【正文】 網(wǎng)站頁面黑客掛馬防范（9） 網(wǎng)站頁面防篡改措施（10） 網(wǎng)站頁面防釣魚必備項3訪問控制（1） 訪問權(quán)限設(shè)置（2） 自主訪問控制范圍（3） 業(yè)務(wù)操作日志（4） 關(guān)鍵數(shù)據(jù)存放（5） 異常中斷防護(hù)（6） 數(shù)據(jù)庫安全配置必備項4安全審計（1） 日志信息（2） 日志權(quán)限和保護(hù)（3） 系統(tǒng)信息查詢與分析（4） 對象操作審計（5） 審計工具（6） 事件報警必備項5剩余信息保護(hù)（1） 過期信息、文檔處理必備項6資源控制（1） 連接控制（2） 會話控制（3） 進(jìn)程資源分配（4） 資源審查預(yù)警必備項7應(yīng)用容錯（1） 數(shù)據(jù)有效性校驗（2） 容錯機(jī)制（3） 故障機(jī)制（4） 回退機(jī)制必備項8報文完整性（1） 通信報文有效性必備項9報文保密性（1） 報文或會話加密必備項10抗抵賴（1） 原發(fā)和接收證據(jù)必備項11編碼安全（1） 源代碼審查（2） 插件安全性審查（3） 編碼規(guī)范約束（4） 源代碼管理（5） 版本管理必備項12電子認(rèn)證應(yīng)用（1） 第三方電子認(rèn)證機(jī)構(gòu)（2） 關(guān)鍵業(yè)務(wù)電子認(rèn)證技術(shù)應(yīng)用（3） 電子簽名有效性（4） 服務(wù)器證書私鑰保護(hù)必備項13脫機(jī)數(shù)據(jù)認(rèn)證（1） 密鑰和證書（2） 靜態(tài)數(shù)據(jù)認(rèn)證 （3） 動態(tài)數(shù)據(jù)認(rèn)證IC卡系統(tǒng)必備項14安全報文（1） 報文格式（2） 報文完整性驗證（3） 報文私密性（4） 密鑰管理IC卡系統(tǒng)必備項15終端安全（1） 終端數(shù)據(jù)安全性要求（2） 終端設(shè)備安全性要求（3） 終端密鑰管理要求IC卡系統(tǒng)必備項16安全機(jī)制（1） 對稱加密機(jī)制（2） 非對稱加密機(jī)制IC卡系統(tǒng)必備項17認(rèn)可的算法（1） 對稱加密算法（2） 非對稱加密算法（3） 哈希算法IC卡系統(tǒng)必備項（4) 數(shù)據(jù)安全性編號審查項審查說明1數(shù)據(jù)保護(hù)（1） 客戶身份信息保護(hù)（2） 支付業(yè)務(wù)信息保護(hù)（3） 會計檔案信息保護(hù)必備項2數(shù)據(jù)完整性（1） 重要數(shù)據(jù)更改機(jī)制（2） 數(shù)據(jù)備份記錄（3） 保障傳輸過程中的數(shù)據(jù)完整性（4） 備份數(shù)據(jù)定期恢復(fù)必備項3交易數(shù)據(jù)以及客戶數(shù)據(jù)的安全性（1） 數(shù)據(jù)物理存儲安全（2） 客戶身份認(rèn)證信息存儲安全（3） 終端信息采集設(shè)備硬加密措施或其它防偽手段（4） 同一安全級別和可信賴的系統(tǒng)之間信息傳輸（5） 加密傳輸（6） 加密存儲（7） 數(shù)據(jù)訪問控制（8） 在線的存儲備份（9） 數(shù)據(jù)備份機(jī)制（10） 本地備份（11） 異地備份（12） 備份數(shù)據(jù)的恢復(fù)（13） 數(shù)據(jù)銷毀制度和記錄（14） 關(guān)鍵鏈路冗余設(shè)計必備項（5) 運(yùn)維安全性編號審查項審查說明1環(huán)境管理（1） 機(jī)房基礎(chǔ)設(shè)施定期維護(hù)（2） 機(jī)房的出入管理制度化和文檔化（3） 辦公環(huán)境的保密性措施（4） 機(jī)房安全管理制度（5） 機(jī)房進(jìn)出登記表必備項2介質(zhì)管理（1） 介質(zhì)的存放環(huán)境保護(hù)措施（2） 介質(zhì)的使用管理文檔化（3） 維修或銷毀介質(zhì)之前清除敏感數(shù)據(jù)（4） 介質(zhì)管理記錄（5） 介質(zhì)的分類與標(biāo)識必備項3設(shè)備管理（1） 設(shè)備管理的責(zé)任人員或部門（2） 設(shè)施、設(shè)備定期維護(hù)（3） 設(shè)備選型、采購、發(fā)放等的審批控制（4） 設(shè)備配置標(biāo)準(zhǔn)化（5） 設(shè)備的操作規(guī)程（6） 設(shè)備的操作日志（7） 設(shè)備使用管理文檔（8） 設(shè)備標(biāo)識必備項4人員管理（1） 人員錄用（2） 人員轉(zhuǎn)崗、離崗（3） 人員考核（4） 安全意識教育和培訓(xùn)（5） 外部人員訪問管理（6） 職責(zé)分離必備項5監(jiān)控管理（1） 主要網(wǎng)絡(luò)設(shè)備的各項指標(biāo)監(jiān)控情況（2） 主要服務(wù)器的各項指標(biāo)監(jiān)控情況（3） 應(yīng)用運(yùn)行各項指標(biāo)監(jiān)控情況（4） 異常處理機(jī)制必備項6變更管理（1） 變更方案（2） 變更制度化管理（3） 重要系統(tǒng)變更的批準(zhǔn)（4） 重要系統(tǒng)變更的通知必備項7安全事件處置（1） 安全事件報告和處置（2） 安全事件的分類和分級（3） 安全事件記錄和采取的措施必備項8應(yīng)急預(yù)案管理（1） 制定不同事件的應(yīng)急預(yù)案（2） 相關(guān)人員應(yīng)急預(yù)案培訓(xùn)（3） 定期演練必備項（6) 業(yè)務(wù)連續(xù)性編號審查項審查說明1業(yè)務(wù)連續(xù)性需求分析（1） 業(yè)務(wù)中斷影響分析（2） 災(zāi)難恢復(fù)時間目標(biāo)和恢復(fù)點目標(biāo)必備項2業(yè)務(wù)連續(xù)性技術(shù)環(huán)境（1） 備份機(jī)房（2） 網(wǎng)絡(luò)雙鏈路（3） 網(wǎng)絡(luò)設(shè)備和服務(wù)器備份（4） 高可靠的磁盤陣列（5） 遠(yuǎn)程數(shù)據(jù)庫備份必備項3業(yè)務(wù)連續(xù)性管理（1） 業(yè)務(wù)連續(xù)性管理制度（2） 應(yīng)急響應(yīng)流程（3） 恢復(fù)預(yù)案（4） 數(shù)據(jù)備份和恢復(fù)制度必備項4備份與恢復(fù)管理（1） 備份數(shù)據(jù)范圍和備份頻率（2） 備份和恢復(fù)手冊（3） 備份記錄和定期恢復(fù)測試記錄（4） 定期數(shù)據(jù)備份恢復(fù)性測試必備項5日常維護(hù)（1） 每年業(yè)務(wù)連續(xù)性演練（2） 定期業(yè)務(wù)連續(xù)性培訓(xùn)必備項編號審查項審查說明用戶文檔1用戶手冊（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項2操作手冊（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項開發(fā)文檔3需求說明書（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項4需求分析文檔（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項5總體設(shè)計方案（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項6數(shù)據(jù)庫設(shè)計文檔（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項7概要設(shè)計文檔（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項8詳細(xì)設(shè)計文檔（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項9工程實施方案（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項管理文檔10測試報告（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項11系統(tǒng)運(yùn)維手冊（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項12系統(tǒng)應(yīng)急手冊（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項13運(yùn)維管理制度（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項14安全管理制度（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項15安全審計報告（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內(nèi)容：文檔完整性、可操作性、文字描述的準(zhǔn)確性、一致性必備項（近場支付）系統(tǒng)審查項編號審查項審查說明1賬戶管理（1） 客戶賬戶管理聯(lián)機(jī)交易類必備項2卡片管理（1） 制卡必備項（無卡片發(fā)行情況不適用）（2） 卡片發(fā)行必備項（無卡片發(fā)行情況不適用）（3） 卡片激活必備項（無卡片發(fā)行情況不適用）（4） 更換必備項（無卡片發(fā)行情況不適用）（5） 密碼修改（6） 掛失/解掛（7） 鎖定/解鎖（8） 注銷3密鑰和證書管理（1） 認(rèn)證中心公鑰管理（2） 支付機(jī)構(gòu)密鑰管理（3） 卡片密鑰管理必備項（4） 支付機(jī)構(gòu)證書管理（5） 卡片證書管理4交易處理（1） 聯(lián)機(jī)消費(fèi)聯(lián)機(jī)交易類必備項（2） 聯(lián)機(jī)消費(fèi)撤銷（3） 聯(lián)機(jī)余額查詢聯(lián)機(jī)交易類必備項（4） 退貨必備項（5） 沖正交易聯(lián)機(jī)交易類必備項（6） 異?？ń灰妆貍漤棧?） 現(xiàn)金充值（8） 指定賬戶圈存（9） 非指定賬戶圈存（10） IC卡腳本通知（11） 圈提（12） 脫機(jī)消費(fèi)脫機(jī)交易類必備項（13） 脫機(jī)消費(fèi)文件處理脫機(jī)交易類必備項（14） 脫機(jī)余額查詢脫機(jī)交易類必備項（15） 交易查詢必備項5資金結(jié)算（1） 客戶結(jié)算6對賬處理（1） 發(fā)送對賬請求（2） 生成對賬文件7差錯處理
。 應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息安全方針策略、程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險的再評估。 應(yīng)與外包服務(wù)提供方就外包內(nèi)容簽訂合同，合同中應(yīng)明確各方的權(quán)利、義務(wù)及責(zé)任和爭議解決辦法；190?！?外包附加要求對于非金融機(jī)構(gòu)將支付服務(wù)業(yè)務(wù)系統(tǒng)相關(guān)開發(fā)、運(yùn)維等外包給第三方服務(wù)機(jī)構(gòu)的附加要求。2) 設(shè)備管理190。 應(yīng)提供自動恢復(fù)功能，當(dāng)故障發(fā)生時立即自動啟動新的進(jìn)程，恢復(fù)原來的工作狀態(tài)。 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其中一種是不可偽造的2) 使用數(shù)據(jù)證書190。 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別， 并且身份鑒別信息至少有一種是不可偽造的。 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2) 網(wǎng)絡(luò)安全審計190。 交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》、。 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。 本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；190。 應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。 190。3) 網(wǎng)絡(luò)入侵防范190。 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預(yù)測，以確保擁有所需的系統(tǒng)性能。 應(yīng)安全保存時間戳及相關(guān)信息，確保數(shù)據(jù)的可審計性，實現(xiàn)系統(tǒng)數(shù)據(jù)處理的抗抵賴性。 應(yīng)保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中； 190。3) 安全審計190。4) 網(wǎng)絡(luò)設(shè)備防護(hù)190?！?增強(qiáng)要求　 功能要求（1） 對賬處理190。 應(yīng)對組織場所的設(shè)備采取安全措施，要考慮工作在組織場所以外的不同風(fēng)險；190。6) 源碼安全190。 客戶端、服務(wù)器端應(yīng)使用數(shù)字證書。2) 可信路徑190。 應(yīng)定義審計跟蹤極限的閾值，當(dāng)存儲空間接近極限時，能采取必要的措施，當(dāng)存儲空間被耗盡時，終止可審計事件的發(fā)生；190。 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。 本地時間應(yīng)從國家權(quán)威時間源采時，保證時間的同一性；190。 應(yīng)根據(jù)系統(tǒng)統(tǒng)一安全策略，提供集中審計接口。 190。3) 網(wǎng)絡(luò)入侵防范190。 交易模型及流程設(shè)計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》。其認(rèn)證活動不受任何外來壓力和商業(yè)因素的影響和干擾。　 擔(dān)保支付 secured payment在支付過程中，由支付服務(wù)方為支付的雙方提供交易擔(dān)保，交易成功后，付款方進(jìn)行支付確認(rèn)，由支付服務(wù)方把款項結(jié)算給收款方的支付行為。　 預(yù)付卡是指以營利為目的發(fā)行的、在發(fā)行機(jī)構(gòu)之外購買商品或服務(wù)的預(yù)付價值，包括采取磁條、芯片等技術(shù)以卡片、密碼等形式發(fā)行的預(yù)付卡?！?互聯(lián)網(wǎng)支付 internet payment是指依托互聯(lián)網(wǎng)實現(xiàn)收付款方之間貨幣資金轉(zhuǎn)移的行為?！?一般支付 instant payment在支付過程中，支付指令需要由付款方在支付服務(wù)方授權(quán)，并且支付成功后即可結(jié)算的支付行為。（2） 公正性原則：必須依據(jù)國家法律法規(guī)和認(rèn)可規(guī)范，認(rèn)可準(zhǔn)則CNASCC2CNASCC22及其他有關(guān)規(guī)定的要求，建立完整的質(zhì)量體系，并嚴(yán)格按照質(zhì)量體系開展認(rèn)證活動。 報文設(shè)計符合《基于INTERNET網(wǎng)上支付報文結(jié)構(gòu)及要素》、具有符合要求的主要數(shù)據(jù)項；190。 應(yīng)根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務(wù)器同步。 在系統(tǒng)對用戶進(jìn)行身份鑒別時，系統(tǒng)與用戶之間應(yīng)能夠建立一條安全的信息傳輸路徑。3) 安全審計190。 應(yīng)通過自動化工具（如弱點掃描工具、靜態(tài)代碼審查工具等）對應(yīng)用程序進(jìn)行檢查；7) 可信時間戳服務(wù)190。 包含儲存介質(zhì)的設(shè)備的所有項目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫；190。 應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；2) 網(wǎng)絡(luò)安全審計190。 應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進(jìn)行身份鑒別， 并且身份鑒別信息至少有一種是不可偽造的。 應(yīng)對同一用戶采用兩種或兩種以上組合的鑒別技術(shù)實現(xiàn)用戶身份鑒別，其中一種是不可偽造的2) 使用數(shù)據(jù)證書190。 應(yīng)提供自動恢復(fù)功能，當(dāng)故障發(fā)生時立即自動啟動新的進(jìn)程，恢復(fù)原來的工作狀態(tài)。2) 設(shè)備管理190?！?銀行卡收單系統(tǒng)要求　 基本要求銀行卡收單系統(tǒng)應(yīng)在系統(tǒng)功能、風(fēng)險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設(shè)、外包