支付行业常见信息安全合规认证小记
概述
目前参与的工作涉及的支付行业的信息安全合规,对于支付行业参与过的合规工作做了一个简单的梳理,主要有以下部分:
认证及标准简介
银联入网检测
规定了第三方机构接入中国银联强制性安全要求和指导性安全要求,同时规定了第三方机构接入中国银联的申请审批和日常管理流程。第三方机构在接入中国银联前必须达到,如不满足,银联可限制第三方机构业务开展的种类、范围等,甚至拒绝第三方机构接入中国银联。其中的指导性安全要求,用于指导第三方机构采取相关安全措施,降低自身信息系统和给银联卡业务带来的安全风险。
银联卡支付信息安全合规
银联卡支付信息安全合规评估,是指适用《银联卡支付信息安全管理标准》(银联风管委[2018]3号)的机构通过聘请中国银联风险管理委员会授权的银联卡支付信息安全合规评估机构,履行合规义务,以确认符合《银联卡支付信息安全管理标准》要求的过程。中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织,于2008年发布《银联卡收单机构账户信息安全管理标准》(银联风管委[2008]1号),简称“ADSS”,明确和细化对收单业务各参与方在账户信息安全管理方面的要求,防范由收单网络引发的账户信息泄露风险。根据普惠金融及移动支付的深度发展,相应新业务带来新的风险特征,结合上位法要求及个人信息保护相关内容,经过多次标准复审和修订,当前现行有效的相应标准是《银联卡支付信息安全管理标准》(银联风管委[2018]3号),该标准简称“UPDSS”。
网络安全等级保护
国内安全行业做的做多的一个安全标准,也在网络安全法中有明确要求。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。是国家信息安全保障工作的基本制度、基本国策;开展信息安全工作的基本方法;促进信息化、维护国家信息安全的根本保障。
网络安全法制度要求:《中华人民共和国网络安全法》:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”。 目前实行的是等级保护2.0标准,与1.0时代的区别主要是等保2.0控制措施的分类结构调整,表现为“一个中心、三重防护”。其中技术部分调整为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。同时等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求,针对云计算、移动互联、物联网和工业控制系统提出了特殊要求,称为安全扩展要求。其中:
云计算安全扩展要求包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等。
移动互联安全扩展要求包括“无线接入点的地理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。
物联网安全扩展要求包括“感知节点的物理保护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
工业控制系统安全扩展要求包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
一般做等保项目的各方关系如下:
非银行支付机构支付业务设施认证
非银认证是通过对非银行支付机构支付业务设施进行检测、审查等活动,评定其与非银行支付机构支付业务设施认证依据的符合性,对符合要求的机构颁发证书。随着人民银行监管要求的调整,根据新版标准的要求,非银认证不断改进和完善,及时增加了条码支付、机房物理安全、个人信息保护等方面内容。主要认证依据为:
(1)JR/T 0122-2018 非银行支付机构支付业务设施技术要求;
(2)JR/T 0123-2018 非银行支付机构支付业务设施检测规范;
(3)《非银行支付机构支付业务设施技术认证实施规则》V2.1;
(4)适用的法律法规及其他要求。
金融科技产品认证(客户端软件为例)
为贯彻国务院《关于加强质量认证体系建设 促进全面质量管理的意见》(国发〔2018〕3号)精神,落实国家认证认可监督管理委员会、中国人民银行《关于开展支付技术产品认证工作的实施意见》(国认证联〔2017〕91号)和《关于加强支付技术产品标准实施与安全管理的通知》(银发〔2017〕208号)要求,更好满足金融行业发展与监管需要,市场监管总局、人民银行决定将支付技术产品认证扩展为金融科技产品认证,并确定了《金融科技产品认证目录(第一批)》,制定了《金融科技产品认证规则》。第一批目录包括客户端软件、安全芯片、嵌入式应用、可信应用程序、声纹识别系统、云计算平台等。
其中最常见的客户端软件 是指在移动终端上为用户提供金融交易服务的应用软件,包括但不限于可执行文件、组件等。认证依据为:
JR/T 0092 移动金融客户端应用软件安全管理规范
JR/T 0098.3 中国金融移动支付 检测规范 第三部分:客户端软件
T/PCAC 0006 条码支付移动客户端软件检测规范(适用时)
国推金融云计算平台认证
社会化的云服务安全故障时有发生,直接影响其上系统运行。近年来,金融云等团体云服务的兴起与发展,将金融系统集中部署、数据集中处理,在提升资源利用效率的同时,也加剧了金融风险的集聚性。金融云故障极易导致金融系统大规模业务中断和数据泄露,甚至威胁国家金融安全。云计算平台认证对金融行业使用的云服务设施的技术架构、安全、容灾等能力进行检测、认证活动,以评定其安全性与标准符合性。适用于为金融行业提供私有云和团体云服务的云服务设施,认证对象为金融领域的云服务提供者及云服务使用者等。认证依据
JR/T 0166-2020《云计算技术金融应用规范 技术架构》
JR/T 0167-2020 《云计算技术金融应用规范 安全技术要求》
JR/T 0168-2020 《云计算技术金融应用规范 容灾》
ISO27000系列
ISO/IEC 27000 系列标准 (又名ISO/IEC 27000 标准系列,及“信息安全管理系统标准族”,简称“ISO27K”) 是由国际标准化组织(ISO)及国际电工委员会(IEC)联合定制。该标准系列由最佳实践所得并提出对于信息安全管理的建议,并在信息安全管理系统领域中的风险及相关管控。目前,在信息安全管理体系方面,ISO/IEC27000信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO 27000体系三年一重审,一年一复审。
PCI-DSS
PCI组织主要负责维护四类标准和认证业务。其中:
PCI DSS是针对系统和账户信息安全的,适用于收单机构、专业化服务公司以及一些大型商户。
PCI PA-DSS:支付应用数据安全标准,主要针对于“作为授权或结算的一部分,存储、处理或传输持卡人数据,并出售、分发或许可给第三方的机构”。
P2PE标准:主要是为银行卡产品中需要进行加密的环节提供技术解决方案。P2PE标准主要包括:加密、解密和密钥管理等几部分。
PCI PTS:针对PIN输入设备,也就是各类受理设备,适用于各类终端厂商
GDPR
GDPR是 General Data Protection Regulation 的缩写,即通用数据保护条例。是欧盟议会和欧盟理事会在 2016 年 4 月通过,在 2018 年 5 月开始强制实施的规定。GDPR 意义在于推动强制执行隐私条例,规定了企业在对用户的数据收集、存储、保护和使用时新的标准;另一方面,对于自身的数据,也给予了用户更大处理权。GDPR规定,任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR。具体如下:
在欧盟境内拥有业务;
在欧盟境内没有业务,但是存储或处理欧盟公民的个人信息;
超过250名员工;
少于250名员工,但是其数据处理方式影响数据主体的权利和隐私,或是包含某些类型的敏感个人数据。
CCPA
美国加州政府于2018年6月28日快速通过了《消费者隐私保护法案(California Consumer Protection Act)》(以下简称CCPA)。CCPA旨在加强消费者隐私权和数据安全保护,被认为是美国国内当前最严格的消费者数据隐私保护立法,将于2020年1月1日正式生效。该法案适用于在加州组织或经营的、业务内容涉及收集及/或处理消费者个人信息的企业,且满足如下一个或多个条件:1) 年收入超过2500万美元;2)为商业目的,每年单独或组合购买、收取、出售或共享50000人或更多消费者、家庭或设备的个人信息;3)其年收入中不少于50%的部分是通过销售消费者的个人信息所获得。该法案也适用于控制或受符合上述标准的企业控制且同该等企业共享品牌的任何组织,故而这一规定将对特许经营企业和子公司产生广泛的影响。(注:CCPA下所指消费者系“加州永久居民”)
支付行业常见信息安全合规认证小记相关推荐
- 从寻源到支付,将“采购合规”进行到底!
在企业采购过程中,某一个环节看似合规,但经过大数据分析就发现也不尽然.如企业因为采购周期延误导致的紧急采购,不仅会导致成本升高,也会引起后续一系列的"闯红灯"行为,这就需要企业通过 ...
- IATF 16949 合规认证仅剩2个月!
今年9月是IATF 16949合规认证的最后期限了,现在距离最后的期限仅剩不到2个月的时间,相信明智的汽车制造商们已经早早成功通过了认证.回顾一年前,在国际汽车工作组(IATF)颁布了新的全球质量标准 ...
- 学习国家颁布的三部信息安全领域法律,理解当前工作中的信息安全合规要求
目录 三部信息安全领域的法律文件 三部法律的角色定位与联系 三部法律的适用范围 三部法律的主要履职部门 三部法律条文章节结构中的共性 三部法律中的一些次重点章节 网络安全法的重点章节 数据安全法的重点 ...
- matlabrvctools主要功能及实际应用_【从业必备 | 收藏】ISO26262功能安全标准白皮书:关键组成、软硬件认证、测试过程、合规认证工具...
ISO26262功能安全标准白皮书: 关键组成.软硬件认证.测试过程,合规的认证工具 目 录 背景 ISO 26262的关键部分 硬件组件认证 软件组件认证 "在实践中证 ...
- 安全合规/GDPR--27--我们通过了GDPR合规认证
Number one 首先,GDPR是一个数据隐私保护条例,类似法律那种的一个东西,是需要你无条件遵守的,因此并没有官方给你发证书这么一说,违反了它你吃罚款就是.于是,大家在欧洲开展业务就变得小心翼翼 ...
- 这3个思路,将彻底解决90%第三方支付公司所面临的合规建设困惑!
自2011年诞生以来,第三方支付凭借其小微.快捷.便民的优势赢得了用户的欢迎,并成为轰动世界的中国新四大发明.但在发展的过程中,支付行业的各类不规范问题也逐渐显露. 为规范第三方支付行业发展,央行等监 ...
- CCSP 云安全认证-法律与合规风险
文章目录 云计算相关的监管合规要求和特有风险 相互冲突的国际法律 云计算特有法律风险评价 法律框架和指导原则 电子取证 取证要求 理解隐私问题 合同PII以及受监管PII的差异 PII和数据隐私相关的 ...
- 云上更安全?亚马逊云科技宣布将持续加大在中国区域安全合规领域投入
编辑 | 宋慧 出品 | CSDN云计算 新冠疫情对我们工作产生了深远的影响,远程在线的工作与交流愈加普及,国内更多公司在推出居家办公的"混合办公"模式.不过,这也给了网络攻击更多 ...
- 安全合规--40--基于欧美法律法规的企业隐私合规体系建设经验总结(四)
作者:随亦 本篇介绍:撰写数据隐私合规文件 本篇为第4篇/共5篇 上一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(三) 下一篇:基于欧美法律法规的企业隐私合规体系建设经验总结(五) 引子 在2 ...
最新文章
- CentOS 6安装DHCP
- 在GitHub上使用Hexo 搭建自己的博客
- TouTiao开源项目 分析笔记9 实现一个问答主页面
- 20 条非常实用的 Python 代码,建议收藏!
- python基础教程: __del__() 清空对象
- Linux里面lvs的基础命令,Linux中使用ipvsadm配置LVS集群的基本方法
- 使用SQL的全文搜索功能构建 Web 搜索应用程序
- CubeMX配置SPI-Flash(W25Q256)
- 不同时区时间换算_时区换算
- Python 网络编程入门——用 Socket 做一个风花雪月服务器
- 苹果mp3软件_M4R如何转为MP3?音频转换的高效方法
- html如何防止内部撑开,CSS3 流式图片的设置,避免图片撑开所在的容器(附样例)...
- 四、文件管理(三)文件系统
- C++上机实验六第2题
- css什么是hack,CSS中hack是什么意思
- python fsolve说明_Python曲线与fsolve()相交,函数参数使用numpy
- python查询手机号
- unity3D游戏-打飞碟游戏改进版
- 交流充电桩电路图_一种新能源汽车交流充电桩控制电路的制作方法
- python中关于字典