附件:附件:银联卡账户信息与交易数据银联卡账户信息与交易数据安全管理规则安全管理规则(经中国银联第一届风险管理委员会第二次会议审议通过)(经中国银联第一届风险管理委员会第二次会议审议通过)二二○○四年十一月四年十一月银联卡账户与交易数据安全管理规则1第一章第一章 总则总则1.1 目的为加强银联卡账户信息与交易数据安全管理,保障成员机构及持卡人利益,防止账户信息与交易数据的丢失和泄漏,避免由此带来的欺诈风险,特制定本规则1.2 基本原则银联卡账户信息与交易数据的管理应遵循从严管理、权责明确、过失赔偿的原则,确保账户信息与交易数据在银联卡业务处理各环节中的安全性、完整性和可用性,防止数据遭到篡改、泄漏和破坏1.3 适用范围本办法适用于中国银联、中国银联所有成员机构、所有参与银联卡业务的第三方服务机构以及所有银联卡收单特约商户其中第三方服务机构既包括从事商户管理、设备维护、信用分析、交易清算、银行卡市场推广等的金融专业化服务机构,也包括参与银行卡产业相关的硬件、软件等产品开发及服务的机构1.4 定义1.4.1 账户信息账户信息是指银联卡(包括银联标识卡和银联标准卡)上记录的所有账户信息以及与银联卡交易相关的用户身份验证信息。
记录在银联卡上的信息包括:卡号、卡片有效期、磁条信息、卡片验证码与银联卡交易相关的用户身份验证信息包括:网上业务、银行、银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等1.4.2 交易数据银联卡账户与交易数据安全管理规则2交易数据是指银联卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同基本内容包括:卡号、密码、磁条信息、有效期、卡片验证码第二章第二章 权权利与利与义务义务2. 1 权利各机构有权监督与本机构账户信息和交易数据安全相关的其他机构的信息管理状况,一旦发现问题,可向中国银联风险管理委员会报告各机构一旦发现其他机构因泄漏本机构持卡人账户信息及交易数据、并给本机构造成损失的,可通过中国银联风险管理委员会向该机构申请损失赔偿2.2 义务各机构应定期就账户信息及交易数据安全状况按照《中国银联账户信息与交易数据安全管理自查问卷》进行自查,并向中国银联提供自查结果等书面报告,证明本机构已按照规定的程序实施了自查中国银联将牵头组织成立由各成员机构组成的调查评估小组,对各机构账户信息与交易数据安全管理进行调查, 各机构应积极配合调查工作第三章第三章 人人员员及及组织组织管理管理3.1 基本要求银联卡账户与交易数据安全管理规则3建立完善的信息安全管理体制,并制订账户信息与交易数据安全相关的制度及检查程序,明确各数据安全相关岗位的责任与权限。
3.2 人员管理应与所有接触账户信息及交易数据的员工签署保密协议,在协议中明确员工需要承担的保密责任以及员工离职时的脱密期第四章第四章 访问访问控制控制4.1 基本要求根据“业务需要”的原则,严格控制访问和使用账户信息和交易数据,防止未经授权擅自对数据进行查看、篡改和破坏业务需要是指“有业务上需要者才能访问相关数据,并且只能访问需要使用的数据”4.2 身份验证使用身份验证机制来授权和确认访问账户信息和交易数据的人员身份,包括进入存储或处理数据物理场所的身份鉴别机制,以及逻辑访问数据的身份鉴别机制4.3 权限管理限制数据访问权限,任何人都只能访问其开展业务所必需的数据银联卡账户与交易数据安全管理规则4严格控制员工对账户信息及交易数据的访问权限,访问权限的分配应遵循双人控制的原则,避免单个员工对账户信息及交易数据的完全控制在员工调离相关岗位时,应立即通知系统管理人员删除该员工注册的用户名及权限4.4 设备访问为了防止非法访问或者使用通讯设备擅自更改、破坏或泄露数据,应对访问通讯设备的特定程序和访问数据的时间和日期进行严格的控制和记录只有被授权人员才能按照事先制定的维护程序来更改设备的设置在设备维护前后都应对设备的访问授权控制进行测试。
4.5 密码管理为不同的用户设置不同的初始密码, 然后由用户自行设定密码要求用户定期更改密码第五章第五章 数据的保数据的保护护、使用与、使用与销毁销毁5.1 数据的保护5.1.1 基本要求严格保护以任何形式出现的账户信息及交易数据,具体包括:存储于各类计算机系统中的、存储在 POS、ATM 及其他终端设备中的、通过网络传送的、显示在电脑屏幕上的、通过 POS 或 ATM 等设备打印出来的各类信息指定专人保管保存在磁带、光盘等备份介质中的账户信息及交易数据,应将银联卡账户与交易数据安全管理规则5数据存放在装有门禁系统的机房或保险柜中5.1.2 卡号屏蔽在 ATM 交易凭条、账单、网页、移动通讯设备或电子邮件中显示卡号信息时,必须采用卡号屏蔽的方式保护卡号安全5.1.3 账户密码交易数据中的个人密码除了可以在硬件加密设备上以及在打印密码信封时可以以明文出现,其他情况下都不得以明文出现5.1.4 数据传输与存放账户信息与交易数据在互联网中传输时必须进行加密对无法以电子方式传输的文件,应以发送方和接收方约定的安全方式传送必须对存储在能够通过外网访问的数据库中的数据进行加密不得将写有(存有)账户数据与交易信息的文件、软盘、光盘及电脑放置在没有安全保护的地方;同时只能由专人处理这些账户与交易数据。
5.2 数据的使用5.2.1 基本要求未经发卡机构的书面许可,其他机构均不得将该发卡机构真实的账户信息及交易数据提供给第三方不得将真实的账户信息及交易数据用于软件开发及模拟测试有特殊情况需要使用真实的账户信息及交易数据进行开发及测试的,必须获得发卡机构的书面许可并签署保密协议使用时须指定专人保管,并在开发及测试结束后立即销毁银联卡账户与交易数据安全管理规则65.2.2 日志记录建立账户信息及交易数据访问与使用的日志记录机制与审核机制日志记录的内容包括:用户身份、使用类型、日期和时间、访问成功标记、访问的数据或系统设备名称等等风险主管人员应定期审核日志内容5.3 数据的销毁5.3.1 基本要求各机构可根据本机构的实际情况确定账户信息及交易数据的保存期限,通常不少于两年对于超出保存期限的账户信息及交易数据,必须及时销毁,以免造成信息的泄漏5.3.2 销毁方式以粉碎或焚毁的方式销毁所有无用或过期的账户信息与交易数据;通过消磁、删除、破坏等方式对报废设备或介质中的账户信息与交易数据进行处理第六章第六章 系系统统管理管理6.1 基本要求账户信息及交易数据必须在具有安全保护措施的系统中存储、传输, 系统的安全保护措施包括确保网络安全,安装、更新防火墙、防病毒软件等。
6.2 管理措施当内部网络与外部网络相连接时,必须对网络进行监控, 以及时发现对内银联卡账户与交易数据安全管理规则7部网络的攻击当用户通过公共网络访问账户与交易信息时,必须提醒用户“在公共网站填报、访问账户信息可能泄漏交易数据”对软件的版权、来源、版本等作详细审核和登记;及时更新操作系统软件,并及时安装软件的安全补丁应定期对系统安全性能进行测试,测试的内容包括:系统漏洞,防病毒、防火墙性能等从内到外以及从外到内的数据都必须通过防火墙,防火墙必须隐藏它所保护的网络的结构, 并在侦测到异常现象时发出警报不得将设备或系统供应商提供的默认值作为与系统安全有关的控制参数,如设备或系统访问密码第七章第七章 事故事故处处理理7.1 基本要求专门制订针对账户信息及交易数据安全事故处理的应急处理方案,确保及时有效地处理各种意外情况一旦出现账户信息与交易数据遭到篡改、泄漏和破坏的安全事故,必须立即对事故进行调查处理,并直接或通过中国银联通报相关机构采取措施,避免造成进一步的损失7.2 事故报告银联卡账户与交易数据安全管理规则8成员机构可通过银行卡风险报告系统报告与账户信息与交易数据相关的安全事故;商户及第三方服务机构可通过相关成员机构提交有关报告或直接向中国银联及其分支机构提交有关报告。
第八章第八章 特特别别要求要求8.1 对成员机构的特别要求8.1.1 第三方服务机构及商户管理成员机构应每年定期或不定期地监督、检查其第三方服务机构及特约商户,确保其认真执行本办法中对第三方服务机构及特约商户的要求对于不符合本办法中安全规定的第三方服务机构及特约商户,必须采取控制措施直至其符合规定为止成员机构必须对其签约的第三方服务机构或商户的账户信息和交易数据安全负全部责任8.1.2 与第三方服务机构或商户签订协议的要求协议中应当明确第三方机构及商户在账户信息和交易数据安全方面承担的责任,对于所有与自身存在合作关系并能够访问账户信息和交易数据的机构(包括第三方服务机构与商户),必须在与其签订的协议、合同或相关附件中包括以下内容:严格遵守《银联卡账户信息和交易数据安全管理规则》银联卡账户与交易数据安全管理规则9未经特别许可,不得将账户信息及交易数据提供给第三方承担因本机构账户信息与交易数据管理不善,导致账户信息与交易数据因篡改、泄漏和破坏而造成的全部损失如果未能满足中国银联银联卡账户信息与交易数据管理办法的各项要求,成员机构有权解除或终止协议无条件配合成员机构或中国银联对其进行的有关账户信息与交易数据安全的检查。
8.2 对商户和第三方服务机构的特别要求禁止将账户信息和交易数据提供给除收单机构或收单机构指定的代理机构以外的第三方除了专门从事发卡系统外包服务的第三方机构外,其他机构只能存储用于交易清分所必需的最基本的账户信息和交易数据, 不得存储磁条信息、卡片验证码及个人密码账户信息和交易数据只用于辅助完成银联卡交易,不得将账户信息和交易数据用于除此之外的任何其他用途,也不能将上述数据提供给任何未被授权的个人或机构未经收单机构或中国银联授权,不得擅自对包含账户信息或交易数据的设备进行更改和维护第九章第九章 赔偿赔偿及及处罚处罚中国银联风险管理委员会是银行卡账户信息与交易风险事件赔偿、处罚的银联卡账户与交易数据安全管理规则10调解、界定及仲裁机构赔偿及处罚视情节严重程度而定,措施包括赔偿、罚款、限期整改或中止协议等第十章第十章 附附则则10. 1 修订中国银联将在广泛征集成员机构合理建议的基础上,对本规则的相关规定进行修订10. 2 发布与实施本规则经中国银联风险管理委员会审定,由中国银联发布并组织实施各成员机构、专业化服务机构及特约商户可依据本规则,制定内部实施细则附件:银联卡账户信息与交易数据安全管理实践指南附附录录: :术语术语表表访问权访问权限控制(限控制(Access Control):):是指通过授权接触信息的人来限制接触信息和信息处理资源的功能。
物理物理访问访问控制(控制(Physical Access Control) ):是指在未授权人员和被保护的信息来源之间设置物理保护的控制逻辑访问逻辑访问控制(控制(Logical Access Control):):指利用其他方法控制访问账户账户和交易信息和交易信息(Account and Transaction Information)见1.1节中定义银联卡账户与交易数据安全管理规则11账账号号(Account Number)主卡持卡人的账号是指凸印或平印在银联规则卡上的号码身份身份鉴别鉴别(Authentication)用来验证身份或证实信息完整性的 过程分分级级(Classification)将信息分成许多类别,以便对不同类别施行适当控制的方法可以基于信息的类别、重要程度、潜在的欺诈危险性或敏感度进行分类信息信息(Information) 是指一个机构用作转移资金、设定等级、发放贷款、处理交易等所用的任何数据这些数据可能是电子形式的,也可以是在会议中口头提出的,写在纸张或其他任何媒介上的这个定义包含了处理系统的软件部分公共网公共网络络(Public Network) 普通大众都可以进入的网络,包括国际互联网和公共系统。
保密性(保密性(Confidentialit。