银联卡支付信息安全合规评估简介

1 银联卡支付信息安全合规评估概况及适用范围

1.1 什么是银联卡支付信息安全合规评估

银联卡支付信息安全合规评估，是指适用《银联卡支付信息安全管理标准》（银联风管委[2018]3号）的机构通过聘请中国银联风险管理委员会授权的银联卡支付信息安全合规评估机构，履行合规义务，以确认符合《银联卡支付信息安全管理标准》要求的过程。

在央行领导下，中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织，于2008年发布《银联卡收单机构账户信息安全管理标准》（银联风管委[2008]1号），简称“ADSS”，以此为有力抓手，明确和细化对收单业务各参与方在账户信息安全管理方面的要求，防范由收单网络引发的账户信息泄露风险。根据普惠金融及移动支付的深度发展，相应新业务带来新的风险特征，结合上位法要求及个人信息保护相关内容，经过多次标准复审和修订，当前现行有效的相应标准是《银联卡支付信息安全管理标准》（银联风管委[2018]3号），该标准简称“UPDSS”。

1.2 UPDSS适用范围

根据UPDSS要求，只要机构的业务过程涉及银联卡卡号采集、传输、处理、存储任一环节，该机构即适用UPDSS。

当前适用UPDSS的典型机构类型主要分为：

a) 银联卡发卡机构

目前境内银联卡发卡机构主要是发卡银行。

b) 涉及银联卡交易的银行卡清算机构

c) 从事银联卡支付业务的收单机构

收单机构包含收单行、非银行收单机构（指具有人民银行颁发的银行卡收单业务许可的机构），业务类型主要涵盖线下收单业务。

d) 基于银联卡的支付账户发行方

基于银联卡的支付账户发行方是指具有人民银行颁发的网络支付业务许可的机构。一般该类机构基于持卡人的银联卡进行多渠道实名认证后，为持卡人开立虚拟支付账户。持卡人基于该虚拟支付账户可进行充值、提现、转账、订单支付等业务办理。

e) 银联卡收单特约商户

银联卡收单特约商户主要是指由收单机构提供收单服务的特约商户，一般也包括直连银联的商户；业务形态上看，包括线下布放有相应POS机具的商户以及通过互联网进行订单生成、申请支付的线上商户。

f) 向银联卡收单机构提供收单专业化服务的机构

g) 聚合支付服务商

h) 涉及银联卡业务的其他参与方

2 评估主要过程

评估主要过程分为商务活动阶段、调研及入场准备阶段、现场实施阶段、整改复测阶段、报告出具阶段。具体如图1所示。

图1 评估主要过程

商务活动阶段主要包含商务洽谈，明确评估范围、工作总体流程，签署商务合同等。

调研及入场准备阶段，向被评估机构发放《银联卡支付信息安全合规评估调研表》，明确告知被评估机构入场前应准备的工作，同时通过此调研表收集被评估机构的基本软硬件信息和业务开展情况等，了解被评估机构目前银联卡业务的安全管理概况，初步识别其在开展银联卡业务中可能存在的风险点，同时为后续各阶段的工作提供基础数据与资料。

现场实施阶段主要包含项目启动会议、文档审核、人员访谈、技术检查、穿行测试、问题分析、末次会议沟通确认等工作。在末次会议中，项目组将与被评估机构进行问题沟通确认，逐一说明问题并指出其安全风险及整改建议。同时，双方就离场后续工作进行沟通确认。

整改复测阶段，被评估机构对评估发现的问题进行整改后，评估人员将对整改完成的有效性进行复测确认，确认整改有效、已符合支付信息安全合规评估标准要求，项目组进行报告的编写。

项目组完成报告编写后，进入报告的审核环节，以确保评估记录描述客观准确，与评估结论相一致等。审核通过后，评估机构将进行正式生效报告及UPDSS证书的制作，并将打印盖章后的报告及UPDSS证书交付被评估机构。

3 评估依据及主要工作内容

3.1评估依据

a) 主要依据：

《银联卡支付信息安全管理标准》（银联风管委2018[3]号）

b) 参考依据：

《银行卡磁条信息格式和使用规范》（GB/T 19584—2010）

《银联卡账户信息与交易数据安全管理规则》（银联风管委[2016]1号）

3.2 评估主要工作内容

目前银联卡支付信息保护的标准依据主要是UPDSS，UPDSS从8个控制域，236个控制措施进行明确要求。其中，8个控制域主要是：

a) 基本要求；

b) 安全管理策略；

c) 组织管理；

d) 支付信息访问控制；

e) 支付信息生命周期安全；

f) 业务设施安全；

g) 受理终端及支付应用软件安全；

h) 持续改进。

在“基本要求”中，明确UPDSS保护的核心对象，即“支付信息”，且对支付信息进行明确定义和分类。目前支付信息明确定义为“银联卡上记录的账户信息、基于银联卡开展支付业务的网络支付账户信息、身份鉴别信息、支付业务涉及的必要个人信息和其他支付相关信息。”，细分为敏感支付信息、重要支付信息、一般支付信息。

在“安全管理策略”和“组织管理”中，主要从内部安全制度建立和运行、内部组织机构和岗位设置等方面进行管理安全的要求和控制。

在“支付信息访问控制”中，主要包含访问控制要求、远程访问控制、无线和移动网络访问控制、用户配置文件管理、日志管理、日志审计、数据库访问控制等内容，逐一进行评估。

“支付信息生命周期安全管理”中，包括支付信息采集、支付信息传输、支付信息存储、支付信息使用、支付信息销毁、密钥安全管理等内容。

“支付业务设施安全管理”中，包括网络和通信安全、设备和计算安全、应用安全、运维安全等内容。

“受理终端及支付应用软件安全管理”包括POS、mPOS等受理终端安全管理，手机端APP等支付应用软件安全管理。

“持续改进”方面，主要是对相关安全管理文档、内部审计情况等进行评估，确保被评估机构持续改进内部安全管理。

以上8个控制域，236个控制措施，比较充分覆盖当前银联卡业务中上下游参与方各类业务形态及信息安全主要风险点。在被评估机构符合相应合规要求后，评估机构将出具一年期有效的UPDSS评估报告及证书。

4 结语

本文主要从UPDSS评估的适用范围、主要工作过程和工作内容等进行简述，以对标准适用机构、支付数据安全研究者、相关从业者等提供参考。如有不妥之处，欢迎通过留言或电子邮件等方式予以批评指正。

王贺刚，信息安全领域工作经验丰富，精通我国金融领域信息安全监管要求（网络安全等级保护、电子银行安全评估指引、支付信息安全标准等），在支付产业数据安全管理和实践等方面有较深入的理解。作者通信邮箱：hgwang@cfca.com.cn。

声明：本文来自中金网安，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。