各會員單位:
為推動證券公司支付系統(tǒng)建設(shè)、管理����、運行的規(guī)范化和標(biāo)準(zhǔn)化����,我會起草了《證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引》��,現(xiàn)予以發(fā)布����。本辦法自發(fā)布之日起施行����。
附件:《證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引》
中國證券業(yè)協(xié)會
2015年3月13日
證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引
第一章 總則
第一條 為推動證券公司支付系統(tǒng)建設(shè)��、管理�����、運行的規(guī)范化和標(biāo)準(zhǔn)化��,依據(jù)《中華人民共和國證券法》��、中國人民銀行規(guī)章文件、中國證監(jiān)會規(guī)章文件和中國證券業(yè)協(xié)會自律規(guī)則的有關(guān)規(guī)定制定本技術(shù)指引。
第二條 本指引所指的支付系統(tǒng)����,是指各參與方支撐證券公司參與支付業(yè)務(wù)運行的網(wǎng)絡(luò)與信息系統(tǒng)。各參與方包括參與支付業(yè)務(wù)的證券公司����、支付服務(wù)機構(gòu)(包括行業(yè)支付服務(wù)機構(gòu)、第三方支付機構(gòu)����、商業(yè)銀行等)以及提供數(shù)據(jù)交換服務(wù)的機構(gòu)(以下簡稱為“中介服務(wù)機構(gòu)”)。
第三條 本指引中所提出的各項要求����,是支撐證券公司開展支付業(yè)務(wù)相關(guān)系統(tǒng)應(yīng)達(dá)到的基本要求。證券公司在參與支付業(yè)務(wù)時自建或所選用的相關(guān)合作方系統(tǒng)應(yīng)符合本指引規(guī)定的相關(guān)要求。
第四條 中國證券業(yè)協(xié)會(以下簡稱“協(xié)會”)依據(jù)本指引對參與支付業(yè)務(wù)的證券公司實施自律管理。
第二章 系統(tǒng)建設(shè)
第五條 支付系統(tǒng)建設(shè)應(yīng)遵循松耦合��、可擴(kuò)展�����、可靠性�����、安全性原則,應(yīng)充分利用行業(yè)信息化公共基礎(chǔ)設(shè)施實現(xiàn)資源的優(yōu)化配置����,系統(tǒng)功能應(yīng)滿足支付業(yè)務(wù)的相關(guān)業(yè)務(wù)需求����、內(nèi)控及監(jiān)管要求。
第六條 證券公司支付系統(tǒng)與其他各參與方的系統(tǒng)對接應(yīng)遵循總對總原則�����,聯(lián)接方式既可以采用直聯(lián),也可以通過相關(guān)中介服務(wù)機構(gòu)進(jìn)行聯(lián)接����。
第七條 支付系統(tǒng)數(shù)據(jù)交換接口定義應(yīng)科學(xué)規(guī)范����、統(tǒng)一標(biāo)準(zhǔn),并具有良好的可擴(kuò)展性��。在時機成熟時��,應(yīng)全面推廣使用行業(yè)標(biāo)準(zhǔn)數(shù)據(jù)交換接口��。
第八條 證券公司支付系統(tǒng)應(yīng)與其他各參與方之間至少建立兩條不同運營商或不同類型的通信線路��,各條通信線路之間互為備份,線路帶寬能夠滿足業(yè)務(wù)需要并留有冗余�����。
第九條 支付系統(tǒng)在進(jìn)行文件交換時,應(yīng)校驗文件的合法性�����、真實性和完整性��。
第十條 支付系統(tǒng)處理性能應(yīng)滿足業(yè)務(wù)開展的要求����,性能應(yīng)達(dá)到:支付類業(yè)務(wù)的處理能力大于每百萬客戶50 筆/秒;查詢類業(yè)務(wù)的處理能力大于每百萬客戶150 筆/秒;單筆業(yè)務(wù)最長處理時間小于20秒����。
第十一條 支付系統(tǒng)應(yīng)配備獨立的測試系統(tǒng)�����。測試規(guī)程應(yīng)包括單項測試��、聯(lián)合測試�����、系統(tǒng)備份及恢復(fù)等環(huán)節(jié)��。測試內(nèi)容應(yīng)包括業(yè)務(wù)流程測試、全覆蓋性的功能測試����、部署環(huán)境與運行模塊測試�����、壓力與性能測試等��。
第十二條 證券公司應(yīng)按照《證券市場交易結(jié)算資金監(jiān)控系統(tǒng)證券公司接口規(guī)范》以及中國證監(jiān)會的相關(guān)要求進(jìn)行系統(tǒng)建設(shè)和數(shù)據(jù)報送��。
第十三條 支付系統(tǒng)應(yīng)具備支付類交易��、清算的對賬與調(diào)賬機制��。
第三章 安全保障
第十四條 支付系統(tǒng)應(yīng)從系統(tǒng)安全性����、應(yīng)用安全性、物理安全性��、信息處理安全性����、網(wǎng)絡(luò)安全性、數(shù)據(jù)安全性等方面進(jìn)行安全風(fēng)險控制����。系統(tǒng)整體的安全防護(hù)能力應(yīng)不低于《證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)基本要求》二級技術(shù)要求。
第十五條 支付系統(tǒng)的備份建設(shè)應(yīng)按照《證券期貨經(jīng)營機構(gòu)信息系統(tǒng)備份能力標(biāo)準(zhǔn)》中實時系統(tǒng)的相關(guān)規(guī)定執(zhí)行��。
第十六條 證券公司應(yīng)合理劃分支付系統(tǒng)各子系統(tǒng)的安全域�����,在不同的系統(tǒng)安全域之間進(jìn)行有效隔離����,同時做好支付系統(tǒng)與外部系統(tǒng)��,如交易系統(tǒng)�����、賬戶系統(tǒng)�����、業(yè)務(wù)終端和網(wǎng)站后臺管理等系統(tǒng)的有效隔離�����。
第十七條 證券公司應(yīng)對支付系統(tǒng)做好病毒����、木馬和惡意代碼的防護(hù)措施,定期掃描系統(tǒng),及時升級系統(tǒng)補丁和病毒庫����,防范安全漏洞��。
第十八條 證券公司應(yīng)做好支付門戶網(wǎng)站的監(jiān)控與安全管理��。支付門戶網(wǎng)站應(yīng)具備防范SQL注入����、跨站腳本、網(wǎng)頁篡改��、Session欺騙、拒絕式服務(wù)攻擊和緩沖區(qū)溢出等攻擊的能力��。可定期聘請專業(yè)安全機構(gòu)對網(wǎng)站實施滲透測試��,對SQL注入�����、跨站腳本等WEB漏洞進(jìn)行檢測��。證券公司發(fā)現(xiàn)釣魚網(wǎng)站����,應(yīng)及時報告,并在其支付門戶網(wǎng)站醒目位置進(jìn)行風(fēng)險揭示�����。
第十九條 證券公司應(yīng)做好支付系統(tǒng)客戶端(含移動終端)的安全管理��,程序應(yīng)具備防木馬、防篡改����、防密碼竊取能力�����,前臺與后臺的通信應(yīng)采用加密機制����。
第二十條 證券公司應(yīng)做好支付網(wǎng)關(guān)與其他參與方網(wǎng)關(guān)間的連接互信認(rèn)證,應(yīng)采用數(shù)字證書對報文加密��、關(guān)鍵域簽名等方式保障數(shù)據(jù)傳輸?shù)陌踩浴?
第二十一條 支付系統(tǒng)應(yīng)采用數(shù)字證書��、動態(tài)口令��、短信密碼等身份認(rèn)證機制提高安全性��,防竊取、防篡改����。
第二十二條 證券公司應(yīng)加密存儲支付系統(tǒng)的關(guān)鍵數(shù)據(jù),保證傳輸過程中的數(shù)據(jù)完整性����。對數(shù)據(jù)庫的操作應(yīng)有日志留痕�����,應(yīng)定期備份數(shù)據(jù)以滿足恢復(fù)需要。支付交易數(shù)據(jù)應(yīng)至少保存20年����。
第二十三條 證券公司應(yīng)建立網(wǎng)絡(luò)防火墻隔離機制,對網(wǎng)絡(luò)外部邊界訪問策略進(jìn)行最小化管理并部署防火墻等安全設(shè)備��。支付網(wǎng)關(guān)對外應(yīng)關(guān)閉所有與業(yè)務(wù)和維護(hù)無關(guān)的服務(wù)及端口�����。
第二十四條 證券公司網(wǎng)絡(luò)與安全設(shè)備的訪問口令不能使用缺省口令及弱密碼�����,管理員密碼應(yīng)由指定人員設(shè)置并定期修改��。
第二十五條 證券公司應(yīng)做好支付相關(guān)系統(tǒng)網(wǎng)絡(luò)信息安全事件監(jiān)控工作�����,監(jiān)控工作應(yīng)至少包括以下內(nèi)容:能夠發(fā)現(xiàn)常見的網(wǎng)絡(luò)信息安全攻擊事件�����,并及時做好防范措施;能夠?qū)Πl(fā)生的網(wǎng)絡(luò)信息安全事件進(jìn)行有效控制�����、隔離與遏制,并及時做好應(yīng)急措施;能夠?qū)W(wǎng)絡(luò)信息安全態(tài)勢進(jìn)行準(zhǔn)確分析與預(yù)測����,不斷提高網(wǎng)絡(luò)信息安全事件監(jiān)控、預(yù)防����、應(yīng)急處置能力。
第四章 運維管理
第二十六條 證券公司應(yīng)建立與其他各參與方的技術(shù)溝通協(xié)調(diào)機制��,成立由各參與方共同組成的技術(shù)協(xié)調(diào)小組��,就系統(tǒng)重大變更�����、重大問題及安全情況進(jìn)行溝通、協(xié)調(diào)和通報����。
第二十七條 支付系統(tǒng)運營應(yīng)建立完備的系統(tǒng)監(jiān)控機制,將支付系統(tǒng)監(jiān)控納入證券公司信息系統(tǒng)統(tǒng)一監(jiān)控范圍的要求�����,對系統(tǒng)的運行環(huán)境��、運行狀況進(jìn)行實時監(jiān)控�����。監(jiān)控記錄應(yīng)至少保存一年�����。
第二十八條 證券公司應(yīng)建立支付系統(tǒng)的軟件升級�����、變更等流程規(guī)范�����,確保變更的請求發(fā)起、開發(fā)測試��、發(fā)布實施等工作規(guī)范開展�����。
第二十九條 證券公司應(yīng)安排專人負(fù)責(zé)支付系統(tǒng)測試�����。聯(lián)合測試時應(yīng)成立由各參與方信息技術(shù)管理及相關(guān)業(yè)務(wù)管理部門組成的聯(lián)合測試小組����,共同制定測試方案及預(yù)期測試結(jié)果,對測試結(jié)果進(jìn)行記錄�����、評估和確認(rèn)����。
第三十條 各參與方應(yīng)建立容量管理制度�����,實時監(jiān)測系統(tǒng)資源,定期分析評估系統(tǒng)容量�����,及時調(diào)整資源配置��。
第五章 應(yīng)急處置
第三十一條 證券公司應(yīng)建立跨行業(yè)的應(yīng)急處理組織體系�����,并制定相應(yīng)的應(yīng)急預(yù)案及應(yīng)急協(xié)調(diào)機制��。應(yīng)急預(yù)案應(yīng)納入行業(yè)的應(yīng)急預(yù)案體系��,并按照有關(guān)規(guī)定定期組織聯(lián)合演練��。
第三十二條 證券公司應(yīng)妥善處置支付系統(tǒng)發(fā)生的信息安全事件�����。任何一方出現(xiàn)預(yù)警信息或者發(fā)生信息安全事件時�����,應(yīng)按照《證券期貨業(yè)信息安全事件報告與調(diào)查處理辦法》中第三方存管系統(tǒng)相關(guān)要求及《證券期貨業(yè)網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》相關(guān)規(guī)定執(zhí)行。
第三十三條 各參與方應(yīng)建立資金交收應(yīng)急預(yù)案�����,避免出現(xiàn)因資金交收異常造成客戶資金出現(xiàn)缺口或擠占其他客戶資金的情況�����。
第六章 自律管理
第三十四條 協(xié)會應(yīng)對證券公司執(zhí)行本指引的情況組織定期或不定期的現(xiàn)場檢查或非現(xiàn)場檢查����。檢查內(nèi)容包括但不限于技術(shù)方案、系統(tǒng)部署��、測試報告�����、容量規(guī)劃����、運維流程、安全措施��、應(yīng)急預(yù)案�����。
第三十五條 證券公司應(yīng)配合協(xié)會進(jìn)行檢查��,不得以任何理由拒絕�����、拖延提供有關(guān)資料����,或者提供不真實、不準(zhǔn)確����、不完整的資料。
第七章 附則
第三十六條 本指引由協(xié)會負(fù)責(zé)解釋����。
第三十七條 本指引自發(fā)布之日起施行。
相關(guān)附件:
證券公司參與支付業(yè)務(wù)信息系統(tǒng)技術(shù)指引.doc
稅收法規(guī)
內(nèi)控政策
津公網(wǎng)安備12010202000755號