银联卡收单机构账户信息安全管理标准

支付行业门户网站-支付界（）支付有道-专业预付卡系统提供商电话：010-8596931913681285285银联风管委〔2008〕1号签发人：闫强关于印发《银联卡收单机构账户信息安全管理标准》的函各成员机构：为加强银联卡收单网络账户信息安全管理，进一步明确和细化对收单业务各参与方账户信息安全管理要求，防范由收单网络引发的账户信息泄漏风险，中国银联风险管理委员会审议通过了《银联卡收单机构账户信息安全管理标准》。现予以印发，请转知所属并遵照实施。执行过程中如有任何意见和建议，请及时与中国银联风险管理委员会办公室联系。联系人：邱俊电话：021-50362517传真:021-50362534E-mail:junqiu@chinaunionpay.com二〇〇八年二月二日—2—支付行业门户网站-支付界（）支付有道-专业预付卡系统提供商电话：010-8596931913681285285银联卡收单机构账户信息安全管理标准第一章总则1.1目的为加强银联卡收单网络账户信息安全管理，进一步明确和细化对收单业务各参与方账户信息安全管理要求，防范由收单网络引发的账户信息泄漏风险，根据《银联卡账户信息与交易数据安全管理规则》，特制定本标准。1.2适用范围本标准适用于下列三类机构：1.2.1银联网络内从事银联卡收单业务的收单机构1.2.2向银联卡收单机构提供收单专业化服务的第三方机构1.2.3银联卡收单特约商户对于上述机构，只要业务涉及银行卡主账号（卡号）的处理、传输或存储，均适用本标准。收单机构应根据本标准及《银联卡账户信息与交易数据安全管理规则》相关规定，对与之开展收单业务合作的第三方机构或特约商户的账户信息安全管理提出具体要求，并通过合作协议的方式予以明确。第二章基本要求2.1磁道信息、卡片验证码、个人标识代码及卡片有效期—4—各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期。磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易，不得用于除此之外的任何其他用途。标准2.1“磁道信息、卡片验证码、个人标识代码及卡片有效期”的适用自本标准颁布之日起5年内为过渡期，各机构应在过渡期内尽快达标。过渡期内未达到本条标准而引发的账户信息泄漏责任不予免除。2.2银行卡主账号（卡号）严格控制银行卡主账号的使用与存储。银行卡主账号的存储仅限以下业务需要：业务处理；清分与清算；差错处理；业务对账；交易查询与分析；案件协查、风险管理与监控。2.3持卡人身份证件号码各收单机构必须采取严格措施保护持卡人身份证件号码，严格控制身份证件号码的使用。对开展基于用户定制类交易需要存储、传输身份证件号码时，必须建立使用与销毁登记制度。在满足上述基本要求的基础上，各收单机构必须按照本标准第三章至第八章的规定管理银联卡账户信息。第三章政策制定3.1建立账户信息安全管理制度体系各收单机构应依照本标准，建立账户信息安全管理制度体系，支付行业门户网站-支付界（）支付有道-专业预付卡系统提供商电话：010-8596931913681285285以明确工作职责、规范工作流程。制度体系的管理范畴应涵盖本单位、合作第三方机构、收单商户，相关制度至少应包括以下内容：3.1.1账户信息安全管理规定3.1.2日常管理及操作流程3.1.3检查及监督机制3.1.4应急处理流程3.2制订账户信息安全管理规定根据本标准中的各项规定，提出本单位账户信息安全管理工作原则，建立内部组织管理架构，明确账户信息安全管理总体要求，并根据本单位账户信息安全管理的实际情况修订或调整有关制度。3.3建立账户信息安全管理操作流程对账户信息的访问、存储、使用、传输、加密、销毁等环节提出具体工作要求，明确各岗位在账户信息安全管理方面的工作内容。3.4落实账户信息安全管理权限及责任严格账户信息安全的权限管理，确保以下账户信息安全核心工作落实到岗位，责任落实到人：3.4.1管理、控制对账户信息的访问权限3.4.2监控所有对账户信息的访问活动3.4.3及时处理突发账户信息安全事件3.4.4检查、监督账户信息安全管理规定的落实3.5建立账户信息安全监督及检查机制—6—3.5.1建立日常管理监督机制（如用户登录日志及操作日志审核），确保落实账户信息安全管理的各项要求。3.5.2建立账户信息安全检查机制和工作流程，及时发现管理漏洞，确保体系内账户信息安全。包括：3.5.2.1建立账户信息安全日常检查机制和工作流程；3.5.2.2定期评估账户信息安全管理方面存在的不足；3.5.2.3根据安全管理实际，及时对检查机制和工作流程进行调整。3.6建立对合作的第三方机构的账户信息安全管理机制，包括：3.6.1第三方机构必须严格遵守本标准中的各项规定；3.6.2在合作协议中明确第三方机构应承担的账户信息安全管理责任；3.6.3根据本标准对第三方机构的账户信息安全管理进行监督检查及认证3.7建立账户信息安全事件应急预案建立账户信息安全事件应急预案，定期演练，及时、有效应对账户信息安全事件，降低事件造成的经济损失及不利影响。3.8账户信息安全管理审计定期开展账户信息安全管理相关的内部或外部审计，并根据审计结果完善相关制度、流程。支付行业门户网站-支付界（）支付有道-专业预付卡系统提供商电话：010-8596931913681285285第四章组织管理4.1岗位职责4.1.1设臵账户信息安全管理岗位各收单机构应设臵账户信息安全管理岗位，具体负责：4.1.1.1制订、管理本单位账户信息安全管理制度与流程；4.1.1.2对本单位账户信息的使用进行管理监督4.1.1.3对与本单位合作的第三方机构、特约商户的账户信息安全管理进行监督4.1.1.4对账户信息安全相关事件进行分析处理4.1.2明确各岗位安全责任各收单机构应明确本单位各相关岗位账户信息安全管理中承担的责任。4.2人员管理4.2.1各收单机构应与所有可访问账户信息的员工签署保密协议，或在劳动合同中设臵保密条款。4.2.2各收单机构应加强员工账户信息安全培训，确保员工了解各自岗位职责、本岗位可访问账户信息的安全等级，以及违反安全规定可能导致的后果。4.2.3员工岗位调动或离职时，应立即终止或删除该员工对账户信息的访问权限。4.3违规人员风险信息共享—8—对因严重违反账户信息安全管理规定而被开除的员工，收单机构应通过中国银联风险信息共享系统报送违规员工个人信息，并标明报送原因。第五章访问控制5.1基本要求5.1.1权限管理根据“业务需要”原则，严格控制访问和使用账户信息，任何人都只能访问其开展业务所必需的账户信息，防止未经授权擅自对账户信息进行查看、篡改和破坏。应根据“双人控制”原则，对访问权限进行分配。5.1.2身份验证应至少采用下列一种方式验证访问账户信息的人员身份：5.1.2.1口令5.1.2.2令牌（如SecureID、证书等）5.1.2.3生物特征5.2逻辑访问控制5.2.1用户账号管理应分配唯一的用户账号给每个有权访问账户信息的系统用户，并采取以下管理措施：5.2.1.1在添加、修改、删除用户账号或操作权限前，应履行严支付行业门户网站-支付界（）支付有道-专业预付卡系统提供商电话：010-8596931913681285285格的审批手续；5.2.1.2对于连续90天未使用的账号应予以权限冻结；冻结后30天仍未使用的，应予以注销；5.2.1.3用户间不得共用同一个访问账号及密码。5.2.2用户密码管理应对用户密码管理采取下列措施，降低用户密码遭窃取或泄漏的风险：5.2.2.1对不同用户账号设臵不同的初始密码；用户首次登录系统时，应强制要求其更改初始密码；5.2.2.2用户密码长度不得少于6位，应由数字和字符共同组成，不得设臵简单密码；5.2.2.3系统应强制要求用户定期更改登录密码，修改周期最长不得超过3个月，否则将予以登录限制；5.2.2.4应对密码进行加密保护，密码明文不得以任何形式出现；5.2.2.5重臵用户密码前必须对用户身份进行核实。5.2.3系统登录控制系统登录连续失败达到5次的，应暂时冻结该用户账号；经系统管理员对用户身份验证并通过后，再恢复其用户状态。用户登录系统后，工作暂停时间达到或超过10分钟的，系统应要求用户重新登录并验证身份。5.2.4远程访问控制—10—应严格限制通过远程网络或无线网络对存储或处理账户信息的系统或设备进行访问；如确因业务需要而开放此功能的，应符合如下要求：5.2.4.1严格限制远程登录操作业务范围；实施严格的审批程序，对超出业务范围的操作请求应予以拒绝；5.2.4.2加强对远程网络或无线网络接入设备的管理，对接入设备进行限制，仅允许指定的设备接入；5.2.4.3仅在访问开始前激活远程登录端口，访问结束后应及时关闭；5.2.4.4在进行远程登录操作时，不得将账户信息通过远程网络存储到本地硬盘、软驱及其他外部存储介质；5.2.4.5远程登录操作应采用双因素验证方式，例如支持个人数字证书的VPN等；5.2.4.6建立远程登录操作文档记录，至少包括：远程访问人员、工作内容、持续时间，并要求监督人签字确认。5.2.5用户配臵文件管理应严格管理记录有系统用户登录或注册信息控制参数的配臵文件，控制访问配臵文件的权限，除系统管理员以外，不得向其他系统用户开放对配臵文件的访问权限。5.2.6日志管理各收单机构应建立完善的日志记录及审核机制，日志的内容应包括用户ID、操作日期及时间、操作内容、操作是否成功等。支付行业门户网站-支付界（）支付有道-专业预付卡系统提供商电话：010-85969319136812852855.2.6.1系统应对以下事件记录日志：5.2.6.1.1用户对账户信息的访问；5.2.6.1.2登录系统的方式；5.2.6.1.3失败的访问尝试；5.2.6.1.4系统管理员的操作；5.2.6.1.5对系统日志的访问；5.2.6.1.6其他涉及账户信息安全的系统记录。5.2.6.2所有重要系统时钟时间应保持同步，以真实记录系统访问及操作情况。5.2.6.3采取有效措施，防止系统日志被非法篡改：5.2.6.3.1严格控制对系统日志的访问，只有工作需要的人员才能查看系统日志；5.2.6.3.2及时将系统日志备份到专用日志服务器或安全介质内；5.2.6.3.3及时将无线网络日志复制到内部专用日志服务器；5.2.6.3.4采取监控软件保证日志的一致性与完整性。5.2.6.4每天应对系统日志进行审核，系统日志记录至少保存一年。5.3物理访问控制5.3.1存储或处理账户信息的设备和介质应安装在安全的物理隔离区域，实行专人管理，并严格限制对这些设备和介质的物理访—12—问。5.3.2安装有存储或处理账户信息设备的物理隔离区域应与其他业务、办公区域相隔离，并设臵门禁系统，只有通过身份验证的人员才能进入。5.3.3物理隔离区域进出通道均应安装录像监控设备，对人员、设备进出情况进行监控，监控录像资料至少保存三个月。5.3.4外部来访人员必须在获得审批授权并进行身份登记后方可进入物理隔离区域。5.3.5存储或处理账户信息的相关设备必须在获得审批授权后方可移入或移出物理隔离区域。第六章账户信息生命周期安全管理6.1账户信息处理6.1.1个人标识代码的加密个人标识代码在整个传输过程和主机系统中必须加密；受理终端应配备专用密码键盘，前臵系统、主机系统配备硬件加密机对个人标识代码进行加密保护。各收单机构前臵系统、主机系统以及受理终端均应采取双倍长密钥算法对个人标识码进行加解密。6.1.2密钥管理各收单机构应依照《银联卡密钥安全管理规则》（银联风管委„2004‟2号），对用于加密保护个人标识代码的密钥实施严格