各會(huì)員單位:
為推動(dòng)證券公司支付系統(tǒng)建設(shè)����、管理��、運(yùn)行的規(guī)范化和標(biāo)準(zhǔn)化��,我會(huì)起草了《證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引》��,現(xiàn)予以發(fā)布。本辦法自發(fā)布之日起施行�。
附件:《證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引》
中國(guó)證券業(yè)協(xié)會(huì)
2015年3月13日
證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引
第一章 總則
第一條 為推動(dòng)證券公司支付系統(tǒng)建設(shè)、管理��、運(yùn)行的規(guī)范化和標(biāo)準(zhǔn)化�,依據(jù)《中華人民共和國(guó)證券法》、中國(guó)人民銀行規(guī)章文件����、中國(guó)證監(jiān)會(huì)規(guī)章文件和中國(guó)證券業(yè)協(xié)會(huì)自律規(guī)則的有關(guān)規(guī)定制定本技術(shù)指引。
第二條 本指引所指的支付系統(tǒng)����,是指各參與方支撐證券公司參與支付業(yè)務(wù)運(yùn)行的網(wǎng)絡(luò)與信息系統(tǒng)。各參與方包括參與支付業(yè)務(wù)的證券公司��、支付服務(wù)機(jī)構(gòu)(包括行業(yè)支付服務(wù)機(jī)構(gòu)��、第三方支付機(jī)構(gòu)����、商業(yè)銀行等)以及提供數(shù)據(jù)交換服務(wù)的機(jī)構(gòu)(以下簡(jiǎn)稱為“中介服務(wù)機(jī)構(gòu)”)。
第三條 本指引中所提出的各項(xiàng)要求�,是支撐證券公司開展支付業(yè)務(wù)相關(guān)系統(tǒng)應(yīng)達(dá)到的基本要求。證券公司在參與支付業(yè)務(wù)時(shí)自建或所選用的相關(guān)合作方系統(tǒng)應(yīng)符合本指引規(guī)定的相關(guān)要求�。
第四條 中國(guó)證券業(yè)協(xié)會(huì)(以下簡(jiǎn)稱“協(xié)會(huì)”)依據(jù)本指引對(duì)參與支付業(yè)務(wù)的證券公司實(shí)施自律管理。
第二章 系統(tǒng)建設(shè)
第五條 支付系統(tǒng)建設(shè)應(yīng)遵循松耦合、可擴(kuò)展��、可靠性��、安全性原則����,應(yīng)充分利用行業(yè)信息化公共基礎(chǔ)設(shè)施實(shí)現(xiàn)資源的優(yōu)化配置��,系統(tǒng)功能應(yīng)滿足支付業(yè)務(wù)的相關(guān)業(yè)務(wù)需求�、內(nèi)控及監(jiān)管要求。
第六條 證券公司支付系統(tǒng)與其他各參與方的系統(tǒng)對(duì)接應(yīng)遵循總對(duì)總原則��,聯(lián)接方式既可以采用直聯(lián)�,也可以通過相關(guān)中介服務(wù)機(jī)構(gòu)進(jìn)行聯(lián)接。
第七條 支付系統(tǒng)數(shù)據(jù)交換接口定義應(yīng)科學(xué)規(guī)范�、統(tǒng)一標(biāo)準(zhǔn),并具有良好的可擴(kuò)展性����。在時(shí)機(jī)成熟時(shí),應(yīng)全面推廣使用行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)交換接口��。
第八條 證券公司支付系統(tǒng)應(yīng)與其他各參與方之間至少建立兩條不同運(yùn)營(yíng)商或不同類型的通信線路����,各條通信線路之間互為備份��,線路帶寬能夠滿足業(yè)務(wù)需要并留有冗余�。
第九條 支付系統(tǒng)在進(jìn)行文件交換時(shí)�,應(yīng)校驗(yàn)文件的合法性、真實(shí)性和完整性��。
第十條 支付系統(tǒng)處理性能應(yīng)滿足業(yè)務(wù)開展的要求�,性能應(yīng)達(dá)到:支付類業(yè)務(wù)的處理能力大于每百萬客戶50 筆/秒;查詢類業(yè)務(wù)的處理能力大于每百萬客戶150 筆/秒;單筆業(yè)務(wù)最長(zhǎng)處理時(shí)間小于20秒。
第十一條 支付系統(tǒng)應(yīng)配備獨(dú)立的測(cè)試系統(tǒng)����。測(cè)試規(guī)程應(yīng)包括單項(xiàng)測(cè)試、聯(lián)合測(cè)試��、系統(tǒng)備份及恢復(fù)等環(huán)節(jié)��。測(cè)試內(nèi)容應(yīng)包括業(yè)務(wù)流程測(cè)試��、全覆蓋性的功能測(cè)試�、部署環(huán)境與運(yùn)行模塊測(cè)試、壓力與性能測(cè)試等��。
第十二條 證券公司應(yīng)按照《證券市場(chǎng)交易結(jié)算資金監(jiān)控系統(tǒng)證券公司接口規(guī)范》以及中國(guó)證監(jiān)會(huì)的相關(guān)要求進(jìn)行系統(tǒng)建設(shè)和數(shù)據(jù)報(bào)送��。
第十三條 支付系統(tǒng)應(yīng)具備支付類交易、清算的對(duì)賬與調(diào)賬機(jī)制����。
第三章 安全保障
第十四條 支付系統(tǒng)應(yīng)從系統(tǒng)安全性、應(yīng)用安全性����、物理安全性、信息處理安全性�、網(wǎng)絡(luò)安全性、數(shù)據(jù)安全性等方面進(jìn)行安全風(fēng)險(xiǎn)控制�。系統(tǒng)整體的安全防護(hù)能力應(yīng)不低于《證券期貨業(yè)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》二級(jí)技術(shù)要求�。
第十五條 支付系統(tǒng)的備份建設(shè)應(yīng)按照《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息系統(tǒng)備份能力標(biāo)準(zhǔn)》中實(shí)時(shí)系統(tǒng)的相關(guān)規(guī)定執(zhí)行。
第十六條 證券公司應(yīng)合理劃分支付系統(tǒng)各子系統(tǒng)的安全域��,在不同的系統(tǒng)安全域之間進(jìn)行有效隔離�,同時(shí)做好支付系統(tǒng)與外部系統(tǒng),如交易系統(tǒng)�、賬戶系統(tǒng)、業(yè)務(wù)終端和網(wǎng)站后臺(tái)管理等系統(tǒng)的有效隔離��。
第十七條 證券公司應(yīng)對(duì)支付系統(tǒng)做好病毒����、木馬和惡意代碼的防護(hù)措施��,定期掃描系統(tǒng)��,及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)�,防范安全漏洞�。
第十八條 證券公司應(yīng)做好支付門戶網(wǎng)站的監(jiān)控與安全管理。支付門戶網(wǎng)站應(yīng)具備防范SQL注入�、跨站腳本、網(wǎng)頁(yè)篡改�、Session欺騙、拒絕式服務(wù)攻擊和緩沖區(qū)溢出等攻擊的能力����。可定期聘請(qǐng)專業(yè)安全機(jī)構(gòu)對(duì)網(wǎng)站實(shí)施滲透測(cè)試�,對(duì)SQL注入、跨站腳本等WEB漏洞進(jìn)行檢測(cè)��。證券公司發(fā)現(xiàn)釣魚網(wǎng)站�,應(yīng)及時(shí)報(bào)告,并在其支付門戶網(wǎng)站醒目位置進(jìn)行風(fēng)險(xiǎn)揭示����。
第十九條 證券公司應(yīng)做好支付系統(tǒng)客戶端(含移動(dòng)終端)的安全管理,程序應(yīng)具備防木馬�、防篡改��、防密碼竊取能力��,前臺(tái)與后臺(tái)的通信應(yīng)采用加密機(jī)制��。
第二十條 證券公司應(yīng)做好支付網(wǎng)關(guān)與其他參與方網(wǎng)關(guān)間的連接互信認(rèn)證�,應(yīng)采用數(shù)字證書對(duì)報(bào)文加密��、關(guān)鍵域簽名等方式保障數(shù)據(jù)傳輸?shù)陌踩浴?
第二十一條 支付系統(tǒng)應(yīng)采用數(shù)字證書�、動(dòng)態(tài)口令、短信密碼等身份認(rèn)證機(jī)制提高安全性����,防竊取、防篡改����。
第二十二條 證券公司應(yīng)加密存儲(chǔ)支付系統(tǒng)的關(guān)鍵數(shù)據(jù)��,保證傳輸過程中的數(shù)據(jù)完整性��。對(duì)數(shù)據(jù)庫(kù)的操作應(yīng)有日志留痕�,應(yīng)定期備份數(shù)據(jù)以滿足恢復(fù)需要。支付交易數(shù)據(jù)應(yīng)至少保存20年����。
第二十三條 證券公司應(yīng)建立網(wǎng)絡(luò)防火墻隔離機(jī)制�,對(duì)網(wǎng)絡(luò)外部邊界訪問策略進(jìn)行最小化管理并部署防火墻等安全設(shè)備�。支付網(wǎng)關(guān)對(duì)外應(yīng)關(guān)閉所有與業(yè)務(wù)和維護(hù)無關(guān)的服務(wù)及端口。
第二十四條 證券公司網(wǎng)絡(luò)與安全設(shè)備的訪問口令不能使用缺省口令及弱密碼�,管理員密碼應(yīng)由指定人員設(shè)置并定期修改。
第二十五條 證券公司應(yīng)做好支付相關(guān)系統(tǒng)網(wǎng)絡(luò)信息安全事件監(jiān)控工作�,監(jiān)控工作應(yīng)至少包括以下內(nèi)容:能夠發(fā)現(xiàn)常見的網(wǎng)絡(luò)信息安全攻擊事件,并及時(shí)做好防范措施;能夠?qū)Πl(fā)生的網(wǎng)絡(luò)信息安全事件進(jìn)行有效控制��、隔離與遏制��,并及時(shí)做好應(yīng)急措施;能夠?qū)W(wǎng)絡(luò)信息安全態(tài)勢(shì)進(jìn)行準(zhǔn)確分析與預(yù)測(cè)��,不斷提高網(wǎng)絡(luò)信息安全事件監(jiān)控��、預(yù)防����、應(yīng)急處置能力。
第四章 運(yùn)維管理
第二十六條 證券公司應(yīng)建立與其他各參與方的技術(shù)溝通協(xié)調(diào)機(jī)制��,成立由各參與方共同組成的技術(shù)協(xié)調(diào)小組��,就系統(tǒng)重大變更����、重大問題及安全情況進(jìn)行溝通�、協(xié)調(diào)和通報(bào)��。
第二十七條 支付系統(tǒng)運(yùn)營(yíng)應(yīng)建立完備的系統(tǒng)監(jiān)控機(jī)制�,將支付系統(tǒng)監(jiān)控納入證券公司信息系統(tǒng)統(tǒng)一監(jiān)控范圍的要求,對(duì)系統(tǒng)的運(yùn)行環(huán)境����、運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控。監(jiān)控記錄應(yīng)至少保存一年�。
第二十八條 證券公司應(yīng)建立支付系統(tǒng)的軟件升級(jí)、變更等流程規(guī)范����,確保變更的請(qǐng)求發(fā)起、開發(fā)測(cè)試�、發(fā)布實(shí)施等工作規(guī)范開展。
第二十九條 證券公司應(yīng)安排專人負(fù)責(zé)支付系統(tǒng)測(cè)試��。聯(lián)合測(cè)試時(shí)應(yīng)成立由各參與方信息技術(shù)管理及相關(guān)業(yè)務(wù)管理部門組成的聯(lián)合測(cè)試小組�,共同制定測(cè)試方案及預(yù)期測(cè)試結(jié)果����,對(duì)測(cè)試結(jié)果進(jìn)行記錄��、評(píng)估和確認(rèn)��。
第三十條 各參與方應(yīng)建立容量管理制度��,實(shí)時(shí)監(jiān)測(cè)系統(tǒng)資源����,定期分析評(píng)估系統(tǒng)容量�,及時(shí)調(diào)整資源配置。
第五章 應(yīng)急處置
第三十一條 證券公司應(yīng)建立跨行業(yè)的應(yīng)急處理組織體系��,并制定相應(yīng)的應(yīng)急預(yù)案及應(yīng)急協(xié)調(diào)機(jī)制�。應(yīng)急預(yù)案應(yīng)納入行業(yè)的應(yīng)急預(yù)案體系,并按照有關(guān)規(guī)定定期組織聯(lián)合演練�。
第三十二條 證券公司應(yīng)妥善處置支付系統(tǒng)發(fā)生的信息安全事件。任何一方出現(xiàn)預(yù)警信息或者發(fā)生信息安全事件時(shí)��,應(yīng)按照《證券期貨業(yè)信息安全事件報(bào)告與調(diào)查處理辦法》中第三方存管系統(tǒng)相關(guān)要求及《證券期貨業(yè)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》相關(guān)規(guī)定執(zhí)行����。
第三十三條 各參與方應(yīng)建立資金交收應(yīng)急預(yù)案,避免出現(xiàn)因資金交收異常造成客戶資金出現(xiàn)缺口或擠占其他客戶資金的情況��。
第六章 自律管理
第三十四條 協(xié)會(huì)應(yīng)對(duì)證券公司執(zhí)行本指引的情況組織定期或不定期的現(xiàn)場(chǎng)檢查或非現(xiàn)場(chǎng)檢查。檢查內(nèi)容包括但不限于技術(shù)方案��、系統(tǒng)部署��、測(cè)試報(bào)告�、容量規(guī)劃、運(yùn)維流程��、安全措施��、應(yīng)急預(yù)案��。
第三十五條 證券公司應(yīng)配合協(xié)會(huì)進(jìn)行檢查����,不得以任何理由拒絕、拖延提供有關(guān)資料��,或者提供不真實(shí)��、不準(zhǔn)確��、不完整的資料��。
第七章 附則
第三十六條 本指引由協(xié)會(huì)負(fù)責(zé)解釋�。
第三十七條 本指引自發(fā)布之日起施行����。
相關(guān)附件:
證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引.doc
稅收法規(guī)
內(nèi)控政策
津公網(wǎng)安備12010202000755號(hào)