OTA相对于电商来说一个低频的消费形态，但是用户的个人信息、订单、开房记录、出行信息却是比传统电商更加敏感的数据。所以OTA行业中信息安全管理是个非常有行业特点的话题，如此重要的数据会在很长很复杂的生态链条证流转，安全边界就异常模糊，又很难通过频繁的行为去判断风险，因为用户的消费频率普遍都很低。

此次分享会从两个事件来展开：

事件1：用户消费后立刻会收到诈骗信息

复杂的营销和供应链条，是这个风险可能发生在任何一个环节，所以我们的数据安全管理体系主要划分了4个大的场景，分别治理：

第一， 线上生产系统场景

不仅需要传统的防护方案，如WAF，IDS，我们还与腾讯合作分享安全情报，识别用户行为，判别哪些人可能被入侵或者盗号，并进行及时的处理

第二， 大数据场景

数据化时代，数据的消费和使用日益频繁，结合在线计算，加密脱敏，水印多种技术，做到数据的存储安全和使用安全

第三， 生态安全场景

生态链条中的安全，也是重要的一环。保证生态安全需要在审计，链路，端点上进行全方位的布控

第四， 员工安全

OTA行业员工办公也会比较分散，门店，客服分散在各地，这些末节端点的风险就暴露出来了。我们使用零信任思想，对每个终端进行了数据安全域隔离，保证内网数据不会扩散出去。

事件2：因违反国家法规，APP惨遭下架

个人隐私保护目前在国际和国内都是个越来越被关注的话题。个人信息保护不仅是国家的要求也是企业的社会责任。

我们在研究了国家法规标准后制定了一套落地的实施方案：

第一，用户权益保护

这里通过隐私政策告知了用户收集数据的情况，保护用户知情权。用户的明确授权，撤销，注销，删除等权利也通过不同方式得到了保障。

第二，企业数据保护

我们建立了一整套数据保护体系，从数据使用，存储，传输，共享，销毁等各个方面对数据进行了严格的管控。