银联卡账户信息与交易数据安全管理规则
☆银联卡账户信息安全管理制度规范汇编【一份超实用的专业参考资料】
银联卡账户信息安全管理 制度规范汇编中国银联 风险管理部2010年4月目 录目 录银联卡收单机构账户信息安全管理标准 (1)银联卡账户信息与交易数据安全管理规则(修订) (17)银联卡账户信息安全事件应急预案 (28)银联卡账户信息安全事件调查处理流程 (34)银联卡收单业务账户信息安全合规评估管理暂行规定 (41)银联卡账户信息安全合规评估机构管理暂行办法 (54)银联卡密钥安全管理规则【磁条卡部分】V1.0 (69)关于双倍长密钥算法加解密迁移时间进度的要求 (94)银联卡账户信息与交易数据安全管理指南 (95)银联卡密钥安全管理指南【磁条卡部分】V1.0 (134)银联卡收单机构账户信息安全管理标准(银联风管委〔2008〕1号)第一章总则1.1 目的为加强银联卡收单网络账户信息安全管理,进一步明确和细化对收单业务各参与方账户信息安全管理要求,防范由收单网络引发的账户信息泄漏风险,根据《银联卡账户信息与交易数据安全管理规则》,特制定本标准。
1.2 适用范围本标准适用于下列三类机构:1.2.1银联网络内从事银联卡收单业务的收单机构1.2.2向银联卡收单机构提供收单专业化服务的第三方机构1.2.3银联卡收单特约商户对于上述机构,只要业务涉及银行卡主账号(卡号)的处理、传输或存储,均适用本标准。
收单机构应根据本标准及《银联卡账户信息与交易数据安全管理规则》相关规定,对与之开展收单业务合作的第三方机构或特约商户的账户信息安全管理提出具体要求,并通过合作协议的方式予以明确。
第二章 基本要求2.1 磁道信息、卡片验证码、个人标识代码及卡片有效期各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易,不得用于除此之外的任何其他用途。
标准 2.1“磁道信息、卡片验证码、个人标识代码及卡片有效期”的适用自本标准颁布之日起5年内为过渡期,各机构应在过渡期内尽快达标。
银行数据安全管理制度
银行数据安全管理制度银行数据安全是指保护银行客户的个人和财务信息免受未经授权的访问、使用、披露或破坏的一系列措施。
由于银行承载了大量的客户敏感信息和财务交易数据,银行数据安全的管理非常重要。
为了确保银行数据的安全性,银行需要制定一套数据安全管理制度,建立相应的数据安全保护机制。
本文将从以下几个方面探讨银行数据安全管理制度。
1.形成银行数据安全管理意识银行应将数据安全纳入企业文化中,让每位员工都意识到数据安全的重要性。
可通过组织数据安全培训、定期开展数据安全知识竞赛等方式来提高员工的安全意识,确保员工按照制度要求操作。
银行应建立完善的数据安全管理制度,明确数据的分类、权限、管理和保护要求。
制度应包括数据访问控制、备份与恢复、风险评估和控制、数据加密等方面的内容,以确保数据的完整性、可用性和可靠性。
制度还应针对各类数据进行风险评估和分类管理,对不同级别的数据设置不同的安全控制措施。
3.强化物理安全措施银行需要加强物理安全措施,保护存储在硬件设施中的数据不受损害或丢失。
银行应建立安全的数据中心,严格控制进入数据中心的人员,并采用视频监控、入侵报警等设备加强对数据中心的实时监控。
同时,对于存储介质,如磁带、光盘等要制定合理的保管措施,确保数据的安全存储和传输。
4.加强网络安全保护银行应建立健全的网络安全管理制度,包括网络防火墙、入侵检测系统、反病毒系统的建设和运营,及时修补系统漏洞,加密数据传输通道,对网络流量进行监控和分析等。
此外,银行应定期开展渗透测试和安全演习,评估和改进网络安全防护措施的有效性。
5.建立数据安全监控与预警机制银行应建立数据安全监控与预警机制,及时发现和处理安全事件,以减少数据安全风险。
可以利用安全信息和事件管理系统,实现对系统和网络的实时监控,发现异常行为和攻击,并及时采取措施进行防御和修复。
6.提高员工的安全意识和技能银行要定期开展数据安全教育培训,提高员工的安全意识和技能。
培训内容包括密码安全、社交工程攻击防范、信息泄露风险等,并提供应急演练,使员工能够应对各种安全事件,及时报告并采取相应的处置措施。
商业银行数据安全管理规范
商业银行数据安全管理规范一、背景介绍在信息化时代,商业银行作为金融机构,承载着大量的客户信息和财务数据。
为了保障客户隐私和金融安全,商业银行需要建立严格的数据安全管理规范。
本文将详细介绍商业银行数据安全管理的标准格式。
二、数据分类和保护级别商业银行的数据可以分为以下几个分类:1. 客户信息:包括个人身份信息、联系方式、财务状况等。
2. 财务数据:包括资金流水、交易记录、账户余额等。
3. 内部管理信息:包括员工档案、工资福利、绩效考核等。
为了保护这些数据的安全性,商业银行需要将其划分为不同的保护级别:1. 高级保护级别:客户信息和财务数据,需要采取最高级别的安全措施进行保护,防止泄露和篡改。
2. 中级保护级别:内部管理信息,需要采取适当的安全措施进行保护,确保只有授权人员可以访问。
3. 低级保护级别:一些非敏感的信息,可以采取较低级别的安全措施进行保护。
三、数据安全管理措施商业银行需要采取一系列的数据安全管理措施,以确保数据的机密性、完整性和可用性。
1. 访问控制商业银行应该建立严格的访问控制机制,确保只有授权人员可以访问敏感数据。
具体措施包括:- 建立用户账号和密码管理制度,要求员工定期更换密码,并采用强密码策略。
- 采用多因素身份验证,例如指纹识别、动态口令等,提高访问安全性。
- 设立权限管理制度,根据员工职责和需要,分配不同的数据访问权限。
2. 数据加密商业银行应该采用数据加密技术,对敏感数据进行加密保护。
具体措施包括:- 采用对称加密算法或非对称加密算法,对数据进行加密存储和传输。
- 确保加密算法的安全性,定期更新密钥,防止密钥泄露和破解。
- 对于重要的数据传输,使用安全通信协议,如SSL/TLS,防止数据被窃听和篡改。
3. 安全审计和监控商业银行应该建立安全审计和监控机制,及时发现和处理安全事件。
具体措施包括:- 安装安全审计系统,记录关键数据的访问日志和操作日志。
- 建立安全事件响应机制,及时对异常事件进行分析和处置。
银联信息安全管理制度
#### 第一章总则第一条为确保我国银行卡联网通用系统(以下简称“银联系统”)的安全稳定运行,保护持卡人、发卡机构、收单机构及银联系统的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合银联系统实际情况,特制定本制度。
第二条本制度适用于银联系统各参与机构,包括但不限于发卡机构、收单机构、银联公司及其下属分支机构。
#### 第二章组织架构与职责第三条银联公司设立信息安全管理部门,负责统筹规划、组织协调、监督指导银联系统信息安全工作。
第四条信息安全管理部门的主要职责:1. 制定和实施银联系统信息安全管理制度;2. 监督各参与机构落实信息安全措施;3. 开展信息安全风险评估和应急响应;4. 组织信息安全培训与宣传;5. 协调解决信息安全事件。
第五条各参与机构应设立信息安全管理部门或指定专人负责信息安全工作,其主要职责包括:1. 落实银联系统信息安全管理制度;2. 加强信息系统安全管理;3. 组织信息安全培训;4. 及时报告和处置信息安全事件。
#### 第三章信息安全措施第六条信息系统安全1. 银联系统应采用符合国家标准的信息安全技术和产品,确保信息系统安全稳定运行;2. 信息系统应定期进行安全检查和漏洞扫描,及时修复漏洞;3. 信息系统应建立完善的访问控制机制,确保只有授权用户才能访问系统;4. 信息系统应采用数据加密、身份认证等技术,保障数据传输和存储安全。
第七条数据安全1. 银联系统应建立数据安全管理制度,明确数据分类、分级和安全管理要求;2. 对敏感信息进行加密存储和传输,确保数据安全;3. 定期对数据进行备份,防止数据丢失;4. 加强数据访问控制,防止未经授权的数据泄露。
第八条个人信息安全1. 银联系统应严格遵守《中华人民共和国个人信息保护法》,确保个人信息安全;2. 对个人信息进行脱敏处理,避免个人信息泄露;3. 加强个人信息收集、存储、使用、传输和销毁等环节的管理;4. 对个人信息安全事件进行及时报告和处置。
银行系统和数据安全管理规定模版
银行系统和数据安全管理规定模版银行系统和数据安全管理规定模板第一章总则为了保障银行系统和数据的安全,保护客户信息和资金安全,规范银行业务运作和管理,制定本规定。
第二章银行系统安全管理第一节系统安全保障措施1.银行系统应建设安全防护措施,确保系统运行安全、稳定,防止电脑病毒、黑客攻击。
2.建立系统运行日志和安全事件日志记录,及时发现系统故障、攻击等安全事件。
3.建立系统备份制度,对数据进行备份,并定期进行数据备份的测试。
第二节系统日常运维管理1.银行系统应定期进行系统巡检和维护工作,确保系统的正确性和一致性。
2.建立系统事件处置机制,对系统出现的故障和异常情况进行及时处理。
3.银行系统运维人员应遵守保密协议,对外不得泄露银行系统和客户数据相关信息。
第三章数据安全管理第一节客户信息保护1.银行应采取必要的保护措施,保护客户信息的机密性和完整性。
2.客户信息不得泄露给未经授权的第三方,不得被用于非法目的。
3.银行客户信息采集应尽量避免收集不必要的信息。
第二节数据备份与恢复1.银行应建立完善的数据备份和恢复机制,确保数据在损失后能够快速恢复。
2.对经常变动的数据,应定期进行备份和存档,对重要的数据要多重备份。
3.银行应建立完善的数据恢复演练机制,提高数据恢复速度和准确性。
第三节数据加密与保密1.银行应采取适当的加密手段和技术,确保数据的机密性和完整性。
2.对敏感数据应进行加密存储和传输,确保数据传输过程中的安全性。
3.银行应定期对系统、网络、数据进行安全检查,及时发现并处理安全隐患。
第四章其他规定1.银行应建立完善的安全管理制度、管理流程以及应急预案,确保在安全事件发生时能够迅速应对。
2.银行应定期进行安全培训和演练,提高运维人员的安全意识和技能。
3.银行应定期进行安全评估和漏洞扫描,及时排除系统和应用程序的漏洞。
第五章附则1.本规定自发布之日起生效,如有需要修改,应当经过正式程序进行修改。
2.本规定解释权归银行所有。
银联卡账户信息与交易数据安全管理规则
附件:银联卡账户信息与交易数据安全管理规则(经中国银联第一届风险管理委员会第二次会议审议通过)二○○四年十一月第一章总则1.1目的为加强银联卡账户信息与交易数据安全管理,保障成员机构及持卡人利益,防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈风险,特制定本规则。
1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则,确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性,防止数据遭到篡改、泄漏和破坏。
1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户。
其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构,也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。
1.4 定义1.4.1账户信息账户信息是指银联卡(包括银联标识卡和银联标准卡)上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。
记录在银联卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码。
与银联卡交易相关的用户身份验证信息包括:网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。
1.4.2 交易数据交易数据是指银联卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同。
基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码。
第二章权利与义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况,一旦发现问题,可向中国银联风险管理委员会报告。
各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的,可通过中国银联风险管理委员会向该机构申请损失赔偿。
2.2义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查,并向中国银联提供自查结果等书面报告,证明本机构已按照规定的程序实施了自查。
银联卡账户信息安全管理与服务
遗失纸文档 外部网络入侵
侧录 偶发攻击 未知
4 6
5 4 3
9.75% 14.63%
12.20% 9.75% 7.31%
外部原因 36.58%
6
一、当前账户信息安全风险形势 (二)境内账户信息安全总体风险形势
7
一、当前账户信息安全风险形势 (二)主要风险特征
泄漏案件以终端泄漏为主,但系统端泄漏危害较大
8
一、当前账户信息安全风险形势 (二)主要风险特征
系统端泄漏多为内部人员作案
收单机构内部人员从ATM系统监控数据库窃 取账户信息 MIS商户内部人员窃取商户收银系统违规留 存的账户信息 第三方机构设备维护人员通过后门程序窃 取账户信息
(一)银联卡账户信息安全管理标准ADSS
银联卡账户信息与 交易数据安全管理规则 银联卡密钥安全管理规 则【磁条卡部分】V1.0 银联卡账户信息安全事 件调查及处理操作流程 银联卡账户信息安全事 件应急预案
银联卡收单机构账户 信息安全管理标准
制度 体系
银联收单业务账户信息安 全合规评估管理暂行规定 银联卡账户信息安全合规 评估机构管理暂行办法 银联卡收单账户信息安全 合规评估工作试行办法
6000万美元 4140万美元 500 万美元 360万美元
公司收取近1.9亿美元的赔偿金,用于向因
本次泄露事件遭受损失的发卡机构支付换卡 费用补偿和伪卡损失赔偿。
3
一、当前账户信息安全风险形势 (一)当前境外账户信息安全风险形势
据不完全统计,从2005年至2009年,国际上超大规模(泄漏信息超 过100万条)的账户信息泄漏事件已发生16起
中国银联银行卡联网联合技术规范第部分数据安全
中国银联银行卡联网联合技术规范第部分数据安全1. 引言中国银联是中国领先的第三方支付和交易处理机构,为银行卡支付提供统一的跨行交易处理服务。
在银行卡联网联合技术规范中,数据安全是一个至关重要的方面。
本文档旨在介绍中国银联银行卡联网联合技术规范第部分数据安全的相关要求。
2. 数据安全要求2.1 敏感数据保护敏感数据是指包含用户个人信息和支付信息的数据。
为保护敏感数据的安全,银联银行卡联网联合技术规范要求以下措施:•数据加密:敏感数据在传输和存储过程中需要进行加密处理,以防止数据泄露。
•数据脱敏:在数据的展示和存储过程中,需要对敏感数据进行脱敏处理,以保护用户隐私。
•访问控制:对敏感数据的访问需要进行权限控制,只有经过授权的人员可以进行访问和操作。
2.2 数据传输安全数据传输安全是指在数据在网络中传输过程中的安全性。
为保护数据传输的安全,银联银行卡联网联合技术规范要求以下措施:•HTTPS协议:数据传输使用HTTPS协议进行加密,以防止数据被中间人攻击或窃听。
•安全传输协议:银联要求使用安全传输协议,如TLS等,来保证数据传输的安全性。
•数据完整性校验:在数据传输过程中需要对数据完整性进行验证,以防止数据被篡改。
2.3 数据存储安全数据存储安全是指在数据存储过程中的安全措施。
为保护数据存储的安全,银联银行卡联网联合技术规范要求以下措施:•数据备份:将数据进行定期备份,以防止数据丢失。
•数据加密:对于敏感数据的存储需要进行加密,以保证数据的安全性。
•访问控制:对于存储的数据需要进行访问权限控制,只有经过授权的人员可以进行访问。
2.4 数据审计与监控数据审计与监控是指对数据操作进行审计并进行实时监控。
为保证数据的安全性,银联银行卡联网联合技术规范要求以下措施:•数据操作记录:对于敏感数据的操作需要进行完整记录,包括操作人员、时间和操作内容等。
•异常监测:对于异常的数据操作行为进行实时监测和报警,及时发现并处理异常情况。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言数据安全是商业银行信息化建设的核心要素之一,也是保障客户信息安全和银行运营稳定的重要保障措施。
为了规范商业银行数据安全管理,保护客户隐私和银行业务运营安全,制定本规范。
二、适用范围本规范适用于所有商业银行及其分支机构,在数据安全管理中的各个环节和层面。
三、数据分类和分级保护1. 数据分类商业银行的数据按照敏感程度和重要性进行分类,分为核心数据、业务数据和基础数据三类。
- 核心数据:包括客户身份信息、账户信息、交易记录等,是银行业务运营的核心数据。
- 业务数据:包括业务流程中产生的数据,如贷款审批、风险评估等。
- 基础数据:包括银行组织架构、员工信息等。
2. 分级保护根据数据分类,商业银行应制定相应的数据安全保护措施,包括但不限于:- 核心数据:采用加密技术进行存储和传输,设置严格的权限控制,定期进行安全审计和风险评估。
- 业务数据:根据业务流程和风险等级,设置适当的权限控制和审计机制。
- 基础数据:确保数据完整性和可用性,设置备份和恢复机制,限制访问权限。
四、数据存储和传输安全1. 数据存储安全商业银行应采用安全可靠的存储设备和技术,确保数据的机密性、完整性和可用性。
具体措施包括:- 采用加密技术对核心数据进行存储和传输加密。
- 设立访问控制策略,限制非授权人员对存储设备的物理访问。
- 定期进行数据备份,并设置可靠的灾备机制。
2. 数据传输安全商业银行在数据传输过程中应采取一系列安全措施,确保数据的机密性和完整性。
具体措施包括:- 采用加密技术对数据进行加密传输。
- 建立安全的网络通信通道,防止数据被篡改或窃取。
- 设置访问控制策略,限制非授权人员对数据传输通道的访问。
五、数据权限管理1. 用户权限管理商业银行应建立完善的用户权限管理制度,确保每个用户的权限符合其工作职责和需求。
具体措施包括:- 采用最小权限原则,给予用户最低限度的权限。
- 定期审查和更新用户权限,及时撤销离职员工的权限。
商业银行数据安全管理规范
商业银行数据安全管理规范一、引言随着信息技术的不断发展,商业银行的数据安全问题日益凸显。
为了保护客户的隐私和银行的利益,制定一套科学、合理、可行的数据安全管理规范是至关重要的。
本文将详细介绍商业银行数据安全管理规范的要求和措施。
二、数据分类和保密级别商业银行的数据可以根据其重要性和敏感程度进行分类,并分配相应的保密级别。
常见的数据分类包括个人客户信息、企业客户信息、财务数据等。
根据不同的保密级别,商业银行应采取相应的安全措施,确保数据的机密性、完整性和可用性。
三、数据安全管理措施1. 人员管理商业银行应制定明确的员工数据安全管理制度,并确保员工对数据安全管理规范有清晰的认识和理解。
员工应接受数据安全培训,并签署保密协议。
商业银行应定期进行数据安全意识教育和培训,加强员工的数据安全意识。
2. 访问控制商业银行应实施严格的访问控制机制,确保只有授权人员才能访问和操作相关数据。
这包括权限管理、身份认证、密码策略、账号锁定等措施。
商业银行应定期审查和更新权限,及时撤销离职员工的访问权限。
3. 网络安全商业银行应建立健全的网络安全体系,包括防火墙、入侵检测系统、安全审计系统等。
商业银行应定期对网络进行漏洞扫描和安全评估,及时修补漏洞,防止网络攻击和数据泄露。
4. 数据备份和恢复商业银行应制定完善的数据备份和恢复策略,确保数据不会因为硬件故障、自然灾害等原因而丢失。
备份数据应存储在安全可靠的地方,定期进行备份和恢复测试,保证备份数据的可用性和完整性。
5. 加密技术商业银行应采用合适的加密技术,对敏感数据进行加密存储和传输。
加密算法应选择安全可靠的算法,并定期更新密钥。
商业银行应建立密钥管理制度,确保密钥的安全性和可控性。
6. 安全审计和监控商业银行应建立安全审计和监控机制,对关键系统和数据进行实时监控和记录。
商业银行应定期进行安全审计,发现和处理安全事件,及时采取措施防止类似事件的再次发生。
四、数据安全事件处理商业银行应建立健全的数据安全事件处理机制,包括事件报告、调查、修复和追责等环节。
银行信息安全管理规定
银行信息安全管理规定1. 引言银行作为金融行业的重要组成部分,拥有大量敏感客户数据和财务信息。
为了维护银行系统的稳定和信息的安全性,银行需要严格遵守信息安全管理规定。
本文旨在制定一套银行信息安全管理规定,确保银行的信息系统和客户数据受到充分的保护。
2. 信息安全管理政策银行应制定明确的信息安全管理政策,确保信息安全策略与银行的战略目标相一致。
该政策应包括以下内容:2.1 信息安全目标银行的信息安全目标应明确界定,包括对客户数据安全、系统安全和网络安全的要求。
同时需要设定合理的目标指标和时间表,以达到这些目标。
2.2 组织与责任银行应设立信息安全管理部门,并明确每个部门和人员在信息安全方面的职责和权限。
同时,应有一个信息安全委员会负责定期审查和监督银行的信息安全工作。
2.3 信息资产分类与标记银行应对所有的信息资产进行分类,并为每个分类设定不同的访问权限和安全标记。
只有经过授权的员工才能访问对应的信息资产,以确保信息的机密性、完整性和可用性。
2.4 内部信息安全培训银行应定期组织内部信息安全培训,教育员工了解信息安全政策、规定和流程,并提高其信息安全意识。
同时,应对新加入的员工进行信息安全培训,确保其熟悉并遵守信息安全规定。
2.5 外部合作伙伴管理银行与外部合作伙伴之间的数据交换和共享应建立安全的通信机制,并与合作伙伴签署保密协议。
银行应定期审查合作伙伴的信息安全措施,并要求其符合银行的信息安全要求。
3. 风险管理与安全控制银行应对可能存在的信息安全风险进行评估,并采取相应的安全控制措施进行预防和应对。
3.1 安全策略与计划银行应建立完善的信息安全策略和计划,包括对可能存在的风险进行分析和评估,制定相应的安全控制措施,并定期对安全策略和计划进行审查和更新。
3.2 安全漏洞管理银行应建立安全漏洞管理制度,定期进行安全漏洞扫描和评估,并及时修复发现的安全漏洞。
同时,应监控最新的安全威胁和漏洞情报,并采取相应措施加以防范。
银行信息技术和数据安全管理制度
银行信息技术和数据安全管理制度随着科技的迅速发展和普及,银行业务逐渐数字化,信息技术和数据安全问题也成为银行面临的重要挑战。
为了确保银行业务的安全性和可靠性,各银行都需要建立完善的信息技术和数据安全管理制度。
一、引言银行是社会中重要的金融机构,担负着大量客户信息和资金的管理任务。
信息技术和数据安全的保障对于银行业务的正常运营和客户的信任至关重要。
因此,银行必须制定相应的管理制度来确保信息技术和数据的安全。
二、信息技术管理制度1.信息技术规划银行应该明确自身信息技术发展的战略规划,根据业务需求和技术发展趋势,制定信息技术的发展目标和实施计划。
同时,要建立信息技术投资和运维管理制度,确保信息技术系统的稳定运行。
2.信息系统安全管理银行要成立专门的信息安全管理部门,负责制定信息安全策略、制度和标准,定期进行安全风险评估和应急响应演练。
此外,要加强对信息系统的监控和管控,采取身份认证、权限管理等措施保护数据安全。
3.网络和系统安全银行应建立健全网络安全管理制度,包括网络监控、入侵检测、防火墙设置等技术手段。
对于重要的系统和数据,要进行定期备份和加密,提高系统的抗攻击和恢复能力。
三、数据安全管理制度1.数据分类与保护银行应对数据进行分类和分级,根据不同的保密级别,采取不同的数据安全措施。
确保银行的机密信息只能被授权人员访问,对于敏感数据要加密存储和传输。
2.数据备份和恢复银行要建立数据备份和恢复制度,定期对重要数据进行备份,并将备份数据保存在安全的地点。
同时,要进行备份数据的定期测试和校验,确保备份数据的完整性和可用性。
3.人员管理和培训银行应建立完善的员工安全管理制度,包括人员招聘、培训和离职的安全措施。
员工要签署保密协议,接受定期的安全培训,加强对他们安全意识的教育,减少内部人员对数据的非法访问和使用。
四、风险管理和应急响应1.风险评估和管控银行应建立风险评估和管控制度,对银行信息技术和数据安全的潜在风险进行评估,并采取相应的措施进行管控。
银联卡支付信息安全管理标准
银联卡支付信息安全管理标准==================1. 物理安全--------1.1 访问控制:对于物理访问,应使用门禁系统,并严格控制进出人员,确保只有授权人员才能访问敏感区域。
1.2 防盗和防破坏:安装监控摄像头,对重要设备和数据进行24小时监控,以防止任何形式的破坏或盗窃。
1.3 环境控制:保持机房和办公区域的环境稳定,包括温度、湿度和清洁度,以确保设备正常运行。
2. 网络安全--------2.1 防火墙:部署先进的防火墙,以防止未经授权的访问和数据泄露。
2.2入侵检测和防御:实时监控网络流量,以检测任何异常行为或潜在的攻击。
2.3 数据加密:对于传输和存储的数据,应使用先进的加密技术进行加密,以确保数据的安全性。
3. 主机安全--------3.1 访问控制:对主机系统进行严格的访问控制,只有授权人员才能访问。
3.2 安全审计:对主机系统的所有活动进行审计,确保所有操作都是合规的。
3.3 防病毒和防恶意软件:安装防病毒和防恶意软件,以防止任何形式的恶意攻击。
4. 应用安全--------4.1 输入验证:对所有用户输入进行严格的验证,以防止注入攻击或其他形式的恶意输入。
4.2 会话管理:使用安全的会话管理机制,确保会话ID是不可预测的,并且每个会话都是安全的。
4.3 加密:对敏感数据进行加密存储,以确保数据的安全性。
5. 数据安全及备份恢复--------------5.1 数据备份:定期备份所有数据,包括交易数据、用户信息和客户信息。
备份数据应存储在安全的地方,以防数据丢失。
5.2 数据恢复:定期测试数据恢复过程,以确保在发生灾难时可以快速恢复数据。
5.3 敏感数据加密:对敏感数据进行加密存储和传输,以确保数据的安全性。
6. 运营安全--------6.1 安全培训:定期为所有员工提供安全培训,以提高他们的安全意识和技能。
6.2 安全意识宣传:通过定期的安全意识宣传活动,使员工了解并认识到网络安全的重要性。
银联信息安全管理制度
一、总则为加强银联信息系统安全管理,保障银联业务安全稳定运行,防范和降低信息安全风险,依据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合银联业务实际,制定本制度。
二、适用范围本制度适用于银联公司及其下属分支机构、子公司、关联企业及合作伙伴,以及其他与银联业务相关的信息系统。
三、管理原则1. 预防为主,防治结合:坚持安全发展理念,将安全防范贯穿于信息系统建设、运行、维护的全过程。
2. 规范管理,责任到人:建立健全信息安全管理制度,明确各部门、各岗位的职责,确保信息安全工作落到实处。
3. 技术保障,持续改进:采用先进的安全技术,不断提高信息安全防护能力,持续改进安全管理体系。
4. 依法合规,责任追究:严格遵守国家法律法规,对违反信息安全管理制度的行为,依法依规追究责任。
四、组织架构1. 成立银联信息安全工作领导小组,负责统筹协调、决策信息安全工作。
2. 设立信息安全管理部门,负责具体实施信息安全管理工作。
3. 各部门、各岗位明确信息安全职责,形成横向到边、纵向到底的信息安全责任体系。
五、信息安全管理制度1. 信息安全风险评估:定期对信息系统进行风险评估,识别潜在的安全风险,制定相应的防范措施。
2. 信息安全等级保护:按照国家信息安全等级保护制度要求,对信息系统进行等级划分,实施相应的安全防护措施。
3. 个人信息保护:严格执行《中华人民共和国个人信息保护法》,加强个人信息收集、存储、使用、传输、删除等环节的安全管理。
4. 网络安全防护:加强网络安全防护,包括防火墙、入侵检测、漏洞扫描、安全审计等,确保网络安全稳定运行。
5. 系统安全运维:建立健全系统安全运维管理制度,包括系统升级、补丁管理、系统备份、故障处理等。
6. 人员安全管理:加强员工信息安全意识培训,规范员工操作行为,防止内部人员泄露信息。
7. 应急响应:建立健全信息安全事件应急响应机制,及时应对和处理信息安全事件。
商业银行数据安全管理规范
商业银行数据安全管理规范一、背景介绍随着信息技术的快速发展,商业银行在日常运营中处理的大量敏感客户数据面临着越来越严峻的安全威胁。
为了确保客户数据的保密性、完整性和可用性,商业银行应建立一套科学、规范的数据安全管理规范。
二、数据分类与保密级别商业银行应对其处理的数据进行分类,并根据数据的重要性和敏感程度确定相应的保密级别。
常见的数据分类包括个人身份信息、财务信息、交易记录等。
商业银行应根据国家相关法律法规和行业标准,制定数据分类及保密级别的具体标准。
三、数据安全管理措施1. 访问控制商业银行应建立严格的访问控制机制,确保只有经过授权的人员才能访问敏感数据。
具体措施包括:- 建立用户身份认证机制,包括用户名、密码、指纹等多种认证方式。
- 设定不同用户角色和权限,限制用户对数据的访问和操作权限。
- 定期审查和更新用户权限,及时撤销离职人员的访问权限。
2. 数据加密商业银行应对敏感数据进行加密,确保数据在传输和存储过程中不被窃取或篡改。
具体措施包括:- 使用强密码算法对数据进行加密,确保数据的机密性。
- 建立密钥管理机制,定期更换密钥以防止密钥泄露。
- 对数据传输通道进行加密,如使用SSL/TLS协议进行加密传输。
3. 数据备份与恢复商业银行应建立完备的数据备份与恢复机制,以应对数据丢失或损坏的情况。
具体措施包括:- 定期对数据进行备份,并将备份数据存储在安全可靠的地方。
- 建立灾备中心,确保备份数据的可用性和可恢复性。
- 定期测试数据恢复机制,确保数据能够在紧急情况下及时恢复。
4. 安全审计与监控商业银行应建立完善的安全审计与监控机制,及时发现和应对安全事件。
具体措施包括:- 定期对系统和网络进行安全审计,发现潜在的安全隐患。
- 部署入侵检测和防火墙等安全设备,实时监控网络流量和系统行为。
- 建立安全事件响应机制,及时处理和报告安全事件。
5. 员工培训与意识提升商业银行应加强员工的数据安全意识和技能培训,确保员工能够正确处理和保护敏感数据。
银联卡账户信息与交易数据安全管理规则
银联卡账户信息与交易数据安全管理规则附件:银联卡账户信息与交易数据安全管理规则(经中国银联第一届风险管理委员会第二次会议审议通过)二??四年十一月银联卡账户与交易数据安全管理规则第一章总则1.1目的为加强银联卡账户信息与交易数据安全管理~保障成员机构及持卡人利益~防止账户信息与交易数据的丢失和泄漏~避免由此带来的欺诈风险~特制定本规则。
1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则~确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性~防止数据遭到篡改、泄漏和破坏。
1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户。
其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构~也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。
1.4 定义1.4.1账户信息账户信息是指银联卡,包括银联标识卡和银联标准卡,上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。
记录在银联卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码。
与银联卡交易相关的用户身份验证信息包括:网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。
1.4.2 交易数据交易数据是指银联卡在各类业务中的交易处理数据~数据内容视业务不同而有所不同。
基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码。
1银联卡账户与交易数据安全管理规则第二章权利与义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况~一旦发现问题~可向中国银联风险管理委员会报告。
各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的~可通过中国银联风险管理委员会向该机构申请损失赔偿。
2.2义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查~并向中国银联提供自查结果等书面报告~证明本机构已按照规定的程序实施了自查。
商业银行银行卡系统的信息安全管理暂行规定
商业银行银行卡系统的信息安全管理暂行规定第一章总则第一条为加强本行银行卡系统的信息安全保护工作,保障**银行卡系统信息系统安全、稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和《金融机构计算机信息安全保护工作暂行规定》等有关法律法规,制定本规定。
第二条 **银行卡系统的运行维护工作由杭州联合农村商业银行总行运营管理部下的机房(以下简称“中心机房”)承担。
第三条**的运营管理部负责应对银行卡系统的信息安全进行安全监管。
第二章安全人员管理第四条本规定所称计算机安全人员,是指中心机房的银行卡运行维护员。
第五条计算机安全人员应当政治过硬、业务素质高、遵纪守法、恪尽职守。
第六条违反国家法律、法规和行业规章受到处罚的人员,不得从事银行卡系统的安全管理工作。
第七条运行维护人员的职责是:(一)负责银行卡系统安全管理的日常工作及安全检查工作;(二)贯彻执行领导小组的决议,指导、监督、协调和规范银行卡系统安全工作;(三)拟订银行卡系统安全总体规划和银行卡系统安全管理制度,并监督执行;(四)组织负责银行卡系统安全知识的培训和宣传工作;(五)配合有关部门进行银行卡系统安全内部审计和银行卡犯罪案件调查,打击金融犯罪;(六)加强与公安机关计算机安全职能部门、政府安全保密职能部门联系,并接受指导;(七)及时向计算机安全工作领导小组和有关部门、单位报告银行卡安全事件。
第三章银行卡系统要害岗位人员管理第八条本规定所称银行卡系统要害岗位人员,是指与银行卡系统直接相关的项目开发人员、系统管理员、网络管理员、运行维护员、业务操作员等岗位人员。
第九条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。
项目开发人员、系统管理人员、运行维护人员、业务操作人员不得互兼。
第十条对要害岗位人员应实行年度强制休假(或轮岗)制度和定期考查制度,并定期进行安全教育和培训。
第十一条要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
银行卡帐户信息与交易数据安全管理办法[1]
![银行卡帐户信息与交易数据安全管理办法[1]](https://img.taocdn.com/s3/m/ced72af658f5f61fb736666a.png)
银行卡帐户信息与交易数据安全管理办法第一章总则第一条为加强商业银行对银行卡信息与交易数据安全管理,保证本行及持卡人的利益,防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈等风险,特制定本办法。
第二条银行卡账户信息与交易数据的管理遵循从严管理、权责明确等原则,确保账户信息与交易数据在银行卡业务处理各环节中的安全性、完整性和可用性,防止数据遭到篡改、泄漏和破坏。
第三条本办法适用于本行涉及银行卡账户信息与交易数据的部、室、支行及相关单位。
第四条账户信息是指银行卡上记录的所有账户信息以及与银行卡交易相关的用户身份及验证信息。
记录在银行卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码等信息。
用户身份及验证信息包括:用户姓名、密码、证件号码、联系方式等。
第五条交易数据是指银行卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同。
内容包括:卡号、密码、磁条信息、有效期、卡片验证码等。
第二章人员及组织管理第六条与银行卡业务相关的部门,根据本部门的业务等具体情况制定银行卡账户信息与交易数据安全相关的制度及检查程序,明确本部门各数据安全相关岗位的责任与权限。
第七条接触账户信息及交易数据的有关岗位的员工必须遵守本办法规定,履行保密义务,承担违规责任。
第三章访问控制第八条与银行卡业务相关的部、室、支行根据“业务需要”的原则,严格控制访问和使用账户信息和交易数据,防止未经授权擅自对数据进行查看、篡改和破坏。
第九条业务需要是指“会有业务上需要者才能访问相关数据,并且只能访问需要使用的数据”。
第十条未经总行允许,与银行卡业务相关的部、室、支行不得向持卡人本人以外的单位和个人透露持卡人的资料、交易明细等信息。
第四章数据的保护、使用与销毁第十一条日常银行卡业务中,与业务相关的人员方可操作自己权限范围内的数据。
第十二条业务人员的操作屏幕不得向外界展示,不允许拍照等泄露账户及交易信息的行为发生。
第十三条所有涉及银行卡的相关资料必须指定专人负责保管,未经总行同意的任何人员不得私自对资料进行复印、拷贝、拍照等操作。
银联卡账户信息安全管理标准(ADSS)工作要求
银联卡账户信息安全管理标准(ADSS)工作要求银联卡账户信息安全管理标准(ADSS)工作要求(特约商户篇)宣贯对象:适用于各类基于POS、移动POS、电话支付终端、MIS系统等终端类型开展银行卡受理业务的特约商户。
一、什么是银联卡账户信息银联卡账户信息是指记录在银联卡片上的卡号、卡片有效期、磁道信息、卡片验证码(CVN)等信息,以及网上业务、电话银行、手机银行等业务的用户注册名、银行卡密码(PIN)、真实姓名、证件号码、联系方式等身份验证信息。
其中,银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)和卡片有效期是敏感账户信息,应进行重点保护。
二、银联卡账户信息安全管理标准(ADSS)1有哪些基本要求1、商户银行卡受理系统、商户收银系统和终端机具等均不得留存银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息;2、受理终端应对打印的交易凭条(“预授权”交易除外)、交易流水清单,以及终端电子屏幕显示的银行卡部分卡号信息予以屏蔽。
屏蔽内容是除卡号前6位和后4位以外的其余卡号字段。
3、收银员、收银主管等商户员工有义务对银行卡卡号、交易数据和持卡人资料进行保密;4、收银员特别是收银主管应妥善保管POS 终端个人操作密码,防范终端操作权限被冒用;5、定期邀请收单机构对商户内部员工开展账户信息安全管理培训;6、定期主动开展账户信息安全自评估;有条件的商户,聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估;7、发生账户信息泄漏事件时,积极配合收单机构做好应急处臵、事件调查等工作。
三、如何才能达到银联卡账户信息安全管理的工作要求呢特约商户应向所属收单机构寻求支持和帮助,对照银联卡账户信息安全管理制度规定,重点围绕以下方面做好账户信息安全管理工作:1、建立并明确商户内部各岗位对账户信息访问、存储、使用、传输、加密、销毁等环节的工作要求;2、加强对商户员工账户信息安全的培训,确保员工了解各自岗位职责、本岗位可访问账户信息的安全等级,以及违反安全规定可能导致的后果;3、选用通过中国银联安全认证、符合《银联卡收单机构账户信息安全管理标准》安全要求的终端机具和商户银行卡受理系统和商户收银系统;4、聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估;5、对于商户银行卡受理系统、商户收银系统以及终端机具已留存有银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息的,应立即进行全面排查整理,并彻底清除。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件:银联卡账户信息与交易数据安全管理规则(经中国银联第一届风险管理委员会第二次会议审议通过)二○○四年十一月第一章总则1.1目的为加强银联卡账户信息与交易数据安全管理,保障成员机构及持卡人利益,防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈风险,特制定本规则。
1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则,确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性,防止数据遭到篡改、泄漏和破坏。
1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户。
其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构,也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。
1.4 定义1.4.1账户信息账户信息是指银联卡(包括银联标识卡和银联标准卡)上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。
记录在银联卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码。
与银联卡交易相关的用户身份验证信息包括:网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等。
1.4.2 交易数据交易数据是指银联卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同。
基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码。
第二章权利与义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况,一旦发现问题,可向中国银联风险管理委员会报告。
各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的,可通过中国银联风险管理委员会向该机构申请损失赔偿。
2.2义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查,并向中国银联提供自查结果等书面报告,证明本机构已按照规定的程序实施了自查。
中国银联将牵头组织成立由各成员机构组成的调查评估小组,对各机构账户信息与交易数据安全管理进行调查, 各机构应积极配合调查工作。
第三章人员及组织管理3.1基本要求建立完善的信息安全管理体制,并制订账户信息与交易数据安全相关的制度及检查程序,明确各数据安全相关岗位的责任与权限。
3.2人员管理应与所有接触账户信息及交易数据的员工签署保密协议,在协议中明确员工需要承担的保密责任以及员工离职时的脱密期。
第四章访问控制4.1基本要求根据“业务需要”的原则,严格控制访问和使用账户信息和交易数据,防止未经授权擅自对数据进行查看、篡改和破坏。
业务需要是指“有业务上需要者才能访问相关数据,并且只能访问需要使用的数据”。
4.2 身份验证使用身份验证机制来授权和确认访问账户信息和交易数据的人员身份,包括进入存储或处理数据物理场所的身份鉴别机制,以及逻辑访问数据的身份鉴别机制。
4.3 权限管理限制数据访问权限,任何人都只能访问其开展业务所必需的数据。
严格控制员工对账户信息及交易数据的访问权限,访问权限的分配应遵循双人控制的原则,避免单个员工对账户信息及交易数据的完全控制。
在员工调离相关岗位时,应立即通知系统管理人员删除该员工注册的用户名及权限。
4.4 设备访问为了防止非法访问或者使用通讯设备擅自更改、破坏或泄露数据,应对访问通讯设备的特定程序和访问数据的时间和日期进行严格的控制和记录。
只有被授权人员才能按照事先制定的维护程序来更改设备的设置。
在设备维护前后都应对设备的访问授权控制进行测试。
4.5 密码管理为不同的用户设置不同的初始密码,然后由用户自行设定密码。
要求用户定期更改密码。
第五章数据的保护、使用与销毁5.1 数据的保护5.1.1基本要求严格保护以任何形式出现的账户信息及交易数据,具体包括:存储于各类计算机系统中的、存储在POS、ATM及其他终端设备中的、通过网络传送的、显示在电脑屏幕上的、通过POS或ATM等设备打印出来的各类信息。
指定专人保管保存在磁带、光盘等备份介质中的账户信息及交易数据,应将数据存放在装有门禁系统的机房或保险柜中。
5.1.2卡号屏蔽在ATM交易凭条、账单、网页、移动通讯设备或电子邮件中显示卡号信息时,必须采用卡号屏蔽的方式保护卡号安全。
5.1.3账户密码交易数据中的个人密码除了可以在硬件加密设备上以及在打印密码信封时可以以明文出现,其他情况下都不得以明文出现。
5.1.4数据传输与存放账户信息与交易数据在互联网中传输时必须进行加密。
对无法以电子方式传输的文件,应以发送方和接收方约定的安全方式传送。
必须对存储在能够通过外网访问的数据库中的数据进行加密。
不得将写有(存有)账户数据与交易信息的文件、软盘、光盘及电脑放置在没有安全保护的地方;同时只能由专人处理这些账户与交易数据。
5.2 数据的使用5.2.1基本要求未经发卡机构的书面许可,其他机构均不得将该发卡机构真实的账户信息及交易数据提供给第三方。
不得将真实的账户信息及交易数据用于软件开发及模拟测试。
有特殊情况需要使用真实的账户信息及交易数据进行开发及测试的,必须获得发卡机构的书面许可并签署保密协议。
使用时须指定专人保管,并在开发及测试结束后立即销毁。
5.2.2日志记录建立账户信息及交易数据访问与使用的日志记录机制与审核机制。
日志记录的内容包括:用户身份、使用类型、日期和时间、访问成功标记、访问的数据或系统设备名称等等。
风险主管人员应定期审核日志内容。
5.3 数据的销毁5.3.1基本要求各机构可根据本机构的实际情况确定账户信息及交易数据的保存期限,通常不少于两年。
对于超出保存期限的账户信息及交易数据,必须及时销毁,以免造成信息的泄漏。
5.3.2销毁方式以粉碎或焚毁的方式销毁所有无用或过期的账户信息与交易数据;通过消磁、删除、破坏等方式对报废设备或介质中的账户信息与交易数据进行处理。
第六章系统管理6.1 基本要求账户信息及交易数据必须在具有安全保护措施的系统中存储、传输,系统的安全保护措施包括确保网络安全,安装、更新防火墙、防病毒软件等。
6.2 管理措施当内部网络与外部网络相连接时,必须对网络进行监控,以及时发现对内部网络的攻击。
当用户通过公共网络访问账户与交易信息时,必须提醒用户“在公共网站填报、访问账户信息可能泄漏交易数据”。
对软件的版权、来源、版本等作详细审核和登记;及时更新操作系统软件,并及时安装软件的安全补丁。
应定期对系统安全性能进行测试,测试的内容包括:系统漏洞,防病毒、防火墙性能等。
从内到外以及从外到内的数据都必须通过防火墙,防火墙必须隐藏它所保护的网络的结构,并在侦测到异常现象时发出警报。
不得将设备或系统供应商提供的默认值作为与系统安全有关的控制参数,如设备或系统访问密码。
第七章事故处理7.1 基本要求专门制订针对账户信息及交易数据安全事故处理的应急处理方案,确保及时有效地处理各种意外情况。
一旦出现账户信息与交易数据遭到篡改、泄漏和破坏的安全事故,必须立即对事故进行调查处理,并直接或通过中国银联通报相关机构采取措施,避免造成进一步的损失。
7.2 事故报告成员机构可通过银行卡风险报告系统报告与账户信息与交易数据相关的安全事故;商户及第三方服务机构可通过相关成员机构提交有关报告或直接向中国银联及其分支机构提交有关报告。
第八章特别要求8.1 对成员机构的特别要求8.1.1 第三方服务机构及商户管理成员机构应每年定期或不定期地监督、检查其第三方服务机构及特约商户,确保其认真执行本办法中对第三方服务机构及特约商户的要求。
对于不符合本办法中安全规定的第三方服务机构及特约商户,必须采取控制措施直至其符合规定为止。
成员机构必须对其签约的第三方服务机构或商户的账户信息和交易数据安全负全部责任。
8.1.2 与第三方服务机构或商户签订协议的要求协议中应当明确第三方机构及商户在账户信息和交易数据安全方面承担的责任,对于所有与自身存在合作关系并能够访问账户信息和交易数据的机构(包括第三方服务机构与商户),必须在与其签订的协议、合同或相关附件中包括以下内容:严格遵守《银联卡账户信息和交易数据安全管理规则》未经特别许可,不得将账户信息及交易数据提供给第三方。
承担因本机构账户信息与交易数据管理不善,导致账户信息与交易数据因篡改、泄漏和破坏而造成的全部损失。
如果未能满足中国银联银联卡账户信息与交易数据管理办法的各项要求,成员机构有权解除或终止协议。
无条件配合成员机构或中国银联对其进行的有关账户信息与交易数据安全的检查。
8.2 对商户和第三方服务机构的特别要求禁止将账户信息和交易数据提供给除收单机构或收单机构指定的代理机构以外的第三方。
除了专门从事发卡系统外包服务的第三方机构外,其他机构只能存储用于交易清分所必需的最基本的账户信息和交易数据,不得存储磁条信息、卡片验证码及个人密码。
账户信息和交易数据只用于辅助完成银联卡交易,不得将账户信息和交易数据用于除此之外的任何其他用途,也不能将上述数据提供给任何未被授权的个人或机构。
未经收单机构或中国银联授权,不得擅自对包含账户信息或交易数据的设备进行更改和维护。
第九章赔偿及处罚中国银联风险管理委员会是银行卡账户信息与交易风险事件赔偿、处罚的调解、界定及仲裁机构。
赔偿及处罚视情节严重程度而定,措施包括赔偿、罚款、限期整改或中止协议等。
第十章附则10. 1 修订中国银联将在广泛征集成员机构合理建议的基础上,对本规则的相关规定进行修订。
10. 2发布与实施本规则经中国银联风险管理委员会审定,由中国银联发布并组织实施。
各成员机构、专业化服务机构及特约商户可依据本规则,制定内部实施细则。
附件:银联卡账户信息与交易数据安全管理实践指南附录:术语表访问权限控制(Access Control):是指通过授权接触信息的人来限制接触信息和信息处理资源的功能。
物理访问控制(Physical Access Control):是指在未授权人员和被保护的信息来源之间设置物理保护的控制。
逻辑访问控制(Logical Access Control):指利用其他方法控制访问。
账户和交易信息(Account and Transaction Information)见1.1节中定义。
账号(Account Number)主卡持卡人的账号是指凸印或平印在银联规则卡上的号码。
身份鉴别(Authentication)用来验证身份或证实信息完整性的过程。
分级(Classification)将信息分成许多类别,以便对不同类别施行适当控制的方法。
可以基于信息的类别、重要程度、潜在的欺诈危险性或敏感度进行分类。
信息(Information) 是指一个机构用作转移资金、设定等级、发放贷款、处理交易等所用的任何数据。