Swift向欧洲议会公民自由、司法和内政委员会作证

Swift总法律顾问Blanche Petre的发言

感谢您给我今天在委员会发言的机会Swift非常认真地对待数据保护职责并承认委员会在数据保护方面的重要工作公司专注于安全和数据保护,我们同欧洲议会一样关切,支持其工作并乐于最充分地合作。

导 言

Swift是一家私营中型欧洲公司,总部设在布鲁塞尔附近1973年创建的合作社取代用户电报并便利用户服务安全性交换金融消息安全持续四十年 核心任务完整性和客户数据保密性常态化最优先级

关键功能是充当金融机构间全球通讯中介我们不是银行个人无法接触或直接接触Swift我们不持有客户的货币、账号或资产我们不是一个清理或解决系统

今日公司向212国一万多金融机构和公司提供安全标准化通讯服务雷竞技手机版appSwift是一个标准化机构, 并以此身份发布消息模板或标准,雷竞技手机版app这些标准已被广泛采用并同时用于Swift通讯系统内外

Swift安全

雷竞技手机版appSwift服务局 数据保护安全最高标准数据保护是我们工作的关键-维护信息数据和相关系统保密性、完整性和可用性为此,我们在安全性和恢复能力两方面都投入了大量资金。基于本次听证会的目的,我今天将集中谈安全方面问题。

Swift对保密或完整性事件零容忍安全是我们活动中心,对客户至关紧要持续再投注保护功能 以确保适切性 并充分准备我们是不对自满感

Swift通信服务安全目标定义清晰并严格遵循政策为实现我们的目标,消息和数据流加密,逻辑安全,实体安全需求已经确定、实施并持续监控以确保持续有效性

构思设计、实施和部署服务系统时,安全是Swift的首要考虑企业人员、安全工程师和架构师密切合作,为关键系统和服务提供防御安全架构

例举 :

• 系统设计部署基于多层最新加密技术
• 雷竞技手机版app依赖国际公认的密码标准并长密钥长度
• 本地加密技术常由知名密码专家审核
• 客户数据“休眠式”加密认证,以防止内部或外部威胁未经授权访问或注入数据
• 安全架构不以外部方为基础,如客户、电信或其他服务提供方;
• 内部开发软件由同行和外部专家评审并使用自动化工具

系统生命周期中 包括运维和退保 我们保证系统完整性结构化分层内部网络基础设施确保服务器和数据不受内部威胁或外部威胁网络与纯互联网隔开限制外部网络存取并严格隔离内部职责并按强安全基线操作

并部署一套阻抗检测控制程序 包括入侵检测系统 保护日志具体应用相关性和网络行为分析工具

下一例假设事件中,我们开发出反应、恢复和危机管理实践,明确覆盖完整性和保密性违反

为加强安全控件有效性管理保证,Swift还设置入侵测试程序(包括逻辑和物理安全以及社会工程方面)和流程帮助确保优先排序,以便适当和及时地采取相应行动本程序覆盖从网络到应用层次服务提供中所有接触组件

Swift定义了严格维护、维修和处置设备或媒体的准则,如带硬盘计算机、磁盘机机件和其他存储媒体,以确保数据无法恢复

员工审核程序严格化,包括背景筛选和参考检验,并通过持续培训和通信方案维护安全意识

终于物理访问物理访问馆舍、计算机设备、数据存储和资源受限Swift操作中心设计用于安装任务关键计算机操作实体安全控件到位预防、阻抗、检测和延迟渗透OPC周界受封装、看守和监视存取令牌和关联个人标识号或生物度量存取计算机楼层并提供审核路径

Swift承诺提供解决方案满足客户数据保护安全需求,

网络威胁和可用解决方案是一个日新月异的景观Swift持续监控通过公共或其他渠道报告的威胁、漏洞和事件相关时,我们彻底评估的结果被用来提升网络投资

并参与市场和国家级网络演练,

Swift安全监督

Swift在支持客户日常运营方面发挥着关键作用,因此关键是我们要确保安全、技术基础设施和运营目标在任何时候都实现。正因如此,我们接受数项补充审查和评估

最重要的是Swift受G-10央行监督,并受合作监督系统监督比利时国家银行(NBB)牵头监督员Swift注册比利时欧洲央行也是监督框架的一部分关键监督目标之一是确保Swift拥有适当的流程、程序和技术控件,以确保其客户数据得到适当保护。

并接受独立外部审查雷竞技手机版app外部审计员每年评估我们是否符合国际审计和鉴证准则理事会(IAASB)3402号国际标准约定Swift等服务提供商获取控制目标和程序的独立保证,包括数据保护

Swift安全归内部审计部审查,该部门直接报告委员会

接续最近媒体上的指控 和委员会提出的问题, 我们没有证据表示 曾有 未经授权访问我们的系统或数据你可以放心,我们常监视网络安全威胁, 每当我们认为服务安全有风险时, 你可以确信我们非常彻底地调查 并采取任何我们认为适当的行动来降低风险

Swift数据请求

Swift私人公司也不能免去当局的合法请求Swift于1993年制定了一项政策,以响应当局的请求。Swift董事会向客户传递这一守法策略,并自此被纳入用户手册中,这是我们和所有用户之间的正式契约

Swift采取一切必要措施确保数据保护、完整性和保密性达到最高程度的同时,我们的政策明确指出,我们必须遵守主管当局发出的具有法律约束力的数据请求在这种情况下,我们可以被迫向这些主管部门提供数据,但我们将尊重任何相关协议,将尽最大可能保护客户数据并通知客户,除非法律禁止这样做。Swift政策一贯不变,比利时隐私委员会2006-2008年调查的结果就表明了这一点。客户完全理解上述政策,因为作为金融机构,他们面临类似义务。

并直接从所监督的金融机构获取金融交易信息-包括Swift格式发送的这类机构相关消息-无论是通过Swift系统发送还是通过其他通信渠道发送-

如你所知,有一个程序受EU-USTF协议约束,要求我们定期向美国国库提供某些消息数据现有强健保障确保这一安排范围有限必要性和相称性原则得到尊重,数据受保护,搜索目标明确,欧警局验证欧盟每项数据请求,后续传输有限,流程审计并持续监督并定期审查

例举 :

• EUROPOL参与验证美国财政部请求欧盟数据并直接从美国财政部接收每项请求副本Swift必须先接收Europol确认书,以便满足美国国库交出欧盟数据的请求
• two-U.S.关于TFTP协议执行情况的联合审查报告分别于2011年和2012年发布,总体结论是协议数据保护条款得到了很好执行,独立监督和审计做法激发了极大信任,保障措施事实上得到了尊重,欧洲刑警组织正在根据协议完成其任务。
• Jean-Louis Brruguière法官被欧洲委员会任命为独立“欧洲名人”,2008年和2010年报告得出结论说,美国财政部遵守TFTP代理文件中规定的严格隐私保障措施(即United States2007承诺在欧盟-USTTP协议通过前隐私保障措施)。

Swift还建立了控制机制,以尽可能确保程序受限保护得到遵守,数据搜索完全面向TFTP协议所述目的

Swift像Europe网站有代表审查所有查询用户若不确信查询符合规定标准,可即时停止查询雷竞技手机版appSwift还委托外部独立审计师保证保护和条件都得到充分遵守,都符合最佳做法审计标准。Swift审查搜索记录并保证数据只为商定目的查看使用Swift内部审计师审查系统端对端安全,并向我们保证数据不受未经授权访问

比利时隐私委员会和欧洲第二十九工作队在彻底审查Swift对强制请求的遵守情况后确认这些数据保护和控制

最后,根据欧盟-美国TFTP协议的条款,可转接提取数据的条件受严格限制。例举 :

• 可共享信息必须是逐个搜索后提取的;
• 此类信息只能与执法、公安或反恐当局分享;
• 信息共享仅为调查、检测、预防或起诉恐怖主义或资助恐怖主义的独有目的

结论

归根结底,保证我们没有证据表示 曾有未经授权访问过我们的系统或数据Swift等行为主体的数据保护至关重要信任系统就是一切社区依赖Swift保护数据的能力类似地,法律确定性至关重要我们必须而且确实遵守法律以欧盟为基地,无法面对冲突法并接受中途抓捕我们赞赏欧洲立法者努力确保适当数据保护到位,并向Swift等公司提供法律框架,使我们能够实现核心任务提供安全通信服务。

我们期待着继续与委员会主席和成员对话,并感谢你的注意。

相关链接

• 遵章性