mPOS受理终端安全要求手册..doc

mPOS受理终端安全要求手册 mPOS受理终端标识 产品名/编号： 硬件版本A： 用‘x’表示 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 固件版本： 应用程序版本： 在这个表格后面附加设备规格说明（包括设备照片）用以突出设备的特性。照片应该包含设备外部和内部结构，内部照片应该足以显示设备的各个组件。 mPOS受理终端标识中的可选变量 A硬件版本-要求使用变量“x”（注意：同样也适用于固件版本号） “x”位置 所选择位置的”x”说明 1 主版本号 2 辅版本号 3 辅版本号 2.安全要求 2.1 mPOS支付软件安全要求 核心-所有的上位机支付应用都必须满足下列要求： 2.1.1账户信息安全保护 受理终端（mPOS）应对账户信息进行安全保护。账户信息保护要求参见《银联卡收单机构账户信息安全管理标准》（银联风管委【2013】9号）和《银联卡账户信息与交易数据安全管理规则》（银联风管委【2006】6号）。 其中，完整磁道信息、PIN、卡片验证码、卡片有效期等敏感数据应被安全加密和解密，在受理终端和后台系统的硬件加密模块之外不得以明文形式出现，应保证数据在处理和传输过程中不被泄露、窃取和篡改。受理终端应对IC卡关键数据进行加密保护，使得上位机无法获取相关数据的原始信息。 任何设备和系统均不得存储敏感账户信息（即使已经加密），账户信息只用于完成当前合法银联卡交易，不得用于任何其他用途。 符合 不符合 不适用 2.1.2交易信息安全保护 除卡号、PIN、磁道信息、有效期、卡片验证码等交易信息（参见银联风管委【2013】9号和【2006】6号相关风险要求）之外，还应保证交易金额、交易类型、商户代码、交易流水号等关键交易信息在处理和传输过程中不被篡改。 符合 不符合 不适用 2.1.3交易真实性 对交易报文的来源进行鉴别，保证交易真实性，防止信息伪造和重放攻击。 符合 不符合 不适用 2.1.4数据传输安全 受理终端采用开放协议与上位机交互的，应保证传输数据的安全。 符合 不符合 不适用 2.1.5通讯网络安全要求 上位机与后台系统间数据不应以明文形式传输，应采用强壮的加密算法和安全协议，例如：安全套接字层（SSL3.0及以上的版本）/传输层安全（TLS 1.0及以上版本）或IP安全协议（IPSEC），或采用交易信息全报文加密（此全报文加密应由受理终端完成）等形式，以保护数据在开放/公共网络上的传输。应安全存储相关证书和密钥，防止泄露。 符合 不符合 不适用 2.1.6协议弱点评估 厂商应进行弱点评估，以确保安全协议不包含可利用的弱点。 符合 不符合 不适用 2.1.7重放及异常检测 受理终端、相关应用和系统应能抵御重放攻击，防止加密数据和交易报文被重用。 符合 不符合 不适用 2.1.8位置信息模块保护要求 如果防移机模块集成在受理终端上，在要求攻击分值小于14的情况下，任何渗透防移机通讯模块从而附加、替换和修改防移机通讯模块的软件或硬件，以获取或修改任何敏感数据的攻击都是不可行的。 符合 不符合 不适用 2.1.9位置信息保护要求 受理终端或上位机应支持地理位置信息获取和上送能力。地理位置信息上送时，应保证其真实性和完整性，如果防移机模块集成在受理终端，则应在系统自检时对防移机模块执行自检。 符合 不符合 不适用 2.1.10安全提示 终端应提供相关机制，确保交易过程中流程关键环节（如：交易金额及交易类型确认，密码输入等）和交易结果能安全、有效地向持卡人和收银员进行强制提示，确认后才可进行下一步操作。 符合 不符合 不适用 2.1.11方案评估 针对mPOS设计技术安全解决方案范例，作为《中国银联mPOS通用技术安全要求》的补充，为终端、上位机支付应用软件和后台系统的设计及开发提供参考。《中国银联mPOS通用技术安全要求》侧重软硬件设备本身的安全要求，本文档方案范例侧重整体应用流程安全及其过程中各部分的安全操作。 符合 不符合 不适用 2.2 支付应用安全要求 核心-所有的上位机支付应用都必须满足下列要求： 2.2.1应用软件的需求安全分析 针对软件的需求进行信息识别和风险评估，制定安全目标以及最低BUG标准。 符合 不符合 不适用 2.2.2应用软件系统软件设计威胁建模 包括系统架构概述、分解应用程序、识别风险、识别漏洞等。主要从以下几个方面实行：