GB/T 42013-2022 标准规范下载简介
GB/T 42013-2022 信息安全技术 快递物流服务数据安全要求.pdf简介:
GB/T 42013-2022《信息安全技术 快递物流服务数据安全要求》是中国信息安全领域的一项标准,该标准主要针对快递物流服务中的数据安全管理提出了一系列要求。它是在原有标准的基础上,结合快递物流行业的特性和数据处理流程,对信息安全进行规范。
该标准的主要内容可能包括但不限于以下几个方面:
1. 数据收集:规范快递物流企业在收集用户信息、物流数据等过程中应遵循的数据保护原则,确保数据来源的合法性和安全性。
2. 数据存储:要求企业采取适当的技术措施,保障数据在存储过程中的安全,防止数据泄露、丢失和损坏。
3. 数据传输:强调在数据传输过程中应该使用加密技术,保证数据在传输过程中的安全性。
4. 数据处理:规定了数据处理过程中的安全控制,如访问控制、数据脱敏、数据生命周期管理等。
5. 风险管理:要求企业建立风险评估和管理机制,对可能发生的安全威胁进行预测和应对。
6. 监督与审计:标准可能规定了内部审计和外部监管的要求,以确保数据安全政策的有效实施。
通过遵循这一标准,快递物流企业可以提升数据安全管理水平,保护用户隐私,同时符合国家和行业的数据安全法规,避免因数据泄露等安全问题带来的法律风险。
GB/T 42013-2022 信息安全技术 快递物流服务数据安全要求.pdf部分内容预览:
GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 快递物流服务 expresslogisticsservice 在承诺的时限内快速完成的邮件快件寄递服务。 注1:本文件中所称快递物流服务不包括道路货物运输服务。 注2:涉及从接收用户订单开始直到将物品送达用户为止的完整活动,通常包括下单、揽件、封装、中转、派件等服务 环节。 [来源:GB/T27917.1—2011,2.1,有修改] 3.2 寄递用户senderandaddresser 使用快递物流服务(3.1)的个人或组织。 注:包括寄件用户和收件用户,本文件中简称“用户”。 3.3 快递物流服务提供者 expresslogisticsserviceprovider 快递物流服务组织(3.4)、快递物流服务受理组织(3.6)、快件代存组织(3.7)的统称。 注,本文件中简称“提供者”
GB/T25069、GB/T35273一2020界定的以及下列术语和定义适用于本文件。 3.1 快递物流服务 expresslogisticsservice 在承诺的时限内快速完成的邮件快件寄递服务。 注1:本文件中所称快递物流服务不包括道路货物运输服务。 注2:涉及从接收用户订单开始直到将物品送达用户为止的完整活动,通常包括下单、揽件、封装、中转、派件等服务 环节。 [来源:GB/T27917.1—2011,2.1,有修改] 3.2 寄递用户senderandaddresser 使用快递物流服务(3.1)的个人或组织。 注:包括寄件用户和收件用户,本文件中简称“用户”。 3.3 快递物流服务提供者 expresslogistics serviceprovider 快递物流服务组织(3.4)、快递物流服务受理组织(3.6)、快件代存组织(3.7)的统称。 注,本文件中简称“提供者”
DB13∕T 2386-2016 民用建筑太阳能供热采暖工程技术规程快递物流服务组织(3.4)、快递物流服务受理组织(3.6)、快件代存组织(3.7)的统称。 注:本文件中简称“提供者”
设立在公共场合,可供快递物流服务组织(3.4)和寄递用户(3.2)投递、提取快件的自助服务设备 [来源,YZ/T 0133—2013.3.1.有修改1
来源,YZ/T0133—2013,3.1,有修改
智能信包箱intelligentmail&parcellocker 应用信息技术控制与管理,通过密码验证、电子验证、生物识别和其他身份识别方式进行操作,供用 户接收邮件和快件的智能服务终端。 [来源:GB/T24295—2021,3.1]
5.1快递物流服务业务组成
快递物流服务数据处理活动主要围绕着快递物流服务的业务功能开展,包括:用户的注册、寄件、收 件、快件信息查询等;提供者的揽件、中转、清关、派送等。 快递物流服务涉及的相关方包括快递物流服务提供者、寄递用户,以及快递物流服务第三方参与 者。其中,快递物流服务提供者包括快递物流服务组织、快递物流服务受理组织,以及快件代存组织;快 递物流服务第三方参与者主要为接受快递物流服务提供者委托,处理快递物流服务中的清关、保险、客 服等特定事项的组织。快递物流服务参与主体交互示意图见图1。
递物流服务数据处理活动及安全风险见附录A。
图1快递物流服务参与主体交互示意图
GB/T 420132022
5.2快递物流服务数据范围
快递物流服务提供者收集个人信息应在满足GB/T35273一2020中5.1、5.2、5.3的要求基础上,遵 守以下要求: a 通过App收集必要个人信息应符合GB/T41391一2022中A.8规定; 注1:GB/T41391一2022附录A给出了常见类型ApP必要个人信息范围,快递物流类App的必要个人信息范围对 应“A.8邮件快件寄递类”。 b 扩展业务功能收集个人信息应由用户可选提供,且应限于实现处理目的的最小范围,常见扩 展业务功能收集的个人信息范围及使用要求见附录C; c 提供揽收或代揽收快件服务时,不应通过收集寄件用户身份证件照片的方式进行寄件用户身
GB/T420132022
份校验及身份信息登记; 注2:例如快件代存组织通过快递服务站方式提供代揽收服务时,服务人员使用个人智能手机对寄件用户身份证件 进行拍摄和保存。 快递物流App不应在启动后,且用户还未使用任何邮件快件寄递相关业务功能时,提前向用 户申请位置权限
快递物流App不应申请与ApP业务功能无关的系统权限,系统权限申请范围及使用要求见 附录D。
快递物流服务提供者利用个人信息和个性化推送算法向用户提供信息,应满足以下要求: a)允许用户自主选择是否使用个性化推荐相关功能; 提供易于理解、便于访问和操作的一键关闭个性化推荐、拒绝接受定向推送信息,以及重置、修 改、调整针对其个人特征的定向推送参数的功能; 提供删除定向推送信息服务过程中收集和产生的个人信息的功能,法律、行政法规另有规定或 者与用户另有约定的除外,
GB/T 420132022
快递物流服务提供者删除数据,应遵守以下要求: a)保存数据删除的有关记录,记录内容包括但不限于删除的数据类型、方式、时间、责任人等; b)个人信息删除满足GB/T35273一2020中8.3的要求,
快递物流服务提供者在响应用户个人信 求的基础上,遵守以下要求。 a)应对个人信息主体权利请求人进行身份校验。
GB/T42013—2022
14快递物流服务典型业务场景数据安全保护
14.1收派员收派服务
快递物流服务提供者校验收派员身份应遵守以下要求: 应对收派员开展快递收派工作时使用的智能服务终端设定设备锁屏口令,并在收派员登录设 备时验证使用者身份是否终端所有者; 应采用账号口令等方式,在收派员使用收派业务App等涉及个人信息访问的系统前进行身份 校验。
[14.1.2 访问控制
快递物流服务提供者进行收派员访问控制,应遵守以下要求: a)应仅允许收派员查看本人的揽件、派件信息; b)应限制收派员仅能够查询15天内的历史收派件信息。
14.2智能快件箱与智能信包箱
a 智能快件箱、智能信包箱视频监控范围不应超出实现监控服务目的所需的最小范围; b) 应设置显著的提示标识,提示用户已进入视频监控范围; C) 应采取如基于角色或基于任务的访问控制模型,防止视频监控信息被非授权访问、篡改、删除; d) 智能快件箱、智能信包箱提供者应保存视频监控信息查阅记录,包括查阅人员、查阅目的、查阅 对象、查阅时间等记录; e)所收集的个人图像应仅用于维护公共安全的目的,取得个人单独同意的除外。
SY/T 4206-2019 石油天然气建设工程施工质量验收规范 电气工程(附条文说明)14.2.2硬件设备安全
14.3收派移动作业终端
14.3.1数据存储安全
14.3.2数据访问安全
收派移动作业终端数据访问,应在满足9.2要求的基础上,满足以下要求: )设置登录有效时长(宜小于24h),超过有效时长时强制退出登录; b)在用户修改口令后退出登录状态; 在用户更换设备登录时,采用口令、密码技术、生物特征识别披术等两种或两种以上组合的鉴 别技术对用户进行身份校验。
A.1快递物流服务数据处理活动
快递物流服务数据处理活动示意如图A.1所示。
GB∕T 36334-2018 智慧城市 软件服务预算管理规范GB/T420132022
附录A (资料性) 快递物流服务数据处理活动及安全风险