银联卡收单第三方服务机构注册登记及认证指南
附件十
第三方机构接入安全的符合性自评估表
序号 安全要求 实际控制情况 是 1、机房安全 (本要求适用于第三方机构放置涉及银联卡交易的网络设备和系统设备的机房,涉及银联卡交易既包括直接传输或处理银联卡交易,也包括为银联卡交易提供支持服务。) (1) 应按国家标准《电子计算机场地通用规范》(GB 2887-2000)和《计算机场地安全要求》GB 9361-2000的相关规定,采用消防、空调、防潮、防静电、防雷击、供电安全等措施。 (2) 应建立并实行出入安全管理制度,采用专人值守或电子门禁方式,对人员进出机房情况进行日常监控。 (3) 应建立值班制度,配备值班人员,对机房内各类设备运行情况进行日常监控,并处置突发事件。 (4) 非授权工作人员或来访人员因工作需要需进入机房,必须经过申请、审批和登记,并由授权人员授权专人全程陪同。 (5) (6) 电子设备或存储介质进出机房,须经审批并登记。 机房需合理配置供电系统,提供足够的、持续的电源供给。如配备双回路供电系统(来自于不同的变电站),可持续供电时间不低于3小时的UPS,或发电机。 2、网络安全 2.1 通讯方式 (本要求适用于第三方机构与银联网络之间的连接,即第三方机构系统平台、终端与银联网络之间的连接,也适用于第三方机构内部涉及银联卡交易的连接,如终端与其系统平台,不同地点系统平台之间的连接。) 否 不适用 如本项为“否”或“不适用” 请说明原因 1
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (1) 应使用接入方式:专线(主要有ADSL、 SDH、帧中继、DDN、ATM 、电话拨号等)、基于专网的MPLS(接入方式的定义见附件1:《各类现有的接入方式》)。 (2) 使用基于MPLS(Internet)的IPSEC/SSL、基于Internet的MPLS、应充分考虑、接受相关风险,并遵循相关安全要求(附件2)。 (3) 使用基于Internet的IPSEC/SSL,须充分考虑、接受相关风险、遵循相关安全要求。第三方系统终端和平台使用基于Internet的IPSEC/SSL接入银联网络时,须接入到银联总公司。 (4) (5) 禁止接入方式:Internet。 终端与中国银联(或第三方机构系统平台)之间的通讯,如需先经过商户的网络或系统,第三方机构应对敏感信息(主要有磁道信息、卡片验证码、个人标识代码及卡片有效期)加密或督促商户采取安全措施,确保银联卡账户敏感信息不被泄漏。 (6) 终端采用GPRS/CDMA方式接入银联网络(或第三方机构系统平台)时需对敏感信息加密。 2.2 生产网络安全 (本要求适用于第三方机构涉及银联卡交易信息的网络(以下简称为生产网络),其包括直接传输或处理银联卡交易的系统和为银联卡交易提供支持服务的系统,但不包括终端。) (1) 第三方机构与银联网络直接连接的,传输或处理银联卡交易信息的网络(以下简称为生产网络)应与不涉及银联卡交易信息的网络(如办公网络)必须做到逻辑隔离。 (2) 第三方机构应对互联网接入本单位生产网络严格审批,如因业务需要必须接入,须在互联网接入处布放防火墙和入侵检测(防御)设备。 (3) 应建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流程,路由配置和防火墙策略在每次变更后须及时归档须归档。
2
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (4) 定期对路由配置和防火墙策略进行检查,对路由器和防火墙的事件日志、入侵检测(防御)设备的告警事件进行分析和处理。 (5) 对登录网络及网络安全设备的用户进行身份鉴别,严格控制可以修改网络及网络安全设备配置的账号。 (6) 及时进行网络及网络安全设备的补丁安装和版本升级,及时更新入侵检测(防御)系统的防护知识库。 (7) 如果有拨号访问网络方式,要对拨号用户严格访问控制,每个用户须设置不同口令,口令不得少于8位,并应定期修改;不允许外部公司拨号或其他方式的远程维护连接。 (8) 定期或在网络发生重大变更后,对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描,对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查,并确认没有生产网络用户私自连接到外部网络,外部访问不能非授权进入生产网络。 (9) 应在网络边界处布防入侵检测(防御)设备,监视可能的攻击行为,记录入侵事件的发生,并报警正在发生的入侵事件。 3、受理银联卡的终端设备安全要求 (1) (2) POS类终端应通过中国银联“销售点终端产品认证”。 银联卡受理终端须符合中国银联《PIN输入设备安全评估指南》的要求。(须填写并提供《PIN输入设备安全评估指南》附录表格)。 (3) (4) 终端通过银联指定的检测机构的检测。 终端的软硬件设计须保证只有授权人员才能查询、修改存储在终端的敏感参数和数据,非授权人员不能通过物理或逻辑的攻击来获取或修改敏感参数和数据。 3
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (5) 终端程序及其升级版本须经第三方机构或中国银联测试,必要时须经银联指定的检测机构的检测。 (6) 终端安装维护人员与终端程序开发人员要职责分离,终端维护每次都应留下书面记录。 (7) 终端应被监控和定期巡查,须重点检查终端读卡器、键盘等重要部件,及时发现并防范终端遭非法改装、移机和偷窃等。 4、主机系统安全 (本要求适用于第三方机构涉及银联卡交易的主机系统,包括直接传输或处理银联卡交易的主机系统和在第三方机构生产网络内,为银联卡交易提供支持服务的主机系统。) (1) 根据“知所必需”原则,严格进行对软件和系统的访问控制,禁用不必要的缺省账户。定期对用户访问文件、目录、数据库等权限进行检查,加强用户管理。剔除不需用户,防止用户权限过大。 (2) 参考国际通行的相关安全规范要求,制订用户口令密码使用、管理和更新制度和措施。加强系统身份认证等关键数据传输加密,防止口令泄露。 (3) 遵照行业认可的系统加固标准,对系统进行安全加固。如禁用所有不必要的、不安全的服务、协议和应用程序;设定系统安全参数以防止误用/滥用,删除默认设置;严禁下载或使用免费软件或共享软件;移除系统或应用程序中不必要、不安全的功能等。 (4) 在软件补丁安装以前,须在测试系统中进行严格测试,确保测试通过后再进行安装。 (5) 制定软件补丁管理制度和流程,对所有生产系统安装必须的操作系统和应用系统补丁。 (6) 厂商定期维护活动需进行审批并记录,维护人员进出需专人陪同并记录相关操作。 4
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (7) 对服务器和终端设备应安装恶意代码(主要是病毒和木马)防护系统,对恶意代码(主要是病毒和木马)进行检测和清除。 (8) 开启必要的审计接口,定期分析并处理系统内重要的安全相关事件,包括重要用户行为、系统资源的异常使用和重要系统命令的使用。 (9) 应进行主机运行监控,监控主机的CPU、 硬盘、内存、网络等资源的使用情况,监控特定进程(主要的系统进程)的状态,限制对重要账户的添加和更改。 5、应用系统安全 (本要求适用于第三方机构涉及银联卡交易的应用系统,包括直接传输或处理银联卡交易的应用系统和在第三方机构生产网络内,为银联卡交易提供支持服务的应用系统。) (1) 应用系统用户应进行用户身份鉴别,并须根据“知所必需”原则,严格进行访问控制。 (2) 须建立口令管理规则,设定各类口令长度(不得小于6位)、复杂度(必须包含数字和字符)、修改周期(不得长于3个月)、不可明文传输、应加密存储等要求。 (3) 应根据安全策略控制用户对客体的访问,实现最小授权原则,分别授予不同用户各自完成自己承担任务所需的最小权限,实现应用系统用户的权限分离。 (4) 应用系统设计中应留有审计接口,以便进行系统事件审计,如重要用户行为、重要系统功能的执行、不成功的鉴别尝试等。 (5) (6) 审计日志应受到保护,仅接受授权用户的访问,审计日志需至少保存三个月。 按安全规范编写代码,如在关键应用系统开发中,不能在程序中写入固定的口令。应在关键应用系统上线前,对程序代码进行代码复审,识别可能的恶意代码和可能的安全漏洞,如缓冲区溢出漏洞等。 5