导图社区 非银行支付机构支付业务设施技术要求
- 31
- 0
- 0
- 举报
非银行支付机构支付业务设施技术要求
非银行支付机构支付业务设施技术要求第十章网络安全性要求,包含网络安全性要求、业务连续性要求、主机安全性要求、运维安全性要求、数据安全性要求、应用安全性要求等详细知识点。
编辑于2024-11-08 13:41:12
- 相似推荐
- 大纲
非银行支付机构支付业务设施技术要求
10.2 网络安全性要求
10.2.1 结构安全
10.2.1.1 网络冗余和备份
应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。 应保证网络各个部分的带宽满足业务高峰期需要。
增强要求:
应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要 主机。
10.2.1.2 网络安全路由
应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径。
10.2.1.3 网络安全防火墙
应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠 的技术隔离手段。
应具备完整清晰的物理边界。
10.2.1.4 网络拓扑结构
应绘制与当前运行情况相符的网络拓扑结构图。
10.2.1.5 IP 子网划分
应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的网络区域,并按照 方便管理和控制的原则为各网络区域分配地址。
10.2.2 网络访问控制
10.2.2.1 网络域安全隔离和限制
应在网络边界和区域之间,根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接 口拒绝所有通信。
10.2.2.2 内容过滤
应在关键网络节点处对进出网络的信息内容进行过滤,实现对内容的访问控制。
10.2.2.3 访问控制
应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。
应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。
10.2.2.4 会话控制
应在会话处于非活跃状态一定时间后或会话结束后终止网络连接。
10.2.2.5 远程访问控制
应通过技术手段控制管理用户对服务器进行远程访问,如使用VPN等技术。
10.2.3 网络安全审计
10.2.3.1 日志信息
应对网络系统中的网络设备运行状况、网络流量、用户行为和重要安全事件等进行日志记录。 应确保记录的留存时间符合法律法规要求。
10.2.3.2 日志权限和保护
应对日志记录进行保护,避免受到未预期的删除、修改或覆盖等。
10.2.3.3 审计工具
宜具备日志审计工具,提供对日志记录数据进行统计、查询、分析及生成审计报表的功能。
10.2.3.4 网络对象审计
应在网络边界、重要网络节点进行安全审计,审计范围应覆盖每个用户。
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相 关事件。
应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
审计记录应至少包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 应确保审计记录的留存时间符合法律法规要求。
宜保护审计进程,避免受到未预期的中断。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 增强要求:
应根据系统统一安全策略,实现集中审计。
应保护审计进程,避免受到未预期的中断。
10.2.4 边界完整性检查
应保证跨越边界的访问和数据流通过边界防护设备提供的受控接口进行通信。 应定期检查违反规定无线上网及其他违反网络安全策略的行为。
应能对非授权设备私自连接到内部网络的行为进行检查,并对其进行有效阻断。
应能对内部网络用户私自连接到外部网络的行为进行检查,并对其进行有效阻断。 应限制无线网络的使用,确保无线网络通过受控的边界防护设备接入内部网络。
增强要求:
对非法外联和非法接入行为进行检测并阻断的同时,应以报警方式通知管理员。
10.2.5 网络入侵防范
应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 应在关键网络节点处检测和限制从内部发起的网络攻击行为。
应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击的检测和分析。
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应 报警。
增强要求:
应在系统网络中监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区 溢出攻击、IP碎片攻击和网络蠕虫攻击等。
当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应 报警并自动采取相应措施。
10.2.6 恶意代码防范
10.2.6.1 恶意代码防范措施
应在关键网络节点处对恶意代码进行检测和清除。
10.2.6.2 定时更新
应定时更新升级恶意代码库及检测系统。
10.2.7 网络设备防护
10.2.7.1 设备登录设置
应对登录网络设备的用户进行身份鉴别。
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和网络登录连接超时自动退 出等措施。
主要网络设备宜采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至 少应使用动态口令、密码技术或生物技术来实现。
增强要求:
主要网络设备应采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至 少应使用动态口令、密码技术或生物技术来实现。
10.2.7.2 设备登录口令安全性
身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
10.2.7.3 登录地址限制
应对登录网络设备的源地址进行限制。
10.2.7.4 远程管理安全
当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
10.2.7.5 设备用户设置
网络设备用户的标识应唯一,及时删除或停用多余的、过期的账户,避免共享账户的存在。 应重命名或删除默认账户,修改默认账户的默认口令。
10.2.7.6 权限分离
应实现设备特权用户的权限分离。
10.2.7.7 最小化服务
应实现设备的最小服务配置,并对配置文件进行定期离线备份。
10.2.8 网络安全管理
10.2.8.1 定期补丁安装
应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份。
10.2.8.2 漏洞扫描
应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞及时进行修补。
10.3 主机安全性要求
10.3.1 身份鉴别
10.3.1.1 系统与应用管理员用户设置
应对登录的管理用户进行身份标识和鉴别。
应为不同管理用户分配不同的用户名,确保用户名具有唯一性。
宜采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 增强要求:
应设置鉴别警示信息,描述未授权访问可能导致的后果。
应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,且其中至少一种鉴别技术应使用 动态口令、密码技术或生物技术来实现。
10.3.1.2 系统与应用管理员口令安全性
管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换。
10.3.1.3 登录策略
应提供登录失败处理功能,应采取结束会话、限制非法登录次数和登录连接超时自动退出等措施。
10.3.2 访问控制
10.3.2.1 访问控制范围
应启用访问控制功能,依据安全策略控制用户对资源的访问。
应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。 应实现不同特权用户的权限分离。
应能建立一条安全的信息传输路径,对设备进行管理。 10.3.2.2 主机信任关系
应避免不必要的主机信任关系。
10.3.2.3 默认过期账户
应及时删除多余的、过期的账户,避免共享账户的存在。
应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令。
10.3.3 安全审计
10.3.3.1 日志信息
应对用户行为、系统资源的异常使用和重要系统命令的使用等进行日志记录。 应确保日志记录的留存时间符合法律法规要求。
10.3.3.2 日志权限和保护
应保护日志记录,避免受到未预期的删除、修改或覆盖等。 10.3.3.3 审计工具
宜具备日志审计工具,提供对日志记录数据进行统计、查询、分析及生成审计报表的功能。
10.3.3.4 主机对象审计
审计范围应覆盖到服务器和重要客户端上的每个用户。
审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相 关事件。
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
应确保审计记录的留存时间符合法律法规要求。 应能根据记录数据进行分析,并生成审计报表。
应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。 宜保护审计进程,避免受到未预期的中断。
增强要求:
应能根据信息系统的统一安全策略,实现集中审计。 应保护审计进程,避免受到未预期的中断。
10.3.4 系统保护
10.3.4.1 系统备份
应具有系统备份或系统重要文件备份。
10.3.4.2 磁盘空间安全
应对主机磁盘空间进行合理规划,确保磁盘空间使用安全。 10.3.4.3 主机安全加固
应对主机进行安全加固。
10.3.5 入侵防范
10.3.5.1 入侵防范记录
应能检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击类型、攻击目的、攻击时间, 并在发生严重入侵事件时报警。
宜能对重要程序的完整性进行检测,并在检测到完整性受到破坏后,采取恢复的措施。 增强要求:
应能对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破 坏时采取恢复措施。
10.3.5.2 关闭服务和端口
应关闭系统不必要的服务和端口。
10.3.5.3 最小安装原则
应遵循最小安装的原则,仅安装需要的组件和应用程序。
10.3.6 恶意代码防范
10.3.6.1 防范软件安装部署
应至少在生产系统的服务器中安装防恶意代码软件。
10.3.6.2 病毒库定时更新
应及时更新防恶意代码软件版本和恶意代码库。
10.3.6.3 防范软件统一管理
宜支持防范软件的统一管理。
10.3.7 连接控制
应通过设定终端接入方式、网络地址范围等条件限制终端登录。
10.3.8 主机安全管理
10.3.8.1 漏洞扫描
应定期进行漏洞扫描,对发现的系统安全漏洞及时进行修补。
10.3.8.2 系统补丁
应具有主机系统补丁安装方案或制度,并根据方案或制度及时更新系统补丁。在安装系统补丁前, 应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装。
10.3.8.3 系统操作管理
应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数 的设置和修改等内容,不应进行未经授权的操作。
10.4 应用安全性要求
10.4.1 身份鉴别
10.4.1.1 系统与普通用户设置
应提供系统管理员和普通用户的设置功能。
应提供专用的登录控制模块对登录用户进行身份标识和鉴别。 内部管理应用宜采用两种或两种以上的身份鉴别方式。
10.4.1.2 登录口令安全性
系统管理员与普通用户口令应具有一定的复杂度。 应强制用户首次登录时修改初始口令。
宜提示用户定期修改口令。
宜限制系统管理用户的口令有效期。
应对输入的登录口令进行安全保护,防范被窃取。
如系统为内部使用,不对互联网用户提供服务,该项不适用。 短信验证方式不应作为用户登录的唯一验证方式。
10.4.1.3 支付密码安全性
应提供独立的支付密码和健全的密码重置机制。
应严格限制使用初始支付密码并提示客户及时修改,建立支付密码复杂度系统校验机制,避免支付 密码过于简单或与客户个人信息(如出生日期、证件号码、手机号码等)相似度过高。
客户输入支付密码时,客户端不应明文显示。
应在重置支付密码等关键操作时提供多种身份验证方式保障支付安全,并以短信、邮件等方式告知 用户。
10.4.1.4 支付安全策略
支付前应按照《非银行支付机构网络支付业务管理办法》、《条码支付业务规范(试行)》对用户 身份进行鉴别。
身份鉴别可组合选用下列三种要素,对客户支付交易进行验证: ——仅客户本人知悉的要素,如静态密码等;
——仅客户本人持有并特有的,不可复制或者不可重复利用的要素,如经过安全认证的数字证书、
电子签名,以及通过安全渠道生成和传输的一次性密码等; ——客户本人生物特征要素,如指纹等。
用户身份鉴别信息丢失或失效时,应采用鉴别信息重置或其他技术措施保证系统安全。
使用数字证书、电子签名作为身份鉴别要素的,应优先使用SM系列算法,并符合GM/T 0054—2018 的相关规定,具体算法定义见GB/T 32918、GB/T 32905、GB/T 32907(下同)。
应采用技术手段对私钥信息进行保护。 10.4.1.5 非法访问控制策略
应提供登录失败处理功能,应采取结束会话、限制非法登录次数和登录连接超时自动退出等措施, 并根据安全策略配置相关参数。
应对非法访问进行警示和记录。
10.4.1.6 身份标识唯一性
应提供用户身份标识唯一性检查功能,保证应用系统中不存在重复用户身份标识。
10.4.1.7 及时清除鉴别信息
会话结束后应及时清除客户端鉴别信息。
10.4.2 WEB 应用安全
10.4.2.1 登录防穷举
应提供登录防穷举的措施,如图片验证码等。
如系统为内部使用,不对互联网用户提供服务,该项不适用。
10.4.2.2 网站页面注入防范
应采取防范SQL注入、Path注入和LDAP注入等风险的措施。
10.4.2.3 网站页面跨站脚本攻击防范
应采取防范跨站脚本攻击风险的措施。
10.4.2.4 网站页面源代码暴露防范
应采取防范源代码暴露的措施。
10.4.2.5 网站页面黑客挂马防范
应采取防范网站页面黑客挂马的机制和措施。
如系统为内部使用,不对互联网用户提供服务,该项不适用。
10.4.2.6 网站页面防篡改措施
宜采取网站页面防篡改措施。
如系统为内部使用,不对互联网用户提供服务,该项不适用。
10.4.2.7 网站页面防钓鱼
宜提供防钓鱼的防伪信息验证。
如系统为内部使用,不对互联网用户提供服务,该项不适用。
10.4.2.8 漏洞扫描
应定期进行漏洞扫描,对发现的WEB应用、中间件等安全漏洞及时进行修补。
10.4.3 访问控制
10.4.3.1 访问权限设置
应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。
应由授权主体配置访问控制策略,并严格限制默认账户的访问权限。
应授予不同用户为完成各自承担任务所需的最小权限,并在权限之间形成互相制约的关系。 应及时删除或停用多余、过期的账户,避免共享账户的存在。
10.4.3.2 自主访问控制范围
访问控制的覆盖范围应包括与资源访问相关的主体、客体及主体客体之间的操作。
10.4.3.3 业务操作日志
应具有所有业务操作日志。
10.4.3.4 关键数据操作控制
应严格控制用户对关键数据的操作。
关键数据包括敏感数据、重要业务数据、系统管理数据等。
10.4.4 安全审计
10.4.4.1 日志信息
应对业务系统和管理系统的用户行为、支付标记化行为、系统资源的异常使用和重要系统命令的使 用等进行日志记录。
如使用支付标记化技术, 日志应可查询支付标记化行为。
10.4.4.2 日志权限和保护
应对日志记录进行保护,避免受到未预期的删除、修改或覆盖等。 宜保证无法单独中断日志进程。
10.4.4.3 审计工具
宜具备日志审计工具,提供对日志记录数据进行统计、查询、分析及生成审计报表的功能。
10.4.4.4 应用操作审计
应提供覆盖到应用系统每个用户的安全审计功能。
审计内容应包括用户重要行为和异常行为等系统内重要的安全相关事件。
审计记录应至少包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 宜保护审计进程,避免受到未预期的中断。
增强要求:
应根据系统的统一安全策略,实现集中审计。 应保护审计进程,避免受到未预期的中断。
10.4.5 剩余信息保护
应对无用的过期信息、文档进行完整删除。 增强要求:
在存有鉴别信息的存储空间被释放或重新分配之前,应保证鉴别信息得到完整清除。 在存有敏感数据的存储空间被释放或重新分配之前,应保证敏感数据得到完整清除。
10.4.6 资源控制
10.4.6.1 连接控制
宜能根据业务需求,对系统的最大并发会话连接数进行限制。 宜能对一个时间段内可能的并发会话连接数进行限制。
10.4.6.2 会话控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。 应能对单个账户的多重并发会话进行限制。
会话标识应唯一、随机、不可猜测。
会话过程中应维持登录认证状态,防止未授权访问。 应用审计日志宜记录暴力破解会话令牌的事件。
10.4.6.3 进程资源分配
应提供服务优先级设定功能,并在安装后根据安全策略设定访问用户或请求进程的优先级,根据优 先级分配系统资源。
10.4.7 应用容错
10.4.7.1 数据有效性校验
应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式及长度符合系 统设定要求。
10.4.7.2 容错机制
应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。 增强要求:
应提供自动恢复功能,当故障发生时恢复原来的工作状态,如自动启动新的进程。
10.4.8 抗抵赖
10.4.8.1 原发和接收证据
增强要求:
应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。 应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
应对数据原发行为和数据接收行为进行数字签名,数字签名应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.4.8.2 时间同步机制
系统时间应由系统范围内唯一确定的时钟产生,本地时间宜从国家权威时间源采时,保证时间的同 一性。
增强要求:
本地时间应从国家权威时间源采时,保证时间的同一性。
应采用可信时间戳服务,优先采用SM系列算法,并符合GM/T 0054—2018的相关规定。 应安全保存时间戳及相关信息,确保数据的可审计性,实现系统数据处理的抗抵赖性。
10.4.9 编码安全
10.4.9.1 源代码审查
应对源代码进行安全性审查,提供源代码审查报告。 增强要求:
应通过自动化工具(如弱点扫描工具、静态代码审查工具等)对应用程序进行检查。
10.4.9.2 插件安全性审查
应对插件进行安全性审查,提供插件审查报告。
10.4.9.3 编码规范约束
应具有编码规范约束制度,按照编码规范进行编码。
10.4.9.4 源代码管理
应具有源代码管理制度,具有源代码管理记录。在每次源代码变更时,需填写变更备注信息。
10.4.10 电子认证应用
10.4.10.1 数字证书
在外部业务处理过程中,应使用第三方电子认证服务生成的数字证书或经国家有关管理部门许可的 电子认证服务生成的数字证书。
在内部业务(仅涉及本机构内人员或设备的业务)处理过程中,可使用自建的电子认证服务生成的 数字证书。
电子认证应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.4.10.2 电子认证
应使用有效的电子认证。在外部关键业务处理过程中(包含但不限于支付、转账等),应使用经过 国家有关管理部门许可的电子认证服务。
电子认证应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.4.10.3 电子认证证书私钥保护
应对所持有的电子认证证书私钥进行有效保护。
10.4.11 脱机数据认证
10.4.11.1 密钥和证书
应符合JR/T 0025.7—2018中5.2的规定,生成符合业务要求的密钥和证书。 适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.11.2 数据认证
脱机交易应采用静态数据认证、动态数据认证或复合动态数据认证的方式。 适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.12 应用密文和发卡机构认证
10.4.12.1 应用密文产生
应符合JR/T 0025.7—2018中6.2的规定,生成符合业务要求的应用密文。 适用于移动电话支付和预付卡发行与受理业务。
10.4.12.2 发卡机构认证
发卡机构认证过程应符合JR/T 0025.7—2018中6.3的规定。 适用于移动电话支付和预付卡发行与受理业务。
10.4.12.3 密钥管理
密钥管理应符合JR/T 0025.7—2018中6.4的规定。 适用于移动电话支付和预付卡发行与受理业务。
10.4.13 安全报文
10.4.13.1 报文格式
报文格式应符合JR/T 0025.7—2018中7.2的规定。
适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.13.2 报文完整性验证
应对报文完整性进行验证。
适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.13.3 报文私密性
应保证报文私密性。
适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.13.4 密钥管理
应对密钥进行安全管理。
适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.14 卡片安全
10.4.14.1 共存应用
如支持多应用,应保证多应用安全共存。
适用于移动电话支付和预付卡发行与受理业务。
10.4.14.2 密钥的独立性
应符合JR/T 0025.7—2018中8.2的规定,保证密钥的独立性。 适用于移动电话支付和预付卡发行与受理业务。
10.4.14.3 卡片内部安全体系
应符合JR/T 0025.7—2018中8.3的规定,建立卡片内部安全体系。 适用于移动电话支付和预付卡发行与受理业务。
10.4.14.4 卡片中密钥的种类
应符合JR/T 0025.7—2018中8.4的规定,对卡片中不同应用密钥进行分类。 适用于移动电话支付和预付卡发行与受理业务。
10.4.15 终端安全
10.4.15.1 终端数据安全性要求
应符合JR/T 0025.7—2018中9.1的规定。
适用于移动电话支付、预付卡发行与受理和银行卡收单业务。
10.4.15.2 终端设备安全性要求
应符合国家相关标准的规定,并提供金融行业检测机构出具的安全检测报告。
数字电视支付中使用的机顶盒应经过第三方测试机构安全检测。机顶盒和相关IC卡应能防范通过物 理攻击的手段获取设备内的敏感信息。
10.4.15.3 终端密钥管理要求
应符合国家相关标准的规定,并提供金融行业检测机构出具的安全检测报告。
10.4.16 密钥管理体系
10.4.16.1 认证中心公钥管理
应对认证中心下发的公钥进行有效的管理和控制。 适用于预付卡发行与受理业务。
10.4.16.2 发卡机构公钥管理
应对发卡机构公钥进行有效的管理和控制。 适用于预付卡发行与受理业务。
10.4.16.3 发卡机构对称密钥管理
应对发卡机构对称密钥进行有效的管理和控制。 适用于预付卡发行与受理业务。
10.4.17 条码支付
10.4.17.1 条码生成
应使用支付标记化技术对支付账号等信息进行脱敏处理。 应防止生成的条码携带病毒、木马等恶意代码。
应根据风控能力,严格设置条码及条码生成因子的使用有效期。
10.4.17.2 收款扫码的条码生成
展示条码的客户端应先进行身份验证,条码应限制一次使用。
应采用加密方式生成条码,应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
对于服务器端生成、由移动终端批量获取的条码生成方式,后台服务器应对客户端软件进行有效识 别,保存的条码应与移动终端的唯一标识信息绑定,防止受到未授权的访问。应优先使用SM系列算法对 客户端软件进行有效识别,并符合GM/T 0054—2018的相关规定。
对于通过生成因子加密动态生成条码的方式,移动终端客户端软件应从后台服务器获取条码生成因 子,条码生成因子应与移动终端的唯一标识信息绑定,防止生成因子受到未授权的访问。
10.4.17.3 付款扫码的条码生成
采用显码设备展示条码时,条码应加密、动态生成,宜实时加密生成或从后台服务器获取,并具有 展示周期。
采用静态条码时,条码应由后台服务器加密生成。
应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.4.17.4 条码码制
条码应使用符合国家标准的码制。
10.4.17.5 条码识读与解析
条码识读设备应保证识读结果的保密性,避免条码信息泄露。
应对条码的完整性、真实性进行校验,校验应优先使用SM系列算法,并符合GM/T 0054—2018的相 关规定。
应防范病毒、木马等恶意代码,保障交易的安全性。
10.4.17.6 条码内容安全
应对条码中包含的网址等信息进行校验,对非法地址进行拦截。
10.4.17.7 交易确认
采用付款扫码支付方式时,应在移动终端展现交易信息,并在界面的显著位置展示收款人信息,由 付款人发起支付指令,交易信息应至少包含收款人名称、金额。
采用收款扫码支付方式时,应在商户端展现交易信息,但不应包含付款人支付敏感信息。如在移动 终端进行身份验证,应在移动终端上展现交易信息。
10.4.17.8 条码交易防重放
应防范交易报文重放攻击。
10.4.17.9 条码支付移动客户端安全
当客户端检测到移动终端交易出现异常时宜向用户提示出错信息。
客户端软件程序配置文件被篡改后,应采取相应的安全检测和预警措施。
客户端软件宜采取反逆向工程保护措施。
宜具有条码支付移动客户端软件认证证书。
10.5 数据安全性要求
10.5.1 数据保护
10.5.1.1 敏感信息安全管理制度
应制定敏感信息安全管理制度,明确支付敏感信息保护的相关要求,严禁从业人员非法存储、窃取、 泄露、买卖支付敏感信息。
应明确规定严禁留存非本机构的支付敏感信息(包括银行卡磁道或芯片信息、卡片验证码、卡片有 效期、银行卡密码、网络支付交易密码等),确有必要留存的应取得客户本人及账户管理机构的授权。
增强要求:
应制定支付标记化安全管理制度,明确TR不得留存账户敏感信息。TR存储Token时,应对Token实施 有效的安全保护。
10.5.1.2 敏感信息安全审计
每年应至少开展两次支付敏感信息安全的内部审计,并形成报告存档备查。
10.5.1.3 信息保存期限
应按规定妥善保管客户身份基本信息,非银行支付机构对客户身份信息的保管期限自业务关系结束 当年起至少保存5年。
应按规定妥善保管支付业务信息,非银行支付机构对支付业务信息的保管期限自业务关系结束当年 起至少保存5年。
10.5.2 数据完整性
10.5.2.1 重要数据更改机制
应制定重要数据更改流程和管理制度。
10.5.2.2 保障传输过程中的数据完整性
应能检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完 整性错误时采取必要的恢复措施。
完整性校验应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.5.3 交易数据以及客户数据的安全性
10.5.3.1 数据物理存储安全
应具备高可靠性的数据物理存储环境。
10.5.3.2 客户身份认证信息存储安全
应明确规定严禁保存非必需的客户身份认证信息(如银行卡磁道信息或芯片信息、卡片验证码、银 行卡交易密码、指纹、CVN、CVN2、非本机构的网络支付交易密码等敏感信息)。
应对客户的其他敏感信息,如口令、身份证号、卡号、手机号、经授权的贷记卡有效期、电子邮箱、 身份证影印件等信息,采取加密等保护措施,显示时应进行屏蔽处理,防止未经授权擅自对个人信息进 行查看、篡改和泄露。
数据加密应优先使用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.5.3.3 个人信息保护
应仅采集和保存业务必需的用户个人信息。 应仅允许授权的访问和使用用户个人信息。
应在修改个人信息等关键操作时提供多种身份验证方式保障个人信息安全,并以短信、邮件等方式告知用户。
10.5.3.4 同一安全级别和可信赖的系统之间信息传输
应保证某一安全级别的系统只能向同级别或更高级别可信赖的系统传输数据。
10.5.3.5 加密传输
应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。 数据加密传输应优先采用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.5.3.6 加密存储
应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。 数据加密存储应优先采用SM系列算法,并符合GM/T 0054—2018的相关规定。
10.5.3.7 数据访问控制
应采取重要数据的访问控制措施。
10.5.3.8 在线的存储备份
应具备实时在线的存储备份设施。
10.5.3.9 数据备份机制
应根据数据的重要性和数据对系统运行的影响,制定数据的备份和恢复策略,指明备份数据的备份 范围、备份方式(如增量备份或全备份等)、备份频度(如每日或每周等)、存储介质、保存期、放置 场所、文件命名规则、介质替换频率和数据传输方法等。
应具备数据备份记录。
10.5.3.10 本地备份
应提供本地数据备份。
应具备同机房数据备份设施。
10.5.3.11 异地备份
应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。
10.5.3.12 备份数据的恢复
应具有备份数据恢复操作手册。
应定期随机抽取备份数据进行解压、还原,检查其内容有效性。
10.5.3.13 数据销毁
应具有数据销毁制度和相关记录,并实现有效的数据销毁功能。
10.5.3.14 数据使用
开发环境和测试环境应与实际运行环境物理分离。开发环境不应使用生产数据,测试环境使用的生 产数据应进行脱敏处理。
10.6 运维安全性要求
10.6.1 环境管理
10.6.1.1 机房基本设施定期维护
应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理。 应对机房的温度、湿度、防火、防盗、供电、线路、整洁等进行规范化管理。
10.6.1.2 机房的出入管理制度化和文档化
应指定部门负责机房安全,并配备机房安全管理人员,对机房的出入、服务器的开机和关机等工作 进行管理。
10.6.1.3 办公环境的保密性措施
应加强对办公环境的保密性管理,规范办公人员行为,包括工作人员调离办公室应立即交还该办公 室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包 含敏感信息的纸质文件等。
10.6.1.4 机房安全管理制度
应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管 理作出规定。
增强要求:
开发、测试和运行设施应分离,以降低未授权访问或改变运行系统的风险。
10.6.1.5 机房进出登记表 应具有机房进出登记表。
10.6.2 介质管理
10.6.2.1 介质的存放环境保护措施
应确保介质存放在安全的环境中,对各类介质进行控制和保护,并实行存放环境专人管理。
10.6.2.2 介质的使用管理文档化
应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定。
10.6.2.3 介质的维修或销毁
应对送出维修以及销毁的介质进行严格的管理,应首先清除介质中的敏感数据,对保密性较高的存 储介质未经批准不得自行销毁。
10.6.2.4 介质管理记录
应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登 记记录,并根据存档介质的目录清单定期盘点。
10.6.2.5 介质的分类与标识
应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对介质进行分类 和标识管理。
10.6.3 设备管理
10.6.3.1 设备管理的责任部门或人员
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员进行管理。
10.6.3.2 设施、设备定期维护
应对信息系统相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维 护。
10.6.3.3 设备管理制度
应建立基于申报、审批和专人负责的设备管理制度,对信息系统的各种软硬件设备的选型、采购、 发放和领用等过程进行规范化管理。
10.6.3.4 设备配置标准化
应建立标准化的设备配置文档。
10.6.3.5 设备的操作规程
应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程 实现设备(包括备份和冗余设备)的启动/停止、加电/断电等操作。
10.6.3.6 设备的操作日志
应具有完整的设备操作日志,至少应包括操作人员、操作时间、操作类型及操作结果等信息。
10.6.3.7 设备标识
应对设备进行分类和标识。
10.6.4 人员管理
10.6.4.1 人员录用
应指定或授权专门的部门或人员负责人员录用。
应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的 技术技能进行考核。
应签署保密协议,保密协议应覆盖人员在职、离职等相关要求。
10.6.4.2 安全管理岗位设置
应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权。
应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各 负责人的职责。
应设立网络管理员、主机管理员、数据库管理员、安全管理员等岗位,并定义部门及各个工作岗位 的职责。
10.6.4.3 安全管理人员配备
应配备一定数量的网络管理员、主机管理员、数据库管理员、安全管理员等。 应配备专职的安全管理人员,不可兼任。
应划分各管理员角色,明确各个角色的权限、责任和风险,权限设定应遵循最小授权原则。
10.6.4.4 人员转岗、离岗
应严格规范人员离岗过程,及时终止离岗员工的所有访问权限。
人员离岗时,应取回其持有的各种身份证件、钥匙、徽章、机构提供的软硬件设备等。 应办理严格的调离手续,关键岗位人员离岗应承诺调离后的保密义务后方可离开。
10.6.4.5 人员考核
应定期对各个岗位的人员进行安全技能及安全认知的考核。
应对关键岗位的人员进行全面、严格的安全审查和技能考核。 应对考核结果进行记录并保存。
10.6.4.6 安全意识教育和培训
应对各类人员进行安全意识教育,对信息安全基础知识、岗位操作规程、岗位技能和相关安全技术 等内容进行培训。
应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩 戒。
应对定期开展安全教育和培训进行书面规定,对不同岗位制定不同的培训计划。 应对安全教育、培训的情况和结果进行记录并归档保存。
10.6.4.7 外部人员访问管理
应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案。 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
10.6.4.8 职责分离
关键岗位人员应职责分离。
应根据职责划分运维人员操作权限。
应明确规定敏感信息管理的相关岗位和人员管理责任,分离不相容岗位并控制信息操作权限,规定 敏感信息操作流程和规范。
10.6.5 文档管理
10.6.5.1 文档编写要求
文档描述应与实际系统相符合。
10.6.5.2 文档版本控制
文档应进行版本控制管理与编号管理。
10.6.5.3 文档格式要求
文档格式应统一规范,易于浏览。
10.6.6 监控管理
10.6.6.1 主要网络设备的各项指标监控情况
应对通信线路、网络设备的运行状况等进行监测和报警,形成记录并妥善保存。
10.6.6.2 主要服务器的各项指标监控情况
应对主机的运行状况、用户行为等进行监测和报警,形成记录并妥善保存。 运行状况应包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。 应能对系统的服务水平降低到预先规定的最小值进行监测和报警。
10.6.6.3 应用运行各项指标监控情况
应对应用软件的运行状况进行监测和报警,形成记录并妥善保存。 应能对系统的服务水平降低到预先规定的最小值进行监测和报警。
10.6.6.4 异常处理机制
应按重要程度进行分级报警,并且重要报警应能以某种方式(短信、邮件等)主动通知相关人员及 时处置。此外,还应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报 告,并采取必要的应对措施。
10.6.6.5 资源监控
增强要求:
资源的使用应加以监控、调整, 并应做出对于未来容量要求的预测,以确保拥有所需的系统性能。
10.6.7 变更管理
10.6.7.1 变更制度化管理
应建立变更管理制度。制定变更控制的申报和审批文件化程序,对变更影响进行分析并文档化。
系统发生变更前,向主管领导申请,变更申请和变更方案应经过评审、审批、测试后方可实施变更, 并在实施后将变更情况向相关人员通告。
变更方案应有变更失败后的回退策略等。 10.6.7.2 变更实施
应记录变更实施过程,并妥善保存所有文档和记录。
10.6.8 安全事件处置
10.6.8.1 安全事件识别、报警和分析
应能对网络和主机中发生的各类安全事件进行识别、报警和分析。 10.6.8.2 安全事件报告和处置
应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告 和后期恢复的管理职责。
应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理 方法等。
10.6.8.3 安全事件的分类和分级
应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系 统计算机安全事件进行等级划分。
10.6.8.4 安全事件记录和采取的措施
应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总 结经验教训,制定防止再次发生的补救措施,上述过程中形成的所有文件和记录均应妥善保存。
对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。
10.6.9 内部审计管理
10.6.9.1 内部审计制度
应制定信息系统安全内部审计制度,规定审计职责、审计内容、审计周期、审计问题处理机制。
应明确规定敏感信息的内部监督机制、安全事件处置机制和安全审计机制,严禁从业人员非法存储、
窃取、泄露、买卖支付敏感信息。
10.6.9.2 内部审计
按制度开展内部审计工作,记录审计内容。
通报审计结果,总结问题,制定整改计划,并进行记录。
宜每年至少进行一次全面系统的第三方安全审计,并作出相应评价报告。
10.7 业务连续性要求
10.7.1 业务连续性需求分析
10.7.1.1 业务中断影响分析
应定期进行业务中断影响分析。
10.7.1.2 灾难恢复时间目标和恢复点目标
应具备灾难恢复时间目标和恢复点目标。系统应支持RPO和RTO的设置。
10.7.2 业务连续性技术环境
10.7.2.1 备份机房
应具备应用级备份机房。
10.7.2.2 关键链路冗余设计
应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障。
应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
主机房互联网接入应具备双链路。
10.7.2.3 高可靠的磁盘存储
应使用高可靠的磁盘存储。
10.7.3 业务连续性管理
10.7.3.1 业务连续性管理制度
应具备业务连续性管理制度。
10.7.3.2 应急响应流程
应具备应急响应流程。
10.7.3.3 应急恢复预案
应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、 应急处理流程、系统恢复流程、事后教育和培训等内容。
应具备不同场景的恢复预案,同时具备应用级恢复预案。
10.7.4 日常维护
10.7.4.1 定期演练
应制定演练计划,根据不同的应急恢复内容,确定演练的周期,至少每年一次。
应每年进行业务连续性演练,包括主备机房的切换演练,并保存演练记录。
应对演练中暴露出的问题进行总结并及时整改。