一物一码系统设计规范
- 格式:docx
- 大小:25.28 KB
- 文档页数:2
1、活动设计规范:
1.1 活动数据可搜集、分析、对接(公司大数据系统API等方式),为公司做大数据沉淀、积累。
1.2系统具有风险预警和紧急叫停机制。由乙方每周提供活动数据及活动营运报告(不限于:用
户注册、登录、扫码、兑奖、二维码管理等异常信息)给我司,由我司信管中心、财务、主
办单位共同确认数据是否存在资安或金安风险,并由三方共同协商风险应对解决方案。
2、风控设计规范
2.1系统架构和数据库安全:
2.1.1活动上线前一周需提供专业网络安全公司对活动系统整体安全评估的报告或信息安全管
理认证证明。
2.1.2数据库具有冗余机制及备份、恢复机制。
2.1.3数据库账号密码复杂性要求:位数不低于8位,含数字、字母、特殊符号等。
2.1.4数据库针对远程连接作授权控管。
2.2系统设计:
2.2.1二维码规范:
(1)编码规则:大小适中、易扫,包含信息类别设置不低于6类(如版本标识、类型、序列号、
随机秘钥、校验码、字符集系列等),确保每一个码都有唯一身份标识,增加编码破译复
杂度。
(2)管理流程:具备发码、赋码、激活、赋权、发放追踪、报废及异常处理机制,构建二维码
生命周期闭环管理。
(3)数据管理:具有数据加密机制及全流程、内外部防破解及数据防爬机制。
2.2.2技术要求:
(1)风险识别:对各种互动方式(如:扫码、摇一摇、投票、答题、签到等)的风险可自动识
别或流量过滤,阻断潜在恶意行为发生。(举例:使用微信参与活动,系统可根据用户提
交信息:如手机号,通过后台大数据判断该手机号是否存在潜在风险,根据风险等级对其
进行活动限制)
(2)风控保护:对用户注册保护、登录保护、验证码保护、金融反欺诈、消息过滤、恶意点击、
扫码等功能,提供全套保护机制,并可提供威胁情报预警;(举例:1、验证码保护:滑块
验证码,摒弃繁琐字符输入,抗破解性更强。2、扫码保护:用户每天在一个区域只可扫
码2次;)
2.2.3积分风控:
(1)依据2.2.2条款要求,限制非法用户号码、账号进行登录参与、兑奖活动。
(2)设定每人每日参与次数、对奖次数上限,诺超过设定上限,阻止用户继续参与。
(3)设定区域奖项上限、中奖率及每日兑奖警戒线,每天对前一天的积分获取、兑奖数据依据
2.2.2条款进行检视,针对异常行为进行分析,查找真因;若发现异常,在不影响消费者
兑奖体验的前提下,对后台积分、兑奖流程进行锁定,以免损失更多的费用。
2.3安全防护:
2.3.1资源隔离:业务之间采取访问隔离策略,防止应用间内部恶意访问的安全问题。
2.3.2 安全加固:及时更新操作系统及应用软件补丁。
2.3.3 网络安全:部署WAF、IPS、防火墙、防毒网关或防毒等软硬件防护体系。
3、合同约定:
3.1设计约定:活动涉及资安、金安事项务必遵循甲方活动设计规范、风控设计规范。
3.2赔偿约定:因系统异常(定义:1、系统无法提供用户正常访问,影响活动效果;2、积分获
取异常;3、对奖异常;4、二维码管理异常),导致我方损失向乙方做扣款处理,扣款金额按
照实际损失金额赔付,最高上限为合同金额。
3.3保密约定:乙方需对甲方系统、方案、数据及涉及到的任何信息务必保密,如因乙方原因导
致甲方活动损失的,经双方确认由乙方赔偿甲方,最高上限为合同金额。
3.4版权约定:活动产生的任何数据为甲方所有,甲方有权将数据由乙方迁出。
总结:
类别 事项要求 风控分类
活动设计
规范
数据可收集、分析,可与公司系统对接 资安
具有风险预警机制,发生系统异常状况可启动紧急叫停机制 资安、金安
风控设计
规范
系统架构和数据
库安全
1、提供系统整体架构安全证明 资安
2、数据库有高可用性及管理保障机制 资安
系统设计 1、二维码:设计编码规则、数据安全、生命周期管理流程 资安 2、技术要求:具有风险识别,风控保护机制 资安、金安
3、积分风控:限制非法用户参与、兑奖规则控制 金安
安全防护 1、资源逻辑隔离 资安 2、操作系统、应用软件补丁更新 资安
3、网络安全软硬件防护体系部署 资安
合同约定
设计约定 资安、金安遵循活动设计规范、风控设计规范 资安
赔偿约定 系统异常,导致我方损失由乙方赔付,上限不低于合同金额 资安
保密约定 信息数据保密,乙方违约赔付我方损失,上限不低于合同金额 资安
版权约定 活动数据版权为我方所有。 资安