“借款方到期能否还款？”“平台会不会跑路？”……一提到P2P平台的安全，公众往往想到的都是这些问题，却较少考虑到平台的系统安全，如网络身份认证、数据存储、信息技术风险等。

　　2016年8月24日，银监会、工业和信息化部、公安部、国家互联网信息办公室四部委联合发布《网络借贷信息中介机构业务活动管理暂行办法》。到了10月中旬，国务院办公厅公布了《互联网金融风险专项整治工作实施方案》。从这些条文细则来看，监管层对P2P的管理核心还是放在“安全”二字之上，逐步变得正规、合法将成为P2P平台的唯一出路。

　　那么，在监管细则风暴落地后的现在，P2P平台应在哪些方面有所加强，做好系统安全课？

　　一、身份认证与数字签名

　　目前，数字身份认证和数字签名在P2P行业已经获得了一定的普及，比较正规的P2P平台都已经或规划建设身份认证和数字签名系统，也就是通过搭建RA（数字证书注册审批系统）来获得CA（数字证书认证中心）的数字证书颁发权，为平台的用户颁发数字证书，同时再将数字证书与电子印章软件相结合，实现电子合同的数字签名。

　　以宜人贷为例，宜人贷的电子签名是与天威诚信数字认证中心合作，取得了中国金融认证中心（CFCA）电子签名认证。与很多平台仅实现投资端用户交易合同的电子签名不同，宜人贷是面向借款、出借两端用户实施电子签名。

　　据宜人贷相关负责人介绍，CFCA认证的电子签名在数据传输中是加密的，保证数据交换的完整性，是无法被篡改、伪造的，与纸质合同有同样的法律效力，而且客户可对签章真伪进行检验。

　　在未来，P2P的业务将更多地偏向普惠金融、消费金融，也就意味着要面向数量更多也更为大众的借款人，承担更多身份核实、资信评估的任务。所以单一的数字认证方式已难以满足需求，有必要像宜人贷这样借助多因素认证、统一身份认证平台等强认证模式来确保用户身份的真实性。

　　二、数据的合法使用及存管

　　为了履行反洗钱义务，P2P需要加强可疑的客户身份、交易记录的识别能力，应当加强与拥有金融信用信息大数据的第三方机构的合作。通过具有行政机关授权的通道验证用户提交资料的真实性，通过第三方机构依法查询和使用各类征信数据，对用户画像进行准确评估，通过公共权力机关发布的失信、诈骗、涉嫌诈骗等数据规避高风险用户。

　　在数据存管方面，考虑到部分P2P平台的存活年限较短及数据灾备体系的极不完善，P2P可委托专业在线合同平台将合同存储5年或以上，合同以外的交易记录则可由证据存管系统代为存储。

　　由于存管对技术门槛、综合实力等要求较高，业内实现存管的平台并不多。以近期上线存管系统并采用直接存管模式的民贷天下为例，其依托的浙商银行资金存管系统，是按照法律法规要求，并通过全程电子化的系统对接方式提供存管服务，其特点是客户资金和网贷平台自有资金分账管理，有利于规避资金池。

　　而且在目前，安全级别比较高的灾备方法也是民贷天下正在采用的方法——“两地三中心”，即生产数据中心、同城灾备中心、异地灾备中心。经过前期投入建设，民贷天下已通过阿里的金融云服务平台，形成了广州资金存管生产中心、杭州主机房中心、北京灾备中心的三地协同发展的异地灾备系统，一旦本地发生灾难，可以快速恢复数据和应用，从而避免因灾难给用户带来损失。

　　根据民贷天下相关技术负责人表示，为了保证异地灾备能力，民贷天下还会不定期进行异地灾备系统的实战切换演练，并且逐步提高演练的难度，积累出更加成熟有效的切换管理经验。

　　三、信息系统风控与认证

　　随着互联网金融平台的监管和发展逐渐规范化，P2P平台的信息系统安全也受到更多重视。8月出台的《网络借贷信息中介机构业务活动管理暂行办法》中规定，网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试。

　　真融宝在今年8月份就凭借矩阵化的风险管理体系和领先的技术优势，通过信息安全共性技术国家工程研究中心的全面检测，通过国家公安部监制信息安全等级保护三级安全备案，成为业内为数不多的获得第三级认证的互联网金融综合服务平台之一（目前仅有宜人贷、民贷天下、小牛在线等平台），这也从侧面印证了真融宝的安全管控水平。

　　国家信息系统安全保护等级最高五级。国有四大行的一二级分行（省行、市行）一般也是第三级认证，只有总行做到了四级。而当前第三方支付企业、网贷平台等互联网金融机构多数通过的是第二级认证，且非银机构的最高级认证就是第三级认证。

　　互联网金融平台主动进行备案和测评，一方面出于其对网站系统安全的自信;另一方面，也是主动向银行的标准看齐。通过备案测评，一是及时发现系统存在的安全隐患;二是根据测评机构指出的问题和整改建议，对系统薄弱环节进行加固，完善内控管理制度;三是进一步增强系统对满足业务连续性、数据完整性要求的支持;四是为各应用机构提供更安全放心的共享系统。