邀请,那布兰奇,总法律顾问迅速、今天欧盟议会的利比亚问题委员会前作证(公民自由、司法和内政事务委员会),连同欧盟委员表示,欧洲刑警组织的主任罗布·温赖特。
那声明由布兰奇,总法律顾问,斯威夫特
谢谢你给我机会说今天委员会之前。斯威夫特向来非常重视其数据保护责任,承认在数据保护委员会的重要工作。作为一个公司,是专注于安全和数据保护,我们分享欧洲议会的担忧,支持其工作和乐于合作尽可能最大程度地。
介绍
斯威夫特是一个私人的中型欧洲公司总部在布鲁塞尔附近。我们成立于1973年作为一个合作取代电报和促进安全交换金融信息;安全仍然是,四十年过去了,我们的使命的核心。客户的数据的完整性和机密性总是是我们的最高优先级。
我们的主要功能是作为一个全球通讯之间的中介的金融机构。我们不是一个银行。个人没有访问,或任何直接的关系,迅速。我们不持有现金,任何客户的帐户或资产。我们不是一个清算和结算系统。
今天,我公司可为您提供安全、标准化信息服务超过10000年212个国家的金融机构和企业。此外,斯威夫特是一个标准化的身体,在这种能力问题消息模板或“标准”,使自动化和直通处理。雷竞技手机版app这些标准被广雷竞技手机版app泛采用和使用都在迅速的消息传递系统。
斯威夫特的安全
在迅速,我们操作我们的服务最高的数据保护和安全标准。雷竞技手机版app数据保护是我们所做的关键——保持机密性、完整性和可用性的信息数据和相关系统。为此,我们大力投资在安全性和灵活性。鉴于这场听证会的目标,我今天将集中在安全方面。
斯威夫特对机密性或完整性是零容忍的事件。安全是我们活动的中心和客户是至关重要的。我们不断地投资在我们的保护措施,以确保我们适合目的和充分的准备我们所知道的景观是一个不断发展的威胁。我们是不自满。
斯威夫特的目标有关的安全信息服务明确定义和政策是严格遵循。实现我们的目标,消息和数据流加密,逻辑安全、物理安全需求已确定,实施并不断监测以确保持续有效性。
整个概念设计、实现和部署的服务和系统,安全是斯威夫特的重要考虑。为此,我们的业务人员,安全工程师和建筑师一起紧密合作,为我们提供防御安全体系结构关键系统和服务。
例如:
- 我们的系统的设计和部署先进的加密技术是基于多层;
- 我们依靠国际认可的加密标准长密钥长度;雷竞技手机版app
- 我们也受益于本土加密技术,由著名的密码专家定期审查。
- “静止”客户的数据加密和身份验证,以防止未经授权的访问,或注入数据从内部或外部威胁;
- 我们的安全体系结构不是基于外部各方,如客户,电信或其他服务提供者;
- 我们学科内部开发的软件代码评审,同行和外部专家,以及通过使用自动化工具。
在整个系统生命周期,包括操作和退休,我们确保我们的系统的完整性。我们有一个结构化和分层的内部网络基础设施,确保服务器和数据保护远离威胁,是否内部或外部;我们从纯互联网隔离我们的网络;我们限制外部网络访问,我们严格隔离内部职责。我们还实行严格的网络控制和操作强大的安全基线。
我们也部署一套威慑和侦探控制,包括:入侵检测系统和保护日志;特定于应用程序的相关功能和网络行为分析工具。
接下来,在假设的情况下的一个事件,我们已经开发出反应,恢复和危机管理实践,明确违反完整性和机密性。
为了加强管理,保证我们的安全控制的有效性,斯威夫特也有intrusion-testing计划(包括、逻辑和物理安全、以及社会工程方面)和一个过程来帮助确保研究成果被优先考虑,这样适当和及时的相应措施。这个项目涵盖所有组件的服务交付,从网络到应用程序级别。
斯威夫特定义了严格的指导方针,维护、维修和处理设备或媒体如电脑硬盘,磁盘单元和其他存储媒体,确保数据无法恢复。
我们也有严格的人员审查程序,包括背景筛查和参考检查和维护安全意识通过持续的培训和沟通计划。
最后,物理访问。物理访问我们的前提、电脑设备、数据存储和资源是有限的。迅速操作中心(信息公开化是为了房子至关重要的计算机操作。物理安全控制来预防、阻止、探测和延迟渗透。周围的周边信息公开化是封闭的,保护和监控。访问令牌和相关的个人识别号码或生物识别技术存在门和计算机层提供审计信息的访问。
斯威夫特的承诺,提供解决方案,满足我们客户的数据保护和安全需求仍然是林奇销我们的产品。
网络威胁和可用的解决方案是一个不断变化的景观。快速连续监视威胁、漏洞和事件报告通过公共或其他渠道。相关时,我们彻底的评估的结果是用来提高我们的网络投资。
我们也与我们同行密切合作,参与市场和国家层面的网络练习为了基准我们实践。
斯威夫特的安全监督
迅速起着至关重要的作用在支持客户的日常运营,这是至关重要的,我们确保安全、技术基础设施和运营目标得到满足。因为这个原因我们受到一系列互补的审查和评估。
最重要的是,斯威夫特是由中央银行g10下系统的合作监管。比利时国民银行(NBB)是领导监督,迅速融入比利时。欧洲央行也这个监管框架的一部分。的一个关键监管目标是确保迅速有适当的流程,程序和技术控制以保证其客户的数据是适当的保护。
我们另外学科独立外部评价。我们正在评估外部审计师每年确认业务符合国际标准(ISAE) 3402年建立的国际审计和保证标准委员会(IAASB)。雷竞技手机版app这是国际公认的行业标准,使服务提供商希望迅速获得独立保证控制目标和流程,包括数据的保护。
最后,斯威夫特的安全是受制于我们的内部审计部门,直接向董事会汇报关系。
进一步指控新闻委员会提出的问题,我们没有证据表明有过任何未经授权的访问我们的系统或数据。你可以放心,我们不断地监控网络安全威胁,每当我们相信有任何风险的安全服务,可以肯定的是我们调查非常彻底和采取任何行动我们认为适当的减轻风险。
斯威夫特和数据请求
作为一家私人公司,斯威夫特是不受当局的合法请求。在1993年迅速发展的政策符合当局的要求。这合规政策被我们迅速传达董事会向所有客户和已经被纳入我们的用户手中的书,这是我们自己和我们所有的用户之间的正式合同。
我们的政策明确规定而迅速采取所有必要的措施以确保最高程度的数据保护,数据的完整性和机密性,我们运输,我们必须遵守主管部门出具具有法律约束力的请求数据。在这种情况下,我们可以不得不向这些部门提供数据,但我们会尊重任何相关协议,将寻求最大程度地保护我们客户的数据,并将通知我们的客户,除非这是法律禁止的。这一直并将永远是斯威夫特的政策,如比利时的结果所示隐私委员会在2006 - 2008年期间的调查。上面的政策是我们的客户,很好地理解,作为金融机构,他们都面临着同样的义务。
此外,当局寻求金融交易信息可以直接从金融机构获得这个他们监督,包括机构的相关消息迅速格式,是否通过迅速发送系统或通过其他通信渠道。
你知道有一个项目由欧美TFTP协议要求我们定期为美国财政部提供特定的信息数据。有很强的保障措施以保证这种安排是有限的范围;尊重的必要性原则和比例原则,数据保护,搜索目标,欧洲刑警组织验证每个欧盟数据请求,开始转移是有限的,这个过程是审计,不断监督和定期审查。
例如:
- 欧洲刑警组织参与验证美国财政部要求欧盟数据和接收每个请求的副本直接从美国财政部。斯威夫特必须首先得到欧洲刑警组织的确认符合美国财政部要求交出任何欧盟数据。
- 两个EU-U.S。联合审查报告TFTP协议的实现,是基于协议分别于2011年和2012年,一般认为协议的数据保护规定已经实现,独立监督和审计实践激励重要信心,保障措施实际上是受人尊敬的,欧洲刑警组织完成其任务按照协议。
- jean - louis Bruguiere 2008年和2010年的报告判断,谁被任命为一个独立的“著名的欧洲人”由欧洲委员会得出的结论是,美国财政部符合严格的隐私保护措施(即在TFTP表示。之前,科大2007年承诺的隐私保护措施的采用欧美TFTP协议)。
此外,迅速制定了适当的控制,以确保,尽可能最大程度地,尊重的限制和保护计划,和搜索的数据有针对性的专门为TFTP协议中描述的目的。
就像欧盟一样,迅速的代表在现场审查每一个查询是谁。他们可以阻止任何实时查询,如果他们不满意,它符合规定的标准。此外,斯威夫特已经委托外部独立审计师提供保护和保证条件完全遵守,所有在最佳实践审计标准。雷竞技手机版app他们审查搜索记录和给迅速的保证只有被浏览和数据用于约定用途。这些审计机构,以及迅速的内部审计人员,审查系统的端到端安全性和为我们提供保证数据免受未经授权的访问。
这些数据的保护和控制被比利时隐私委员会和欧洲工作组29斯威夫特的彻底审查后符合强制性的请求。
最后,根据欧美TFTP协议,开始转移的条件提取的数据可以被严格限制了。例如:
- 可以共享的信息一定是个性化搜索的结果中提取;
- 这些信息只能与执法、公安、或反恐部门;
- 只能共享的信息为主要目的的独家目的调查、检测、预防、或起诉恐怖主义或其融资。
结论
结论,放心我们没有证据表明有过任何未经授权的访问我们的系统或数据。等演员迅速、数据保护是至关重要的。系统中信任就是一切;我们的社区取决于迅速保护其数据的能力。同样,法律确定性是至关重要的。我们必须做,遵守法律。我们是总部位于欧盟,但是我们的活动是全球的,我们在一个竞争格局;我们不能面对相互矛盾的法律和“夹在中间”。我们赞赏的努力,欧洲议员进行,以确保适当的数据保护,为迅速等公司提供一个法律框架,使我们能够实现我们的核心使命提供一个安全的信息服务。
我们期待继续我们的对话委员会主席和成员,和谢谢你的关注。
相关链接
