是在產品成型后再尋求事后的補償措施和手段���。
我們始終堅持以用戶為主體來進行權利保障設計����,確保法大大用戶享有個人信息的訪問權、查閱復制權�����、選擇權、更正權和刪除權�。
第二重安全保障機制:數據授權合規升級
根據《數據安全法》的要求,法大大建設了以數據為核心的動態數據安全管理體系����,重點識別和控制 數據采集���、傳輸�、存儲��、處理�����、共享�����、銷毀等環節中的安全風險���。針對識別到的風險以及對應的合規要求,我們從組織建設����、管理能力、技術能力三個方面出發���,采用多種管理方法與技術手段相結合來確保數據全生命周期中的有效安全治理���。
第三重安全保障機制:CA證書合規升級
現在重點介紹法大大針對《電子簽名法》的合規遵循。早在2005年��,國家就已頒布了《電子簽名法》;2009年�����,工信部出臺了《電子認證服務管理辦法》;2022年8月����,為進一步規范電子認證服務行為,工信部發布了《關于開展電子認證服務合規性專項整治工作的通知》����,主要提到了以下問題:
1)身份查驗流程不規范�;
2)申請主體��、接受主體和證書載明主體不一致;
3)受理證書申請前���,向申請人告知有關事項不充分;
4)受理證書申請后����,未與申請人簽訂合同明確雙方權利義務���;
5)未妥善保存與認證相關的信息等。
這些不合規的問題可能會導致申請的數字證書無效��,繼而導致其制作的電子簽名無效,并引發糾紛或涉訴案件����。
這里想給大家看一個真實的涉訴案例:有用戶起訴某CA機構與某電子簽名服務商冒用他的身份信息制作了他不知情的電子簽名證書,并以此簽署虛假借款合同�,直接導致他遭受到了經濟損失��。從這個案例中我們可以看到,不合規帶來的風險絕不可小視���。
針對以上問題�,法大大的產品高度對標法律法規的要求���,完成了全面的合規升級:
第一點���,用戶需要與CA機構簽訂一對一的證書服務協議。無論是個人用戶還是企業用戶���,申請數字證書前,都必須同意相應CA機構的《證書服務協議》���,閱讀并點擊同意即視為接受該協議的約束�,以此確保在證書申請流程中�,CA機構向用戶充分告知了有關事項�,并明確了雙方的權利義務����。法大大也會留存用戶關于協議的確認記錄�����。
第二點,在用戶身份鑒別方面�。法大大作為CA機構的授權RA機構���,提供多種身份認證方式供用戶選擇,包括人臉核身����、手機號認證�、銀行卡認證以及人工審核�,無論是哪種方式����,用戶提供的信息均通過權威數據源進行比對校驗,確保身份信息真實有效且是用戶本人的真實意愿表達����,避免了身份偽造����、冒用���、盜用等風險。
第三點����,關于證書更新環節。當證書過期時�,我們會提醒用戶重新申請新的數字證書���,這個過程需要用戶再次同意《證書服務協議》�,同時我們也會留存用戶同意協議的記錄����。
第四點����,關于證書申請結果的通知。證書申請受理后��,法大大會通過站內信等方式�,明確告知用戶申請結果及證書簽發CA機構的名稱�、序列號���、有效期等信息。
第五點���,用戶證書申請流程中的相關數據會在法大大證據中心存證,保存期限至少為證書失效后五年�����。
法大大可以為用戶提供技術報告 或 公證保全報告,整個證據留存過程受CA機構監管�,確保其完整性和嚴肅性����。
最后給大家展示一下我們的安全資質大滿貫����。
經過多年的安全合規體系建設���,法大大已經取得了多項權威的安全資質及認證,包括由BSI英標協會頒發的四個ISO國際管理體系認證�,覆蓋信息安全�����、隱私保護�、業務連續性等領域����。同時法大大簽約平臺也通過了網絡安全等級保護三級測評��,并獲得了公安部頒發的安全專用產品銷售許可證、國家密碼管理局頒發的商用密碼產品認證證書��,以及工信部頒發的企業級SaaS服務“可信云”認證��。
未來,我們會持續以高標準�、嚴要求來加固法大大的安全合規體系��,不斷夯實安全壁壘, 為用戶的每一次簽約保駕護航,謝謝大家��。
標簽:
營業執照公示信息
