《银联卡受理终端产品生命周期安全与质量管理指南发布稿》由会员分享,可在线阅读,更多相关《银联卡受理终端产品生命周期安全与质量管理指南发布稿(18页珍藏版)》请在金锄头文库上搜索。
1、UitiatiPay中国昨China Union Pay文件编号:UPCA-12-02 V1.0 PUii银联卡受理终端产品生命周期安全与质量管理指南2017年1月5日实施2017年1月5日发布中国银联股份有限公司 发布i目录 III本指南为银联卡受理终端产品设计与生产过程的安全与质量管理提供指导和参考, 其编 写目的在于引导终端厂商提高产品设计与研发管理水平, 在产品生命周期管理过程中建立和 实施有效的安全与质量管控制度,确保终端产品的一致性,提高终端厂商的综合竞争力。本指南是中国银联开展银联卡受理终端产品认证过程中, 实施企业现场测评的评价依据。 本指南中的任一条款,如果与国家或地方的法律
2、相违背,应以法律的正式文本为准。 本指南之版权与解释权归属于中国银联, 福建联迪商用设备有限公司为本指南的编写提 供了支持。#目录 III目录1 术语和定义 11.1. 产品一致性 11.2. 双重控制 11.3. 知识分割 12 企业资质要求 13 资产管理 24 人员管理 24.1. 组织保障 24.2. 岗位设置 24.3. 员工访问控制 34.4. 员工招聘 34.5. 员工培训 44.6. 员工岗位变更 44.7. 员工离职 45 环境与访问控制安全 45.1. 终端厂商选址 45.2. 终端厂商安全区域设置 45.3. 基础设施安全管理要求 55.3.1. 门禁系统要求 55.3.
3、2. 视频监控要求 65.3.3. 消防系统要求 65.3.4. 网络安全要求 65.3.5. 身份认证工具管理 75.4.设备管理 75.4.1. 总则 75.4.2. 设备校准、检定 76 产品生命周期管理 76.1. 设计和开发 76.1.1. 总则 76.1.2. 关键件认定、测试要求 86.1.3. 配置管理 86.2. 采购和关键件控制 96.2.1. 采购控制 96.2.2. 关键件的质量控制 96.3. 密钥管理 106.4. 生产过程控制要求 106.5. 不合格品控制 116.6. 成品的存储 11物理环境 11#目录 III6.6.1. 人员进出 116.6.2. 出入库
4、控制 116.7. 产品的运输 116.8. 产品的维修 126.9. 产品的报废 127 安全与质量审核 12安全事件应急响应 13#1 术语和定义1.1. 产品一致性1) 检验合格入库的产品的标识信息与认证证书一致, 所用的关键件、 安全框架、 原理 图与认证样机的关键件、认证提供的安全框架、原理图一致。2) 证书信息可能包括:制造商名称、地址;生产厂名称、地址;产品名称、型号、固 件版本号、硬件版本号等。1.2. 双重控制一个被控变量采用两个或者两个以上的操作变量来控制。1.3. 知识分割对一个完整的认知单元进行切割, 分别交由不同人员掌握, 避免该认知单元被一个人掌 握。2 企业资质要
5、求1) 终端厂商应已取得营业执照, 营业范围涵盖了申请认证的产品类型, 例如计算机 外围设备制造、 计算机应用电子设备制造、 信息安全设备制造、 计算机外部设备 制造、销售点终端(POS制造;2) 终端厂商的注册资金 2000 万元以上;3) 终端厂商应拥有或租赁 300 平方米以上办公场所;4) 终端厂商的厂房面积 1000 平方米以上, 生产人员 (含装配、 检验、 包装、 维修、 存储、协助人员) 100 人以上,拥有生产终端需要的 50 米以上生产线以及成套 的装配、检验、包装等相关仪器、设备、工装;如生产是外包的,则应提供终端 厂商与外协厂的委托合同, 外协厂的生产条件、 安全管控措
6、施符合本指南的相关 规定。资料,查询资料应可证明申请认证的商标不会被异议。3 件;如终端厂商是子公司,则该终端厂商拥有的专利、软件著作权也可以是总 公司授权子公司使用的专利、软件著作权。3 资产管理终端厂商应制定文件化的资产管理程序:a) 识别信息和信息处理相关的其他资产,根据法律要求、价值、重要性、敏感性、资 产负责人,对资产进行信息保密等级分类,编制并维护资产清单;b) 拟定不同保密等级资产的标识办法;c) 拟定资产的生命周期管理要求,包括信息资产生成、使用、存储、发送、停用、授 权访问、销毁,以及信息处理相关的其他资产的制作 / 采购、运输、验收、启用、 使用、授权访问、维修、保养、停用
7、、报废、销毁等活动过程的安全控制要求;d) 应确保对外交付不同的保密等级的资产得到控制,必要时得到评审,并采取措施确 认外协厂也已采取相应措施,确保保密资产不泄露;e) 确保生命周期内资产及相关记录得到安全保存,记录保存时间应满足法律、政府、 客户的要求,不低于 2 年。4 人员管理4.1. 组织保障终端厂商应在本组织管理层中指定认证负责人,或者成立安全管理组织,应使其 具有以下方面的职责和权限:a) 确保本文件的要求在厂商得到有效地建立、实施和保持;b) 确保认证一致性以及产品与标准的符合性;c) 正确使用银联标志,确保加施银联标识产品的证书状态持续有效。4.2. 岗位设置终端厂商应设置以下
8、岗位 :a) 质量管理人员 : 其职责包括但不限于品质控制、品质检验、品质分析 , 如进料检 验/ 交收检验 / 过程检验 / 不合格控制,经培训合格上岗,不少于5名;b) 工艺人员:其职责包括但不限于拟写生产产品使用的作业指导书、操作指导书; 不少于 2 名;c) 软件、硬件设计开发人员不少于 20 名,其中安全设计和开发的软件开发人员的 不少于 2 名, 安全设计和开发的硬件开发人员不少于2 名:i.驱动软件等软件设计开发人员的职责包括但不限于安装到产品的底层软件、软件的设计、开发、支持、维护;ii. 硬件设计开发人员的职责包括但不限于产品及其元器件的测试、 认定、设计、 开发;iii.
9、安全模块软件设计开发人员的职责: 负责公司终端各个产品平台上的安全软 件模块的研究、开发、支持、维护工作。iv. 安全模块的硬件开发人员的职责: 负责产品的物理安全方案设计、 测试、 验 证。d) 应用开发与支持人员职责:包括但不限于安装到产品的应用软件的设计、开发、 支持、维护,不少于 5 名;e) 售后服务人员:不少于 5 名售后服务人员职责: 包括但不限于产品销售后的咨询、支持、维修、 需求了 解、不合格收集与反馈、客户投诉处理等。4.3. 员工访问控制1) 终端厂商应拟定员工访问控制策略, 规范包括物理环境访问、 网络访问、 系统访 问、应用访问、 用户访问等公司业务访问的各个方面,确
10、保只授予业务、岗位必 需的权限,员工访问权限的授权符合对应安全级别的要求,并对授权进行监督、 控制和审查;2) 终端厂商应有规范化的程序,对全时员工、实习员工、试用员工、派遣员工、临 时工以及临时访客、 定期访客等进行识别、分级, 并对其访问权限进行评审、授 权。4.4. 员工招聘1) 终端厂家应对员工可能接触的档案、 信息的安全等级进行识别、 分级, 并按安全 级别对员工的招聘、签署协议、变更、离职进行分级要求、控制。2) 终端厂商应对关键岗位应聘人员进行必要的背景调查, 调查内容可能包括人员的 基本情况,比如包括姓名、 曾用名、近期照片、近期住所、身份证明、 教育程度、 家庭成员及社会关系
11、、违法记录、个人履历及证明人等。3) 终端厂商应对员工的个人情况进行审查(并考虑安全因素) ,决定是否聘用。4) 新聘用的员工, 应根据可能接触的信息、 档案的安全等级,签署保密协议、 竞业 禁止协议等;4.5. 员工培训1) 终端厂商应定期向员工传达更新的安全策略和程序,包括安全要求、法律责任、业务管理措施,以及信息访问授权等,确保员工清楚信息安全威胁和利害关系。2) 终端厂商应定期对人员进行产品安全、信息安全有关的意识培训。4.6. 员工岗位变更终端厂商应在员工工作岗位发生变动时, 通知员工所属的信息安全主管, 及时调整 员工的访问范围、权限,并评审、变更员工的保密协议、竞业禁止协议。4.
12、7. 员工离职员工离职必须提前通知安全负责人,在员工离职前完成以下工作:a) 收回员工卡,并取消所有系统的授权;b) 收回该员工使用过的全部钥匙(包括档案柜、办公桌的钥匙等) ;c) 收回该员工持有的其他安全资料或文件。员工离职后 24 小时之内必须根据员工离职程序完成以下工作,并详细填入员工离职登记表中:a) 从系统中清除该员工的识别标识和口令;b) 取消或修改该员工进入计算机的路径和掌握的密码;c) 取消该员工进入终端厂商的权限。5 环境与访问控制安全5.1. 终端厂商选址1) 终端厂商所在地应避开自然灾害(洪水、泥石流、台风)易发地,以及已发生水涝 的低洼地带。2) 终端厂商应该建设在当
13、地警方和消防部门能及时提供帮助的区域,能保证当地警方和消防部门接到报警信息后,能迅速赶到现场。5.2. 终端厂商安全区域设置1) 根据安全要求的不同,终端厂商应参考对场所设置三级或者以上安全区域,对人 员进出进行控制,设置限制可参考:a) 一级安全限制区域: 应采取单向门禁, 有访客进出登记、 控制,例如生产线、普通办公区;其中生产线的安全受限区域,如密文形式的密钥下装区域、安全机制激活区域,应增加区域出入口视频监控,重要区域无死角视频监控。b) 二级安全限制区域:应采取双向门禁、出入口视频监控,重要区域无死角视 频监控,并对访客进行审批控制制度,例如研发办公区域;c) 高安全限制区域:产品相
14、关密钥明文处理、 存储区域, 终端证书生成、 存储区域, 例如安全房。该区域应:房间墙壁用实体墙, 从实心地板延伸到实心天花板, 形成一个密闭空间, 仅设置一个准入点,并足够坚固;进出须经过钢门,钢门应有双重物理锁加锁房门; 进出安全房需通过具有双重控制和反潜回功能的电子门禁系统, 仅限授 权人员在双重控制的前提下才能进出, 其余人员均作为访客由授权人员 全程陪同;部署入侵报警设备;全区域 24 小时视频监控;电源故障时使用不间断电源保证电子门禁系统、 视频监控系统正常运行;该区域通过防火墙与外部进行网络隔离。2) 安全设计和开发人员的办公区域应采用物理隔离设置为独立区域,按二级安全限 制区域进行配置、管控,但是该区域内的办公设备必须和其他区域、网络进行隔 离。5.3. 基础设施安全管理要求5.3.1. 门禁系统要求1) 安全区域进出由电子门禁系统控制,门禁配置可选单向门禁、双向门禁,以及双 向门禁、双重控制并符合反潜回要求。超时报警时间根据场所,其中安全房的超 时报警时间不超过 30s ,且门禁报警现场应有声音或者灯光提示,并通知到保安 人员。2) 门禁出入记录应采用同步备份,至少保管90 天。3) 电子门禁系统将监控所有进出安全区域的情况和所有警报事件。4) 门禁控制系统使用机柜方式进行物理隔离, 除显示屏可放置在机柜外, 其余设备, 包括键盘、鼠标等,都
