7.3　特定業務安全

移動互聯網應用服務器的支付業務安全要求包括但不限于：

a) 應符合JR/T 0095-2012 第6章的要求；

b) 在提供支付業務時，應符合JR/T 0095-2012 第7章中對加密算法和密鑰的相關規定，確保支付信息在網絡傳輸過程中的安全；

c) 在處理支付業務時，除支付網關外，不應向任何其它服務器傳輸用戶提交的支付信息；

d) 在處理支付業務時，不應以任何持久性的方式存儲用戶提交的支付信息，包括但不限于數據庫、數據文件和調試記錄；

e) 在完成支付業務、不再需要使用用戶提交的支付信息時，應使用“0”字節、“1”字節或隨機字節對內存中保存相關信息的數據結構進行填充處理。

移動互聯網應用服務器的推送業務安全要求包括但不限于：

在提供推送業務時，應對推送內容的安全性進行審核，避免推送可將用戶定向到包括但不限于惡意應用安裝包下載地址、含有攻擊代碼的網站以及釣魚網站的內容。

移動互聯網應用服務器的廣告業務安全要求包括但不限于：

a) 在提供廣告業務時，應對其投放內容直接指向的網絡鏈接的安全性進行審核，避免投放可將用戶定向到惡意應用安裝包下載地址、含有攻擊代碼的網站以及釣魚網站的廣告內容；

b) 在提供廣告業務時，在未向用戶明確提示并獲授權的情況下，不應從用戶設備中收集個人信息，包括但不限于通信信息、位置信息和設備信息；

c) 在提供廣告業務時，只有當其移動應用客戶端在前臺運行時，方可向移動智能終端投放更新的廣告內容。

移動互聯網應用服務器的即時通信業務安全要求包括但不限于：

b) 在提供即時通信業務時，應對文字消息中包含的網絡鏈接的安全性進行審核。若發現其指向惡意應用安裝包下載地址、含有攻擊代碼的網站以及釣魚網站，則應提醒信息接收者潛在的安全風險；

c) 在提供即時通信業務時，應對用戶傳輸的文件進行安全掃描。若發現文件中可能存在惡意代碼，則應在文件接收時提供安全警示。

本文章首發在網安wangan.com 網站上。

暫無個人描述~

點贊