银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (7) 应保证所有开发,测试或审计中所用的账户,口令在进入生产环境前都已经更改。 (8) 应保证软件开发人员与运维人员的职责分离。生产系统操作由操作员按权限控制要求执行,不允许软件开发人员等其他人员对生产系统的所有实质性操作。 (9) 大容量存储介质在实施外包数据恢复时,应确保数据安全;在更换或废弃时,应对其中数据彻底销毁,确保数据不可恢复。在需要废弃、销毁含重要信息的介质时,应严格报批手续,做好登记,由双人负责实施,在保卫人员的监督下,采用物理破坏盘片的形式予以彻底销毁。 6、托管设备在银联机房的安全要求 (1) (2) 第三方机构应与银联签订设备托管协议,以明确双方的权利和职责。 第三方机构的托管设备物理上应与银联机房生产区隔离,第三方机构应做好隔离区的防火、防潮和防尘工作。 (3) 第三方机构人员进出银联机房应向银联机房运维部门提出申请,经审批和登记后方可进入,并须由银联机房运维部门人员全程陪同。 (4) 第三方机构托管设备应隔离在银联防火墙外,并严格遵循访问控制规则,只允许交易应用报文的通行。 (5) 第三方机构对托管在银联机房设备的增加、撤离、上电、网络拓扑调整等操作应事先与银联机房运维部门协商一致,变更操作须在0点至6点进行。 7、账户信息安全和密钥管理 涉及账户信息类第三方机构: (1) 应遵循中国银联《银联卡账户信息与交易数据安全管理规则》、《银联卡收单机构账户信息安全标准》等账户信息安全管理规定。 其中重点落实如下工作要求: 6
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 ①与中国银联签订书面合作协议,并在协议中明确账户信息安全保密条款; ②接入系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银联卡磁道信息、卡片验证码、个人标识代码(PIN)的明文和密文及卡片有效期; ③交易处理如涉及对个人标识代码(PIN)进行加解密操作的,应配备经权威部门安全认证的硬件加密设备,并采用双倍长密钥算法加解密。 (2) 严格控制存有账户信息的数据库系统的访问权限,对系统管理员和应用系统专用账号外或其他用户应进行必要的系统审计。 (3) 应用系统专用账号仅供应用程序访问数据库使用,不将其作为访问账号向用户提供。正常情况下数据库操作应通过交易或应用程序访问的方式进行,关闭非必须的访问数据库应用工具。 (4) 存在交易监控的第三方机构,监控屏应屏蔽持卡人敏感数据,如帐号(全部),磁道信息、卡片验证码、个人标识代码及卡片有效期。 (5) 应遵循中国银联密钥管理规定:《银联卡密钥安全管理规则》、《银行卡联网联合安全规范》第五部分“联网联合安全技术应用”、《银行卡联网联合技术规范》第四部分“数据安全传输控制规范”的相关要求。 不涉及账户信息类第三方机构: (1) (2) (3) (4) 必须使用硬件加密机来产生交易信息相关的各种密钥。 密钥明文传输应采用信息拆分,分人分段负责的方法。 密钥的不同部分应保存在不同地点,并且不能由一个人保管。 密钥保存如果是电子形式,不能以明文方式写入在程序代码或保存在存储介质中。 (5)
密钥的备份和注入须双人复核。 7
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (6) 过期的密钥应及时销毁,应在双人控制下销毁,保证无法被恢复,且密钥组件不被泄露。 (7) 在密钥的生成、注入、启动、传输、删除与销毁等生命周期各环节都应进行详细记录,相关人员须签名确认。 第三方机构技术安全指导性要求 1、安全管理 (1) 第三方机构需建立信息安全制度,并指定专人负责信息安全制度的建立、分发、复查和培训。 (2) (3) 第三方机构需每年复查信息安全制度,重新评估安全控制及过程。 第三方机构中员工,需定期接受适当的安全培训,培训内容包括各类安全制度、信息系统运维手册和应急预案等。安全培训后,需留有书面培训记录。 (4) 第三方机构需审查录用员工的技术能力和背景资料,并签署适当的保密协议。 (5) 第三方机构需建立不同类别信息安全事件的报告程序,所有相关员工需知道安全事件的报告程序。 (6) 第三方机构所有相关员工都需注意及报告系统或服务任何可疑的安全弱点或威胁。 (7) (8) 第三方机构需对报告的安全事件建立相应的安全机制来处理。 第三方机构需知道银联公司生产运行值班台的联系方式,发生与银链卡交易相关的安全事件应及时通知银联公司。 2、机房安全 (本要求适用于第三方机构放置涉及银联卡交易的网络设备和系统设备的机房。) (1) 机房需划分区域进行管理,区域和区域之间设置物理隔离装置,各区分别实行不同的防护措施。 (2) 机房需使用人工或闭路电视监控系统监视敏感区域。 3、网络安全 3.1 生产网络安全 8
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (1) 为阻止非授权用户对内部网络中敏感数据的访问,需采取划分VLAN的方式分隔不同的用户和信息系统。 (2) (3) (4) 建立VLAN后,创建访问控制列表对数据包进行过滤、阻止非法访问。 对VLAN进行访问控制的列表需被测试、 审批,并且定时查阅、更新。 定期进行对网络和网络安全设备的内部或外部审计,来验证其配置或策略是否适合于第三方机构的安全要求。 (5) 应在网络边界及核心业务网段处对恶意代码(主要是病毒和木马)进行检测或清除。 4、系统与应用安全 (本要求适用于第三方机构涉及银联卡交易的主机及应用系统。) (1) 需定义硬件的非正常状态,并在故障持续预设定时间后,作为安全事件进行报告。 (2) 需定期对设备进行检查,确保运行安全,并确认关键的生产设备都在维护期内;设备维护需建立维护记录制度。 (3) (4) 主机和应用系统采用两种以上组合的鉴别技术实现用户身份鉴别。 软件或系统的配置更改,补丁安装以及升级需受内部变更管理控制,需保留相应的日志。 (5) 需记录并定期查阅生产系统设备中的所有软件名称及版本,并对关键软件的参数配置以及安装文件进行备份进行备份以防止意外损坏。 (6) 需建立生产系统变更操作的审批和实施流程。需制定变更计划,按计划实施变更;在变更实施前制定、评审并测试变更方案;在变更实施时,要求双人复核。 (7) (8) 需对各类信息系统基础设施和应用系统制定运维手册,并定期补充更新。 只有授权的用户才可以获取应用软件源代码。 5、恶意代码防护 (本要求适用于第三方机构生产网络或涉及银联卡处理的主机。)
9
银联卡收单第三方服务机构注册登记及认证指南
序号 安全要求 实际控制情况 是 否 不适用 如本项为“否”或“不适用” 请说明原因 (1) 需配备相应的人员负责恶意代码防护工作的日常管理及维护,监控计算机系统恶意代码防护情况,定期察看恶意代码威胁日志,并对日志中的威胁记录进行处理。 (2) 用户在装载外部介质上的数据和程序之前必须对外部介质进行扫描以防止病毒。 6、账户信息和密钥管理 涉及账户信息类第三方机构 (1) 应参考《银联卡账户信息与交易数据安全管理指南》采取账户信息安全保护措施。 不涉及账户信息类第三方机构 (1) 应参照《银联卡密钥安全管理规则》、《银行卡联网联合安全规范》第五部分“联网联合安全技术应用”、《银行卡联网联合技术规范》第四部分“数据安全传输控制规范”中规定的相关文档。 7、应急预案、数据备份和业务持续性计划 (本要求适用于第三方机构生产网络或涉及银联卡处理的主机或应用系统。) (1) 第三方机构需制定信息系统运行安全应急预案和应用系统安全应急预案,并指定相关员工的责任。 (2) 应急预案需包括病毒感染、网络攻击、数据丢失或被篡改、业务连续性被破坏等事件发生后的应急处置步骤。 (3) (4) (5) (6) 应急预案需进行定期查阅并更新,以保证反映业务的变动。 对每次应急处置需有书面记录,并事后总结并更新应急预案。 需定期进行应急演练,并进行书面记录。 涉及银联卡交易的应用系统数据需每日进行增量备份,定期进行全备份。备份的数据需定期进行同城异处存放。 (7) (8) 需定期进行备份数据恢复,以检验备份数据的有效性。 需将数据备份与恢复的策略和操作说明制定相关文档。 10