第三方机构接入中国银联的技术安全要求修订说明.PDFVIP

《第三方机构接入中国银联的技术安全要求》修订说明 一、 修订背景 《第三方机构接入中国银联的技术安全要求》自发布以来对接入银联 的第三方机构的技术安全标准起到了规范作用。但随着金融行业对于信息 安全的要求愈渐加强，制度中部分要求有待更新，部分技术要点亦需进一 步的明确。结合实际工作开展中遇到的一些具体问题，有必要对此要求进 行修订。 二、 主要修订内容 1、将部分指导性要求调升为强制性要求 随着行业监管要求和机构信息安全水平的提高，制度中部分指导性的 要求 （用于指导机构采取相关安全措施，降低自身信息系统和给银联卡业 务带来的安全风险，不作强制要求）现已成为基础的技术安全需求。因此， 原对于安全管理的部分指导性要求如建立信息安全制度、开展安全培训、 建立安全事件报告流程及应急处理预案等，现提升为强制性要求，是机构 入网的必须条件。 2、更新参考标准 三年来银联的相关制度标准持续更新，在受理银联卡终端安全要求部 分，更新了银联卡受理终端及受理信息系统所应遵循的规范及标准。 3、明确部分技术要求 如在网络安全要求中原规定需在网络边界处部署入侵防御（检测）系 统，现将网络边界明确为“生产网和互联网的接入处”；确定了定期扫描、 定期培训、密码定期修改的频率；增加对测试环境、生产环境的安全要求。 中国银联技术管理部 二〇一二年六月 修订列表 部分 标号 更改内容 增加： 1.1 范围 1 1.2 规范性引入文件 目录 1.3 术语和缩略语 增加： 2 2.1 2.1 安全管理 删除： 《PIN输入设备安全评估指南》 1 1.2 增加： 《银联卡受理终端安全规范》 《中国银联移动终端支付应用软件安全规范》 《银联卡账户信息与交易数据安全管理指南》 《GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求》 增加： （1）第三方机构需建立信息安全制度，并通过有效而正式的方式进行发布。 （2）第三方机构应对安全制度中不适用或需改进的地方进行修订。 2.1 （3）第三方机构中员工需接受适当的安全培训；系统运维人员须熟知各类安全制度、信息 系统运维手册和应急预案等。 （4）第三方机构需建立安全事件报告流程及应急处理预案。 （5）第三方机构需知道中国银联生产运行值班台的联系方式。 删除： （5）终端与中国银联（或第三方机构系统平台）之间的通讯，如需先经过商户的网络或系 统，第三方机构应对敏感信息（主要有磁道信息、卡片验证码、个人标识代码及卡片有效 2.3.1 期）加密或督促商户采取安全措施，确保银联卡账户敏感信息不被泄漏。 （6）终端采用GPRS/CDMA方式接入银联网络（或第三方机构系统平台）时需对敏感信息加 密。 更改：