非金融机构第三方机构支付优秀服务系统技术安全检测

非金融机构/第三方机构支付服务系统技术安全检测

2培训内容2011工作计划电子支付相关说明银行卡检测中心简介检测基本流程检测指标4123检测内容及分析5电子支付相关说明电子支付的定义电子支付是指单位、个人直接或授权他人通过电子终端，以网络应用协议规定的格式发出支付指令，实现货币支付与资金转移的行为。电子支付的类型

网上支付

移动支付电话支付

销售点终端交易

自动柜员机交易

其他电子支付等类型电子支付相关说明第三方支付平台的定义主要是面向开展电子商务业务的企业提供电子商务基础支撑与应用支撑的服务,不直接从事具体的电子商务活动。第三方支付平台独立于银行、网站以及商家来做职能清晰的支付第三方支付平台作为中介方,可以促成商家和银行的合作。第三方支付服务系统有助于打破银行卡壁垒。第三方支付平台能够提供增值服务,帮助商家网站解决实时交易查询和交易系统分析,提供方便及时的退款和止付服务。第三方支付机构可以划入非银行类金融机构的范畴电子支付相关说明电子支付的类型6培训内容Q4工作总结2011工作计划电子支付相关说明银行卡检测中心简介检测基本流程检测指标4123检测内容及分析5银行卡检测中心简介背景:1998年4月在中国人民银行总行领导下成立性质:独立的第三方专业检测机构职责:按照国际、国家和金融行业有关技术标准，提供银行卡、受理终端及支付系统的应用功能和安全性测试评估服务,确保通过测试评估的产品和系统符合相应技术标准,满足我国银行卡“联网通用”和“交易安全”的需要银行卡检测中心简介网上银行系统商业银行银行卡系统非金融机构支付系统（银行卡收单类）非金融机构支付系统（网络支付单类）非金融机构支付系统（预付卡类）第三方机构接入银联网络的外部认证评估银联卡账户信息安全合规评估银联卡受理信息系统支付应用软件安全检测网上银行/网上支付安全保护控件银行卡个人化中心安全等系统测试评估银行卡检测中心简介测试评估依据《非金融机构支付服务系统检测规范（银行卡收单类）》《非金融机构支付服务系统检测规范（网络支付类）》《非金融机构支付服务系统检测规范（预付卡类）》《银联卡业务运作规章》《银联卡收单机构账户信息安全管理标准》《第三方机构接入中国银联的技术安全要求》10培训内容Q4工作总结2011工作计划电子支付相关说明银行卡检测中心简介检测基本流程

检测指标4123检测内容及分析5检测流程12培训内容Q4工作总结2011工作计划电子支付相关说明银行卡检测中心简介检测基本流程检测指标4123检测内容及分析5检测指标检测目标是在系统版本确定的基础上，对被检测机构支付服务系统功能、风险监控、性能、安全性、文档和外包六项检测类进行测试，客观、公正评估系统是否符合相关国家及行业技术标准和信息安全要求，保障我国支付业务设施的安全稳定运行。检测指标必测项居多，达到90%安全方面的检测指标居多，达到67%检测指标功能实现正确功能性能满足需求性能网络、主机、应用、数据、运维、业务连续安全性核心要求疏而不漏风控准确、一致、完整文档控制严格、规范外包16培训内容Q4工作总结2011工作计划电子支付相关说明银行卡检测中心简介检测基本流程检测指标4123检测内容及分析5检测内容及分析—功能测试客户管理客户信息登记及管理（注册、编辑、登录及注销、客户信息审核及功能开通等）检测内容及分析—功能测试账户管理账户信息管理及审核（增加、删除、修改、冻结、审核等）账户信息查询（账户信息、相关交易等信息查询、账户变更信息历史记录）检测内容及分析—功能测试交易处理一般支付（客户在商户提供的平台上选择商品或服务，并在支付服务方确认付款的支付交易流程）担保支付（需要担保账户、资金暂存在中间账户）协议支付（事前签订协约）支付撤销转账（实现不同客户账户之间的相互转账）预存（账户充值或者预存现金）积分查询、兑换，及相关业务撤销交易纠纷处理交易明细查询（按时间、交易类型或客户等条件对交易明细信息进行查询浏览，支持下载）

冲正交易圈存（现金圈存、指定账户圈存、指定账户圈存撤销、非指定账户圈存、非指定账户圈存撤销、IC卡脚本通知）检测内容及分析—功能测试资金结算检测内容及分析—功能测试对账处理商户发送对账请求商户下载对账文件检测内容及分析—功能测试差错处理长短款处理（资金结算时，发现的有待查明原因的现金溢余或者短缺，实现对长短款资金的记录、调帐等服务）差错交易查询对账差错处理检测内容及分析—功能测试统计报表运营管理业务类报表（一段时间内业务操作，比如客户注册、商户开通、支付结算、转账、圈存等操作的查询统计）运营管理类报表（一段时间内资产监控、安全事件等的查询统计）运营人员权限管理检测内容及分析—功能测试特约商户管理商户信息登记及管理黑名单检查机管理商户信息查询商户操作员管理商户受理业务管理（业务的增、删、改、查）商户信息维护（信息变更、冻结、解冻、退出）检测内容及分析—功能测试密钥及证书管理密钥生成、分发、使用、存储、更新及销毁检测内容及分析—功能测试卡片管理补卡、换卡密码修改卡片冻结、解冻（对卡中资金）卡片挂失、解挂锁卡、解锁（对卡片应用）退卡（退卡返回资金）卡片有效期延长

卡片激活（新卡必须激活才能使用）卡片充值检测内容及分析—性能测试测试目的

验证系统是否满足未来两年业务运行的性能需求测试内容验证系统是否支持业务的多用户并发操作验证在规定的硬件环境条件和给定的业务压力下，考核系统是否

满足性能需求和压力解除后系统自恢复能力测试系统性能极限检测内容及分析—风险控制测试帐户风险管理多种用户身份鉴别方式

为用户提供多因素安全措施，确保登录和支付过程用户敏感信息的安全。例如：登录或支

付双密码、数字证书、USBKey等安全措施和产品甄别可疑交易

确保及时甄别可以交易，并保留相关日志或记录信息检测内容及分析—风险控制测试交易监控管理监控规则管理（完整、明确定义各类交易监控规则）当日交易查询历史交易查询实时交易监控（提供实时交易查询、预警、处理等）异常交易监控（提供异常交易查询、预警、处理等）交易事件报警检测内容及分析—风险控制测试交易审核系统自动审核（交易审核规则的设置、系统根据交易规则自动进行交易审核）人工审核检测内容及分析—风险控制测试风控规则

风控规则管理

黑名单（实现黑名单的管理功能、对黑名单中的客户交易进行风险监控）

风险识别

事件管理

风险报表检测内容及分析—风险控制测试联机交易风险管理圈存交易ARQC/QRPC验证联机报文MAC验证黑名单管理单笔圈存、消费等交易限额；当日累计消费、圈存金额限制；当日累计圈存、消费

次数限制大额消费商户交易监控卡片状态控制、非法卡号交易账户余额限制密码错误情况下的交易请求（应有效控制并记录）检测内容及分析—安全性测试应用安全性测试（）考察应用系统对非法访问及操作的控制能力身份鉴别（系统与普通用户设置及口令安全性、登录访问安全控制、非法访问警示及记

录、口令有效期限制等）

web页面安全性（图片校验码、安全控件、使用数字证书、独立的支付密码等）访问控制（访问权限设置、业务操作日志、关键数据存放、数据库安全配置等）安全审计（日志信息、日志权限和保护、系统信息查询与分析、时间报警等）应用容错（数据有效性校验、容错机制、故障机制等）报文安全性及完整性（通信报文完整性校验、报文加密等）编码安全（源代码审查、插件安全性审查、编码规范约束、源代码管理、版本控制等）电子认证应用（使用经过认证的第三方电子认证证书等）脱机数据认证（采用静态认证方式）安全机制（对称、非对称加密、哈希算法等）检测内容及分析—安全性测试主机安全（）考察主机的安全控制能力身份鉴别（系统与应用管理员用户设置及口令安全性、登录策略）访问控制（及时删除多余、过期的账户信息，避免多人共享同一账户的情况；禁止采用

默认账户的访问权限）系统保护（故障恢复策略、磁盘空间安全等）入侵防范（入侵防范记录、关闭服务和端口等）恶意代码防范（防范软件安装部署及统一管理、病毒库定时更新等）资源控制（连接控制、资源监控及预警等）主机安全管理（主机运维手册、漏洞扫描、系统补丁等）主机相关人员安全管理检测内容及分析—安全性测试数据安全性测试（）考察数据的传输、存储、备份与恢复的安全性数据保护（客户身份信息、支付业务信息等自业务关系结束当年起保护至少5年）数据完整性（传输过程数据的完整性、数据备份记录）

交易数据及客户数据的安全性（采用高可用的数据物理存储机制、加密传输、加密存储、

在线的存储备份、异地备份机制、备份数据的恢复机制、数据销毁机制和记录）检测内容及分析—安全性测试业务连续性测试（）有明确正式的业务中断影响分析、故障及灾难的恢复目标物理环境要求

备份机房网络双链路

网络设备和服务器备份

高可靠的磁盘阵列

远程数据库备份双机热备的硬件配置配套制度的要求应急响应流程制度数据备份和恢复制度（包括备份数据范围和备份频率、备份记录和定期恢复测试记录

清单、定期数据备份恢复性测试）需要重视的部分检测内容及分析—安全性测试网络安全性测试（）考察经网络系统传输的数据安全性及网络系统所连接设备安全性、评估系统网络环境是否能够防止信息资产、丢失，敏感信息的泄露及业务中断是否能够保障业务的持续运营和保护信息资产的安全网络结构安全网络访问控制安全网络安全审计网络安全测试网络入侵防范恶意代码防范网络设备防护网络安全管理、相关人员安全管理检测内容及分析—安全性测试运维安全性测试()主要考察运维安全管理制度及运维安全执行情况环境管理（机房设施维护、出入管理制度、办公环境保密性措施、安全管理制度、进出

登记表等）介质管理（存放环境保护措施、使用管理文档化、维修或者维护之前清除敏感数据等）设备管理（设备管理责任人员或部门、定期维护制度、选型采购发送等审批控制、配置标

准化、操作规程、操作日志等）人员管理（录用、转岗、离岗、考核、安全意识教育和培训、外部人员访问管理等）

监控管理（网络设备的指标监控情况、服务器的指标监控情况、应用运行各项指标监控情

况、异常处理机制等，需要实时报警通知）安全事件处理（安全事件报告和处理、分类及分级、安全事件记录和采取的措施、制定不

同事件的安全预案）網路行銷推廣策略Loremipsumdolorsitamet,consecteturadipisicingelit.大綱01030204推廣組合推廣目標的設定整合性網路行銷溝通推廣金字塔0506網際網路廣告工具網際網路促銷工具推廣組合最常見的促銷活動：02LOREMIPSUMLOREMIPSUM廣告是一種付費的溝通方式，其是由可認明的廣告業主，透過大眾媒體來說服或影響消費者兩項優點：它是在輕鬆的氣氛下，將產品資訊傳遞給消費者。它不會對消費者形成心須立刻作決定的壓力傳統的廣告具有兩項限制無法達到個人化調整或修改時較缺乏彈性網路行銷最常被提到的促銷方式而網路廣告市的利潤，也是網站經營者的財務計畫中，被認為是成本回收的主要來源公共關係公共關係(PublicRelations)簡稱公關利用資訊去影響民意公眾報導(Publicity)報紙及電視上的新聞報導不用支付費用的一種方式組織並無法擁有充足的主控權具有較高的公信力若組織平時用心於公共關係的建立，與媒體廣結善緣，則可掌握較多的正面公眾報導。人員推銷最傳統的促銷方式人與人面對面接觸時，容易獲得較高的信賴感對於產品本身較複雜、需要詳細介紹及示範者，特別適合人員推銷的方式限制：(1)單位成本較高(2)同時可接觸的總數量有限虛擬人員具互動性的網站人機介面，銷售促進除了人員推銷、廣告、公眾報導以外，其他可以促進產品銷售的行銷活動諸如陳列、展售會、展覽會等等，都可泛稱銷售促進像是贈品、折價券、虛擬商展、競賽、抽獎、打折等等，都是銷售促進的有效方式網路上常見的例子，有麥當勞、肯德基、好樂迪、達美樂等公司所提供可直接從網路列印的折價券、以及PChome所提供可以在網路上使用的e-coupon等等還有一些網路社群所提供的虛擬貨弊或累積點數，除了可增加網友忠誠度，其實也具有銷售促進的功能。来自

....中国最大的资料库下载銷售點促銷工具是廣告的延伸零售店面所張貼的促銷海報相當高比例的消費者，是屬於未經規劃而臨時決定購買者在最終銷售點，再以陳列、海報等等產品資訊來提醒或刺激消費者的購物慾在網站上一樣可以有類似的銷售點促銷工具直銷具有高度互動性、可發生在任何地點、便利、效率網路上特別適合直銷：(1)網路媒體具備雙向溝通的互動性。(2)網路上本來就不受到地理限制。(3)網路本來也具便利與效率的優勢。(4)很多網站是由製造商直接規劃經營的。(5)在網路世界裏，中間商有減少的趨勢。

人員銷售

電話行銷

型錄

展售會、研討會與教育訓練

直接郵件(DM)

公共關係

媒體廣告

窄

寬

目標客戶涵蓋率

每次接觸的成本

高

低

推廣金字塔推廣目標(1)告知(Inform)針對新產品在導入市場或在產品生命週期的導入期，賣方特別需要告知消費者新產品的用途、性能。有效的告知，可以將消費者的需要變成慾求提前告知或宣示(Preannouncement)被廣泛運用在軟體業，其中除了告知與教育的功能之外，還含有欺敵的策略意含推廣目標(2)說服(Persuade)說服通常被運用在產品生命週期的成長期，因為競爭者開始出現。說服消費者該品牌比競爭者品牌的產品優越或較符合消費者的需求。讓消費者對於品牌建立正面的態度與偏好。推廣目標(3)提醒(Remind)被運用在產品生命週期的成熟期，因為市場上競爭者開始大量出現消費者對產品的效能與品牌的認同都已建立，此時是以提醒為主要目標再次喚醒消費者使用該品牌愉悅的經驗與滿足感反應層級模式

AIDA(Attention,Interest,Desire,andAction)模式消費者在接受推廣活動時，所經驗的一系列的反應，就是所謂的反應層級模式。而其中最有名的是AIDA(Attention,Interest,Desire,andAction)模式注意(Attention)興趣(Interest)慾望(Desire)行動(Action)推廣效果的衡量消費者購買決策流程(1)需求的確認(2)資訊處理(3)產品評估(4)購買決策(5)購買行為(6)購後的評估推廣目標告知說服提醒AIDA模式注意興趣慾望行動整合性網路行銷溝通

(IntegrationMarketingCommunication,IMC)透過不同的媒體所傳播的訊息，可能造成訊息衝突而使行銷溝通無法發揮多重媒體的綜效，反而彼此相互抵消行銷溝通的效果，「整合性行銷溝通」的概念的出現。就是整合各種不同的傳播工具，傳遞出一致性的訊息給目標客戶群整合性網路行銷溝通

(IntegratedInternetMarketingI2M)產品的行銷消費者態度的形成企業形象的建立氣氛流行文化員工產品與服務垃圾公關新聞故事口耳相傳廣告符號個人經驗.整合性網路行銷溝通(IntegratedInternetMarketing)品牌廣告與直接回應廣告廣告可以影響消費者的認知、情感與態度(品牌態度與形象)，進而改變購買決策與行為，也就是所謂的品牌廣告。廣告也可以促進直接回應的銷售，消費者在看到廣告後，引發消費者主動詢問(慾望)進而購買(行動)来自

....中国最大的资料库下载品牌廣告與直接回應廣告

行銷溝通效果衡量AIDA模式注意興趣慾望行動品牌廣告直接回應廣告網路行銷溝通效果衡量I1=知覺效率指標(AwarenessEfficiency)I2=吸引力效率指標(AttractabilityEfficiency)I3=接觸率效率指標(ContactEfficiency)I4=交談效率指標(ConversionEfficiency)I5=留存效率指標(RetentionEfficiency)I1=Q1/Q0I2=Q2/Q1I3=Q3/A2I4=Q4/Q3I5=Q5/Q4Q0=Surfers瀏覽者人數Q1=AwareSurfers知曉瀏覽者人數Q2=Hits被吸引上網人數Q3=ActiveVisitors積極訪客人數Q4=Purchases購買人數Q5=Repurchases重覆購買人數網路線上遊戲與置入性行銷將廣告訊息融入遊戲中，在遊戲進行時玩家可經由遊戲介面接觸到各種商品訊息，從標語、廣告歌曲甚至將廣告標的之商品當作道具或武器使用，使得廣告巧妙地成為遊戲的一部分，並將網路使用者自主性高之特點由阻力轉化為助力。線上遊戲與廣告活動結合，成為有效「吸引新顧客」的網際網路行銷工具網路線上遊戲置入性行銷效果AIDA模式注意興趣慾望行動動畫、遊戲互動情境與角色扮演電子折價卷網路線上遊戲廣告效果網路遊戲廣告效果(AIDA)=網路遊戲(動畫，遊戲，互動情境，