G-B-T 42971-2023 第三方电子合同服务平台信息安全技术要求（正式版）

ICS35.240.60第三方电子合同服务平台信息安全国家标准化管理委员会国家市场监督管理总局发布国家标准化管理委员会IGB/T42971—2023 12规范性引用文件 13术语和定义 1 24.1资质要求 24.2真实身份标识 24.3业务持续性保障 24.4通信安全 24.5安全评估与监管 34.6数据安全 34.7电子签名 34.8记录留存 35订立过程安全 35.1基本要求 35.2实名核验 45.3数字证书申请 45.4密码算法及密码产品 5 55.6存证可靠性 5 56存储与应用安全 56.1存储安全 56.2隐私保护安全 66.3司法举证 6 77.1日志管理 77.2漏洞管理 77.3备份管理 77.4安全事件管理 7参考文献 9ⅢGB/T42971—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国电子业务标准化技术委员会(SAC/TC83)提出并归口。本文件起草单位：杭州天谷信息科技有限公司、深圳惠农智光科技有限公司、广州执友信息科技有西金虎保险设备集团有限公司、中移系统集成有限公司、杭州市消费者权益保护委员会秘书处(杭州国家电子商务产品质量监测处置中心)、杭州尚尚签网络科技有限公司、中国信息安全研究院有限公司、南京壹证通信息科技有限公司、北京中普至信标准化咨询事务所、山西科泰航天防务技术股份有限公司、关村新兴科技服务业产业联盟、中关村空间信息产业技术联盟、河南省信息咨询设计研究有限公司、福建省标准化研究院、中国轻工业信息中心、长城计算机软件与系统有限公司、中科标准(宁德)科技有限州市宝尚信息科技有限公司、山东融托科技有限公司、江西金格科技股份有限公司、北京中科标准科技集团有限公司。1GB/T42971—2023第三方电子合同服务平台信息安全技术要求要求。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文本文件。GB/T20520信息安全技术公钥基础设施时间戳规范GB/T20988信息安全技术信息系统灾难恢复规范GB/T22239信息安全技术网络安全等级保护基本要求GB/T28448信息安全技术网络安全等级保护测评要求GB/T32918.2信息安全技术SM2椭圆曲线公钥密码算法第2部分：数字签名算法GB/T35273信息安全技术个人信息安全规范GB/T37988信息安全技术数据安全能力成熟度模型GB50174数据中心设计规范JR/T0118金融电子认证规范3.1务关系的协议。数据电文中以电子形式所含、所附用于识别签名人3.3基于PKI的数字签名认证技术。3.42GB/T42971—20233.5在线订立及处理的信息系统。3.6数字证书digitalcertificate由国家认可的，具有权威性、可信性和公正性的第三方电子认证服务机构(CA,CertificateAuthority)进行数字签名的一个可信的数字化文件。3.7凭证。注1:可信时间戳由权威时间戳服务中心机构签发。注2:可信时间戳主要用于电子文件防篡改和事后抵赖，确定电子文件产生的准确时间。4基本要求第三方电子合同服务平台资质应符合但不限于以下要求之一：a)网络安全等级保护应为GB/T22239中第三级要求或更高级别；c)云服务通过通信主管部门的可信云服务认证；第三方电子合同服务平台应使用组织验证(OV,OrganizationValidation)或扩展验证(EV,ExtendedValidation)的传输层安全(SSL,SecureSocketsLayer)网站认证证书等手段标识网站的真实业务持续性保障应符合但不限于以下要求：a)部署在符合GB50174要求的A级数据中心机房；b)建立或使用与其业务规模相匹配的灾备系统设施，系统的灾难恢复能力满足GB/T20988的c)提供7×24h服务，并提供7×24h3GB/T42971—20234.5安全评估与监管第三方电子合同服务平台应依据GB/T28448定期开展等级保护测评，测评应由具备等级保护测评资质的信息安全测评认证机构进行。第三方电子合同服务平台应向监管部门或行业自律组织完成报备等合规工作。4.6数据安全第三方电子合同服务平台数据安全主要包括身份认证、授权访问控制、可审计、存储保护和隐私保a)采取身份认证，确保具备访问权限；b)具有授权访问控制功能，用户通过实名核验后，才可查看、下载本人已订立或被授予权限的电子合同；c)完整记录用户操作日志以备审计；d)具有安全措施，确保电子合同不泄露，对电子合同进行加密存储；e)具有隐私保护措施，确保用户隐私安全，符合GB/T35273要求。4.7电子签名电子签名应符合但不限于以下要求：a)在可靠电子签名体系中，标识电子签名人真实身份的数字证书由电子认证服务机构颁发；b)第三方电子合同服务平台所合作的电子认证服务机构要取得主管部门颁发的“电子认证服务许可证”,并符合主管部门的各项管理要求和在主管部门备案的电子认证业务规则。第三方电子合同服务平台应对电子签名人提交的电子签名进行验证，以保证电子合同的完整性和抗抵赖性，电子签名验证应符合但不限于以下要求：a)验证签订人数字证书的有效性；b)验证电子签名的有效性以及时间戳信息；c)验证电子签名所使用的电子签名算法符合GB/T32918.2要求；d)验证电子签名所使用的数据摘要算法符合GB/T32918.2要求；e)验证电子签名攻击，防止通用签名伪造(USF,UniversalSignature(ISA,IncrementalSavingAttack)和特征包裹攻击(SWA,SignatureWrappingAttack)攻击。4.8记录留存第三方电子合同服务平台应记录并保存签订人的合同记录，客户有要求时，按客户要求对相关信息进行保留，无特殊要求时留存期限应至少为当事人数字证书失效后5年。5订立过程安全5.1基本要求签订人应先通过实名核验，由电子认证服务机构为其签发数字证书，签订人使用数字证书对电子合同进行电子签名，第三方电子合同服务平台使用电子签名验证数据进行电子合同完整性验证，并且确认4GB/T42971—2023签订人的真实身份。5.2实名核验实名核验基本要求包括但不限于以下要求。a)实名核验应包含对签订人提供的有效证件真实性、一致性、意愿真实性三方面进行核验。第三方电子合同服务平台可根据平台自身的风控制度自主选择实名核验的方式。b)实名核验方式应不少于两种，不应规定单一校验方式。c)签订人登录第三方电子合同服务平台，应提交真实、完整和准确的个人或企业身份信息，第三方电子合同服务平台应对签订人的身份信息进行审核，只有实名核验通过的个人或企业，才能签订合同。d)实名核验需明示个人信息数据流向，个人信息处理方式应符合相关法律法规要求。e)应准确记录签订人实名核验操作时间、操作内容、操作结果、操作来源互联网协议(IP,InternetProtocol)便于审计。第三方电子合同服务平台在对自然人进行实名核验时可采用以下方式。a)线下核验：包括对自然人有效证件的现场审核、自然人生物特征信息的采集和比对核验以及人证合一的确认。b)线上核验：核验信息包括姓名、身份证号码、手机号码或银行卡号。核验信息应利用政府权威部门的数据库或取得政府权威部门授权或认可的数据库等，并采用生物特征识别技术或其他安全有效的技术手段进行人证合一的确认，也可通过电子认证服务机构颁发的数字证书进行实名核验。5.2.3法人或其他组织实名核验第三方电子合同服务平台在对法人或其他组织进行实名核验时可采用以下方式：a)线下核验：包括对法人或其他组织有效证件和经办人的合法授权文件的现场审核，以及经办人的个人实名核验；b)线上核验：核验信息包括名称、工商登记号或统一社会信用代码、法定代表人或负责人姓名和指定金额发票等核验方式，也可通过电子认证服务机构颁发的数字证书进行实名核验；5.2.4核验隐私数据保护第三方电子合同服务平台对核验信息的保护，应符合GB/T35273以及相关法律法规中对敏感信息要求。5.3数字证书申请签订人应在第三方电子合同服务平台上通过实名核验后才能申请数字证书。5GB/T42971—20235.3.2个人数字证书申请的有效身份证件在个人数字证书申请时对个人身份进行鉴别时，应符合JR/T0118中有关个人有效身份证件的要求。5.3.3企业数字证书申请的有效证件在企业数字证书申请时对机构身份进行鉴别时，应符合JR/T0118中有关企业有效身份证件的要求。在使用数字证书签名时，应符合GB/T32918.2中的密码算法安全要求。5.4密码算法及密码产品第三方电子合同服务平台所使用的密码算法可包括但不限于：杂凑算法、非对称密码算法和对称密码算法，所有算法应是国家密码主管部门认可的算法。第三方电子合同服务平台采用的密码产品(模块)应取得国家密码主管部门颁发的商用密码产品认证证书。5.5时间戳电子合同采用的可信时间戳应符合以下要求：a)第三方电子合同服务平台确保合同具备可信时间戳要素，满足防篡改要求；b)权威时间戳服务机构应与国家授时中心保持时间同步；c)时间戳应符合GB/T20520的要求。5.6存证可靠性第三方电子合同服务平台将签名数据固化后，形成证据链条应符合以下要求。a)能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。b)能够有效地表现所载内容并能够随时调取查用。5.7数据安全技术第三方电子合同服务平台系统数据安全，应符合GB/T37988的要求，包括：a)数据采集安全；b)数据传输安全；c)数据存储安全；d)数据交换安全；e)数据销毁安全。6存储与应用安全6.1存储安全第三方电子合同服务平台数据存储安全应符合但不限于以下要求。6GB/T42971—2023a)制定数据存储安全规则，包括但不限于：1)数据存储设备运行维护操作规则；2)数据存储系统安全管理规则；3)数据复制、备份与恢复的操作规则及定期检查或更新工作程序；4)数据归档存储制度及相应的安全审计与恢复制度；5)数据存储时效性管理规则。b)建立开放可伸缩的数据存储架构，以满足数据量持续增长、数据分类分级存储等需求。c)建立具备跨地域容错、容灾能力的数据存储架构。d)数据逻辑存储多租户隔离，分层分级保护，并授权管理。e)采用中间件/安全加密技术/安全设备实施实现数据资源的保护。f)数据访问审计的存储保护和管控。g)数据存储完整性、多副本一致性检测与恢复。h)在安全等级可接受的环境中再次使用存储介质之前应清除存储介质上已有的内部存储、缓存或其他可用的数据，以防对先前数据的访问。i)对存储介质进行标记，明确存储介质存储的数据对象，并对存储介质访问和使用行为进行记录6.2隐私保护安全第三方电子合同服务平台数据隐私保护安全应符合但不限于以下要求：a)构建数据脱敏规范，数据使用正当性的内部责任制度，数据溯源策略和管理制度以及不同类型、级别数据的加密规则和保存期限；b)建立分布式处理节点间可信连接策略和规范，采用节点认证等机制确保节点接入的真实性；c)建立分布式处理节点和用户安全属性的周期性确认机制，确保预定义分布式安全策略一致性；d)建立分布式处理过程中数据文件鉴别和访问用户身份认证的策略和规范，确保分布式处理数据文件的可访问性；e)分析利用所掌握的信息资源，不应影响国家安全、经济运行、社会稳定，不应损害他人合法权益；g)因业务需求，需扩大个人信息使用范围的，征得个人信息主体同意，不应违反收集使用规则使用个人信息；h)制定可公开的隐私政策。6.3司法举证第三方电子合同服务平台具有协助举证方进行举证的义务。证据证明包括但不限于：a)第三方电子合同服务平台提供订立的电子合同原文、签订人在平台的实名核验等证据，第三方民个人信息安全进行保护并告知义务的履行证明文件；b)第三方电子合同服务平台可与存证机构对接，有司法举证需求时，存证机构应出具存证证明c)电子认证服务机构出具数字证书及电子签名的验证报告，证明证书及电子签名的有效性；d)电子签名人委托他人代为实施签名行为时，电子签名的制作数据应由签名人控制，第三方电子7GB/T42971—2023合同服务平台提供调用电子签名制作数据的时间和方式、IP地址、授权及认证方式、授权及认证记录等证明；e)有司法举证要求时使用解密密钥解密原文；f)司法机构要求配合提供的其他相关证据。7安全运维日志管理满足以下要求。a)应全面收集第三方电子合同服务平台系统的运行日志，并进行归一化预处理，以便后续存储和处理。b)原始日志信息和归一化处理后的日志信息应分别进行存储。原始日志信息应防篡改，以便可作为司法证据；已归一化的日志应进行结构化存储，以便检索和深度处理。c)对日志信息应进行多种分析，包括：1)攻击线索查找分析：在第三方电子合同服务平台系统受到攻击后，通过日志分析找到攻击2)日志交叉深度分析：通过定期的交叉分析，发现并阻断潜在攻击；3)对攻击日志进行历史分析，发现攻击趋势，以实现早期防御。7.2漏洞管理应建立漏洞应急机制，可通过以下两种方式获取第三方电子合同服务平台系统及其支撑软硬件系统存在的脆弱性或漏洞。a)借助漏洞扫描工具对第三方电子合同服务平台系统及其软硬件系统存在的漏洞进行扫描，以发现存在的脆弱性。b)通过多种渠道及时了解第三方电子合同服务平台系统及其支撑软硬件系统存在的脆弱性。及时更新第三方电子合同服务平台系统和相应的支撑软硬件设备，以保持系统处于安全状态。7.3备份管理可根据业务数据的重要程度设定相应的备份策略。可选择的备份方式包括完全备份、差异备份或增量备份；可选择的备份地点包括同城备份或异地备份等。对已备份的数据的恢复演练频次不应低于每季度一次，以保证备份的可用性和灾难恢复系统的可靠性。7.4安全事件管理第三方电子合同服务平台系统安全事件管理责任和规程应符合以下要求。a)建立管理责任以确保以下规程被制定并在组织内得到充分的交流：1)规划