第三方机构接入中国银联的技术安全要求120530

第三方机构接入中国银联的技术安全要求中国银联技术管理部2009年6月版本控制信息版本控制信息版本日期拟稿和修改说明0.12007-08-24王晓芸初稿0.22007-09-14王晓芸根据室内反馈修改0.352007-10-08王晓芸、李煜根据公司内第一次征求意见修改0.５2007-12-4王晓芸、李煜根据技术规划交流会的意见修改0.62007-12-26王晓芸、李煜根据公司内第二次征求意见修改0.72009-03-25王晓芸、李煜根据十七大银行回复意见修改0.82009-5-20张威根据技术专家委员会委员函审意见修改1.02012-4-16夏蕊文档定期评审修订本文档中的所有内容为银联股份有限公司的机密和专属所有。未经银联股份有限公司的明确书面许可，任何组织或个人不得以任何目的、任何形式及任何手段复制或传播本文档部分或全部内容。目录I目录1概述............................................................................................................................................-3-1.1范围.....................................................................................................................................-3-1.2规范性引入文件.................................................................................................................-3-1.3术语和缩略语.....................................................................................................................-4-2第三方机构接入强制性安全要求............................................................................................-5-2.1安全管理.............................................................................................................................-5-2.2机房安全.............................................................................................................................-5-2.3网络安全要求.....................................................................................................................-6-2.4受理银联卡终端安全要求.................................................................................................-8-2.5主机系统安全要求.............................................................................................................-9-2.6应用系统安全要求...........................................................................................................-10-2.7托管设备在银联机房的安全要求...................................................................................-12-2.8账户信息安全和密钥管理要求.......................................................................................-12-3第三方机构技术安全指导性要求..........................................................................................-15-3.1安全管理...........................................................................................................................-15-3.2机房安全...........................................................................................................................-15-3.3网络安全...........................................................................................................................-16-3.4系统与应用安全...............................................................................................................-16-3.5恶意代码防护...................................................................................................................-17-3.6账户信息和密钥管理.......................................................................................................-18-3.7应急预案、数据备份和业务持续性计划.......................................................................-18-附件1：各类现有的接入方式.......................................................................................................-20-附件2：使用VPN接入的安全要求.............................................................................................-21-附件3：第三方机构接入安全的符合性自评估表.......................................................................-24-第三方机构接入银联网络的技术安全要求II前言本文档规定了第三方机构接入中国银联强制性安全要求和指导性安全要求，同时规定了第三方机构接入中国银联的申请审批和日常管理流程。本文档第2节规定了第三方机构接入中国银联的强制性安全要求，第三方机构在接入中国银联前必须达到，如不满足，银联可限制第三方机构业务开展的种类、范围等，甚至拒绝第三方机构接入中国银联。第3节作为指导性安全要求，用于指导第三方机构采取相关安全措施，降低自身信息系统和给银联卡业务带来的安全风险，不作强制要求。第4节描述了对第三方机构接入中国银联的申请审批和日常管理流程。第三方机构接入银联网络的技术安全要求-3-1概述1.1范围本文档适用对象为系统平台或终端接入中国银联的第三方机构。这里的“第三方机构”是指受中国银联成员机构委托，为中国银联成员机构收单和发卡业务提供终端运营、接入渠道、系统运营等服务的机构，包括为其他成员机构提供服务的成员机构。第三方机构分为业务涉及银联卡账户信息的处理、传输或存储和业务不涉及银联卡账户信息的处理、传输或存储的两类。前者简称为涉及账户信息类，后者简称为不涉及账户信息类。1.2规范性引入文件下列文件中的条款通过本标准的引用而成为本规范的条款。GB2887-2000电子计算机场地通用规范GB9361-2000计算机场地安全要求《银联卡受理终端安全规范》《银联卡受理信息系统安全规范》《POS终端银联卡应用程序管理实施细则》《中国银联移动终端支付应用软件安全规范》《银联卡账户信息与交易数据安全管理规则》《银联卡收单机构账户信息安全标准》《银联卡账户信息与交易数据安全管理指南》《银联卡密钥安全管理规则》《银行卡联网联合安全规范》第五部分“联网联合安全技术应用”第三方机构接入银联网络的技术安全要求-4-《银行卡联网联合技术规范》第四部分“数据安全传输控制规范”《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》1.3术语和缩略语ADSL非对称数字用户线路ATM异步传输模式CDMA码分多址无线通信技术DDN数字数据网GPRS通用分组无线服务技术IPSECIP数据安全结构PIN个人标识码POS销售点终端MPLS多协议标签交换SSL安全套接层帧中继连接计算及系统的面向分组的通信方法第三方机构接入银联网络的技术安全要求-5-2第三方机构接入强制性安全要求本节提出了第三方机构接入中国银联强制性技术安全要求，第三方机构如不能达到以下相关安全，中国银联可限制第三方机构业务开展的种类、范围等，甚至拒绝第三方机构接入中国银联。2.1安全管理（1）第三方机构需建立信息安全制度，并通过有效而正式的方式进行发布。（2）第三方机构应对安全制度中不适用或需改进的地方进行修订。（3）第三方机构中员工需接受适当的安全培训；系统运维人员须熟知各类安全制度、信息系统运维手册和应急预案等。（4）第三方机构需建立安全事件报告流程及应急处理预案。（5）第三方机构需知道中国银联生产运行值班台的联系方式。2.2机房安全本要求适用于第三方机构放置涉及银联卡交易的网络设备和系统设备的机房，涉及银联卡交易既包括直接传输或处理银联卡交易，也包括为银联卡交易提供支持服务。（1）应按国家标准《电子计算机场地通用规范》（GB2887-2000）和《计算机场地安全要求》（GB9361-2000）的相关规定，采取消防、空调、防潮、防静电、防雷击、供电安全等措施。（2）应建立并实行出入安全管理制度，采用专人值守或电子门禁方式，对人员进出机房情况进行日常监控。（3）应建立值班制度，配备值班人员，对机房内各类设备运行情况第三方机构接入银联网络的技术安全要求-6-进行日常监控，并处置突发事件。（4）非授权工作人员或来访人员因工作需要需进入机房，必须经过申请、审批和登记，并由授权人员授权专人全程陪同。（5）电子设备或存储介质进出机房，须经审批并登记。（6）机房需合理配置供电系统，提供足够的、持续的电源供给。如配备双回路供电系统（来自于不同的变电站），可持续供电时间不低于3小时的UPS，或发电机。2.3网络安全要求2