【正文】 以上組合的鑒別技術對管理用戶進行身份鑒別， 并且身份鑒別信息至少有一種是不可偽造的。 包含儲存介質的設備的所有項目應進行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫；190。3) 安全審計190。 應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務器同步。（4） 運維安全1) 環(huán)境管理190。 應能夠根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計。　 預付卡的發(fā)行與受理系統(tǒng)要求　 基本要求預付卡的發(fā)行與受理系統(tǒng)應在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設、外包管理方面符合技術標準要求和管理要求，基本要求參見附件《非金融機構支付服務業(yè)務系統(tǒng)檢測基本要求_ 預付卡部分》。 應提供自動恢復功能，當故障發(fā)生時立即自動啟動新的進程，恢復原來的工作狀態(tài)。 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別， 并且身份鑒別信息至少有一種是不可偽造的。 交易模型及流程設計符合《基于INTERNET的網(wǎng)上支付交易模型及流程》、。遠程支付是指移動終端本身使用短信SMS、WAP、客戶端軟件、語音IVR等方式，通過無線網(wǎng)絡和支付服務系統(tǒng)主機連接，實現(xiàn)交易的方式，在這種方式下，移動終端被當做支付終端來使用?！?銀行卡收單是指通過銷售點（POS）終端等為銀行卡特約商戶代收貨幣資金的行為。6 技術要求　 互聯(lián)網(wǎng)支付系統(tǒng)要求　 基本要求互聯(lián)網(wǎng)支付系統(tǒng)應在系統(tǒng)功能、風險監(jiān)控、系統(tǒng)性能、安全、系統(tǒng)文檔建設、外包管理方面符合技術標準要求和管理要求，基本要求參見附件《非金融機構支付服務業(yè)務系統(tǒng)檢測基本要求_互聯(lián)網(wǎng)支付部分》。4) 網(wǎng)絡設備防護190。 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中； 190。 資源的使用應加以監(jiān)視、調整，并應作出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。 190。 本地時間應從國家權威時間源采時，保證時間的同一性；190。 報文設計符合《電子支付文件數(shù)據(jù)格式》，具有符合要求的主要數(shù)據(jù)項　 安全性要求（1） 網(wǎng)絡安全1) 網(wǎng)絡結構安全190。（3） 應用安全1) 身份鑒別190。 開發(fā)、測試和運行設施應分離，以減少未授權訪問或改變運行系統(tǒng)的風險。4) 網(wǎng)絡設備防護190。 應保證用戶鑒別信息所在的存儲空間被釋放或再分配給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內存中； 190。 資源的使用應加以監(jiān)視、調整，并應作出對于未來容量要求的預測，以確保擁有所需的系統(tǒng)性能。 應根據(jù)信息系統(tǒng)的統(tǒng)一安全策略，實現(xiàn)集中審計，時鐘保持與時鐘服務器同步。3) 安全審計190。 包含儲存介質的設備的所有項目應進行檢查，以確保在銷毀之前，任何敏感信息和注冊軟件已被刪除或安全重寫；190。 應在合同中設定條款要求外包服務提供方提供的外包服務符合本規(guī)范要求；190。92附 錄 A（規(guī)范性附錄）審查項列表編號審查項審查說明1客戶管理（1） 客戶信息登記及管理必備項（2） 商業(yè)銀行管理（3） 客戶證書頒發(fā)（4） 客戶審核必備項2賬戶管理（1） 客戶賬戶管理必備項（2） 客戶賬戶管理審核（3） 客戶賬戶查詢必備項（4） 客戶賬戶資金調撥及歸集（5） 客戶賬戶資金審核3交易處理（1） 一般支付一般支付類必備項（2） 擔保支付擔保支付類必備項（3） 協(xié)議支付協(xié)議支付類必備項（4） 支付撤銷必備項（5） 轉賬（6） 預存（7） 提現(xiàn)（8） 積分查詢（9） 積分兌換（10） 積分兌換撤銷（11） 交易糾紛處理（12） 交易明細查詢必備項（13） 交易明細下載（14） 邀請其他人代付4資金結算（1） 客戶結算必備項5對賬處理（1） 商戶發(fā)送對賬請求（2） 商戶下載對賬文件6差錯處理（1） 長款/短款處理必備項（2） 單筆退款必備項（3） 批量退款7統(tǒng)計報表（1） 業(yè)務類報表必備項（2） 運行管理類報表必備項8運營管理（1） 運營人員權限管理必備項（2） 提現(xiàn)風控處理（3） 提現(xiàn)財務處理（4） 退款風控處理（5） 退款財務處理編號審查項審查說明1賬戶風險管理（1） 多種用戶身份鑒別方式必備項（2） 甄別可疑交易必備項（3） 監(jiān)控規(guī)則管理必備項2交易監(jiān)控（1） 當日交易查詢必備項（2） 歷史交易查詢必備項（3） 實時交易監(jiān)控必備項（4） 異常交易監(jiān)控必備項（5） 交易事件報警必備項（6） 系統(tǒng)自動審核必備項3交易審核（1） 人工審核必備項（2） 風控規(guī)則管理必備項4風控規(guī)則（1） 黑名單必備項（2） 風險識別必備項（3） 事件管理必備項（4） 風險報表必備項編號審查項審查說明1支付必備項2預存3轉賬4交易明細查詢必備項5日終批處理（1) 網(wǎng)絡安全性編號審查項審查說明1結構安全（1） 網(wǎng)絡冗余和備份（2） 網(wǎng)絡安全路由器（3） 網(wǎng)絡安全防火墻（4） 網(wǎng)絡拓撲結構（5） IP子網(wǎng)劃分（6） QoS保證必備項2網(wǎng)絡訪問控制（1） 網(wǎng)絡域安全隔離和限制（2） 地址轉換和綁定（3） 內容過濾（4） 訪問控制（5） 流量控制（6） 會話控制（7） 遠程撥號訪問控制和記錄必備項3網(wǎng)絡安全審計（1） 日志信息（2） 網(wǎng)絡系統(tǒng)故障分析（3） 網(wǎng)絡對象操作審計（4） 日志權限和保護（5） 審計工具必備項4邊界完整性檢查（1） 內外網(wǎng)非法連接阻斷和定位必備項5網(wǎng)絡入侵防范（1） 網(wǎng)絡ARP欺騙攻擊（2） 信息竊取（3） DOS/DDOS攻擊（4） 網(wǎng)絡入侵防范機制必備項6惡意代碼防范（1） 惡意代碼防范措施（2） 定時更新必備項7網(wǎng)絡設備防護（1） 設備登錄設置（2） 設備登錄口令安全性（3） 登錄地址限制（4） 遠程管理安全（5） 設備用戶設置策略（6） 權限分離（7） 最小化服務必備項8網(wǎng)絡安全管理（1） 網(wǎng)絡設備運維手冊（2） 定期補丁安裝（3） 漏洞掃描（4） 網(wǎng)絡數(shù)據(jù)傳輸加密必備項9網(wǎng)絡相關人員安全管理（1） 網(wǎng)絡安全管理人員配備（2） 網(wǎng)絡安全管理人員責任劃分規(guī)則（3） 網(wǎng)絡安全關鍵崗位人員管理必備項（2) 主機安全性編號審查項審查說明1身份鑒別（1） 系統(tǒng)與應用管理員用戶設置（2） 系統(tǒng)與應用管理員口令安全性（3） 登錄策略必備項2訪問控制（1） 訪問控制范圍（2） 主機信任關系（3） 默認過期用戶必備項3安全審計（1） 日志信息（2） 日志權限和保護（3） 系統(tǒng)信息分析（4） 用戶操作審計必備項4系統(tǒng)保護（1） 系統(tǒng)備份（2） 故障恢復策略（3） 磁盤空間安全（4） 主機安全加固必備項5剩余信息保護（1） 過期信息、文檔處理必備項6入侵防范（1） 入侵防范記錄（2） 關閉服務和端口（3） 最小安裝原則必備項7惡意代碼防范（1） 防范軟件安裝部署（2） 病毒庫定時更新（3） 防范軟件統(tǒng)一管理必備項8資源控制（1） 連接控制（2） 資源監(jiān)控和預警必備項9主機安全管理（1） 主機運維手冊（2） 漏洞掃描（3） 系統(tǒng)補?。?） 操作日志管理必備項10主機相關人員安全管理（1） 主機安全管理人員配備（2） 主機安全管理人員責任劃分規(guī)則（3） 主機安全關鍵崗位人員管理必備項（3) 應用安全性編號審查項審查說明1身份鑒別（1） 系統(tǒng)與普通用戶設置（2） 系統(tǒng)與普通用戶口令安全性（3） 登錄訪問安全策略（4） 非法訪問警示和記錄（5） 客戶端鑒別信息安全（6） 口令有效期限制（7） 限制認證會話時間（8） 身份標識唯一性（9） 及時清除鑒別信息必備項2WEB頁面安全（1） 登錄防窮舉（2） 安全控件（3） 使用數(shù)字證書（4） 獨立的支付密碼（5） 網(wǎng)站頁面SQL注入防范（6） 網(wǎng)站頁面跨站腳本攻擊防范（7） 網(wǎng)站頁面源代碼暴露防范（8） 網(wǎng)站頁面黑客掛馬防范（9） 網(wǎng)站頁面防篡改措施（10） 網(wǎng)站頁面防釣魚（11） 工商局ICP備案必備項3訪問控制（1） 訪問權限設置（2） 自主訪問控制范圍（3） 業(yè)務操作日志（4） 關鍵數(shù)據(jù)存放（5） 異常中斷防護（6） 數(shù)據(jù)庫安全配置必備項4安全審計（1） 日志信息（2） 日志權限和保護（3） 系統(tǒng)信息查詢與分析（4） 對象操作審計（5） 審計工具（6） 事件報警必備項5剩余信息保護（1） 過期信息、文檔處理必備項6資源控制（1） 連接控制（2） 會話控制（3） 進程資源分配（4） 資源審查預警必備項7應用容錯（1） 數(shù)據(jù)有效性校驗（2） 容錯機制（3） 故障機制（4） 回退機制必備項8報文完整性（1） 通信報文有效性必備項9報文保密性（1） 報文或會話加密必備項10抗抵賴（1） 原發(fā)和接收證據(jù)必備項11編碼安全（1） 源代碼審查（2） 插件安全性審查（3） 編碼規(guī)范約束（4） 源代碼管理（5） 版本管理必備項12電子認證應用（1） 第三方電子認證機構（2） 關鍵業(yè)務電子認證技術應用（3） 電子簽名有效性（4） 服務器證書私鑰保護必備項（4) 數(shù)據(jù)安全性編號審查項審查說明1數(shù)據(jù)保護（1） 客戶身份信息保護（2） 支付業(yè)務信息保護（3） 會計檔案信息保護必備項2數(shù)據(jù)完整性（1） 重要數(shù)據(jù)更改機制（2） 數(shù)據(jù)備份記錄（3） 保障傳輸過程中的數(shù)據(jù)完整性（4） 備份數(shù)據(jù)定期恢復必備項3交易數(shù)據(jù)以及客戶數(shù)據(jù)的安全性（1） 數(shù)據(jù)物理存儲安全（2） 客戶身份認證信息存儲安全（3） 終端信息采集設備硬加密措施或其它防偽手段（4） 同一安全級別和可信賴的系統(tǒng)之間信息傳輸（5） 加密傳輸（6） 加密存儲（7） 數(shù)據(jù)訪問控制（8） 在線的存儲備份（9） 數(shù)據(jù)備份機制（10） 本地備份（11） 異地備份（12） 備份數(shù)據(jù)的恢復（13） 數(shù)據(jù)銷毀制度和記錄（14） 關鍵鏈路冗余設計必備項（5) 運維安全性編號審查項審查說明1環(huán)境管理（1） 機房基礎設施定期維護（2） 機房的出入管理制度化和文檔化（3） 辦公環(huán)境的保密性措施（4） 機房安全管理制度（5） 機房進出登記表必備項2介質管理（1） 介質的存放環(huán)境保護措施（2） 介質的使用管理文檔化（3） 維修或銷毀介質之前清除敏感數(shù)據(jù)（4） 介質管理記錄（5） 介質的分類與標識必備項3設備管理（1） 設備管理的責任人員或部門（2） 設施、設備定期維護（3） 設備選型、采購、發(fā)放等的審批控制（4） 設備配置標準化（5） 設備的操作規(guī)程（6） 設備的操作日志（7） 設備使用管理文檔（8） 設備標識必備項4人員管理（1） 人員錄用（2） 人員轉崗、離崗（3） 人員考核（4） 安全意識教育和培訓（5） 外部人員訪問管理（6） 職責分離必備項5監(jiān)控管理（1） 主要網(wǎng)絡設備的各項指標監(jiān)控情況（2） 主要服務器的各項指標監(jiān)控情況（3） 應用運行各項指標監(jiān)控情況（4） 異常處理機制必備項6變更管理（1） 變更方案（2） 變更制度化管理（3） 重要系統(tǒng)變更的批準（4） 重要系統(tǒng)變更的通知必備項7安全事件處置（1） 安全事件報告和處置（2） 安全事件的分類和分級（3） 安全事件記錄和采取的措施必備項8應急預案管理（1） 制定不同事件的應急預案（2） 相關人員應急預案培訓（3） 定期演練必備項（6) 業(yè)務連續(xù)性編號審查項審查說明1業(yè)務連續(xù)性需求分析（1） 業(yè)務中斷影響分析（2） 災難恢復時間目標和恢復點目標必備項2業(yè)務連續(xù)性技術環(huán)境（1） 備份機房（2） 網(wǎng)絡雙鏈路（3） 網(wǎng)絡設備和服務器備份（4） 高可靠的磁盤陣列（5） 遠程數(shù)據(jù)庫備份必備項3業(yè)務連續(xù)性管理（1） 業(yè)務連續(xù)性管理制度（2） 應急響應流程（3） 恢復預案（4） 數(shù)據(jù)備份和恢復制度必備項4備份與恢復管理（1） 備份數(shù)據(jù)范圍和備份頻率（2） 備份和恢復手冊（3） 備份記錄和定期恢復測試記錄（4） 定期數(shù)據(jù)備份恢復性測試必備項5日常維護（1） 每年業(yè)務連續(xù)性演練（2） 定期業(yè)務連續(xù)性培訓必備項編號審查項審查說明用戶文檔1用戶手冊（1） 文檔密級管理（2） 文檔登記和保管（3） 文檔內容：文檔完整性、可操作性、文字描述的準確性、一致性必備項2操作手冊（1） 文檔密級管理（2） 文檔登記和保管（3）