GB∕T 37401-2019 电子商务平台服务保障技术要求

电子商务平台服务保障技术要求Serviceassurancetechnicalrequirementforelectroniccommerceplatform2019-05-10发布中国国家标准化管理委员会GB/T37401—2019前言 I 2规范性引用文件 3术语和定义 4电子商务平台服务保障体系 5交易过程保障 25.1交易前要求 25.2交易中要求 35.3交易后要求 46基础保障 46.1安全保障 46.2平台环境要求 56.3数据管理要求 56.4运维管理要求 5参考文献 7I本标准按照GB/T1.1—2009给出的规则起草。本标准由全国电子业务标准化技术委员会(SAC/TC83)提出并归口。本标准起草单位：中国标准化研究院、厦门至诚标准化服务有限公司、海泉百膳生物科技股份有限公司、成都中科大旗软件有限公司、中纺协检验(泉州)技术服务有限公司、晋江绿生食品有限公司、中国计量大学、江苏省质量和标准化研究院、广州市标准化研究院、杭州翰正标准技术服务有限公司、山东理工大学、东莞市海陆通实业有限公司、厦门安妮股份有限公司、安徽省质量和标准化研究院。周如琪。1电子商务平台服务保障技术要求1范围本标准规定了电子商务平台的交易过程保障以及基础保障技术要求。本标准适用于电子商务平台服务保障的规划、实施。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T2887计算机场地通用规范GB/T20270信息安全技术网络基础安全技术要求GB/T20281信息安全技术防火墙安全技术要求和测试评价方法GB/T20988信息安全技术信息系统灾难恢复规范GB/T22080信息技术安全技术信息安全管理体系要求GB/T28827.1信息技术服务运行维护第1部分：通用要求GB/Z28828信息安全技术公共及商用服务信息系统个人信息保护指南3术语和定义下列术语和定义适用本文件。电子商务electroniccommerce以电子形式进行的商务活动。注：经济活动主体之间利用现代信息技术和网络技术(含互联网、移动网络和其他信息网络)开展商务活动，实现网上接洽、签约、支付等关键商务活动环节的部分或全部电子化，包括货物交易、服务交易和知识产权交易等。[GB/T31524—2015,定义3.1]电子商务平台electroniccommerceplatform电子商务活动中为交易双方或多方提供交易撮合及相关服务的信息网络系统总和。[GB/T31524—2015,定义3.2]电子商务活动中为交易双方或多方提供交易撮合及相关服务的信息网络系统总和。[GB/T32873—2016,定义3.2]4电子商务平台服务保障体系4.1电子商务平台的服务保障体系如图1所示。2交易过程保障交易过程保障交易中基础保障安全保障平台环境数据管理运维管理产品服务保证主体身份认证订单处理售后服务物流配送订单支付交易前交易后图1电子商务平台服务保障体系4.2电子商务平台服务保障体系应包括：a)交易过程保障：电子商务交易全过程的服务保障，主要涉及交易前、交易中和交易后等环节的服务保障；b)基础保障：基于电子商务平台的交易提供的各种基础服务保障，包括：安全保障、平台环境、数据管理以及运维管理。5交易过程保障5.1交易前要求5.1.1主体身份认证电子商务平台应具备主体身份认证功能，其功能要求至少包括：a)信息采集：支持在线填写、相应证明文件上传等功能，实现电子商务交易过程中主体真实信息的采集，采集信息应包括但不限于：1)主体登记注册信息，包括：登记基本信息、主体身份信息等；2)许可信息，包括：销售商品或提供服务应取得相关的行政许可或销售授权许可等信息；b)信息验证：提供在线查询、后台验证等功能，通过数字签名、数字证书等技术实现对交易活动柞关主体信息查验。c)信息公示：以图片嵌入或网页链接等技术方式，实现在电子商务平台页面显著位置对许可类信息、登记注册信息等资质信息的公开。3电子商务平台上应具备清楚表达所销售产品信息的描述功能，包括：a)产品信息模型建立的功能，至少包括：1)通用信息模块，支持对所销售产品的基本信息、企业信息和联系信息等信息实体以及产品2)专用信息模块，支持对所销售产品的特征信息实体和信息元素的描述功能。b)产品信息描述方法确立的功能：支持对产品信息实体和信息元素的基本属性、数据类型及格式等相关描述方法的确立，具体描述方法应参照GB/T32670、GB/T33989等相关国家标准中电子商务平台应提供产品质量保证相关证明信息的在线填写以及证明文件上传等功能，并对其合电子商务平台应提供下单服务、订单管理等订单处理相关功能模块，其要求包括但不限于：a)下单服务功能模块的要求包括：1)应提供明确的交易规则和简便的下单流程，宜支持一键下单等功能；2)应通过页面提示等方式提供下单全流程指导；3)应具备针对下单服务过程中的关键环节提供订单确认、支付方式说明及选择等功能；4)应在确认订单之前通过独立页面展示所选商品数量、预期发货时间、发货地点、配送方式、订单和支付确认；6)电子商务平台可支持配送方式选择功能；b)订单管理功能模块的要求包括：2)可通过时间、关键词等条件设置进行历史订单查询。a)应通过各类接口提供多种可选择的支付方式和支付工具；b)应支持通过图片嵌入或网页链接等技术方式对支付流程、支付提示和支付说明等信息进行c)应支持支付完成同步以短信、电子邮件等方式告知的功能；d)宜支持在线支付过程的实时验证功能。45.3交易后要求电子商务平台应对所售产品的物流配送提供服务保障，其要求应包括但不限于：a)应支持订单页面的所购商品配送全过程信息展示功能，信息内容包括但不限于：发货信息、运b)提供消费者对物流配送服务的评价功能模块；c)提供自营物流配送服务的电子商务平台，其技术要求应满足：1)消息通知功能模块，支持以电子邮件/短信/电话等技术方式发送发货、运输、派送、签收等关键环节的相关信息；2)签收确认功能模块，宜提供线上、线下相结合方式的签收确认功能。电子商务平台应具备退换货服务，其要求包括但不限于：a)根据退换货指令，明确商品及货款退回形式、商品交接时间和地点、配送人员身份、商品外部情b)应对退换货商品进行运输包装处理；c)宜采用电子文件形式记录所收退换货商品的外观、性能状况；d)宜采用电子文件形式留存退换货过程中的各类记录文件。电子商务平台的纠纷处理服务，其要求包括但不限于：a)应采用图片嵌入或网页链接等技术方式，在电子商务平台页面显著位置公布纠纷处理规定、纠纷处理渠道、详细流程等信息；b)应运用手机短信、平台短消息、关联社交软件、电子邮件等信息化技术进行纠纷投诉信息反馈，保证在承诺时间内向消费者确认受理纠纷投诉信息，并及时将处理结果反馈至消费者。6基础保障6.1安全保障电子商务平台服务的信息安全保障应符合GB/T22080的相关要求，具体要求至少包括：a)对视频、图片、文字等不合规内容进行过滤；b)在网站显著位置明示交易信息保护原则，内容包括但不限于：消费者信息、信息获取渠道、信息保护方式、信息使用目的、信息使用范围等；c)允许消费者对个人信息的使用权限和使用范围进行限定和授权；d)针对消费者个人信息的保护工作应按照GB/Z28828中的相关要求，宜提供个人信息是否被保护的情况说明；e)电子商务平台应保证在支付、配送等服务过程中遵循其信息保护原则；f)电子商务平台存储的消费者信息应进行加密处理，存储的消费者信息仅用于在该电子商务平5台发生的交易过程中使用，并符合《中华人民共和国网络安全法《电信和互联网用户个人信息保护规定》等相关法律法规的要求；g)在电子商务平台相关界面提供消费者个人信息修改、删除、注销等功能。6.1.2网络基础安全电子商务平台的网络基础安全应满足GB/T20270的相关技术要求。电子商务平台接口应包括营销核算账目接口、产品进销存流转接口、主体身份认证接口、物流配送商接口、支付服务商接口等，其开放应符合相关接口的安全要求。6.2平台环境要求电子商务平台环境的要求应包括但不限于：a)机房设计应符合GB/T2887规定的要求；b)操作系统、数据库应满足电子商务平台运行的需求；c)备份软件应保证数据备份的完整性，支持增量、差分、在线、离线等多种备份方式以及字节校验、快速磁带扫描等多种校验手段，并具有备份介质的管理能力；d)采用较为成熟的网络及系统监控设备及软件，对网络及系统常见操作进行实时检查、监控、报警和阻断，防止网络攻击行为；e)防火墙应性能良好、方便配置和管理、状态监视手段完备，并符合GB/T20281的要求；f)应具备系统资源占用少、易于部署和管理，病毒防护能力强的防病毒软件。6.3数据管理要求电子商务平台数据管理的要求应包括但不限于：a)根据数据内容的存储保护需求，选择相应的加密方式对平台存储数据进行保护。b)应通过部署检测系统等方式对重要业务和管理数据的完整性进行检测，并在检测到完整性错误时采取必要的恢复措施。c)按照相应法律法规和标准对涉及个人隐私信息等数据进行敏感信息处理和保护。d)定期开展数据备份工作，具体方式应包括但不限于：1)应定期进行备份，并选择全量备份、增量备份或差分备份等方式；2)根据业务和管理数据的流量和重要性确定备份周期；3)数据备份内容应包括但不限于：页面基本信息、消费者个人信息、交易信息、业务和管理信息。e)数据恢复，数据的恢复应符合GB/T20988规定的要求。6.4运维管理要求6.4.1管理机制建设电子商务平台应建立针对平台运维的管理机制，应包括但不限于：a)建立对电子商务平台、应用系统、服务、资源等对象提供运维综合管理的相关机制，具体措施应遵循GB/T28827.1中的相关要求；b)支持运用电话、手机短信、平台短消息、关联社交软件、电子邮件等信息化技术，建立对于电子商务平台用户相关请求及记录的信息化受理机制；6c)按交易全过程环节及基础保障等方面对平台用户申请的服务进行分类，建立相关分类处理d)监督服务受理相关事项的进展，建立相应的监督办理机制；e)支持运用电话、手机短信、平台短消息、关联社交软件、电子邮件等信息化技术，针对受理请求办理落实情况进行回访活动，建立回访反馈机制；f)采用投诉上报、预警、统计分析与跟踪等方式，建立投诉管理机制；g)明确操作规程、应急处理、日常维护、软硬件档案保管、信息保密、权限管理等方面的管理和技h)电子商务服务提供商的服务质量的考评机制。电子商务平台应建立相应的运维管理机构，并配备技术、服务和管理等方面人员，人员数量与实际业务需求相适应，其要求应包括但不限于：a)遵守国家法律法规及所在岗位的各项规章制度和职业道德；b)具备安全保密意识，并具备突发事件应急处理能力；c)应掌握本岗位所需的专业知识。6.4.3岗位与培训要求电子商务平台应明确各项业务岗位职责，并对不同岗位的相关人员进行培训，具体要求包括但不a)设立售后服务、运维管理、安全保密等岗位，负责保障电子商务平台服务的整体运行；b)应根据不同岗位情况，组织相关员工进行岗前培训和在岗培训，达到