银联卡账户信息与交易数据安全管理规则
☆银联卡账户信息安全管理制度规范汇编【一份超实用的专业参考资料】
银联卡账户信息安全管理 制度规范汇编中国银联 风险管理部2010年4月目 录目 录银联卡收单机构账户信息安全管理标准 (1)银联卡账户信息与交易数据安全管理规则(修订) (17)银联卡账户信息安全事件应急预案 (28)银联卡账户信息安全事件调查处理流程 (34)银联卡收单业务账户信息安全合规评估管理暂行规定 (41)银联卡账户信息安全合规评估机构管理暂行办法 (54)银联卡密钥安全管理规则【磁条卡部分】V1.0 (69)关于双倍长密钥算法加解密迁移时间进度的要求 (94)银联卡账户信息与交易数据安全管理指南 (95)银联卡密钥安全管理指南【磁条卡部分】V1.0 (134)银联卡收单机构账户信息安全管理标准(银联风管委〔2008〕1号)第一章总则1.1 目的为加强银联卡收单网络账户信息安全管理,进一步明确和细化对收单业务各参与方账户信息安全管理要求,防范由收单网络引发的账户信息泄漏风险,根据《银联卡账户信息与交易数据安全管理规则》,特制定本标准。
1.2 适用范围本标准适用于下列三类机构:1.2.1银联网络内从事银联卡收单业务的收单机构1.2.2向银联卡收单机构提供收单专业化服务的第三方机构1.2.3银联卡收单特约商户对于上述机构,只要业务涉及银行卡主账号(卡号)的处理、传输或存储,均适用本标准。
收单机构应根据本标准及《银联卡账户信息与交易数据安全管理规则》相关规定,对与之开展收单业务合作的第三方机构或特约商户的账户信息安全管理提出具体要求,并通过合作协议的方式予以明确。
第二章 基本要求2.1 磁道信息、卡片验证码、个人标识代码及卡片有效期各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易,不得用于除此之外的任何其他用途。
标准 2.1“磁道信息、卡片验证码、个人标识代码及卡片有效期”的适用自本标准颁布之日起5年内为过渡期,各机构应在过渡期内尽快达标。
银行数据安全管理制度
银行数据安全管理制度银行数据安全是指保护银行客户的个人和财务信息免受未经授权的访问、使用、披露或破坏的一系列措施。
由于银行承载了大量的客户敏感信息和财务交易数据,银行数据安全的管理非常重要。
为了确保银行数据的安全性,银行需要制定一套数据安全管理制度,建立相应的数据安全保护机制。
本文将从以下几个方面探讨银行数据安全管理制度。
1.形成银行数据安全管理意识银行应将数据安全纳入企业文化中,让每位员工都意识到数据安全的重要性。
可通过组织数据安全培训、定期开展数据安全知识竞赛等方式来提高员工的安全意识,确保员工按照制度要求操作。
银行应建立完善的数据安全管理制度,明确数据的分类、权限、管理和保护要求。
制度应包括数据访问控制、备份与恢复、风险评估和控制、数据加密等方面的内容,以确保数据的完整性、可用性和可靠性。
制度还应针对各类数据进行风险评估和分类管理,对不同级别的数据设置不同的安全控制措施。
3.强化物理安全措施银行需要加强物理安全措施,保护存储在硬件设施中的数据不受损害或丢失。
银行应建立安全的数据中心,严格控制进入数据中心的人员,并采用视频监控、入侵报警等设备加强对数据中心的实时监控。
同时,对于存储介质,如磁带、光盘等要制定合理的保管措施,确保数据的安全存储和传输。
4.加强网络安全保护银行应建立健全的网络安全管理制度,包括网络防火墙、入侵检测系统、反病毒系统的建设和运营,及时修补系统漏洞,加密数据传输通道,对网络流量进行监控和分析等。
此外,银行应定期开展渗透测试和安全演习,评估和改进网络安全防护措施的有效性。
5.建立数据安全监控与预警机制银行应建立数据安全监控与预警机制,及时发现和处理安全事件,以减少数据安全风险。
可以利用安全信息和事件管理系统,实现对系统和网络的实时监控,发现异常行为和攻击,并及时采取措施进行防御和修复。
6.提高员工的安全意识和技能银行要定期开展数据安全教育培训,提高员工的安全意识和技能。
培训内容包括密码安全、社交工程攻击防范、信息泄露风险等,并提供应急演练,使员工能够应对各种安全事件,及时报告并采取相应的处置措施。
商业银行数据安全管理规范
商业银行数据安全管理规范一、背景介绍在信息化时代,商业银行作为金融机构,承载着大量的客户信息和财务数据。
为了保障客户隐私和金融安全,商业银行需要建立严格的数据安全管理规范。
本文将详细介绍商业银行数据安全管理的标准格式。
二、数据分类和保护级别商业银行的数据可以分为以下几个分类:1. 客户信息:包括个人身份信息、联系方式、财务状况等。
2. 财务数据:包括资金流水、交易记录、账户余额等。
3. 内部管理信息:包括员工档案、工资福利、绩效考核等。
为了保护这些数据的安全性,商业银行需要将其划分为不同的保护级别:1. 高级保护级别:客户信息和财务数据,需要采取最高级别的安全措施进行保护,防止泄露和篡改。
2. 中级保护级别:内部管理信息,需要采取适当的安全措施进行保护,确保只有授权人员可以访问。
3. 低级保护级别:一些非敏感的信息,可以采取较低级别的安全措施进行保护。
三、数据安全管理措施商业银行需要采取一系列的数据安全管理措施,以确保数据的机密性、完整性和可用性。
1. 访问控制商业银行应该建立严格的访问控制机制,确保只有授权人员可以访问敏感数据。
具体措施包括:- 建立用户账号和密码管理制度,要求员工定期更换密码,并采用强密码策略。
- 采用多因素身份验证,例如指纹识别、动态口令等,提高访问安全性。
- 设立权限管理制度,根据员工职责和需要,分配不同的数据访问权限。
2. 数据加密商业银行应该采用数据加密技术,对敏感数据进行加密保护。
具体措施包括:- 采用对称加密算法或非对称加密算法,对数据进行加密存储和传输。
- 确保加密算法的安全性,定期更新密钥,防止密钥泄露和破解。
- 对于重要的数据传输,使用安全通信协议,如SSL/TLS,防止数据被窃听和篡改。
3. 安全审计和监控商业银行应该建立安全审计和监控机制,及时发现和处理安全事件。
具体措施包括:- 安装安全审计系统,记录关键数据的访问日志和操作日志。
- 建立安全事件响应机制,及时对异常事件进行分析和处置。
银联信息安全管理制度
#### 第一章总则第一条为确保我国银行卡联网通用系统(以下简称“银联系统”)的安全稳定运行,保护持卡人、发卡机构、收单机构及银联系统的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合银联系统实际情况,特制定本制度。
第二条本制度适用于银联系统各参与机构,包括但不限于发卡机构、收单机构、银联公司及其下属分支机构。
#### 第二章组织架构与职责第三条银联公司设立信息安全管理部门,负责统筹规划、组织协调、监督指导银联系统信息安全工作。
第四条信息安全管理部门的主要职责:1. 制定和实施银联系统信息安全管理制度;2. 监督各参与机构落实信息安全措施;3. 开展信息安全风险评估和应急响应;4. 组织信息安全培训与宣传;5. 协调解决信息安全事件。
第五条各参与机构应设立信息安全管理部门或指定专人负责信息安全工作,其主要职责包括:1. 落实银联系统信息安全管理制度;2. 加强信息系统安全管理;3. 组织信息安全培训;4. 及时报告和处置信息安全事件。
#### 第三章信息安全措施第六条信息系统安全1. 银联系统应采用符合国家标准的信息安全技术和产品,确保信息系统安全稳定运行;2. 信息系统应定期进行安全检查和漏洞扫描,及时修复漏洞;3. 信息系统应建立完善的访问控制机制,确保只有授权用户才能访问系统;4. 信息系统应采用数据加密、身份认证等技术,保障数据传输和存储安全。
第七条数据安全1. 银联系统应建立数据安全管理制度,明确数据分类、分级和安全管理要求;2. 对敏感信息进行加密存储和传输,确保数据安全;3. 定期对数据进行备份,防止数据丢失;4. 加强数据访问控制,防止未经授权的数据泄露。
第八条个人信息安全1. 银联系统应严格遵守《中华人民共和国个人信息保护法》,确保个人信息安全;2. 对个人信息进行脱敏处理,避免个人信息泄露;3. 加强个人信息收集、存储、使用、传输和销毁等环节的管理;4. 对个人信息安全事件进行及时报告和处置。
银行系统和数据安全管理规定模版
银行系统和数据安全管理规定模版银行系统和数据安全管理规定模板第一章总则为了保障银行系统和数据的安全,保护客户信息和资金安全,规范银行业务运作和管理,制定本规定。
第二章银行系统安全管理第一节系统安全保障措施1.银行系统应建设安全防护措施,确保系统运行安全、稳定,防止电脑病毒、黑客攻击。
2.建立系统运行日志和安全事件日志记录,及时发现系统故障、攻击等安全事件。
3.建立系统备份制度,对数据进行备份,并定期进行数据备份的测试。
第二节系统日常运维管理1.银行系统应定期进行系统巡检和维护工作,确保系统的正确性和一致性。
2.建立系统事件处置机制,对系统出现的故障和异常情况进行及时处理。
3.银行系统运维人员应遵守保密协议,对外不得泄露银行系统和客户数据相关信息。
第三章数据安全管理第一节客户信息保护1.银行应采取必要的保护措施,保护客户信息的机密性和完整性。
2.客户信息不得泄露给未经授权的第三方,不得被用于非法目的。
3.银行客户信息采集应尽量避免收集不必要的信息。
第二节数据备份与恢复1.银行应建立完善的数据备份和恢复机制,确保数据在损失后能够快速恢复。
2.对经常变动的数据,应定期进行备份和存档,对重要的数据要多重备份。
3.银行应建立完善的数据恢复演练机制,提高数据恢复速度和准确性。
第三节数据加密与保密1.银行应采取适当的加密手段和技术,确保数据的机密性和完整性。
2.对敏感数据应进行加密存储和传输,确保数据传输过程中的安全性。
3.银行应定期对系统、网络、数据进行安全检查,及时发现并处理安全隐患。
第四章其他规定1.银行应建立完善的安全管理制度、管理流程以及应急预案,确保在安全事件发生时能够迅速应对。
2.银行应定期进行安全培训和演练,提高运维人员的安全意识和技能。
3.银行应定期进行安全评估和漏洞扫描,及时排除系统和应用程序的漏洞。
第五章附则1.本规定自发布之日起生效,如有需要修改,应当经过正式程序进行修改。
2.本规定解释权归银行所有。
银联卡账户信息与交易数据安全管理规则
附件:银联卡账户信息与交易数据安全管理规则(经中国银联第一届风险管理委员会第二次会议审议通过)二○○四年十一月第一章总则1.1目的为加强银联卡账户信息与交易数据安全管理,保障成员机构及持卡人利益,防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈风险,特制定本规则。
1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则,确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性,防止数据遭到篡改、泄漏和破坏。
1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户。
其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构,也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。
1.4 定义1.4.1账户信息账户信息是指银联卡(包括银联标识卡和银联标准卡)上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。
记录在银联卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码。
与银联卡交易相关的用户身份验证信息包括:网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。
1.4.2 交易数据交易数据是指银联卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同。
基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码。
第二章权利与义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况,一旦发现问题,可向中国银联风险管理委员会报告。
各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的,可通过中国银联风险管理委员会向该机构申请损失赔偿。
2.2义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查,并向中国银联提供自查结果等书面报告,证明本机构已按照规定的程序实施了自查。
银联卡账户信息安全管理与服务
遗失纸文档 外部网络入侵
侧录 偶发攻击 未知
4 6
5 4 3
9.75% 14.63%
12.20% 9.75% 7.31%
外部原因 36.58%
6
一、当前账户信息安全风险形势 (二)境内账户信息安全总体风险形势
7
一、当前账户信息安全风险形势 (二)主要风险特征
泄漏案件以终端泄漏为主,但系统端泄漏危害较大
8
一、当前账户信息安全风险形势 (二)主要风险特征
系统端泄漏多为内部人员作案
收单机构内部人员从ATM系统监控数据库窃 取账户信息 MIS商户内部人员窃取商户收银系统违规留 存的账户信息 第三方机构设备维护人员通过后门程序窃 取账户信息
(一)银联卡账户信息安全管理标准ADSS
银联卡账户信息与 交易数据安全管理规则 银联卡密钥安全管理规 则【磁条卡部分】V1.0 银联卡账户信息安全事 件调查及处理操作流程 银联卡账户信息安全事 件应急预案
银联卡收单机构账户 信息安全管理标准
制度 体系
银联收单业务账户信息安 全合规评估管理暂行规定 银联卡账户信息安全合规 评估机构管理暂行办法 银联卡收单账户信息安全 合规评估工作试行办法
6000万美元 4140万美元 500 万美元 360万美元
公司收取近1.9亿美元的赔偿金,用于向因
本次泄露事件遭受损失的发卡机构支付换卡 费用补偿和伪卡损失赔偿。
3
一、当前账户信息安全风险形势 (一)当前境外账户信息安全风险形势
据不完全统计,从2005年至2009年,国际上超大规模(泄漏信息超 过100万条)的账户信息泄漏事件已发生16起
中国银联银行卡联网联合技术规范第部分数据安全
中国银联银行卡联网联合技术规范第部分数据安全1. 引言中国银联是中国领先的第三方支付和交易处理机构,为银行卡支付提供统一的跨行交易处理服务。
在银行卡联网联合技术规范中,数据安全是一个至关重要的方面。
本文档旨在介绍中国银联银行卡联网联合技术规范第部分数据安全的相关要求。
2. 数据安全要求2.1 敏感数据保护敏感数据是指包含用户个人信息和支付信息的数据。
为保护敏感数据的安全,银联银行卡联网联合技术规范要求以下措施:•数据加密:敏感数据在传输和存储过程中需要进行加密处理,以防止数据泄露。
•数据脱敏:在数据的展示和存储过程中,需要对敏感数据进行脱敏处理,以保护用户隐私。
•访问控制:对敏感数据的访问需要进行权限控制,只有经过授权的人员可以进行访问和操作。
2.2 数据传输安全数据传输安全是指在数据在网络中传输过程中的安全性。
为保护数据传输的安全,银联银行卡联网联合技术规范要求以下措施:•HTTPS协议:数据传输使用HTTPS协议进行加密,以防止数据被中间人攻击或窃听。
•安全传输协议:银联要求使用安全传输协议,如TLS等,来保证数据传输的安全性。
•数据完整性校验:在数据传输过程中需要对数据完整性进行验证,以防止数据被篡改。
2.3 数据存储安全数据存储安全是指在数据存储过程中的安全措施。
为保护数据存储的安全,银联银行卡联网联合技术规范要求以下措施:•数据备份:将数据进行定期备份,以防止数据丢失。
•数据加密:对于敏感数据的存储需要进行加密,以保证数据的安全性。
•访问控制:对于存储的数据需要进行访问权限控制,只有经过授权的人员可以进行访问。
2.4 数据审计与监控数据审计与监控是指对数据操作进行审计并进行实时监控。
为保证数据的安全性,银联银行卡联网联合技术规范要求以下措施:•数据操作记录:对于敏感数据的操作需要进行完整记录,包括操作人员、时间和操作内容等。
•异常监测:对于异常的数据操作行为进行实时监测和报警,及时发现并处理异常情况。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言数据安全是商业银行信息化建设的核心要素之一,也是保障客户信息安全和银行运营稳定的重要保障措施。
为了规范商业银行数据安全管理,保护客户隐私和银行业务运营安全,制定本规范。
二、适用范围本规范适用于所有商业银行及其分支机构,在数据安全管理中的各个环节和层面。
三、数据分类和分级保护1. 数据分类商业银行的数据按照敏感程度和重要性进行分类,分为核心数据、业务数据和基础数据三类。
- 核心数据:包括客户身份信息、账户信息、交易记录等,是银行业务运营的核心数据。
- 业务数据:包括业务流程中产生的数据,如贷款审批、风险评估等。
- 基础数据:包括银行组织架构、员工信息等。
2. 分级保护根据数据分类,商业银行应制定相应的数据安全保护措施,包括但不限于:- 核心数据:采用加密技术进行存储和传输,设置严格的权限控制,定期进行安全审计和风险评估。
- 业务数据:根据业务流程和风险等级,设置适当的权限控制和审计机制。
- 基础数据:确保数据完整性和可用性,设置备份和恢复机制,限制访问权限。
四、数据存储和传输安全1. 数据存储安全商业银行应采用安全可靠的存储设备和技术,确保数据的机密性、完整性和可用性。
具体措施包括:- 采用加密技术对核心数据进行存储和传输加密。
- 设立访问控制策略,限制非授权人员对存储设备的物理访问。
- 定期进行数据备份,并设置可靠的灾备机制。
2. 数据传输安全商业银行在数据传输过程中应采取一系列安全措施,确保数据的机密性和完整性。
具体措施包括:- 采用加密技术对数据进行加密传输。
- 建立安全的网络通信通道,防止数据被篡改或窃取。
- 设置访问控制策略,限制非授权人员对数据传输通道的访问。
五、数据权限管理1. 用户权限管理商业银行应建立完善的用户权限管理制度,确保每个用户的权限符合其工作职责和需求。
具体措施包括:- 采用最小权限原则,给予用户最低限度的权限。
- 定期审查和更新用户权限,及时撤销离职员工的权限。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言随着信息技术的不断发展,商业银行的数据安全问题日益凸显。
为了保护客户的隐私和银行的利益,制定一套科学、合理、可行的数据安全管理规范是至关重要的。
本文将详细介绍商业银行数据安全管理规范的要求和措施。
二、数据分类和保密级别商业银行的数据可以根据其重要性和敏感程度进行分类,并分配相应的保密级别。
常见的数据分类包括个人客户信息、企业客户信息、财务数据等。
根据不同的保密级别,商业银行应采取相应的安全措施,确保数据的机密性、完整性和可用性。
三、数据安全管理措施1. 人员管理商业银行应制定明确的员工数据安全管理制度,并确保员工对数据安全管理规范有清晰的认识和理解。
员工应接受数据安全培训,并签署保密协议。
商业银行应定期进行数据安全意识教育和培训,加强员工的数据安全意识。
2. 访问控制商业银行应实施严格的访问控制机制,确保只有授权人员才能访问和操作相关数据。
这包括权限管理、身份认证、密码策略、账号锁定等措施。
商业银行应定期审查和更新权限,及时撤销离职员工的访问权限。
3. 网络安全商业银行应建立健全的网络安全体系,包括防火墙、入侵检测系统、安全审计系统等。
商业银行应定期对网络进行漏洞扫描和安全评估,及时修补漏洞,防止网络攻击和数据泄露。
4. 数据备份和恢复商业银行应制定完善的数据备份和恢复策略,确保数据不会因为硬件故障、自然灾害等原因而丢失。
备份数据应存储在安全可靠的地方,定期进行备份和恢复测试,保证备份数据的可用性和完整性。
5. 加密技术商业银行应采用合适的加密技术,对敏感数据进行加密存储和传输。
加密算法应选择安全可靠的算法,并定期更新密钥。
商业银行应建立密钥管理制度,确保密钥的安全性和可控性。
6. 安全审计和监控商业银行应建立安全审计和监控机制,对关键系统和数据进行实时监控和记录。
商业银行应定期进行安全审计,发现和处理安全事件,及时采取措施防止类似事件的再次发生。
四、数据安全事件处理商业银行应建立健全的数据安全事件处理机制,包括事件报告、调查、修复和追责等环节。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件:银联卡账户信息与交易数据安全管理规则(经中国银联第一届风险管理委员会第二次会议审议通过)二○○四年十一月第一章总则1.1目的为加强银联卡账户信息与交易数据安全管理,保障成员机构及持卡人利益,防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈风险,特制定本规则。
1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则,确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性,防止数据遭到篡改、泄漏和破坏。
1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户。
其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构,也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。
1.4 定义1.4.1账户信息账户信息是指银联卡(包括银联标识卡和银联标准卡)上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。
记录在银联卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码。
与银联卡交易相关的用户身份验证信息包括:网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。
1.4.2 交易数据交易数据是指银联卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同。
基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码。
第二章权利与义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况,一旦发现问题,可向中国银联风险管理委员会报告。
各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的,可通过中国银联风险管理委员会向该机构申请损失赔偿。
2.2义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查,并向中国银联提供自查结果等书面报告,证明本机构已按照规定的程序实施了自查。
中国银联将牵头组织成立由各成员机构组成的调查评估小组,对各机构账户信息与交易数据安全管理进行调查, 各机构应积极配合调查工作。
第三章人员及组织管理3.1基本要求建立完善的信息安全管理体制,并制订账户信息与交易数据安全相关的制度及检查程序,明确各数据安全相关岗位的责任与权限。
3.2人员管理应与所有接触账户信息及交易数据的员工签署保密协议,在协议中明确员工需要承担的保密责任以及员工离职时的脱密期。
第四章访问控制4.1基本要求根据“业务需要”的原则,严格控制访问和使用账户信息和交易数据,防止未经授权擅自对数据进行查看、篡改和破坏。
业务需要是指“有业务上需要者才能访问相关数据,并且只能访问需要使用的数据”。
4.2 身份验证使用身份验证机制来授权和确认访问账户信息和交易数据的人员身份,包括进入存储或处理数据物理场所的身份鉴别机制,以及逻辑访问数据的身份鉴别机制。
4.3 权限管理限制数据访问权限,任何人都只能访问其开展业务所必需的数据。
严格控制员工对账户信息及交易数据的访问权限,访问权限的分配应遵循双人控制的原则,避免单个员工对账户信息及交易数据的完全控制。
在员工调离相关岗位时,应立即通知系统管理人员删除该员工注册的用户名及权限。
4.4 设备访问为了防止非法访问或者使用通讯设备擅自更改、破坏或泄露数据,应对访问通讯设备的特定程序和访问数据的时间和日期进行严格的控制和记录。
只有被授权人员才能按照事先制定的维护程序来更改设备的设置。
在设备维护前后都应对设备的访问授权控制进行测试。
4.5 密码管理为不同的用户设置不同的初始密码,然后由用户自行设定密码。
要求用户定期更改密码。
第五章数据的保护、使用与销毁5.1 数据的保护5.1.1基本要求严格保护以任何形式出现的账户信息及交易数据,具体包括:存储于各类计算机系统中的、存储在POS、ATM及其他终端设备中的、通过网络传送的、显示在电脑屏幕上的、通过POS或ATM等设备打印出来的各类信息。
指定专人保管保存在磁带、光盘等备份介质中的账户信息及交易数据,应将数据存放在装有门禁系统的机房或保险柜中。
5.1.2卡号屏蔽在ATM交易凭条、账单、网页、移动通讯设备或电子邮件中显示卡号信息时,必须采用卡号屏蔽的方式保护卡号安全。
5.1.3账户密码交易数据中的个人密码除了可以在硬件加密设备上以及在打印密码信封时可以以明文出现,其他情况下都不得以明文出现。
5.1.4数据传输与存放账户信息与交易数据在互联网中传输时必须进行加密。
对无法以电子方式传输的文件,应以发送方和接收方约定的安全方式传送。
必须对存储在能够通过外网访问的数据库中的数据进行加密。
不得将写有(存有)账户数据与交易信息的文件、软盘、光盘及电脑放置在没有安全保护的地方;同时只能由专人处理这些账户与交易数据。
5.2 数据的使用5.2.1基本要求未经发卡机构的书面许可,其他机构均不得将该发卡机构真实的账户信息及交易数据提供给第三方。
不得将真实的账户信息及交易数据用于软件开发及模拟测试。
有特殊情况需要使用真实的账户信息及交易数据进行开发及测试的,必须获得发卡机构的书面许可并签署保密协议。
使用时须指定专人保管,并在开发及测试结束后立即销毁。
5.2.2日志记录建立账户信息及交易数据访问与使用的日志记录机制与审核机制。
日志记录的内容包括:用户身份、使用类型、日期和时间、访问成功标记、访问的数据或系统设备名称等等。
风险主管人员应定期审核日志内容。
5.3 数据的销毁5.3.1基本要求各机构可根据本机构的实际情况确定账户信息及交易数据的保存期限,通常不少于两年。
对于超出保存期限的账户信息及交易数据,必须及时销毁,以免造成信息的泄漏。
5.3.2销毁方式以粉碎或焚毁的方式销毁所有无用或过期的账户信息与交易数据;通过消磁、删除、破坏等方式对报废设备或介质中的账户信息与交易数据进行处理。
第六章系统管理6.1 基本要求账户信息及交易数据必须在具有安全保护措施的系统中存储、传输,系统的安全保护措施包括确保网络安全,安装、更新防火墙、防病毒软件等。
6.2 管理措施当内部网络与外部网络相连接时,必须对网络进行监控,以及时发现对内部网络的攻击。
当用户通过公共网络访问账户与交易信息时,必须提醒用户“在公共网站填报、访问账户信息可能泄漏交易数据”。
对软件的版权、来源、版本等作详细审核和登记;及时更新操作系统软件,并及时安装软件的安全补丁。
应定期对系统安全性能进行测试,测试的内容包括:系统漏洞,防病毒、防火墙性能等。
从内到外以及从外到内的数据都必须通过防火墙,防火墙必须隐藏它所保护的网络的结构,并在侦测到异常现象时发出警报。
不得将设备或系统供应商提供的默认值作为与系统安全有关的控制参数,如设备或系统访问密码。
第七章事故处理7.1 基本要求专门制订针对账户信息及交易数据安全事故处理的应急处理方案,确保及时有效地处理各种意外情况。
一旦出现账户信息与交易数据遭到篡改、泄漏和破坏的安全事故,必须立即对事故进行调查处理,并直接或通过中国银联通报相关机构采取措施,避免造成进一步的损失。
7.2 事故报告成员机构可通过银行卡风险报告系统报告与账户信息与交易数据相关的安全事故;商户及第三方服务机构可通过相关成员机构提交有关报告或直接向中国银联及其分支机构提交有关报告。
第八章特别要求8.1 对成员机构的特别要求8.1.1 第三方服务机构及商户管理成员机构应每年定期或不定期地监督、检查其第三方服务机构及特约商户,确保其认真执行本办法中对第三方服务机构及特约商户的要求。
对于不符合本办法中安全规定的第三方服务机构及特约商户,必须采取控制措施直至其符合规定为止。
成员机构必须对其签约的第三方服务机构或商户的账户信息和交易数据安全负全部责任。
8.1.2 与第三方服务机构或商户签订协议的要求协议中应当明确第三方机构及商户在账户信息和交易数据安全方面承担的责任,对于所有与自身存在合作关系并能够访问账户信息和交易数据的机构(包括第三方服务机构与商户),必须在与其签订的协议、合同或相关附件中包括以下内容:严格遵守《银联卡账户信息和交易数据安全管理规则》未经特别许可,不得将账户信息及交易数据提供给第三方。
承担因本机构账户信息与交易数据管理不善,导致账户信息与交易数据因篡改、泄漏和破坏而造成的全部损失。
如果未能满足中国银联银联卡账户信息与交易数据管理办法的各项要求,成员机构有权解除或终止协议。
无条件配合成员机构或中国银联对其进行的有关账户信息与交易数据安全的检查。
8.2 对商户和第三方服务机构的特别要求禁止将账户信息和交易数据提供给除收单机构或收单机构指定的代理机构以外的第三方。
除了专门从事发卡系统外包服务的第三方机构外,其他机构只能存储用于交易清分所必需的最基本的账户信息和交易数据,不得存储磁条信息、卡片验证码及个人密码。
账户信息和交易数据只用于辅助完成银联卡交易,不得将账户信息和交易数据用于除此之外的任何其他用途,也不能将上述数据提供给任何未被授权的个人或机构。
未经收单机构或中国银联授权,不得擅自对包含账户信息或交易数据的设备进行更改和维护。
第九章赔偿及处罚中国银联风险管理委员会是银行卡账户信息与交易风险事件赔偿、处罚的调解、界定及仲裁机构。
赔偿及处罚视情节严重程度而定,措施包括赔偿、罚款、限期整改或中止协议等。
第十章附则10. 1 修订中国银联将在广泛征集成员机构合理建议的基础上,对本规则的相关规定进行修订。
10. 2发布与实施本规则经中国银联风险管理委员会审定,由中国银联发布并组织实施。
各成员机构、专业化服务机构及特约商户可依据本规则,制定内部实施细则。
附件:银联卡账户信息与交易数据安全管理实践指南附录:术语表访问权限控制(Access Control):是指通过授权接触信息的人来限制接触信息和信息处理资源的功能。
物理访问控制(Physical Access Control):是指在未授权人员和被保护的信息来源之间设置物理保护的控制。
逻辑访问控制(Logical Access Control):指利用其他方法控制访问。
账户和交易信息(Account and Transaction Information)见1.1节中定义。
账号(Account Number)主卡持卡人的账号是指凸印或平印在银联规则卡上的号码。
身份鉴别(Authentication)用来验证身份或证实信息完整性的过程。
分级(Classification)将信息分成许多类别,以便对不同类别施行适当控制的方法。
可以基于信息的类别、重要程度、潜在的欺诈危险性或敏感度进行分类。
信息(Information) 是指一个机构用作转移资金、设定等级、发放贷款、处理交易等所用的任何数据。