很少有一天没有看到关于数据泄露的头条新闻, fraud, ID theft, 或者发生其他网络安全问题. 这是企业和组织必须进行的一场持久战,以保持领先于那些想要窃取数据并控制系统的黑客和欺诈者.
某些攻击构成了一种特定形式的身份盗窃,即账户接管欺诈. 账户接管通常利用个人身份信息(PII)和网站凭证在数据泄露中受损,并避免触发信用监控警报,因为它们与开设新账户无关.
作为计划发起人, 您需要确保能够访问员工个人数据和工作场所帐户的供应商和提供商受到保护,防止数据泄露和黑客攻击. 你有义务审查你的供应商,并确保他们有严格的控制措施来保护员工.
施耐德唐斯实施并推荐这些最佳实践
创建账户
在很多情况下, 为现有退休帐户设立网上帐户需要了解某些个人身份信息, 比如邮寄地址, 社会安全号码, 或者账号. 因为这种类型的数据通常会因数据泄露而受到损害, 施耐德·唐斯建议在在线账户创建过程中添加额外的验证步骤.
其他验证步骤可能包括:
- 一次性发送到账户的电子邮件地址或手机号码
- 将第三方身份验证bet9平台游戏集成到在线帐户创建过程中
- 允许帐户所有者“锁定”他们的帐户,以防止创建在线帐户,而无需经过单独的解锁程序
施耐德唐斯退休解决方案 当员工有资格参加公司的退休计划时,与合作伙伴公司及其员工一起建立退休账户. 系统生成的资格报告是基于计划发起人在每个发薪期结束后立即提供的完整的人口普查数据. 参与者可以通过参与者网站在线报名,也可以填写并执行纸质报名表格.
与会者可以通过输入默认用户名和密码进入与会者网站, 首次登录时必须更改哪些内容. 首次登入的参加者会被指引参加一系列的选举选择, 包括个人信息, 贡献量, 投资选举, etc. 最后一步是所有选举的摘要,供与会者批准. 一旦获得批准, 参与者将获得交易确认号码,并将确认邮件发送到记录的电子邮件地址.
会话管理
攻击者经常试图通过使用近年来发生的各种数据泄露事件中的密码转储来破坏帐户. 这些攻击通常采用以下两种策略之一:
- 试图使用原始用户名/电子邮件地址重复使用泄露的密码(希望个人在多个在线帐户中重复使用密码)
- 密码喷涂, 或者试图在多个目标帐户中使用一个受损的密码,以逃避帐户锁定阈值
为了减少这类攻击的风险, 施耐德唐斯建议以下基线设置:
- 多因素身份验证(MFA)可以作为所有计划参与者的必选配置或可选配置来实现
- Device trust settings should default to untrusted; and the implications of trusting shared devices should be made clear
- 会话超时应配置为30分钟或更短
- 应将帐户锁定配置为在不超过一小时的时间内输入错误密码五次或更多次时发生
行业领导者实施的高级检测控制包括:
- 分析源IP地址和其他系统信息,识别非典型地理位置和潜在的密码喷洒攻击
- 行为分析:建立用户行为基线,并对可疑活动发出警报
- 将已知已泄露的密码列入黑名单
施耐德唐斯退休解决方案利用多因素认证(MFA)来加强我们的合作伙伴公司及其退休计划参与者的数据安全保护. 当计划启用MFA时, 参加者将被要求输入一次性密码,该密码将被发送到他们的手机号码,以便登录他们的在线退休账户.
为了保证信息的完整性,我们要求参与者的第二种联系方式来自计划发起人.
Further, 施耐德唐斯退休解决方案聘请第三方完成bet9平台游戏组织的系统和组织控制(SOC 1®Type 2)报告, 在合理的要求下,哪些可以提供给潜在客户和客户. 该报告详细说明了各种控制目标的适宜性、设计和运行有效性.
事务监控
为了逃避侦查, 许多犯罪分子会在几天或几周内对账户设置进行微调. 这种活动通常以将资金分配到一次性银行账户为高潮. 帮助发现欺诈行为, 施耐德唐斯和帐户所有者有能力配置各种警报发送到他们选择的电子邮件地址.
可能触发警报的操作包括:
- 网上开户
- 账户分布
- 贷款分布
- 贷款
- 投资选举的变化
- 投资平衡
- 受益人的变化
施耐德唐斯在默认情况下实现上述所有警报, 哪些是由赞助退休计划的雇主提供的电子邮件发送到存档的. Further, 在分发处理之前, 我们的团队将请求信息以确认请求者的身份.
数据处理程序
一些程序, 比如后台活动和电话交谈, 有时会被骗子操纵吗. 例如, 诈骗者通常在电话中冒充帐户所有者,并采用各种社会工程策略来收集信息,然后用于破坏帐户. 另外, 敏感的账户信息可能通过“垃圾箱盗窃”被故意窃取,也可能是个人通过敏感信息显而易见的地方进行机会犯罪.
施耐德唐斯建议如下:
- 清洁办公桌政策
- 安全文档处理策略
- 通过电话确定身份的文件化程序
- 定期对所有员工进行数据处理程序培训
- 了解并了解第三方提供商的数据共享政策
施耐德唐斯退休解决方案的控制环境反映了高级管理层关于确保财务数据和信息重要性的理念. 通过制定和沟通政策和程序来强调安全的重要性,并通过对资源和人员的投资来支持执行这些政策.
施耐德唐斯有一个专门的信息安全团队,由首席信息安全官(CISO)和高级安全专家组成,负责整个组织的信息安全管理. 具体地说, 信息安全团队和CISO负责开发, 维护和执行施耐德唐斯退休解决方案的信息安全政策(ISP). ISP由CISO每年审查一次,并由公司的安全指导委员会批准. 这些标准和策略处理安全控制的管理和实现, 从设施和设备的物理安全到数据元素层的逻辑安全.
鉴于最近出现的一些诉讼问题,我们在数据和隐私安全方面的尽职调查水平提高尤为重要. 最近的两个案例引发了人们的质疑,即计划的第三方记录保管人收集的参与者数据如何能够而且应该用于非计划目的. 例如, 某些记录保管人与附属公司分享他们通过正常业务过程获得的投资数据和金融资产信息,以诱使计划参与者出售其他与计划无关的产品,如个人退休账户, 人寿保险, 信用卡, 经纪账户. 关于这一动态的潜在问题,以及它是否构成对受托责任的破坏,归结为参与者数据是否被视为1974年《bet9平台游戏》(Employee Retirement Income Security Act)下的“计划资产”, 经修订的(ERISA), 哪些是目前立法中没有明确规定的.
出于这个原因, 越来越重要的是,计划发起人应及时了解与第三方记录保管人和管理人员签订的诉讼和审查bet9平台游戏协议,以了解这些供应商收集和保留了哪些类型的数据, 以及这些供应商如何处理这些数据. 在施耐德唐斯退休解决方案公司, 未经计划发起人批准,我们不会与第三方共享参与者级别的数据, 以减少它被用于非预期目的的可能性.
如果您对我们的退休bet9平台游戏有任何疑问,请致电 (电子邮件保护) 或者访问我们的网站, www.sdretirementsolutions.com.
关于施耐德唐斯财富管理
施耐德唐斯财富管理顾问有限公司(SDWMA)是一家在美国注册的投资顾问公司.S. 美国证券交易委员会(SEC). SDWMA提供收费的投资管理bet9平台游戏和财务规划bet9平台游戏, 还有收费的退休咨询和咨询bet9平台游戏. 讨论的材料仅用于一般说明和/或信息目的,不应被解释为投资, 税务或法律建议. 尽管这些信息是从被认为是可靠的来源收集的, 请注意,个别情况可能有所不同. 因此, 当与个人专业意见相协调时,应依赖这些信息. 在美国证券交易委员会注册并不意味着任何水平的技能或培训.