【UPDSS】附件1：银联卡支付信息安全管理标准（2018年6月修订）.pdf-资料库

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第1页.png

第1页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第2页.png

第2页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第3页.png

第3页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第4页.png

第4页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第5页.png

第5页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第6页.png

第6页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第7页.png

第7页 / 共41页

6987da87-d366-4144-8bbc-36d2d6265192.pdf-第8页.png

第8页 / 共41页

附件 1 银联卡支付信息安全管理标准（2018 年中国银联风险管理委员会会议审议通过）第一章总则 1.1 目的为加强银联卡支付信息安全管理，进一步明确和细化各业务参与方支付信息安全管理要求，防范支付信息泄漏风险，根据《银联卡账户信息与交易数据安全管理规则》，特制定本标准。 1.2 适用范围本标准适用于基于银联卡开展支付业务的主体及为支付业务主体提供相关服务的机构，包括但不限于： 1.2.1 直接参与方是指直接参与支付业务的主体，包括但不限于银联卡发卡机构、基于银联卡的支付账户发行方1、涉及银联卡交易的银行卡清算机构、从事银联卡收单业务的收单机构、银联卡收单特约商户、基于银联卡的二维码应用服务方等。 1.2.2 间接参与方是指向支付业务直接参与方提供专业化服务的机构，包括但不限于银联卡卡片生产厂商、聚合技术服务商、托管服务提供商2、受理终端厂商、软件供应商及其他专业化服务机 1 是指根据客户的真实意愿为其开立支付账户、通过绑定或关联银联卡等方式实现支付功能的获得互联网支付业务许可的支付机构。 2 本标准所指的托管服务提供商是向支付业务直接参与方提供数据中心托管（含云服务）、安全托管、呼叫中心托管等服务，可能影响银联卡支付信息安全的机构。 22

构。对于上述机构，只要业务涉及银联卡卡号的采集、传输、处理、存储，均适用本标准。第二章基本要求 2.1 支付信息定义支付信息是指银联卡上记录的账户信息、基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息。包括但不限于： 2.1.1 银联卡上记录的账户信息包括银联卡卡号、卡片有效期、磁道信息（含芯片等效磁道信息）、卡片验证码（CVN 及 CVN2）等，以及基于上述信息产生的支付标记。 2.1.2 基于银联卡开展支付业务的网络支付账户信息包括网络支付账户、用户注册名、用户登录名、用户 ID 等，以及基于上述信息的支付标记。 2.1.3 身份鉴别信息包括个人标识代码（PIN），网络支付业务中的登录密码、手势密码、查询密码、支付密码、动态口令、短信验证码、密码提示问题答案，指纹、虹膜、人脸等个人生物特征信息，预付卡支付密码等。 2.1.4 支付业务涉及的必要个人信息包括但不限于姓名、身份证和护照等证件类识别标识、手机号码、固定电话号码、电子邮箱、工作及家庭地址以及支付业务中采集或产生的其他个人信息。 2.1.5 其他支付相关信息 23

机构或商户名称、机构或商户编码、批量制卡文件、加密密钥、终端编码、终端序列号、设备标识、支付应用软件标识、IP 地址、交易位置信息等。 2.2 支付信息分级按照支付信息对完成支付交易和信息主体资金安全的影响程度，分为敏感支付信息、重要支付信息和一般支付信息。 2.2.1 敏感支付信息指作为支付要素能够直接完成交易，且一旦泄漏将对信息主体的资金安全造成严重影响的支付信息，包括但不限于卡片有效期、磁道信息（含芯片等效磁道信息）、卡片验证码（CVN 及 CVN2）、个人标识代码（PIN）、网络支付密码、预付卡支付密码以及用于身份鉴别的个人生物特征信息。 2.2.2 重要支付信息指通过关联其他支付要素会对完成交易或信息主体的资金安全造成一定影响的支付信息，包括但不限于银联卡卡号、支付标记、网络支付业务中的支付账户、登录密码和查询密码、证件类识别标识、手机号码、固定电话号码、动态口令、短信验证码、密码提示问题答案、批量制卡文件、加密密钥、设备标识、IP 地址、交易位置信息以及其他可能对完成交易造成一定影响的个人信息。 2.2.3 一般支付信息指对完成交易或信息主体的资金安全影响较小或无影响的支付信息，包括但不限于网络支付用户注册名和登录名、用户 ID、姓名、电子邮箱、工作及家庭地址、终端编码、终端序列号、支付应用软件标识以及支付业务中采集或产生的 24

其他个人信息。 2.3 支付信息保护基本要求根据“业务必须”、“最小化”和“明示同意”原则，严格控制支付信息的采集、存储和使用。 2.3.1 敏感支付信息保护 2.3.1.1 不得在受理终端、支付应用软件、应用系统、日志文件等存储非本机构的敏感支付信息。 2.3.1.2 敏感支付信息仅用于完成银联卡交易，不得用于除此之外的任何其他用途。 2.3.2 重要支付信息保护 2.3.2.1 严格控制卡号、证件类识别标识、手机号码等重要支付信息的使用和存储。 2.3.2.2 重要支付信息的使用和存储仅限以下业务需要：业务处理，清分与清算，差错处理，业务对账，交易查询与分析，案件协查，风险管理与监控，以及根据法律法规要求使用和存储的业务场景。 2.3.3 一般支付信息保护一般支付信息的采集、存储和使用应获得信息主体明示同意，并严格控制在信息主体授权的范围内。 3.1 组织架构第三章组织管理 3.1.1 设置支付信息安全管理委员会 3.1.1.1 应设置支付信息安全管理委员会，委员会成员应至少涵盖本机构研发、测试、运维、风控、清算等与支付信息安全管理相关部门和具体负责人。 25

3.1.1.2 支付信息安全管理委员会职责应包括但不限于：规划和建设支付信息安全管理机制、审批支付信息安全管理制度和流程、管理支付信息安全管理岗位职责和权限、推动支付信息安全管理制度落实、统筹支付信息安全事件应急处理。 3.1.2 明确支付信息安全责任人 3.1.2.1 应通过正式书面授权指定支付信息安全责任人。 3.1.2.2 支付信息安全责任人职责应包括但不限于：统筹支付信息安全合规评估工作，开展支付信息安全事件先期处理、后续跟踪和损失处理等，配合相关调查和评估鉴定。 3.1.3 设置支付信息安全管理岗位应设置支付信息安全管理岗位，其职责包括但不限于：制订和维护支付信息安全管理制度与流程、对本机构银联卡支付信息的使用进行管理监督及内部审计、对外部合作方3和服务提供商4的支付信息安全管理进行监督、对银联卡支付信息安全事件进行分析处理。 3.2 人员管理 3.2.1 人员录用 3.2.1.1 录用员工之前，需进行必要的背景调查，包括但不限于犯罪记录、简历核实、专业资格等，确保员工未从事或参与过危害持卡人支付信息安全或其他信息泄漏事件。 3.2.1.2 应与所有可访问支付信息的员工签署保密协议，或在劳动合同中设置保密条款。 3.2.1.3 应与所有可访问支付信息的员工签订支付信息 3 外部合作方是指与本机构开展支付业务合作的直接参与方。 4 服务提供商是指为本机构提供支付业务相关服务的间接参与方。 26

安全责任承诺书。承诺书至少应包含员工岗位的支付信息安全责任、义务及相关惩罚措施等内容。 3.2.2 人员培训 3.2.2.1 员工上岗前应及时安排其参加支付信息安全培训，培训内容包括但不限于支付信息安全管理制度、管理规定及操作流程、支付信息安全意识等相关内容，并保留原始培训记录。 3.2.2.2 应至少每年开展一次支付信息安全相关的培训或宣贯，提升员工的银联卡支付信息安全防护意识和技能，确保员工了解各自岗位职责、本岗位可访问支付信息的安全等级，以及违反安全规定可能导致的后果及惩罚措施，并保留相关记录至少 2 年。 3.2.3 人员转岗或离职 3.2.3.1 员工岗位调动或离职时，应立即变更、冻结或删除离岗员工对支付信息所有访问权限。 3.2.3.2 员工岗位调动或离职时，应立即取回相关身份证件、钥匙等物品以及机构提供的软硬件设备。 3.2.3.3 员工岗位调动或离职时，应办理严格的调离手续，并要求其履行保密义务。 3.2.4 违规人员管理应对违反支付信息安全管理规定并造成敏感支付信息泄漏事件的员工进行处罚，情节严重的应向相关监管部门报送违规员工个人信息并标明报送原因；涉嫌违法犯罪的，应及时报告公安机关。 3.2.5 外部人员管理 3.2.5.1 外部人员物理访问受控区域前，应先提出书面 27

申请，批准后由专人全程陪同，并登记备案。 3.2.5.2 应采取有效措施（如临时工牌等），识别和区分外部人员和内部员工。 3.2.5.3 外部人员离场时，应及时回收临时工牌或其他类似凭证。 3.2.5.4 外部人员接入网络访问系统前，应先提出书面申请，批准后由专人开设账号、分配权限，并登记备案。 3.2.5.5 外部人员完成系统访问后，应及时终止其所有的访问权限并删除相应账号。 3.2.5.6 获得系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得非授权获取和变更支付信息。 3.3 岗位权限管理应严格执行支付信息安全相关的权限管理，确保支付信息安全核心工作落实到岗位，责任落实到人。包括但不限于： 3.3.1 管理和控制对支付信息的访问权限； 3.3.2 监控所有对机构内部支付信息的访问活动； 3.3.3 检查和监督支付信息安全管理规定的落实； 3.3.4 及时处理突发支付信息安全事件等。第四章安全管理策略 4.1 安全管理策略制定与发布 4.1.1 应根据本标准中的各项规定，提出支付信息安全管理策略，包括建立支付信息安全日常管理及操作流程、内部检查及监督、应急处理流程和预案等内部控制建设策略，以及有效的外部风险防范策略。 4.1.2 支付信息安全策略应处于受控状态并通过正式流 28

程予以有效发布并实施。 4.2 内控制度建设策略应根据本标准中的各项规定，建立支付信息安全管理制度体系，以明确支付信息安全管理工作职责、规范相关工作流程。各机构支付信息安全管理制度体系的管理范畴应涵盖本机构、外部合作方、服务提供商等。 4.2.1 建立支付信息安全日常管理及操作流程 4.2.1.1 应对支付信息的采集、传输、存储、使用、销毁等环节提出具体安全管理工作要求。 4.2.1.2 明确各岗位在支付信息安全管理方面的操作流程。 4.2.2 建立支付信息安全内部检查及监督机制建立支付信息安全内部检查机制和工作流程，及时发现管理漏洞，确保支付信息安全。包括但不限于： 4.2.2.1 建立支付信息安全日常检查机制和工作流程； 4.2.2.2 定期评估支付信息安全管理方面存在的不足； 4.2.2.3 根据安全管理实际，及时对检查机制和工作流程进行调整。 4.2.2.4 建立内部日常管理监督机制（如用户登录日志及操作日志审核），确保落实支付信息安全管理的各项要求。 4.2.3 建立应急处理流程和预案 4.2.3.1 应建立支付信息安全事件应急处理流程和典型场景的有效应急预案。 4.2.3.2 每年至少进行一次应急演练，对应急演练中暴露出来的问题及时进行总结和整改，并保留相关演练记录。 4.3 外部风险防范策略 29

资料库

【UPDSS】附件1：银联卡支付信息安全管理标准（2018年6月修订）.pdf

相关推荐

行业

热门标签

最新资料