云闪付卡支付信息安全管理标准资料-简称:
指云闪付卡支付信息安全管理标准,是云闪付卡业务参与者进行支付信息安全管理的标准。
直接当事人
直接参与者是指直接参与支付业务的主体,包括但不限于云闪付卡发卡机构、云闪付卡支付账户发卡机构、参与云闪付卡交易的银行卡清算机构、云闪付卡发卡机构。 支付卡收单业务收单机构、云闪付卡特约商户收单、基于云闪付卡的二维码应用服务商等。
间接当事人
间接参与者是指为支付业务直接参与者提供专业服务的机构,包括但不限于云闪付卡制造商、聚合技术服务商、托管服务商、受理终端制造商、软件供应商等专业人士。 服务组织。
二维码应用服务商
二维码应用服务商是指加入二维码支付业务并提供移动应用的主要机构。
收购专业服务机构
收单专业服务机构是指从事商户拓展与服务、终端部署与维护、交易接入服务、渠道接入服务等的专业机构。
聚合技术服务商
聚合技术服务商是指通过开展“聚合支付”服务,为商户提供整合多种支付渠道、一站式资金结算对账的综合支付解决方案的机构。
云服务提供商
云服务提供商是指取得互联网资源协作服务业务许可,利用设置在数据中心的设备和资源,通过互联网或其他网络获取、按需使用、随时扩展、协作和共享的企业。 为用户提供数据存储、互联网应用开发环境、互联网应用部署和运营管理等服务。
支付信息数据
支付信息,包括但不限于云闪付卡记录的账户信息、基于云闪付卡开展支付业务的网上支付账户信息、身份认证信息、支付业务涉及的必要个人信息以及其他支付相关信息。
云闪付卡上记录的账户信息 卡上的数据
云闪付卡记录的账户信息包括云闪付卡号、卡有效期、轨迹信息(含芯片等效轨迹信息)、卡验证码(CVN、CVN2)等,以及基于云闪付卡生成的支付标记等。上述信息。
基于云闪付卡的支付业务在线支付账户信息带卡数据
基于云闪付卡的支付服务的在线支付账户信息包括在线支付账户、用户注册名、用户登录名、用户ID等,以及基于上述信息的支付标签。
识别信息数据
身份识别信息包括个人识别码(PIN)、登录密码、手势密码、查询密码、支付密码、动态密码、短信验证码、在线支付服务中的密码提示问题答案以及指纹、虹膜等个人生物识别信息。脸。 信息、预付卡支付密码等
支付业务涉及的必要个人信息 数据
支付业务中涉及的必要个人信息包括但不限于姓名、身份证、护照等识别标志、手机号码、固定电话号码、电子邮箱地址、工作和家庭住址以及在支付业务中收集或产生的其他个人信息。支付业务。
其他支付相关信息数据
其他支付相关信息是指机构或商户名称、机构或商户代码、批卡制作文件、加密密钥、终端代码、终端序列号、设备标识、支付应用软件标识、IP地址、交易地点信息、 ETC。
身份认证
身份验证是用于验证身份或证明信息完整性的过程。
生物测定
生物特征认证是指通过身体的某些特征或行为,例如指纹、视网膜图案、声音或签名来验证一个人的身份的方法。
等级
分类是一种将信息分为多个类别的方法,以便可以对不同的类别应用适当的控制。 分类可以基于信息的类别、重要性、潜在欺诈风险或敏感性。
敏感支付信息数据
敏感支付信息作为支付要素可以直接完成交易,一旦泄露将会对信息主体的财务安全造成严重影响,包括卡的有效期、轨迹信息(包括芯片等效轨迹信息)、卡验证码(CVN和CVN)等。 CVN2)、个人识别码(PIN)、网上支付密码以及用于身份认证的个人生物识别信息等。
个人识别码 - 缩写:PIN
个人识别码是网络交易中用于识别持卡人身份合法性的数据信息。 本标准中的个人识别码主要限于发卡机构与持卡人约定的交易密码,不包括支付平台本身的客户识别信息,如登录密码、支付密码、生物识别信息等。
支付密码
支付密码是指用户在商户平台、支付平台等进行网上支付交易时,为完成身份认证而提供的密码信息。
生物识别信息数据
生物识别信息是指人的生理特征或行为特征,如指纹、虹膜等可用于识别个人身份的信息。
卡有效期卡日期
卡的有效期是指发卡机构规定的卡的有效使用时间,印在卡正面的左下位置。 过了这个时间,该卡将停止使用。
卡验证码卡
卡验证码是验证磁条信息合法性的代码,通常写入磁道中; CVN2是验证交易者在非面对面交易中是否持卡的代码,通常位于卡的背面。
追踪信息
磁道信息是一磁、二磁和三磁定义的必需或可选数据元素。 磁道信息可以位于物理卡的磁条上,也可以包含在集成电路或其他介质上。
重要支付信息数据
重要支付信息是指与其他支付要素关联后对交易完成或信息主体财务安全产生一定影响的支付信息,包括但不限于云闪付卡号、支付标记、支付账户等。在线支付业务中,登录密码和查询密码、身份识别、手机号码、固定电话号码、动态密码、短信验证码、密码提示问题答案、批量打印卡文件、加密密钥、设备标识符、IP地址、交易位置信息以及其他可能完成的对交易有一定影响的个人信息。
登录密码
登录密码是指用户登录商户平台、支付平台进行身份认证时使用的密码信息。 一般与登录用户名一起使用。
动态密码
动态密码也称为动态密码,是利用令牌种子等数据通过特定算法运算生成的一次性密码。
短信验证码 短信验证码
短信验证码又称短信动态密码,是身份认证系统以手机短信的形式发送到客户手机上的随机数。 也是客户在登录或进行交易认证时输入的手机动态密码的一种形式,从而保证系统身份认证的安全性。 性别。
文件类型识别标记
证件识别标志是国家法定机构颁发的能够唯一识别客户的具有法律效力的标志。
一般支付信息数据
一般支付信息是指对交易的完成或信息主体的财务安全影响很小或没有影响的支付信息,包括但不限于网络支付用户注册和登录名、用户ID、姓名、电子邮箱、工作单位和个人信息等。家庭住址和航站楼代码。 、终端序列号、支付应用软件标识等在支付业务中收集或产生的个人信息。
双控双控
双人控制是指由两人或多人协调操作来保护敏感支付信息,确保任何人都无法单独访问或使用敏感支付信息。
双重控制
双重控制是指一个人无法控制受保护项目的过程。
互联网协议 - 缩写:IP
协议是网络层协议,包含地址信息和一些控制信息。 数据包根据此信息进行路由。 IP是协议集中最重要的网络层协议。
互联网协议安全 - 缩写:
互联网协议安全是由互联网工程工作组(IETF)正式制定的一系列基于IP网络的开放式IP安全标准(包括、、、)。 它通过对所有IP数据包进行加密和验证来确保IP通信的安全。
安全套接字层 - 缩写:SSL
安全套接字层是一种国际标准的加密和身份认证通信协议,可以在浏览器和服务器之间建立安全可信的通信通道,保证数据的机密性、完整性和相互认证。
公共网络
公共网络是公众可以访问的网络,包括国际互联网和公共电话系统。
不可逆加密
不可逆加密将原始文本转换为加密形式,但这种加密形式是一种无法恢复的加密方式。
硬加密Hard
硬加密是指终端配备专用密码键盘(密码输入模块与加密模块无缝连接,密码键盘具有“自毁”功能),专用密码键盘中的加密芯片用于加密。
强加密
强加密是指使用经过业界测试和认可的加密算法和密钥长度来加密和保护数据的方法。 包括但不限于 AES(128 位及更高)、TDES/TDEA(至少三倍密钥长度)、RSA(2048 位及更高)、ECC(224 位及更高)和 DSA/DH(2048/ 224 位及更高)、SM2(256 位)、SM4(128 位)。
步行测试
走查测试是指在正常运行情况下将初始数据输入控制过程,遍历整个过程和所有关键环节,将实际运行结果与控制设计要求进行比较,以发现控制过程中的缺陷的方法。
漏洞扫描
弱点扫描是指利用漏洞扫描工具进行模拟攻击,对系统组件中可能存在的安全漏洞进行一一检查和评估,以尽早发现并修复安全漏洞,消除安全风险。 根据工作模式,漏洞扫描器分为主机漏洞扫描器和网络漏洞扫描器。 前者是基于主机的,通过在主机系统本地运行代理来检测系统漏洞,例如操作系统扫描器和数据库扫描器。 后者基于网络,通过请求/响应的方式远程检测目标网络和主机系统的安全漏洞。
渗透测试测试
渗透测试是指从攻击者的角度,采用可控的、非破坏性的方法和手段,对网络系统的安全性进行检查和审计的授权过程,以发现目标服务器和网络设备的弱点。
访问控制
访问控制是指通过授权人们访问信息来限制对信息和信息处理资源的访问的功能。
物理访问控制
物理访问控制是在未经授权的人员和受保护的信息源之间设置物理保护的控制。
逻辑访问控制
逻辑访问控制是指使用其他方法来控制访问。
(本汇编向支付行业所有参与者发布,但仅供各方参考。本汇编由银联股份有限公司起草)