银联卡账户信息安全管理与服务
- 格式:ppt
- 大小:2.29 MB
- 文档页数:32


银联卡账户信息安全管理 制度规范汇编中国银联 风险管理部2010年4月目 录目 录银联卡收单机构账户信息安全管理标准 (1)银联卡账户信息与交易数据安全管理规则(修订) (17)银联卡账户信息安全事件应急预案 (28)银联卡账户信息安全事件调查处理流程 (34)银联卡收单业务账户信息安全合规评估管理暂行规定 (41)银联卡账户信息安全合规评估机构管理暂行办法 (54)银联卡密钥安全管理规则【磁条卡部分】V1.0 (69)关于双倍长密钥算法加解密迁移时间进度的要求 (94)银联卡账户信息与交易数据安全管理指南 (95)银联卡密钥安全管理指南【磁条卡部分】V1.0 (134)银联卡收单机构账户信息安全管理标准(银联风管委〔2008〕1号)第一章总则1.1 目的为加强银联卡收单网络账户信息安全管理,进一步明确和细化对收单业务各参与方账户信息安全管理要求,防范由收单网络引发的账户信息泄漏风险,根据《银联卡账户信息与交易数据安全管理规则》,特制定本标准。
1.2 适用范围本标准适用于下列三类机构:1.2.1银联网络内从事银联卡收单业务的收单机构1.2.2向银联卡收单机构提供收单专业化服务的第三方机构1.2.3银联卡收单特约商户对于上述机构,只要业务涉及银行卡主账号(卡号)的处理、传输或存储,均适用本标准。
收单机构应根据本标准及《银联卡账户信息与交易数据安全管理规则》相关规定,对与之开展收单业务合作的第三方机构或特约商户的账户信息安全管理提出具体要求,并通过合作协议的方式予以明确。
第二章 基本要求2.1 磁道信息、卡片验证码、个人标识代码及卡片有效期各收单机构系统只能存储用于交易清分、差错处理所必需的最基本的账户信息,不得存储银行卡磁道信息、卡片验证码、个人标识代码(PIN)及卡片有效期。
磁道信息、卡片验证码、个人标识代码、卡片有效期只用于完成银联卡交易,不得用于除此之外的任何其他用途。
标准 2.1“磁道信息、卡片验证码、个人标识代码及卡片有效期”的适用自本标准颁布之日起5年内为过渡期,各机构应在过渡期内尽快达标。
银联卡账户信息安全管理标准(ADSS)工作要求银联卡账户信息安全管理标准(ADSS)工作要求(特约商户篇)宣贯对象:适用于各类基于POS、移动POS、电话支付终端、MIS系统等终端类型开展银行卡受理业务的特约商户。
一、什么是银联卡账户信息银联卡账户信息是指记录在银联卡片上的卡号、卡片有效期、磁道信息、卡片验证码(CVN)等信息,以及网上业务、电话银行、手机银行等业务的用户注册名、银行卡密码(PIN)、真实姓名、证件号码、联系方式等身份验证信息。
其中,银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)和卡片有效期是敏感账户信息,应进行重点保护。
二、银联卡账户信息安全管理标准(ADSS)1有哪些基本要求1、商户银行卡受理系统、商户收银系统和终端机具等均不得留存银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息;2、受理终端应对打印的交易凭条(“预授权”交易除外)、交易流水清单,以及终端电子屏幕显示的银行卡部分卡号信息予以屏蔽。
屏蔽内容是除卡号前6位和后4位以外的其余卡号字段。
3、收银员、收银主管等商户员工有义务对银行卡卡号、交易数据和持卡人资料进行保密;4、收银员特别是收银主管应妥善保管POS 终端个人操作密码,防范终端操作权限被冒用;5、定期邀请收单机构对商户内部员工开展账户信息安全管理培训;6、定期主动开展账户信息安全自评估;有条件的商户,聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估;7、发生账户信息泄漏事件时,积极配合收单机构做好应急处臵、事件调查等工作。
三、如何才能达到银联卡账户信息安全管理的工作要求呢特约商户应向所属收单机构寻求支持和帮助,对照银联卡账户信息安全管理制度规定,重点围绕以下方面做好账户信息安全管理工作:1、建立并明确商户内部各岗位对账户信息访问、存储、使用、传输、加密、销毁等环节的工作要求;2、加强对商户员工账户信息安全的培训,确保员工了解各自岗位职责、本岗位可访问账户信息的安全等级,以及违反安全规定可能导致的后果;3、选用通过中国银联安全认证、符合《银联卡收单机构账户信息安全管理标准》安全要求的终端机具和商户银行卡受理系统和商户收银系统;4、聘请有资质的银联卡账户信息安全合规评估机构对本单位账户信息安全管理状况进行评估;5、对于商户银行卡受理系统、商户收银系统以及终端机具已留存有银行卡磁道信息、卡片验证码(CVN)、银行卡密码(PIN)、卡片有效期等敏感账户信息的,应立即进行全面排查整理,并彻底清除。
#### 第一章总则第一条为确保我国银行卡联网通用系统(以下简称“银联系统”)的安全稳定运行,保护持卡人、发卡机构、收单机构及银联系统的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合银联系统实际情况,特制定本制度。
第二条本制度适用于银联系统各参与机构,包括但不限于发卡机构、收单机构、银联公司及其下属分支机构。
#### 第二章组织架构与职责第三条银联公司设立信息安全管理部门,负责统筹规划、组织协调、监督指导银联系统信息安全工作。
第四条信息安全管理部门的主要职责:1. 制定和实施银联系统信息安全管理制度;2. 监督各参与机构落实信息安全措施;3. 开展信息安全风险评估和应急响应;4. 组织信息安全培训与宣传;5. 协调解决信息安全事件。
第五条各参与机构应设立信息安全管理部门或指定专人负责信息安全工作,其主要职责包括:1. 落实银联系统信息安全管理制度;2. 加强信息系统安全管理;3. 组织信息安全培训;4. 及时报告和处置信息安全事件。
#### 第三章信息安全措施第六条信息系统安全1. 银联系统应采用符合国家标准的信息安全技术和产品,确保信息系统安全稳定运行;2. 信息系统应定期进行安全检查和漏洞扫描,及时修复漏洞;3. 信息系统应建立完善的访问控制机制,确保只有授权用户才能访问系统;4. 信息系统应采用数据加密、身份认证等技术,保障数据传输和存储安全。
第七条数据安全1. 银联系统应建立数据安全管理制度,明确数据分类、分级和安全管理要求;2. 对敏感信息进行加密存储和传输,确保数据安全;3. 定期对数据进行备份,防止数据丢失;4. 加强数据访问控制,防止未经授权的数据泄露。
第八条个人信息安全1. 银联系统应严格遵守《中华人民共和国个人信息保护法》,确保个人信息安全;2. 对个人信息进行脱敏处理,避免个人信息泄露;3. 加强个人信息收集、存储、使用、传输和销毁等环节的管理;4. 对个人信息安全事件进行及时报告和处置。
账户信息安全管理制度一、目的和原则1. 确保账户信息的安全性和完整性。
2. 规范账户信息的收集、使用、存储和传输。
3. 保障用户合法权益,维护企业声誉。
4. 遵循国家相关法律法规,符合行业规范。
二、适用范围本制度适用于公司内部员工、合作伙伴及相关人员在处理账户信息时的管理。
三、术语和定义1. 账户信息:指用户在使用公司服务过程中所提供的个人信息,包括但不限于姓名、身份证号、电话号码、电子邮件地址等。
2. 信息安全:指采取各种安全措施,确保账户信息不受到非法访问、篡改、泄露等威胁。
四、账户信息收集管理1. 收集账户信息时,应遵循合法、正当、必要的原则。
2. 收集到的账户信息应严格保密,仅用于提供相关服务和业务。
3. 对于用户提供的账户信息,公司负有保密义务,不得泄露、篡改或滥用。
五、账户信息使用管理1. 账户信息的使用应遵循用户授权原则,仅用于提供公司承诺的服务。
2. 公司在使用账户信息时,应确保信息安全,避免信息泄露、篡改等风险。
3. 用户有权随时查看、修改、删除自己的账户信息,公司应提供相应途径。
六、账户信息存储管理1. 账户信息应存储在安全的数据库中,保证数据完整性、可靠性和安全性。
2. 公司应定期对账户信息进行备份,防止数据丢失。
3. 存储账户信息的硬件设备和软件应采取严格的安全措施,防止非法访问和攻击。
七、账户信息传输管理1. 公司在传输账户信息时,应采用加密等技术手段,确保信息安全性。
2. 禁止通过不安全的渠道传输账户信息,如公共网络、非加密邮件等。
3. 涉及跨部门、跨单位合作时,需签订保密协议,确保账户信息安全。
八、违规处理1. 对于违反账户信息安全管理制度的行为,公司有权依法追究责任。
2. 用户有权向公司投诉、举报账户信息安全隐患或滥用行为。
九、制度修订1. 公司应根据法律法规和企业实际情况,定期对账户信息安全管理制度进行修订。
2. 修订后的制度需经相关部门审批,并向用户公示。
十、解释权本制度解释权归公司所有,如有争议,可参照国家相关法律法规解决。