银联卡账户信息与交易数据安全管理规则 .pdfVIP

银联卡账户信息与交易数据安全管理规则 .pdf

  1. 1、本文档共13页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

附件:

银联卡账户信息与交易数据

安全管理规则

(经中国银联第一届风险管理委员会第二次会议审议通过)

二○○四年十一月

第一章总则

1.1目的

为加强银联卡账户信息与交易数据安全管理,保障成员机构及持卡人利益,

防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈风险,特制定本规

则。

1.2基本原则

银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的

原则,确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和

可用性,防止数据遭到篡改、泄漏和破坏。

1.3适用范围

本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第

三方服务机构以及所有银联卡收单特约商户。其中第三方服务机构既包括从事商

户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务

机构,也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构。

1.4定义

1.4.1账户信息

账户信息是指银联卡(包括银联标识卡和银联标准卡)上记录的所有账户信

息以及与银联卡交易相关的用户身份验证信息。记录在银联卡上的信息包括:卡

号、卡片有效期、磁条信息、卡片验证码。与银联卡交易相关的用户身份验证信

息包括:网上业务、电话银行、手机银行等业务中的用户注册名、密码、真实姓

名、证件号码、联系方式等。

1.4.2交易数据

交易数据是指银联卡在各类业务中的交易处理数据,数据内容视业务不同而

有所不同。基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码。

第二章权利与义务

2.1权利

各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息

管理状况,一旦发现问题,可向中国银联风险管理委员会报告。

各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本

机构造成损失的,可通过中国银联风险管理委员会向该机构申请损失赔偿。

2.2义务

各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交

易数据安全管理自查问卷》进行自查,并向中国银联提供自查结果等书面报告,

证明本机构已按照规定的程序实施了自查。

中国银联将牵头组织成立由各成员机构组成的调查评估小组,对各机构账户

信息与交易数据安全管理进行调查,各机构应积极配合调查工作。

第三章人员及组织管理

3.1基本要求

建立完善的信息安全管理体制,并制订账户信息与交易数据安全相关的制度

及检查程序,明确各数据安全相关岗位的责任与权限。

3.2人员管理

应与所有接触账户信息及交易数据的员工签署保密协议,在协议中明确员工

需要承担的保密责任以及员工离职时的脱密期。

第四章访问控制

4.1基本要求

根据“业务需要”的原则,严格控制访问和使用账户信息和交易数据,防止

未经授权擅自对数据进行查看、篡改和破坏。业务需要是指“有业务上需要者才

能访问相关数据,并且只能访问需要使用的数据”。

4.2身份验证

使用身份验证机制来授权和确认访问账户信息和交易数据的人员身份,包括

进入存储或处理数据物理场所的身份鉴别机制,以及逻辑访问数据的身份鉴别机

制。

4.3权限管理

限制数据访问权限,任何人都只能访问其开展业务所必需的数据。

严格控制员工对账户信息及交易数据的访问权限,访问权限的分配应遵循双

人控制的原则,避免单个员工对账户信息及交易数据的完全控制。

在员工调离相关岗位时,应立即通知系统管理人员删除该员工注册的用户名

及权限。

4.4设备访问

为了防止非法访问或者使用通讯设备擅自更改、破坏或泄露数据,应对访问

通讯设备的特定程序和访问数据的时间和日期进行严格的控制和记录。

只有被授权人员才能按照事先制定的维护程序来更改设备的设置。

在设备维护前后都应对设备的访问授权控制进行测试。

4.5密码管理

为不同的用户设置不同的初始密码,然后由用户自行设定密码。要求用户定

期更改密码。

第五章数据的保护、使用与销

文档评论(0)

151****7025 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档