江融信收购恒生集团的事情,让一直以来只知道闷声发财的金融IT服务商的圈子炸开了锅。作为一个在行业里面待了三四年的软件架构设计师,确实从来没看到任何一家公司能够像恒生电子一样被关注和讨论。而这一切都因浙江融信是马云控股的公司。
那些看好或者唱衰的观点我不好做评论,但这场讨论中关于数据安全的讨论实在让人哭笑不得。比如有观点认为,借助恒生电子,马云未来就可以直接窃取”银行交易、清算、运营和客户等数据,抄掉银行后路”。
我可以很负责地说,说出这种观点的肯定是门外汉。一个金融IT系统服务商就想抄整个金融行业的后门,这也太小看金融业的内控水平了。
1、别小看银行的内控
毫不夸张地说,金融行业具备强大的安全保障能力,是具备最高安全级别的行业之一。特别是大型银行一般自身的IT开发力量都很强,比如工商银行的IT队伍估计在6000人到1万人左右,自己的开发和技术能力就比恒生电子也毫不逊色。
从技术角度分析,IT服务商要窃取客户数据信息完全不可能。如果把金融机构的IT系统比作保险箱,IT服务商就是生产保险箱的,而数据是放在保险箱里的珠宝。金融机构为这个保险箱设了密码,然后把它放在一个密室里。不知道密室地址、没有密码的IT服务商,怎么可能拿到保险箱里的珠宝?
根据国家和行业的要求,金融行业的相关机构都要建立完备的信息系统使用和管理制度,只有获得授权的用户才可能接触和使用IT系统。金融IT系统一般分为测试环境和生产环境。测试环境是IT服务商和金融机构用来进行各项临时功能测试,其中的数据都是模拟的、非真实的数据。而生产环境才是金融机构系统实际的运行环境。
同样是根据国家和行业的要求,测试环境和生产环境必须物理性地完全隔离,这就杜绝了测试环境和生产环境交叉访问的可能。并且,即使是IT服务商使用和访问测试环境,往往也需要获得客户的授权并全程接受客户的监督,所以IT服务商根本不可能通过测试环境获取客户真实数据。
想通过生产环境获得数据就更不可能了。金融机构IT系统的生产环境必须采用内外网隔离、多重身份认证、多层网络防攻击、系统访问监控等措施。任何人要获得生产环境上的信息,都必须经过层层授权,并且任何操作都会留痕。而金融机构一般不允许IT服务商的工作人员直接操作生产环境,也不允许其携带任何存储介质进入客户生产环境。换言之,系统数据的管理和监控完全由金融机构自己掌握,IT服务商根本没有机会获取。
如果客户仍旧对IT服务商存有警惕,它还可以提出更高的技术标准和要求,比如客户可以对IT服务商为自己开发的系统的代码提出严格的独占性需求。当然,这种独占需求的价格也会很高,比一般需求的价格大约能高出4、5倍。
从监管角度来说,目前行业内大部分的金融IT服务商,在技术管理上都要通过ISO9001(质量保证体系)、ISO20000(IT服务管理体系标准)、ISO27001(信息安全管理体系)、CMMI4(软件能力成熟度模型)等权威资质认证。通过这些认证意味着,这家公司向客户提供的是符合国家、行业等各项技术标准、安全标准的合格产品,恒生电子也不例外。
2、巨大的法律风险
之所以说IT服务商不敢窃取客户的数据,第二点就是严格的法律约束。客户数据、技术信息、营业信息都是客户商业秘密的范畴,窃取就是犯罪,《合同法》、《反不正当竞争法》、《刑法》里面都有相应的规定,这就不多说了。
IT服务商面临的法律约束还远远不止这些。证监会、银监会、证券业协会、期货业协会等监管机构或行业协会还制定了《证券期货业信息安全保障管理办法》、《网上基金销售信息系统技术指引》、《商业银行信息科技风险管理指引》等规范性文件或行业规定,也都要求证券公司、基金公司、期货公司、商业银行等在与软件开发供应商签订信息系统开发协议时,必须在协议中明确约定信息安全和保密条款。
上述规范性文件的主要目的,就是为了确保商业银行、证券、基金和期货公司的客户数据、交易资料等商业秘密不被泄露。而在实际操作中,IT服务商在与客户签订的所有协议中也确实都会明确约定有保密条款,或者签署保密协议。一旦IT服务商违反该保密义务,就要根据协议承担相应的违约责任。
因此,不论是法律法规,抑或是交易双方签订的协议合同,都会对IT服务商保守客户商业秘密作出明确的要求。IT服务商窃取不到、也不敢窃取、泄露客户的商业秘密。如果哪家IT服务商铤而走险,那公司的负责人就可能面临牢狱之灾。
3、恒生的股东除了马云同样有金融机构
浙江融信由马云控制,因此有人担心恒生电子未来可能会将客户的商业信息泄露给阿里巴巴。有这种想法的估计都是纯互联网行业的,对金融IT行业的情况不够了解。
看看恒生电子的股东情况:前10大股东中,有7只基金,6家基金公司,其中一个华商基金就一共持有8.49%的股权。6家基金公司一共持股量达到20.95%。而马云的浙江融信只收购了恒生电子大约20.62%的股权,恒生实在没有理由为了阿里而得罪其他股东。
再者,金融IT系统开发的市场,主要的公司就那么几家。任何一家IT服务商都要同时为多家金融机构客户服务,比如金蝶、用友。如果IT服务商真的能拿到数据或者泄露数据,在过去十多年中早就已经出现了,不会因为这一交易才出现。举例来说,华商基金持有恒生电子8.49%的股份,是恒生电子的第二大股东,那以前恒生电子是否也会把其他基金公司的信息泄露给华商基金?