浙江宁波宁波银行股份有限公司 渠道反欺诈新监测标准落实项目供应商召集公告
查看隐藏内容(*)需先登录
根据业务发展需要,******采购相关管理办法,我行拟对《渠道反欺诈新监测标准落实项目》面向社会公开征集供应商,诚邀符合条件的供应商参与方案洽谈。一、资质要求*、注册资金人民币***万元(含)以上,财务状况良好;*、公司经营正常并存续*年(含)以上;*、企业或者其法人近两年内无行贿犯罪记录,未被列入失信执行人名单,无限制高消费、限制出入境等行为;*、公司具备完善的组织架构和制度规范,拥有充足的技术、人员和设备资源;*、同一法定代表人的两************不得在同一次项目中参加报名;*、参与报名的供应商能作为签约主体参与后期的商务流程;*、设备和产品应满足《网络安全法》等法律法规要求;*、报名供应商应符合宁波银行供应商管理相关要求;*、如报名供应商为首次与我行合作供应商,请按附件格式提供“供应商尽职调查报告”。二、技术要求*、供应商需具有同业反诈项目建设或电子渠道建设的实施案例,对金融行业反诈知识有一定的了解;*、供应商实施人员需在spring框架、java、vue、SQL方面具备开发经验;*、供应商需支持按照行方框架进行研发,能支持个性化需求,能够完成强复用性的组件设计;*、供应商中标后应有足够人力立即投入研发,保障项目上线的及时性;*、供应商同意本次项目开发所形成的相关成果,包括应用系统和技术文档归属我行,我行是该成果的著作权、专利申请权、专利权、技术秘密及其其他相关知识产权的所有人;*、供应商实施人员须服从行方研发管理要求,遵守行方各项研发测试管理制度。三、报名方式及起始时间请符合条件的供应商在****年*月**日之前,通过报名链接“点击报名”方式进行报名,报名链接如下:https://***.******.***.cn/cpms/ananymous/cms/,并按要求填写相关报名材料。四、联系方式联系人:张学辉 ****-********(采购部)沈卢杰*********** (科技部)郑骏 *********** (业务部)渠道反欺诈新监测标准落实项目主要需求概述*、项目背景随着监测标准*.*的落地,反欺诈系统已完成各主要系统和业务场景的接入,全行级的监测体系初具雏形。但我们也发现了越来越多的风险,比如非持卡人欺诈事件高发、欺诈手段不断翻新、黑产嗅觉敏锐无孔不入等,监测工作面临更大挑战。因此,下步计划启动新监测标准落实项目建设,通过加强抵御黑产攻击、异常行为监测、客户分层管控和风险闭环处置四项能力,进一步提升我行风险监测和防控的综合水平,保障交易资金安全。*、需求详情*.*完善运营体系***.******.***升级整体安全防线一是针对全行的服务入口深度“布控”,通过丰富非本人的特征维度,对AI人脸、设备篡改、接口轮询等异常情况做好识别和应对;二是提高动态攻防效率,实现高危客户、设备、IP等自动化关联录黑,落实全渠道、全链路管控,将交易风险降到可控范围。***.******.***全面部署监测矩阵一是个人“业务场景-监测维度”二维矩阵相关规则部署:新增个人交易失败原因、柜面转账金额、试探登录IP、秒级交易等异常特征相关的模型指标,实现个人监测矩阵的***%覆盖;二是企业“业务场景-监测维度”二维矩阵相关规则部署:制定企业监测矩阵,新增企业短时转账支付金额/笔数、开户网点归属地等企业交易行为相关的模型指标。***.******.***落实分层分类管控一是结合客户特征、交易习惯、行为偏好等,形成“无大额转账”、“频繁操作大额交易”等高、中、低等不同风险类型的客户标签;二是针对不同类型的客户风险标签,实施不同力度的管控措施,实现差异化管控,提升精准性;三是将客户风险标签应用到不同监测场景,如频繁支付、夜间交易、刷单偏好等。***.******.***持续完善细分场景在标准*.*已完成主系统全覆盖的基础上,根据欺诈形势,新增渠道细分场景,监测如代发、外汇等新型欺诈业务,部署特定风险监测模型。*.*加强系统支撑***.******.***建设告警体系一是针对渠道交易推送量、交易预警量、阻断外呼量、监测反馈超时率等,形成监控报表,设置合适的告警参数阈值,对超出阈值的情况进行告警;二是针对监测处置策略,根据流水号对当日阻断交易进行状态复核,形成T+*后督核对机制;三是针对事中、事后数据流信息,给被监测渠道的交易场景塑形留档,并定期对新交互的数据信息进行对比,如出现字符长度、标志位等差异,则告警被监测系统更新或异常风险。***.******.***扩展数据集市一是将标签类别拓展为**类,为客户分层管控提供更全面的数据支持,保障监测标准*.*的顺利推进;二是建设数据统一参数管理平台,支持业务人员在页面配置数据变量,从而实现参数调整周期减少至*天,提升数据应用的灵活性和开发效率。附件:宁波银行信息科技服务提供商尽职调查报告一、基本信息*.*服务提供商基本信息服务提供商******类型注册资本&************主营业务*.*监管评价(是否出现在监管机构的黑名单中)(最近二年在政府或金融同业合作过程中是否受到处罚)(是否存在未决诉讼)*.*关联公司或附属机构信息(关联公司或附属机构是否存在经营危机,该危机是否危及该服务提供商的正常经营)*.*主要客户清单列表(主要客户群体)二、服务提供商持续经营能力*.*财务情况(近三年经审计的财务报表)三、服务提供商内部控制和管理能力*.*服务提供商内控评估报告(评估报告内容如覆盖以下***.******.***内容,则将评估报告内容对应填写至各个部分)*.*服务提供商的组织结构(内部控制部门,如是否建立了内部的使用工具的安全测试部门、内控部门、审计部门)*.* IT制度体系建设(******及项目的安全管理及流程管理建立了相应的制度)(项目过程中的项目管理(PMO)体系,包括例会、沟通渠道等)(服务质量控制方法)*.*培训体系建设(是否对其员工定期开展技术技能以及安全防范相关的培训,提供培训计划或培训材料)*.*服务提供商人员离职率(了解公司技术人员的离职率)*.*IT风险管控(包括对公司本身的IT风险管控及所承接外包项目的IT风险管控情况)四、服务提供商信息技术能力*.*服务能力和支持技术 (服务提供商的技术能力资质证明,专业认证等)(描述使用的工作方法、应用软件、技术文档、评估模型、评估工具等使用情况、知识产权等)*.*服务经验与市场评价(服务提供商主要的服务行业、主营业务、服务客户)(类似的服务项目经验及项目合同证明材料)五、服务提供商的网络和信息安全保障能力(该项评估内容用于非驻场信息科技外包)(描述内容可包括网络与信息安全管理体系建设情况、网络与信息安全技术防护体系建设情况、安全事件响应和恢复能力、实践经验等)
