JR∕T 0171-2020 個人金融信息保護技術規范安全技術要求
6.1 生命周期技術要求
6.1.1 收集
應根據信息類別確定個人金融信息收集方案。具體技術要求如下:
a)不應委托或授權無金融業相關資質的機構收集C3、C2類別信息。
b)應確保收集信息來源的可追溯性。
c)應采取技術措施(如彈窗、明顯位置URL鏈接等) , 引導個人金融信息主體查閱隱私政策, 并獲得其明示同意后,開展有關個人金融信息的收集活動。
d)對于C3類別信息,通過受理終端、客戶端應用軟件、瀏覽器等方式收集時,應使用加密等技術措施保證數據的保密性,防止其被未授權的第三方獲取。
e)通過受理終端、客戶端應用軟件與瀏覽器等方式引導用戶輸入(或設置)銀行卡密碼、網絡支付密碼時,應采取展示屏蔽等措施防止密碼明文顯示,其他密碼類信息宜采取展示屏蔽措施。
f)在網絡支付業務系統中,應采取具有信息輸入安全防護、即時數據加密功能的安全控件對支付敏感信息的輸入進行安全保護,并采取有效措施防止合作機構獲取、留存支付敏感信息。
g)在停止提供金融產品或服務時,應及時停止繼續收集個人金融信息的活動。
6.1.2 傳輸
個人金融信息傳輸過程的參與方應保證信息在傳輸過程中的保密性、完整性和可用性,具體技術要求如下:
a)應建立相應的個人金融信息傳輸安全策略和規程,采用滿足個人金融信息傳輸安全策略的安全控制措施,如安全通道、數據加密等技術措施。
b)傳輸個人金融信息前,通信雙方應通過有效技術手段進行身份鑒別和認證。
c)通過公共網絡傳輸時,C2、C3類別信息應使用加密通道或數據加密的方式進行傳輸,保障個人金融信息傳輸過程的安全;對于C3類別中的支付敏感信息,其安全傳輸技術控制措施應符合有關行業技術標準與行業主管部門有關規定要求。
d)應根據個人金融信息的不同類別,采用技術手段保證個人金融信息的安全傳輸;低敏感程度類別的個人金融信息因參與身份鑒別等關鍵活動導致敏感程度上升的(如,經組合后構成交易授權完整要素的情況),應提升相應的安全傳輸保障手段。
e)個人金融信息傳輸的接收方應對接收的信息進行完整性校驗。
f)應建立有效機制對個人金融信息傳輸安全策略進行審核、監控和優化,包括對通道安全配置、密碼算法配置、密鑰管理等保護措施的管理和監控。
g)應采取有效措施(如個人金融信息傳輸鏈路冗余)保證數據傳輸可靠性和網絡傳輸服務可用性。
6.1.3 存儲
個人金融信息存儲的具體技術要求如下:
a)不應留存非本機構的銀行卡磁道數據(或芯片等效信息) 、銀行卡有效期、卡片驗證碼(CVN和CVN 2) 、銀行卡密碼、網絡支付密碼等C 3類別信息。若確有必要留存的, 應取得個人金融信息主體及賬戶管理機構的授權。
b)應根據個人金融信息的不同類別,采用技術手段保證個人金融信息的存儲安全;低敏感程度類別的個人金融信息因參與身份鑒別等關鍵活動導致敏感程度上升的(如,經組合后構成交易授權完整要素的情況),應提升相應的安全存儲保障手段。
c)C3類別個人金融信息應采用加密措施確保數據存儲的保密性。
d)受理終端、個人終端及客戶端應用軟件均不應存儲銀行卡磁道數據(或芯片等效信息)、銀行卡有效期、卡片驗證碼(CVN和CVN 2) 、銀行卡密碼、網絡支付密碼等支付敏感信息及個人生物識別信息的樣本數據、模板,僅可保存完成當前交易所必需的基本信息要素,并在完成交易后及時予以清除。
e)采取必要的技術和管控措施保證個人金融信息存儲轉移過程中的安全性。
f)應將去標識化、匿名化后的數據與可用于恢復識別個人的信息采取邏輯隔離的方式進行存儲,確保去標識化、匿名化后的信息與個人金融信息不被混用。
g)在停止運營時,應依據國家法律法規與行業主管部門有關規定要求,對所存儲的個人金融信息進行妥善處置,或移交國家與行業主管部門指定的機構繼續保存。
6.1.4 使用
6.1.4.1 信息展示
提供業務辦理與查詢等功能的應用軟件,對個人金融信息展示具體技術要求如下:
a)依據國家法律法規與行業主管部門有關規定要求,對通過計算機屏幕、客戶端應用軟件、銀行卡受理設備、自助終端設備、紙面(如受理終端打印出的交易憑條等交易憑證)等界面展示的個人金融信息應采取信息屏蔽(或截詞)等處理措施,降低個人金融信息在展示環節的泄露風險。
注1:關于信息屏蔽(或截詞)的使用方式,參見附錄A。
注2:金融業機構柜面打印的憑證依據有關規范執行。
b)處于未登錄狀態時,不應展示與個人金融信息主體相關的C3類別信息。
c)處于已登錄狀態時,個人金融信息展示的技術要求如下:
除銀行卡有效期外,C3類別信息不應明文展示。
對于銀行卡號、手機號碼、證件類識別標識或其他識別標識信息等可以直接或組合后確定個人金融信息主體的信息應進行屏蔽展示,或由用戶選擇是否屏蔽展示,如需完整展示,應進行用戶身份驗證,并做好此類信息管理,防范此類信息泄露風險。
涉及其他個人金融信息主體的信息時,除以下情況外,宜進行屏蔽展示:
– 其他方主動發起的活動包含的信息,此種情況需展示必要的信息以供活動接收方對活動內容進行確認,例如:其他方發起的交易、其他方發起的收付款、保險保費代收。
– 與其他方已建立信任關系(間接授權),此時需活動發起方確認發起活動的必要信息的正確性(或活動發起方需接收活動結果信息,并確認活動已正確完成),例如:向其他方收款,其他方已付款;向其他方申請代付,其他方同意付款或者其他方在自己業務應用范圍內的聯系人。
– 其他法律法規要求的情況。
應用軟件的后臺管理與業務支撐系統,對個人金融信息展示具體技術要求如下:
a)除銀行卡有效期外,C3類別信息不應明文展示。
b)應采取技術措施防范個人金融信息在展示過程中泄露或被未經授權的拷貝。
c)后臺系統對支付賬號、客戶法定名稱、支付預留手機號碼、證件類或其他類識別標識信息等展示宜進行屏蔽處理,如需完整展示,應做好此類信息管理,采取有效措施防范未經授權的拷貝。
d)后臺系統不應具備開放式查詢能力,應嚴格限制批量查詢。
e)對于確有明文查看需要的業務場景可以保留明文查看權限,后臺系統應對所有查詢操作進行細粒度的授權與行為審計。
應防止通過散列碰撞等方法推導出完整的數據,若使用“截詞”的方式進行部分字段的屏蔽處理,不應用散列代替字段被截詞的部分。
6.1.4.2 共享和轉讓
個人金融信息在共享和轉讓的過程中,應充分重視信息轉移或交換過程中的安全風險,具體技術要求如下:
a)在共享和轉讓前,應開展個人金融信息安全影響評估,并依據評估結果采取有效措施保護個人金融信息主體權益。
b)在共享和轉讓前,應開展個人金融信息接收方信息安全保障能力評估,并與其簽署數據保護責任承諾。
c)支付賬號及其等效信息在共享和轉讓時,除法律法規和行業主管部門另有規定外,應使用支付標記化(按照JR/T0149-2016)技術進行脫敏處理(因業務需要無法使用支付標記化技術時,應進行加密),防范信息泄露風險。
d)應部署信息防泄露監控工具,監控及報告個人金融信息的違規外發行為。
e)應部署流量監控技術措施,對共享、轉讓的信息進行監控和審計。
f)應根據“業務需要”和“最小權限”原則,對個人金融信息的導出操作進行細粒度的訪問控制與全過程審計,應采取兩種或兩種以上鑒別技術對導出信息操作人員進行身份鑒別。
g)應定期檢查或評估信息導出通道的安全性和可靠性。
h)使用外部嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟件開發工具包等)進行信息共享與轉讓時,應定期檢查或評估信息共享工具、服務組件和共享通道的安全性和可靠
i)應執行嚴格的審核程序,并準確記錄和保存個人金融信息共享和轉讓情況。記錄內容應包括但不限于日期、規模、目的、范圍,以及數據接收方基本情況與使用意圖等,并應確保對共享和轉讓的信息及其過程可被追溯。
j)應采取有效技術防護措施,防范信息轉移過程中被除信息發送方與接收方之外的其他個人、組織和機構截獲和利用。
6.1.4.3 公開披露
個人金融信息原則上不得公開披露。金融業機構經法律授權或具備合理事由確需公開披露時,具體技術要求如下:
a)應事先開展個人金融信息安全影響評估,并依據評估結果采取有效的保護個人金融信息主體權益的措施。
b)不應公開披露個人生物識別信息。
c)應準確記錄和保存個人金融信息的公開披露情況,包括公開披露的日期、規模、目的、內容、公開范圍等。
6.1.4.4 委托處理
金融業機構因金融產品或服務的需要,將收集的個人金融信息委托給第三方機構(包含外包服務機構與外部合作機構)處理時,具體技術要求如下:
a)委托行為不應超出已征得個人金融信息主體授權同意的范圍或遵循7.1中對于征得授權同意的例外所規定的情形,并準確記錄和保存委托處理個人金融信息的情況。
b)C3以及C2類別信息中的用戶鑒別輔助信息,不應委托給第三方機構進行處理。轉接清算、登記結算等情況,應依據國家有關法律法規及行業主管部門有關規定與技術標準執行。
c)對委托處理的信息應采用去標識化(不應僅使用加密技術)等方式進行脫敏處理,降低個人金融信息被泄露、誤用、濫用的風險。
d)應對委托行為進行個人金融信息安全影響評估,并確保受委托者具備足夠的數據安全能力,且提供了足夠的安全保護措施。
e)應對第三方機構等受委托者進行監督,方式包括但不限于:
依據7.2.1的要求,通過合同等方式規定受委托者的責任和義務;
依據7.4.2的要求,對受委托者進行安全檢查和評估。
f)應對外部嵌入或接入的自動化工具(如代碼、腳本、接口、算法模型、軟件開發工具包等)開展技術檢測,確保其個人金融信息收集、使用行為符合約定要求:并對其收集個人金融信息的行為進行審計,發現超出約定行為及時切斷接入。
6.1.4.5 加工處理
個人金融信息在加工處理的過程中,具體技術要求如下:
a)應采取必要的技術手段和管理措施,確保在個人金融信息清洗和轉換過程中對信息進行保護,對C2、C3類別信息,應采取更加嚴格的保護措施。
b)應對匿名化或去標識化處理的數據集或其他數據集匯聚后重新識別出個人金融信息主體的風險進行識別和評價,并對數據集采取相應的保護措施。
c)應建立個人金融信息防泄露控制規范和機制,防止個人金融信息處理過程中的調試信息、日志記錄等因不受控制的輸出而泄露受保護的信息。
d)應具備信息化技術手段或機制,對個人金融信息濫用行為進行有效的識別、監控和預警。
e)應具備完整的個人金融信息加工處理操作記錄和管理能力,記錄內容包括但不限于日期、時間、主體、事件描述、事件結果等。
6.1.4.6 匯聚融合
個人金融信息匯聚融合的技術要求如下:
a)匯聚融合的數據不應超出收集時所聲明的使用范圍。因業務需要確需超范圍使用的,應再次征得個人金融信息主體明示同意。
b)應根據匯聚融合后的個人金融信息類別及使用目的,開展個人金融信息安全影響評估,并采取有效的技術保護措施。
6.1.4.7 開發測試
個人金融信息在開發測試過程中的具體技術要求如下:
b)開發環境、測試環境不應使用真實的個人金融信息,應使用虛構的或經過去標識化(不應僅使用加密技術)脫敏處理的個人金融信息,賬號、卡號、協議號、支付指令等測試確需信息除外。
6.1.5 刪除
個人金融信息在刪除過程中的具體技術要求如下:
a)應采取技術手段,在金融產品和服務所涉及的系統中去除個人金融信息,使其保持不可被檢索和訪問。
b)個人金融信息主體要求刪除個人金融信息時,金融業機構應依據國家法律法規、行業主管部門有關規定以及與個人金融信息主體的約定予以響應。
6.1.6 銷毀
個人金融信息在銷毀過程中的具體技術要求如下:
a)應建立個人金融信息銷毀策略和管理制度,明確銷毀對象、流程、方式和要求。
b)應對個人金融信息存儲介質銷毀過程進行監督與控制,對待銷毀介質的登記、審批、介質交接、銷毀執行等過程進行監督。
c)銷毀過程應保留有關記錄,記錄至少應包括銷毀內容、銷毀方式與時間、銷毀人簽字、監督人簽字等內容。
d)存儲個人金融信息的介質如不再使用,應采用不可恢復的方式(如消磁、焚燒、粉碎等)對介質進行銷毀處理;存儲個人金融信息的介質如還需繼續使用,不應只采用刪除索引、刪除文件系統的方式進行信息銷毀,應通過多次覆寫等方式安全地擦除個人金融信息,確保介質中的個人金融信息不可再被恢復或者以其他形式加以利用。
e)云環境下有關數據清除應依據 JR/T 0167-2018 的 9.6 執行。
6.2 安全運行技術要求
6.2.1 網絡安全要求
承載與處理個人金融信息的信息系統應符合國家網絡安全相關規定與 GB/T 22239一2019、JR/T 0071 的要求。存儲個人金融信息的數據庫應處于金融業機構可控網絡內,并進行有效的訪問控制。
6.2.2 Web應用安全要求
涉及C 2、C 3類別信息的Web應用的安全技術要求如下:
a)應具備對網站頁面篡改、網站頁面源代碼暴露、窮舉登錄嘗試、重放攻擊、SQL注入、跨站腳本攻擊、釣魚、木馬以及任意文件上傳、下載等已知漏洞的防范能力。
b)處理個人金融信息相關的Web應用系統與組件上線前應進行安全評估。
c)應具備對處理個人金融信息的系統組件進行實時監測的能力,有效識別和阻止來自內外部的非法訪問。
6.2.3 客戶端應用軟件安全要求
與個人金融信息相關的客戶端應用軟件及應用軟件開發工具包(SDK) 應符合JR/T 0092-2019、JR/T 0068-2020 客戶端應用軟件有關安全技術要求,并在上線前進行安全評估。
6.2.4 密碼技術與密碼產品要求
使用的密碼技術及產品應符合國家密碼管理部門與行業主管部門要求。
推薦文章: