标准解读

《GB/T 42015-2022 信息安全技术 网络支付服务数据安全要求》是针对网络支付服务中涉及的数据处理活动制定的安全标准,旨在保障个人及机构在网络支付过程中信息的机密性、完整性和可用性。该标准适用于提供网络支付服务的信息系统设计、开发、实施和运维等各个环节。

根据此标准,网络支付服务提供商需建立和完善数据分类分级保护机制,依据数据的重要程度采取不同级别的保护措施;对于敏感个人信息(如银行卡号、密码等)应采用加密或其他有效方式加以保护,并且在传输过程中使用安全协议确保数据不被窃取或篡改;同时,还需定期对信息系统进行安全性评估与测试,及时发现并修复潜在漏洞,防止因外部攻击而导致的数据泄露事件发生。

此外,《GB/T 42015-2022》还强调了用户权限管理的重要性,要求网络支付平台必须严格执行最小权限原则,仅授予员工完成工作任务所需的最低限度访问权限,并通过日志记录等方式监控其操作行为,以便于事后追溯责任。对于第三方合作机构接入时也应严格审查其资质背景和技术能力,签订合作协议明确双方权利义务关系以及数据安全管理职责。

最后,该标准指出网络支付服务提供者应当建立健全应急响应机制,一旦发生数据安全事故能够迅速启动预案,采取必要措施控制损失范围,并按照法律法规规定向相关监管机构报告事故情况。同时也要加强对用户的安全教育工作,提高他们自我防范意识,共同维护良好的网络安全环境。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2022-10-12 颁布
  • 2023-05-01 实施
©正版授权
GB/T 42015-2022信息安全技术网络支付服务数据安全要求_第1页
GB/T 42015-2022信息安全技术网络支付服务数据安全要求_第2页
GB/T 42015-2022信息安全技术网络支付服务数据安全要求_第3页
GB/T 42015-2022信息安全技术网络支付服务数据安全要求_第4页
免费预览已结束,剩余16页可下载查看

下载本文档

GB/T 42015-2022信息安全技术网络支付服务数据安全要求-免费下载试读页

文档简介

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T42015—2022

信息安全技术网络支付服务数据

安全要求

Informationsecuritytechnology—Datasecurityrequirementsforinternet

paymentservices

2022-10-12发布2023-05-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T42015—2022

目次

前言

…………………………Ⅰ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

网络支付服务业务组成

5.1……………2

网络支付服务数据范围

5.2……………2

基本要求

6…………………3

数据收集

7…………………3

收集个人信息

7.1………………………3

系统权限申请

7.2App…………………3

告知同意

7.3……………3

数据存储和传输

8…………………………4

数据使用和加工

9…………………………4

数据展示

9.1……………4

数据访问

9.2……………4

数据加工

9.3……………5

数据提供和公开

10…………………………5

数据提供

10.1……………5

数据公开

10.2……………6

数据删除

11…………………6

数据出境

12…………………6

个人信息主体权利

13………………………6

网络支付服务典型场景数据安全要求

14…………………7

通过生物特征实现支付身份认证

14.1、………………7

对账

14.2…………………7

支付风险控制

14.3………………………7

支付口令安全

14.4………………………8

附录资料性网络支付服务数据处理活动及安全风险

A()……………9

附录资料性网络支付服务重要数据识别参考规则及数据分类示例

B()……………11

附录资料性网络支付服务常见扩展业务功能的个人信息收集范围及使用要求

C()………………12

附录资料性网络支付服务相关系统权限申请范围及使用要求

D()App…………13

参考文献

……………………14

GB/T42015—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位蚂蚁科技集团股份有限公司中国电子技术标准化研究院清华大学中国网络安

:、、、

全审查技术与认证中心国家计算机网络应急技术处理协调中心中电长城网际系统应用有限公司

、、、

天翼电子商务有限公司北京快手科技有限公司马上消费金融股份有限公司北京三快在线科技有限

、、、

公司北京小米移动软件有限公司苏宁易购集团股份有限公司中国信息通信研究院北京字节跳动科

、、、、

技有限公司北京小桔科技有限公司深圳市腾讯计算机系统有限公司中国移动通信集团有限公司京

、、、、

东科技控股股份有限公司浙江大学

、。

本文件主要起草人彭晋上官晓丽徐羽佳王昕白晓媛胡影周晨炜落红卫金涛魏立茹

:、、、、、、、、、、

李东南李海英李洁宋铮舒敏王文磊闵京华张娜刘源焦伟孟小楠赵新强黄馨蓓甘俊杰

、、、、、、、、、、、、、、

蔡一鸣于浩洋李昳婧王宇晓宋文娣冷杉黄著馨张秉晟曹京郑新雅宋建蒋尉邱勤胡铁

、、、、、、、、、、、、、、

武杨蒋增增蒋芳婕李根

、、、。

GB/T42015—2022

信息安全技术网络支付服务数据

安全要求

1范围

本文件规定了网络支付服务收集存储传输使用加工提供公开删除出境等数据处理活动的

、、、、、、、、

安全要求

本文件适用于网络支付服务提供者规范数据处理活动也可为监管部门第三方评估机构对网络支

,、

付服务数据处理活动进行监督管理评估提供参考

、、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

信息安全技术术语

GB/T25069

信息安全技术个人信息安全规范

GB/T35273—2020

信息安全技术数据安全能力成熟度模型

GB/T37988

信息安全技术个人信息安全影响评估指南

GB/T39335

信息安全技术生物特征识别信息保护基本要求

GB/T40660

信息安全技术移动互联网应用收集个人信息基本规范

GB/T41391—2022(App)

信息安全技术网络数据处理安全规范

GB/T41479

信息安全技术人脸识别数据安全要求

GB/T41819

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T35273—2020。

31

.

网络支付服务internetpaymentservice

收款方或付款方

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论