GB/T 42015-2022 标准规范下载简介
GB/T 42015-2022 信息安全技术 网络支付服务数据安全要求.pdf简介:
GB/T 42015-2022,全称为《信息安全技术 网络支付服务数据安全要求》,是中国国家标准中关于网络支付服务数据安全方面的一项技术规定。该标准主要针对网络支付服务提供商,包括但不限于电商平台、移动支付平台等,提出了关于数据安全的详细要求。
该标准旨在确保网络支付服务过程中,用户的个人信息、交易信息、支付敏感数据等得到充分的保护,防止数据泄露、篡改、丢失等安全风险。内容涵盖了数据加密、访问控制、安全审计、应急响应、风险评估等多个方面,以提升网络支付服务的安全性和可信度。
具体的实施要求可能包括但不限于:采用安全的通信协议,如HTTPS;实施用户身份验证和授权机制;定期进行安全审计和漏洞扫描;实施数据备份和恢复策略;对敏感信息进行加密存储等。
通过遵循GB/T 42015-2022,网络支付服务提供商可以确保其服务符合国家信息安全标准,保护用户数据安全,增强消费者信任,并减少因数据安全问题引发的法律风险。
GB/T 42015-2022 信息安全技术 网络支付服务数据安全要求.pdf部分内容预览:
为网络支付服务(3.1)提供账户管理、资金划拨、账务核算等服务的信息系统
GB/T420152022
下列缩略语适用于本文件。 SDK,软件开发工具包(SoftwareDevelopmentKit)
5.1网络支付服务业务组成
网络支付服务业务功能主要包括用户注册/登录 单、支付和对账结算等。 网络支付服务的相关方包括收款方、付款方、网络支付服务平台和网络支付服务提供者。其中,网 络支付服务提供者运营网络支付服务平台,网络支付服务平台接收付款方的支付请求,将支付结果返回 收款方08BJ7-1-楼梯,并与网络支付服务账务平台安全交互实现账务处理、完成网络支付服务,如图1所示。
网络支付服务主要业务流程、数据处理活动及安全风险见附录A。
网络支付服务主要业务流程、数据处理活动及安全风险见附录A
5.2网终支付服务数据范围
图1网络支付服务相关方示意图
网络支付服务数据包括用户数据和业务数据: 用户数据:网络支付服务提供者在提供网络支付服务过程中收集和产生的个人及组织用户数 据,如个人自然信息、个人身份鉴别信息等; 6 业务数据:在网络支付服务业务开展过程中处理的用于保障业务正常运行的数据,如商户签约 信息、支付结算信息等。
GB/T 420152022
7.2App系统权限申请
网络支付服务App不应申请与App业务功能无关的系统权限,系统权限申请范围及使用要 时录D。
网络支付服务提供者收集个人信息告知同意应在遵守GB/T352732020中5.4、5.5、5.6的要求
基础上,遵守以下要求: a)收集用户金融账户、个人生物识别信息时,应当具有特定的目的和充分的必要性,应同步告知 用户处理目的,并取得用户单独同意; b)不应将个人生物识别信息作为唯一的个人身份认证方式或支付方式,法律法规另有要求的除 外:不应频繁要求用户开通个人生物识别认证或支付功能。
网络支付服务提供者对用户个人信息的访问控制,应在遵守GB/T35273一2020中7.1的要求基 础上,遵守以下要求: a) 供提供者内部人员使用的业务系统,应对用户个人信息进行脱敏展示。因业务正常开展所需, 需要查看未经脱敏处理的个人信息时,应在展示界面中采用数字水印技术; b)应遵循最少够用、职责分离的原则,按照数据分级建立相应的数据访问控制措施和访问权限申
网络支付服务提供者对用户个人信息的访问控制,应在遵守GB/T35273一2020中7.1的要求基 础上,遵守以下要求: a 供提供者内部人员使用的业务系统,应对用户个人信息进行脱敏展示。因业务正常开展所需, 需要查看未经脱敏处理的个人信息时,应在展示界面中采用数字水印技术; b)应遵循最少够用、职责分离的原则,按照数据分级建立相应的数据访问控制措施和访问权限申
网络支付服务提供者应在遵守GB/T35273一2020中7.4、7.5、7.7的要求基础上,遵守以下要求: a)未经用户单独同意,不应对用户交易记录进行分析挖掘; b) 利用通过网络支付服务收集的个人信息进行自动化决策时应允许用户自主选择,并遵守以下 要求: 1 应提供不针对其个人特征的选项,或向个人提供便捷的拒绝方式; 2) 如通过自动化决策方式作出对个人权益有重大影响的决定,应对用户予以说明,并保障用 户拒绝仅通过自动化决策的方式作出决定的权利; 3) 应向用户提供针对自动化决策结果的便捷有效的投诉渠道; 应在涉及资金动账交易的自动化决策前,应向用户予以说明并取得用户单独同意; 5) 应在自动化决策功能的规划设计阶段或首次使用前开展个人信息保护影响评估,并依据 评估结果采取有效的保护措施。 依据交易记录进行账单分类时,不应对用户购买商品的明细内容进行分析,取得用户单独同意 的除外。
GB/T 420152022
支付服务公开用户数据,应遵守GB/T352732
网络支付服务提供者在保障个人信息主体权利方面,应在遵守GB/T35273一2020中第8章要求 为基础上,遵守以下要求: a) 应为用户提供便捷的查阅、复制、转移、更正、删除个人信息,以及撤回同意的功能; b) 应为用户提供查阅和删除交易记录的功能; C 应为用户提供便捷地撤回同意的渠道,包括但不限于撤回对免密支付、自动扣款、第三方收集 个人信息(如账号登录等)、系统权限等的授权; d 应向用户提供查询个人信息的方法,并对网络支付敏感信息提供取消展示的方法; 收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则,并取得未成年人的父 ? 母或者其他监护人的单独同意; 应为用户提供便捷的账号注销功能,提供注销提醒或注销协议,告知执行注销操作对用户可能 造成的影响,并在注销后及时对其个人信息进行删除或置名化处理。如确需设置注销条件,设 置的注销条件应在合理范围内,包括: 1)除用户账号存在未处理完毕的交易与纠纷(包括差错账、涉嫌欺诈、未完成投诉处理等)、
GB/T420152022
14网络支付服务典型场景数据安全要求
14.1通过生物特征实现支付、身份认证
网络支付服务提供者通过生物特征实现支付、身份认证等功能时,应遵守GB/T40660、 GB/T41819中规定的要求及其他生物特征识别信息安全相关国家标准的要求。 注:网络支付服务中,通过生物特征实现支付、身份认证等功能的常见场景包括但不限于在移动终端通过指纹或人 脸信息进行网络支付服务平台的登录验证,线上支付时通过指纹、人脸或声纹进行支付指令验证,线下消费时 通过人脸进行支付指令验证等。
在对账场景下,对网络支付服务提供者的要求如下: a)应建立访间控制机制,确保对账商户仅能访问与自身相关的对账数据; b)应对交易记录中的敏感个人信息字段进行脱敏或加密处理; c)应对对账操作进行定期审计
14.3.2风险控制建模
网络支付服务提供者进行风险控制建模的要求如下: a)·应采取密码技术对用于建模的数据(如训练数据)进行保护; b)进行模型训练时,如需使用用户数据,应在使用前对用户数据进行去标识化处理。
14.3.3联合风险控制
网络支付服务提供者进行联合风险控制的要求如下: a)应通过合同等方式规定参与联合风险控制各方的数据保护责任; b)应对需要提供给其他联合风险控制参与方的训练数据及训练过程数据进行加密处理
网络支付服务提供者进行联合风险控制的要求如下: a)应通过合同等方式规定参与联合风险控制各方的数据保护责任; b)应对需要提供给其他联合风险控制参与方的训练数据及训练过程数据进行加密处
A.1网络支付服务主要业务功能及数据处理活
附录A (资料性) 网络支付服务数据处理活动及安全风险
图A.1网络支付服务数据处理活动示意图
DB14/T 1644-2018标准下载GB/T420152022
A.2网终支付服务数据安全风险
网络支付服务主要面临如下数据安全风险: a)在数据收集活动中,网络支付服务提供者过度收集用户数据,或过度索取移动App系统权限 的风险; b)不 在数据传输、存储活动中,网络支付服务提供者未采取有效安全措施导致数据遭受未经授权的 访问、泄露、复改、丢失的风险; C 在用户数据使用活动中,网络支付服务提供者未采取脱敏、身份鉴别或访问控制等安全措施导 致数据遭到未经授权的访问、泄露、篡改、丢失的风险; d) 网络支付服务提供者滥用用户数据开展自动化决策,或用自动化决策机制造成用户权益损 失的风险; e 网络支付服务提供者以接人第三方应用、嵌人第三方SDK或其他形式对外提供数据时,未经 用户授权或超范围提供数据,以及接收方无法提供充足安全保障措施、滥用用户数据等风险; 网络支付服务提供者以安全风险控制等为由扩大个人信息收集范围、未经用户授权或超出授 权范围加工和使用其个人信息等风险
网络支付服务主要面临如下数据安全风险: a) 在数据收集活动中,网络支付服务提供者过度收集用户数据,或过度索取移动App系统权限 的风险; b)不 在数据传输、存储活动中,网络支付服务提供者未采取有效安全措施导致数据遭受未经授权的 访问、泄露、复改、丢失的风险; C 在用户数据使用活动中,网络支付服务提供者未采取脱敏、身份鉴别或访问控制等安全措施导 致数据遭到未经授权的访问、泄露、篡改、丢失的风险; d) 网络支付服务提供者滥用用户数据开展自动化决策,或用自动化决策机制造成用户权益损 失的风险; e 网络支付服务提供者以接人第三方应用、嵌入第三方SDK或其他形式对外提供数据时,未经 用户授权或超范围提供数据YB∕T 4784.1-2019 铁矿粉烧结工艺漏风率测试方法.pdf,以及接收方无法提供充足安全保障措施、滥用用户数据等风险; 网络支付服务提供者以安全风险控制等为由扩大个人信息收集范围、未经用户授权或超出授 权范围加工和使用其个人信息等风险
网络支付服务常见扩展业务功能的个人信息收集范围如表C.1所示。
络支付服务常见扩展业务功能及其收集的必要个