银联卡个人化企业认证安全调查问卷

1、PAGE PAGE 36银联卡个个人化企企业认证证安全调查问卷卷发布版本本：V1.0发布时间间：20009年年6月银联卡个个人化企企业企业业安全评评估调查查问卷一、填表表人基本本信息单位名称称（单位公公章）联系人联系方式式座机号码码： ；手手机号码码：传 真E-MAAIL 地址二、生产产企业基基本信息息机构性质质法人机构构所在地地境内分支支机构数数量及地地点知识产权权（发卡卡系统）保密级别别三、系统统基本情情况核心服务务器服务器用用途服务器设设备名称称及配置置提供商名名称服务器操操作系统统名称当前版本本更新时间间业务终端端设备名称称提供商名名称操作系统统名称当前版本本更新时间间软件系统统名称当

2、前版本本更新时间间系统开发发商系统维护护商后台数据据库数据库类类型当前版本本更新时间间管理单位位名称管理员防火墙厂商型号号当前版本本路由器厂商型号号当前版本本四、企业业业务基基本情况况（请简述述企业的业业务，包包括说明明卡片个人人化过程程中贵企业业所处的的角色）五、问题题调查（勾选方方式，遇遇到无关关内容的的问题填填写“无”）数据管理理数据传输输数据信息息传送使使用的方方式：专线数据盘盘邮递人工递递送其他如果是专专线方式式，回答答下面问问题：企业是否否设置单单独的数数据接收收服务器器否 是传输规定定是如何何规定的的，是否否安全否 是传输规定定能否保保证数据据的完整整性和安安全性，如何保保证的否

3、 是，保证证方法或或手段_个人化企企业与发发卡机构构间的个个人化数数据是否否加密传传输否 是是通过软软件加密密还是硬硬件加密密软件加加密硬件加加密模块块如果是软软件加密密则密钥钥长度是是64 1288 1288以上对数据进进行加密密保护使使用的机机制是对称加加密机制制非对称称加密机机制其他_签名和密密钥交换换使用的的机制是是对称加加密机制制非对称称加密机机制其他_是否专门门对通讯讯日志进进行保管管否 是如果需要要获取通通讯日志志，是否否需要审审批并填填写使用用记录否 是是否允许许将通讯讯日志带带离现场场否 是如果采用用数据盘盘或人工工邮递方方式，回回答下列列问题：是否对邮邮递机构构或运输输手段

4、进进行筛选选否 是，筛筛选标准准_是否验证证递送人人员身份份否 是，验验证方式式_使用此种种方式存存储的数数据的格格式是：明文 密文 能否验证证其真实实性和完完整性否 是，验验证方式式_存储介质质有无专专门的封封装是 否有无措施施来保证证信息免免受未经经授权的的公开或或修改是 否数据安全全如果采用用专线方方式传输输数据，数据的的接收和和转移是是否需要要两名或或以上人人员同时时操作是 否数据转移移之后是是否删除除设备上上数据是 否上述操作作是否进进行操作作记录是 否如果采用用数据盘盘邮递方方式进行行数据传传输，生生产企业业是否需需要两名名或以上上人员同同时操作作：操作流程程否 是生产企业业对转移

5、移至个人人化处理理网络的的数据进进行处理理时，可可否允许许出现明明文数据据是 否如果允许许出现明明文数据据，请回回答下列列问题：是否事先先有发卡卡机构的的书面许许可是 否现场是否否有安全全管理员员监督是 否是否进行行详细的的记录备备案是 否记录备案案信息的的内容包包括：操作人人员姓名名处理时时间数据处处理原因因数据所所属发卡卡行名结束时时间安全管管理员签签名 其其它_完成加工工后的个个人化数数据是否否在安全全管理人人员监督督下及时时删除或或销毁是 否，原原因_对持卡人人或发卡卡机构相相关信息息的存取取有无限限制措施施有 无对持卡人人数据的的修改是是否需要要发卡机机构的书书面批准准，修改改是否有

6、有记录是 否网络管理理通讯方式式现在使用用的与数据提提供机构构之间接接入方式式是专线基于专专网的MMPLSS基于IInteerneet其他如果使用用Intternnet，是否采采用了IIPSEEC/SSSL等等安全协协议没有有从生产环环境中获获取通讯讯日志是是否需要要办理审审批手续续不是 是如果需要要，则出出示流程程单样本本和以往往的流程程单存档档记录没有 有将通讯日日志带离离现场是是否需要要更加严严格的审审批不是 是如果需要要，能否否提供审审批单样样本和以以往的审审批存档档记录没有 有个人化网网络安全全个人化网网络是否否在物理理和逻辑辑上均同与个个人化过过程无关关的设备备隔离没有 有是否已经

7、经制订与与个人化化网络安安全相关关的制度度和流程程没有 有是否阻止止未授权权的对个个人化网网络的访访问和接接入没有 有防火墙及及防入侵侵所有接入入互联网网的系统统是否都都安装防防火墙没有 有防火墙是是否安装装在互联联网接入入点与DDMZ区区之间、DMZZ区与内内部网络络之间没有 有存储、处处理卡片片个人化化数据信信息的系系统与不不可信网网络连接接点是否否布置防防火墙没有 有如果有无无线网络络，无线线网络与与存储、处理账账户信息息的相关关系统之之间是否否安装了了边界防防火墙没有 有是否建立立了防火火墙的管管理规范范，并且且指定专专人负责责维护防防火墙的的配置与与管理不是 是当前网络络拓扑图是是否

8、记录录了连接接到持卡卡人数据据的所有有连接（包括所所有无线线网络连连接）。不是 是在所有外外部网络络连接点点以及隔隔离区（DMZZ）与内内部网络络区域之之间是否否均配置置了防火墙墙不是 是防火墙网网络组件件逻辑管管理的组组、角色色和职责责描述是是否清晰晰明确不是 是防火墙配配置标准准是否包包括一个个业务必必需的服服务和端端口清单单文件不是 是防火墙配配置标准准是否包包括任何何可用协协议（不不仅限于于 HTTTP、SSLL、SSHH 和 VPPN）的的审批和和记录规规定。不是 是防火墙配配置标准准是否包包括任何何风险性性协议（如 FFTP）的审批批和记录录规定，并且说说明使用用此类协协议的原原因

9、以及及已采取取的安全全措施。不是 是是否建立立了路由由器的管管理规范范。不是 是防火墙配配置标准准是否要要求每季季度复审审防火墙墙和路由由器的规规则设置置。不是 是是否建立立了一个个防火墙墙配置用用来拒绝绝来自不不可信网网络和主主机的所所有通信信，个人人化数据据环境必必需的协协议除外外不是 是任何存储储有持卡卡人数据据的系统统（及其其组成部部分）与与公共服服务器之之间的任任何连接接（包括括无线连连接），是否都都有防火火墙配置置对其进进行限制制不是 是互联网访访问控制制文档中中是否限制制了通过过互联网网访问DDMZ区区IP的的流量不是 是是否禁止止通过互互联网访访问内部部网络IIP地址址不是 是

10、防火墙的的规则设设置中是是否屏蔽蔽了所有有RFCC19118(包包括3个个网段：10.0.00.010.2555.2555.2255;171172.31.2555.2555;1192.1688.0.01192.1688.2555.2255)中所定定义的内内部IPP地址对对DMZZ区的访访问不是 是检查防火火墙是否否执行状状态检查查（动态态包过滤滤）不是 是数据服务务器是否否放置于于内部网网络，并并通过防防火墙与与DMZZ区隔离离。不是 是是否限制制持卡人人数据环环境的入入站和出出站流量量，仅允允许必需需的流量量不是 是是否将路路由器配配置文件件同步化化。例如如，运行行配置文

11、文件（路路由器在在正常工工作状态态下使用用的配置置文件）和初始始化配置置文件（当路由由器重新新启动时时会使用用）应具具有相同同的安全全配置不是 是任何与互互联网直直接相连连、又被被用于访访问组织织（内部部）网络络的移动动电脑和和员工所所有的电电脑（比比如，员员工使用用的笔记记本电脑脑）上是是否安装装并启用用个人防防火墙系系统，以以及是否否按照组组织规定定的标准准对防火火墙进行行了配置置而且员员工无法法修改配配置。不是 是是否禁止止任何存存储持卡卡人数据据的内部部网络和和系统组组件（比比如，数数据库，日志，跟踪文文件） 被外部部网络间间接/直直接地公公开访问问。不是 是是否建立立一个DDMZ以以

12、过滤和和并屏蔽蔽所有流流量，禁禁止为IInteerneet流量量提供直直接的入入站和出出站路由由不是 是是否限制制源自支支付卡应应用、目目的地为为DMZZ区IPP地址的的出站流流量不是 是是否实施施IP伪伪装以防防止内部部地址被被识别并并被暴露露在Innterrnett上不是 是对于上面面的样本本防火墙墙/路由器器组件，检查是是否采用用了 NNAT、PATT或其他他使用 RFCC 19918 地址空空间的技技术，以以限制将将IP地址址从内部部网络广广播到互互联网（IP 伪装）。不是 是是否定期期对路由由配置和和防火墙墙策略进进行检查查，对路路由器和和防火墙墙的事件件日志、入侵检检测（防防御）设

13、设备的告告警事件件进行分分析和处处理不是 是是否建立立对所有有的路由由配置和和防火墙墙策略的的批准、测试和和变更的的正式流流程，路路由配置置和防火火墙策略略在每次次变更后后是否及时时归档不是 是是否对登登录网络络及网络络安全设设备的用用户进行行身份鉴鉴别，严严格控制制可以修修改网络络及网络络安全设设备配置置的账号号不是 是是否及时时进行网网络及网网络安全全设备的的补丁安安装和版版本升级级，及时时更新入入侵检测测（防御御）系统统的防护护知识库库不是 是是否拨号号访问网网络方式式不是 是如果有拨拨号网络络访问方方式是否对拨拨号用户户严格访访问控制制不是 是每个用户户须设置置口令是是否相同同不是 是

14、口令最短短长度是是多少不是 是口令是否否定期修修改不是 是是否允许许外部公公司拨号号或其他他方式的的远程维维护连接接不是 是是否定期期或在网网络发生生重大变变更后，对安全全控制措措施、网网络连接接和限制制措施进进行渗透透性测试试或漏洞洞扫描对对网络及及网络安安全设备备系统设设置、补补丁配置置和已知知的漏洞洞进行检检查，并并确认没没有内部部用户私私自连接接到外部部网络，外部访访问不能能非授权权进入内内部网络络。不是 是是否在网网络边界界处布防防入侵检检测（防防御）设设备，监监视可能能的攻击击行为，记录入入侵事件件的发生生，并报报警正在在发生的的入侵事事件。不是 是防火墙（系统、软件、配置文文件、

15、数数据库文文件等）是否备份份，以便便在系统统崩溃时时数据、配置文文件可以以及时恢恢复。备备份的数数据和文文件必须须妥善保保存，确确保其安安全性，只允许许授权的的人员接接触。不是 是一旦防火火墙被入入侵，防防火墙管管理员是是否针对对检测到到的攻击击重新配配置防火火墙。不是 是在没有防防火墙保保护的情情况下，个人化化系统是是否可以以与外网网IP或或Intternnet相相连。不是 是系统补丁丁管理对于样本本系统组组件、关关键服务务器、无无线接入入点和相相关的软软件，每每个系统统上是否否安装了供供应商最最新提供供的补丁丁。不是 是是否建立立安全策策略，要求在在两个月月内安装装所有相相关的新新安全补补

16、丁。不是 是 是否建建立与更更新、升升级相关关的安全全策略，否要求求更新和和升级必必须经过过审批（不是,是），并并且详细细登记升升级软件件的版权权（不是,是）、来源源（不是,是）、版本(不是,是)等信信息。不是 是是否对所所有变更更（包括括补丁），在部部署到实实际生产产环境之之前都进进行测试试，是否否出具测测试报告告。没有 有防病毒管管理是否采用用防病毒毒软件来来保护整整个个人人化网络络否 是任何进入入个人化化网络的的文件、软件或或数据在在进入前前是否要用用防病毒毒软件进进行检测测否 是，是否已已经制定定必要策策略定期期对个人人化网络络进行扫扫描不是 是是否在所所有系统统中部署署防病毒毒软件（

17、UNIIX及大大型主机机系统除除外）不是 是是否严格格限制下下载和使使用免费费软件或或共享软软件（如如果具有有监控下下载和使使用的软软件系统统也可以以）不是 是是否要求求（或者者防病毒毒软件设设置了）所有外外部存储储介质（软盘、移动硬硬盘和UU盘）在在使用前前，必须须进行病病毒扫描描不是 是是否要求求及时更更新防病病毒软件件和病毒毒库不是 是防病软件件的宿主主系统是是否支持持自动更更新和定定期扫描描，以及及样本系系统组件件、关键键服务器器和无线线接入点点是否启启用了这这些功能能不是 是是否支持持日志生生成以及及是否根根据组织织的信息息保留策策略对日日志进行行了保留留不是 是客户和第第三方的的访

18、问控控制提供给客客户和第第三方的的访问接接口是否否根据许许可范围围进行设设置，第第三方和和客户只只能够看看到允许许其访问问的内容容否 是对外提供供的访问问接口是是否只允允许使用用授权的的通信协协议、指指令和通通道否 是是否定期期对有访访问权限限的客户户或第三三方的帐帐号进行行检查否 是有无检查查记录是否严格格控制有有访问许许可的网网络连接接所提供供的服务务，不允允许客户户或第三三方利用用该网络络连接相相互通讯讯不是 是远程访问问控制是否拒绝绝超出业业务范围围的远程程访问权权限申请请不是 是其是否对对正常业业务范围围的远程程访问权权限申请请进行记记录，并并按照规规定时间间回收远远程访问问权限不是

19、 是是否禁用用了不必必要或不不安全的的服务（如匿名名FTPP服务、Tellnett服务等等）禁用了了不必要要或不安安全的服服务不是 是是否严格格限制远远程网络络或者无无线接入入设备接接入关键键网络内内，是否否具有审审批流程程不是 是每台接入入设备是是否进行行了备案案。不是 是是否禁用用了供应应商支持持和维护护系统所所使用的的账户，仅在需需要时才才启用此此账户不是 是供应商支支持和维维护系统统所使用用的账户户是否在在使用之之后及时时关闭不是 是是否对供供应商支支持和维维护系统统所使用用的账户户的使用用情况进进行监控控不是 是，如如果进行行了监控控，提供供监控的的日志文文件位置置。检查使用用策略是

20、是否禁止止在本地地硬盘、软盘或或其它外外部介质质上存储储持卡人人数据。不是 是使用策略略中是否禁禁止在远远程访问问中使用用剪切、粘贴和和打印功功能。不是 是检查是否否实现了了作用于于所有远远程网络络访问的的双因素素认证机机制没有 有，如如果有，请说明明双因素素认证机机制检查远程程登录操操作文档档记录，验证其其是否包包含下面面的几项项内容：远程访问问人员没有 有工作内容容没有 有持续时间间没有 有监督人的的签字确确认没有 有是否使用用SSLL/TLLS技术术对无线线管理界界面的管管理员访访问进行行了加密密。管理理员是否否能够远远程连接接到无线线管理界界面（所所有无线线环境的的管理都都只能在在控制

21、台台上进行行）不是 是是否每一一台服务务器只承承担一项项主要功功能（例例如，WWeb服服务器、数据库库服务器器和DNNS 应应该被分分别部署署在不同同的服务务器上）不是 是机房及系系统安全全（略）访问控制制及审核核4.1 用户权权限控制制所有对网网络、系系统和数数据资源源是否均均是有工工作需要要否 有有无完善善的用户户访问管管理机制制，且是是否按照照“因需知知晓”进行访访问控制制没有 有是否有用用户访问问管理机机制明确确了各个级级别用户户的权限限和责任任没有 有是否有权权限分配配规定。没有 有权限的分分配是否否使用了了“双人控控制”原则不是 是4.2用用户名管管理同一系统统内的用用户是否否根据

22、性性质和用用途遵循循同一的的命名规规则不是 是4.3登登录控制制是否建立立有关认证方方法的文文档说明明，是否否至少采采用下面面的一种种认证方方式口令没有 有令牌（如如Seccuree IDD、证书书等）没有 有生物特征征没有 有不需要要 需要是否对普普通用户户登录鉴鉴别失败败3次后后锁定不是 是是否使用用鉴别失失败系统统告警提提示机制制不是 是普通用户户不活动动时间超超过5分分钟是否否自动登登出不是 是是否严格格限制远远程登录录（远程程拨号或或VPNN）操作作范围和和审批程程序不是 是4.4 密码管管理密码是否否满足如如下规则则长度不少少于6位位；至少包含含1个字字母，11个数字字密码至少少包

23、含33个不相相同的字字符；每季度更更换一次次密码；禁止使用用最近44次曾使使用过的的密码；不是 是是否不同同的账号号使用了了不同的的初始密密码，以以及使用用什么策策略。没有 有，使使用的策策略对于样本本系统组组件、关关键服务务器和无无线接入入点，系系统口令令的长度度是否被被设置为为不低于于6个字字符。不是 是对于样本本系统组组件、关关键服务务器和无无线接入入点，系系统口令令的长度度是否被被设置为为必须包包含字母母和数字字。不是 是对于服务务提供商商是否要要求客户户口令必必须符合合最低口口令长度度规定。没有 有对于服务务提供商商，是否否要求客客户口令令必须包包含字母母和数字字。没有 有用户重置置

24、密码是是否有安安全机制制；不是 是系统强制制修改初初始密码码；不得得以明文文方式显显示、存存储和传传输密码码；不是 是是否使用用系统和和产品在在安装时时生成的的缺省密密码。不是 是选择一个个样本系系统组件件、关键键服务器器，是否否已经更更改了默默认的账账户和口口令。没有 有选择一个个样本无无线接入入点，检检查下列列相关的的供应商商默认设设置：安装时是是否更改改了WEEP密钥钥，知晓晓密钥的的员工离离开组织织或转换换工作岗岗位时否否更改了了WEPP 密钥钥。不是 是是否更改改了默认认SSIID。不是 是是否禁止止了SSSID广广播。不是 是是否更改改了接入入点的默默认SNNMP社社区字符符串。不

25、是 是是否更改改了接入入点的默默认口令令。不是 是如果无线线系统支支持WPPA，是是否启用用了WPPA或WPAA2 技技术。不是 是是否更改改了其他他与安全全相关的的无线供供应商默默认设置置（如果果适用）。不是 是对账户的的增加、删除、修改或或者变更更权限的的审批历历史记录录是否经经过了严严格的审审批。没有 有检查权限限更改记记录，对对下面的的情况是是否明确确或者记记录了权权限回收收时间。a)临临时修改改没有 有b)离离职没有 有c)岗岗位变动动没有 有是否对于于连续990天未未使用的的账号应应予以权权限冻结结；冻结结后300天仍未未使用的的，予以以注销不是 是首次登陆陆应是否否强制要要求修改

26、改密码没有 有对于样本本系统组组件、关关键服务务器和无无线接入入点：是否禁禁用或移移用了公公用用户户ID和账账户没有 有是否不不存在可可执行系系统管理理活动和和其他关关键功能能的共享享用户 ID没有 有是否禁禁用使用用共享和和公用的的用户IID管理理无线LLAN和和设备没有 有口令策略略/程序序中是否明明确地禁禁止共享享口令没有 有是否禁止止发送共共享口令令，即使使接收到到请求时时也禁止止不是 是是否强制制要求用用户定期期更改登登录密码码，修改改周期最最长不得得超过33个月没有 有，使使用的策策略对于服务务提供商商，是否否要求定定期修改改客户口口令，以以及是否否为客户户提供了了口令修修改指导导

27、，这些些指导说说明了在在何时以以及哪些些情况必必须修改改口令不是 是是否对密密码进行行加密保保护，密密码明文文不会以以任何形形式出现现不是 是是否在重重置用户户密码前前对用户户身份进进行核实实，以及及核实方方法。不是 是，核核实方法法是否进行行了用户户登录错错误次数数限制。不是 是，限限制几次次。如果对登登录错误误次数有有限制，则核实实用户登登录限制制数是否否是5次次（超过过就会锁锁定）。不是 是对于样本本系统组组件、关关键服务务器和无无线接入入点，系系统/会话空空闲超时时是否被设设置为110分钟或或更短。不是 是4.5 安全审审计是否启用用了审计功功能不是 是日志是否否记录用用户登录录系统的

28、的时间和和方式不是 是日志是否否记录失失败的访访问尝试试不是 是日志是否否记录对对关键目目录的访访问或执执行关键键操作的的记录（与系统统安全相相关的事事件）不是 是现场检查查日志，确定是是否定期期统计用用户访问问系统资资源的记记录信息息并反馈馈用户进进行确认认和评估估不是 是进行内部部或外部部审计的的周期无 一年一一次 一季度度一次 其他是否对设设备进行行了安全全测试，以确保保控制方方法能够够识别并并阻止安安全区域域内的非非授权访访问企图图。（例例如：每每季度使使用一次次无线分分析工具具识别所所有无线线设备）。不是 是每年是否否委托由由中国银银联认可可的有资资质的第第三方机机构进行行定期扫扫描

29、不是 是下列网络络重大变变更后是是否扫描描：安装新的的设备不是 是网络拓扑扑结构调调整不是 是调整防火火墙配置置不是 是应用系统统升级不是 是弱点扫描描是否通通过。不是 是每年是否否委托由由中国银银联认可可的有资资质的第第三方机机构进行行定期渗渗透测试试不是 是下列网络络重大变变更后是是否进行行渗透测测试：操作系统统升级不是 是应用系统统升级不是 是网络拓扑扑变更不是 是WEB服服务器变变更不是 是渗透测试试是否通通过。不是 是是否安装装了入侵侵检测系系统。不是 是是否部署署了文件件完整性性监控软软件或者者人工对对核心文文件监控控和管理理。不是 是是否配置置文件完完整性监监控软件件或者按按照流

30、程程人为对对关键文文件定期期进行比比较。不是 是对核心文文件的修修改是否否需要授授权。不是 是监控和管管理的核核心文件件是否包包括下面面的几类类。防火墙配配置文件件不是 是交换机配配置文件件不是 是路由器配配置文件件不是 是4.6 日志管管理如果建立立了日志志记录及及审核机机制（没有 有），请请完成下下面的评评估内容容。日志记录录和管理理机制中中是否包含含下面的的内容。用户对敏敏感信息息的访问问没有 有登录系统统的方式式没有 有失败的访访问尝试试没有 有系统管理理员的操操作没有 有对系统日日志的访访问没有 有其他涉及及账户信信息安全全的系统统记录没有 有检查组织织内的正正确时间间捕获和和发送流

31、流程以及及样本系系统组件件、关键键服务器器和无线线接入点点的时间间相关系系统参数数设置，是否包包含并且且实施了了时间同同步过程程。不是 是是否使用用了NTTP或类类似技术术进行时时间同步步。不是 是如果使用用了NTTP技术术，检查查运行的的网络时时间协议议（NTTP）是否为为最新版版本。不是 是是否只有有审计用用户可以以访问或或更改审审计日志志不是 是是否仅允允许有工工作需要要的人员员查看评评估追踪踪记录。不是 是评估追踪踪记录是是否被及及时备份份到集中中的日志志服务器器上或难难以更改改的介质质上。不是 是是否将无无线网络络的日志志复制到到了一台台位于内内部局域域网的日日志服务务器上。不是 是

32、是否使用用文件完完整性监监视和变变更检测测软件保保护日志志，确保保已有的的日志被被改变时时产生报报警（当然然，在已已有的日日志中添添加数据据，不应应触发报报警）。不是 是是否每天天复审所所有系统统的日志志。不是 是日志复审审是否包包含那些些执行安安全功能能的服务务器，例例如入侵侵检测（IDSS）、身身份验证证、授权权和记账账协议（AAAA）服务务器（例例如，RRADIIUS）。不是 是是否对所所有系统统组件进进行了定定期日志志审查。不是 是是否要求求日志至至少保留留一年。不是 是加工过程程及安全全管理5.1 磁条卡卡个人化化数据的加加解密过过程和数数据转换换过程是是否均在在硬件加加密设备备（H

33、SSM）中中进行不是 是当个人化化设备向向卡片写写入数据据时，是是否采用用了加密且且个人化化设备能能够识别别的格式式不是 是当个人化化设备向向卡片写写入数据据时，设设备操作作人员是是否可以以在设备备上读出出明文数数据不是 是5.2 IC卡卡初始化化及其安安全当IC卡卡初始化化设备向向IC卡卡发送初初始化命命令和指指令时，是否对对发送的的指令和和数据进进行加解解密和MMAC校校验不是 是加解密过过程是否否与硬件件安全模模块（HHSM）相连不是 是KENCC、KDDEC、KMAAC密钥钥值对每每一片卡卡是否是是唯一的的，且并并在生成成者密钥钥的保护护下放在在卡上不是 是如果KEENC、KDEEC、

34、KKMACC密钥值值不能放放在卡上上，其物物理存取取是否有有严格限限制不是 是对卡片的的访问是是否必须须通过一一个166位或以以上的口口令保护护不是 是IC卡初初始化操操作是否否必须位位于工厂厂的高安安全区不是 是5.3 IC卡卡个人化化（一）数数据准备备安全要要求数据准备备的全过过程是否否在与硬硬件安全全模块相相连的数数据处理理设备上上进行不是 是密钥的导导入导出出是否符符合EEMV220000 支付付系统集集成电路路规范和中中国金融融集成电电路（IIC）卡卡规范不是 是（二） 个人化化处理安安全要求求个人化处处理是否否必须位位于工厂厂的高安安全区并并满足所所有安全全要求及及程序不是 是个人

35、化处处理是否否达到银联标标识卡生生产企业业安全管管理指南南中的的要求不是 是5.4 流程安安全要求求（一）个个人化加加工操作作程序个人化加加工操作作程序是是否作为为正式的的文档不是 是对个人化化加工操操作程序序的改动动要经过过相关管管理者的的授权不是 是操作程序序文档是是否详细细说明具具体执行行每项工工作时的的工作流流程不是 是操作程序序文档是是否包含含个人化化设备操操作过程程，数据据信息处处理和处处置过程程，错误误或异常常情况操操作指导导及设备备使用限限制不是 是（二） 个人化化处理过过程控制制个人化处处理过程程中，卡卡片和持持卡人信信息能否否暴露给给任何无无关人员员不是 是个人化处处理过程

36、程中，个个人化数数据内容容能否修修改不是 是在各工序序交接过过程中，负责统统计卡片片的其他他部门人人员是否否预先知知道数目目不是 是个人化处处理过程程是否严严格执行行数字管管理不是 是有无每个个工单/分批的的主要审审查控制制记录不是 是审查控制制记录的的内容是是否包括括施工单单号、发发卡人名名称、卡卡片类型型等不是 是对于控制制记录中中的每一一项处理理功能，是否包包含以下下记录内内容：最最初发放放数量、上一期期的卡剩剩余量、卡移交交数量、退回仓仓库的卡卡片数、废卡数数量、样样卡/试试验卡数数量、个个人化作作业设备备及其工工作记录录、操作作员签名名、日期期、时间间、审查查人签名名等不是 是控制记

37、录录是否记记录了所所有个人人化加工工处理设设备故障障不是 是设备故障障记录是是否至少少保存33个月不是 是设备故障障记录是是否包括括以下内内容：操操作者姓姓名、审审查者签签名、设设备说明明/号码码、施工工单号、日期、时间、故障发发生原因因等不是 是制卡过程程中，打打卡和生生产现场场是否必必须保证证两人以以上不是 是系统登录录是否必必须进行行双重控控制不是 是制卡结束束后是否否强制删删除个人人化设备备上的文文件不是 是（三）凸凸字箔、寄卡单单和UGG色带管管理是否建立立了使用用箔数详详细目录录登记表表，并根根据销毁毁数目进进行核查查不是 是认使用过过的箔销销毁前是是否存储储在双管管区域内内不是

38、是是否建立立了凸字字箔销毁毁日志不是 是销毁日志志是否包包括卷（筒）数数、日期期、证明明销毁的的双人签签名等内内容不是 是所有包括括持卡人人信息的的箔在从从打卡机机上取下下后是否否在双重重监视下下及时销销毁不是 是寄卡单和和UG色色带是否否应采取取与凸字字箔同样样的安全全控制不是 是（四）个个人化卡卡片管理理是否建立立了完善善的白卡卡档案和和数量管管理系统统不是 是当天是否否有过出出库或入入库的卡卡种，当当天是否否经过数数量核对对不是 是已出库但但未使用用的卡片片须在个个人化处处理完成成前是否否必需退退回金库库保存不是 是正在加工工的卡片片是否有有授权员员工/操操作员的的看管并并确保其其安全不

39、是 是尚未个人人化处理理的卡片片（白卡卡）是否否均在双双重控制制下存储储在金库库，非授授权员工工不得接接近不是 是已个人化化卡片是是否采用用可追踪踪的安全全邮寄方方式不是 是密钥管理理6.1密密钥描述述（一）个个人化密密钥描述述在IC卡卡之外执执行的一一切加密密和解密密操作是是否在硬硬件安全全模块（HSMM）上进进行不是 是在IC卡卡卡片个个人化之之前，是是否创建建KMCC（个人人化主密密钥）、KENNC（加加密分散散密钥）、KMAAC（校校验码分分散密钥钥）、KDEEK（密密钥加密密分散密密钥）不是 是在IC卡卡上是否否必须存存在个人人化主密密钥的版版本号不是 是KMC（个人化化主密钥钥）对

40、每每个发卡卡行是否否是独有有的不是 是KENCC（加密密分散密密钥）对对每张卡卡片是否否是独有有的不是 是KMACC（校验验码分散散密钥）对每张张卡片是是否是独独有的不是 是KDEKK（密钥钥加密分分散密钥钥）对每每张卡片片是否是是独有的的不是 是（二）卡卡片密钥钥密钥由发发卡行还还是个人人化企业业产生发卡行行 个人化化企业 其他_若密钥由由发卡行行产生，是否遵遵循公钥钥传输给给中国金金融集成成电路（IC）卡认证证机构，私钥被被保存在在发卡行行的HSSM（主主机加密密模块）内是 否如果密钥钥由个人人化企业业处理，密钥管管理是否否符合本本银联标标识卡生生产企业业逻辑安安全管理理指南要求是 否（三

41、）传传输密钥钥是否采用用KEKK（密钥钥交换密密钥）对对发卡行行与个人人化数据据准备设设备之间间传输的的机密数数据进行行加密不是 是KEK是是否对每每个发卡卡行都是是独有的的不是 是KEK是是否定期期进行更更改不是 是数据准备备设备和和个人化化设备之之间的PPIN和和其他机机密数据据是否使使用数据据加密密密钥（DDEK）/传输输密钥（TK）进行加加密不是 是在数据准准备系统统和个人人化系统统之间是是否使用用校验码码密钥（MACC KEEY）来来保证个个人化文文件的完完整性不是 是6.2 密钥和和加密数数据传输输（一） 发卡行行到个人人化企业业接收来自自发卡行行的个人人化文件件时，文文件信息息的

42、存储储是否安安全不是 是访问个人人化文件件信息的的权利必必须严格格审核不是 是完成个人人化之后后，是否否将系统统内的数数据安全全清除不是 是KEK解解译成TTK是否否在硬件件安全模模块（HHSM）上完成成不是 是数据准备备系统是是否至少少位于一一个能够够控制数数据存取取的中间间安全区区，并将将数据访访问权局局限于业业务需求求者不是 是加密过程程的安全全要求是是否适合合于给定定的数据据组及IIC卡用用途，而而且无论论是在数数据准备备过程中中，还是是在个人人化设备备相关的的本机处处理过程程中，都都与相应应的加密密过程协协调一致致不是 是（二）个个人化过过程中的的安全要要求在个人化化处理阶阶段，个个

43、人化设设备：执行ICC卡的KKDEKK推算过过程是否否均在硬硬件安全全模块（HSMM）上不是 是将个人化化文件中中的机密密信息从从传输密密钥TKK解译成成KDEEK，以以便将其其传送给给卡片，这一解解译过程程是否均均在HSSM上执执行不是 是个人化设设备是否否位于高高安全区区且符合合中国金金融集成成电路（IC）卡生产产安全标标准规定定的一切切安全要要求和程程序要求求不是 是6.3密密钥操作作6.3.1非对对称（RRSA）密钥（一） 基本评评估RSA密密钥模数数位的长长度是否否组成公公共/私私有密钥钥模数，例如：7688、8996、110244和11152不是 是是否从物物理上保保障私有有（签名

44、名）密钥钥不受未未经授权权的访问问不是 是（二）非非对称密密钥生成成当生成RRSA公公/私钥钥对时，是否在在安全的的受保护护的硬件件加密设设备（HHSM）中完成成不是 是HSM是是否包含含一个随随机或伪伪随机数数字生成成器，执执行原始始校验过过程不是 是HSM是是否支持持篡改响响应机制制不是 是密钥生成成是否利利用一个个随机或或伪随机机过程，以保证证不可能能预测出出任何密密钥或者者确定密密钥空间间中的某某些密钥钥比其它它任意密密钥可能能性更大大不是 是个人计算算机或其其它类似似的不安安全设备备，即不不能被完完全信任任的设备备，是否否可用来来生成RRSA公公/私钥钥对不是 是（三）非非对称密密钥

45、传输输公钥是否否采用一一种能够够保证它它们完整整性的方方式来保保障安全全和传输输不是 是私钥是否否采用一一种能够够保证它它们的完完整性和和私密的的方式来来保障安安全和传传输不是 是传输机制制是否必必须在安全的的硬件加加密设备备上进行行加解密密操作不是 是传输机制制是否利利用至少少与加密密相等力力量的对对称算法法来对被被保护密密钥的私私钥进行行解密，作为几几个部分分（在IIC卡上上保障安安全），并使用用一个对对称算法法来进行行解密不是 是6.3.2 对对称密钥钥在生成DDES密密钥时，是否必必须在一一台由篡篡改响应应机制保保护的物物理安全全的设备备中生成成，或者者必须由由授权的的工作人人员以一一

46、部分一一部分的的形式生生成不是 是安全设备备是否包包含一个个随机或或伪随机机的数字字生成器器不是 是是否任何何时候一一个未被被保护的的密钥都都不能存存在于一一台物理理安全的的设备的的保护之之外不是 是是否任何何时候物物理安全全的设备备都不能能输出纯纯文本的的密钥，除非作作为密码码或者以以两个或或更多部部分的形形式输出出不是 是当密钥由由授权工工作人员员通过一一个将各各部分组组合的过过程来生生成时，是否必必须要求求每一方方生成一一个和要要生成的的密钥一一样长的的部分不是 是密钥组合合过程是是否在一一个物理理安全的的设备内内部进行行不是 是密钥组合合过程能能否保证证知道其其中任何何一个子子集也无无

47、法知道道密钥值值不是 是分开的密密钥是否否由一个个管理机机构掌握握不是 是分开的密密钥是否否必须有有一个部部分的持持有人是是发卡行行的一名名员工不是 是是否未为为实际的的全部密密钥计算算校验位位不是 是个人电脑脑或类似似的不安安全设备备是否可可用来生生成密钥钥资料不是 是如果发现现任何密密钥存在在于一个个物理安安全的设设备之外外，或者者密钥的的各个部部分被人人所知以以及有被被单个人人掌握的的嫌疑，可否将将该密钥钥认为已已被泄漏漏且必须须用一个个新的密密钥来替替换它不是 是6.3.3 密密钥传输输DES密密钥是否否可以被被安全地地转移到到一块安安全设备备或智能能卡的保保护之下下，以进进行传输输和

48、存储储不是 是DES 密钥传传输是否否以双重重控制和和分别持持有为原原则不是 是6.4 密钥存存储普通文本本私钥和和秘密的的密钥是是否只存存在于硬硬件加密密设备（HSMM）内不是 是私人和秘秘密的密密钥及其其组成部部分是否否采用双双重控制制和分别别持有的的原则存存储不是 是私人的和和秘密的的密钥组组成部分分可存储储在介质质上（例例如：软软盘、PPC卡、智能卡卡等）。这些介介质是否否必须安安全存储储，以防防止未授授权的个个体得到到密钥组组成部分分不是 是如果私人人的和秘秘密的密密钥组成成部分可可存储在在介质上上，并且且一个个个人识别别码（PPIN）介质，那么是是否只有有介质的的拥有者者同时拥拥有

49、介质质和它相相应的PPIN不是 是存储在密密钥转移移设备里里的私人人的或秘秘密的密密钥组成成部分是是否需要要通过像像口令这这样的充充分的访访问控制制来保护护不是 是任何时候候私人的的密钥或或密钥加加密密钥钥及其组组成部分分从存储储或加载载到一个个安全系系统设备备时，是是否有相相关记录录不是 是记录是否否包括日日期和进进出的时时间、访访问的目目的、访访问此组组成部分分的管理理人的签签名等信信息；这这些记录录是否被被明确地地保留，直到当当密钥被被终止或或销毁时时不是 是6.5 密钥备备份所有备份份是否受受到同样样的或比比当前正正在使用用密钥的的更高安安全控制制级别的的保护不是 是当存储完完成时,备份是是否必须须以正确确的访问问控制和和至少在在双重控控制之下下被安全全地存储储 不是 是保持在硬硬件加密密设备里里的私钥钥的备份份复制是是否需要要通过实实际的用用户识别别(例如如:访问问识别符符、口令令或其它它方法)所控制制,