GB/T 42015-2022 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
GB/T 42015-2022 信息安全技术 网络支付服务数据安全要求.pdf7.2App系统权限申请
网络支付服务App不应申请与App业务功能无关的系统权限,系统权限申请范围及使用要 时录D。
网络支付服务提供者收集个人信息告知同意应在遵守GB/T352732020中5.4、5.5、5.6的要求
基础上,遵守以下要求: a)收集用户金融账户、个人生物识别信息时,应当具有特定的目的和充分的必要性,应同步告知 用户处理目的NY/T 2856-2015 非自走式沼渣沼液抽排设备试验方法,并取得用户单独同意; b)不应将个人生物识别信息作为唯一的个人身份认证方式或支付方式,法律法规另有要求的除 外:不应频繁要求用户开通个人生物识别认证或支付功能。
网络支付服务提供者对用户个人信息的访问控制,应在遵守GB/T35273一2020中7.1的要求基 础上,遵守以下要求: a) 供提供者内部人员使用的业务系统,应对用户个人信息进行脱敏展示。因业务正常开展所需, 需要查看未经脱敏处理的个人信息时,应在展示界面中采用数字水印技术; b)应遵循最少够用、职责分离的原则,按照数据分级建立相应的数据访问控制措施和访问权限申
网络支付服务提供者对用户个人信息的访问控制,应在遵守GB/T35273一2020中7.1的要求基 础上,遵守以下要求: a 供提供者内部人员使用的业务系统,应对用户个人信息进行脱敏展示。因业务正常开展所需, 需要查看未经脱敏处理的个人信息时,应在展示界面中采用数字水印技术; b)应遵循最少够用、职责分离的原则,按照数据分级建立相应的数据访问控制措施和访问权限申
网络支付服务提供者应在遵守GB/T35273一2020中7.4、7.5、7.7的要求基础上,遵守以下要求: a)未经用户单独同意,不应对用户交易记录进行分析挖掘; b) 利用通过网络支付服务收集的个人信息进行自动化决策时应允许用户自主选择,并遵守以下 要求: 1 应提供不针对其个人特征的选项,或向个人提供便捷的拒绝方式; 2) 如通过自动化决策方式作出对个人权益有重大影响的决定,应对用户予以说明,并保障用 户拒绝仅通过自动化决策的方式作出决定的权利; 3) 应向用户提供针对自动化决策结果的便捷有效的投诉渠道; 应在涉及资金动账交易的自动化决策前,应向用户予以说明并取得用户单独同意; 5) 应在自动化决策功能的规划设计阶段或首次使用前开展个人信息保护影响评估,并依据 评估结果采取有效的保护措施。 依据交易记录进行账单分类时,不应对用户购买商品的明细内容进行分析,取得用户单独同意 的除外。
GB/T 420152022
支付服务公开用户数据,应遵守GB/T352732
网络支付服务提供者在保障个人信息主体权利方面,应在遵守GB/T35273一2020中第8章要求 为基础上,遵守以下要求: a) 应为用户提供便捷的查阅、复制、转移、更正、删除个人信息,以及撤回同意的功能; b) 应为用户提供查阅和删除交易记录的功能; C 应为用户提供便捷地撤回同意的渠道,包括但不限于撤回对免密支付、自动扣款、第三方收集 个人信息(如账号登录等)、系统权限等的授权; d 应向用户提供查询个人信息的方法,并对网络支付敏感信息提供取消展示的方法; 收集不满14周岁未成年人个人信息,应制定专门的个人信息处理规则,并取得未成年人的父 ? 母或者其他监护人的单独同意; 应为用户提供便捷的账号注销功能,提供注销提醒或注销协议,告知执行注销操作对用户可能 造成的影响,并在注销后及时对其个人信息进行删除或置名化处理。如确需设置注销条件,设 置的注销条件应在合理范围内,包括: 1)除用户账号存在未处理完毕的交易与纠纷(包括差错账、涉嫌欺诈、未完成投诉处理等)、
GB/T420152022
14网络支付服务典型场景数据安全要求
14.1通过生物特征实现支付、身份认证
网络支付服务提供者通过生物特征实现支付、身份认证等功能时,应遵守GB/T40660、 GB/T41819中规定的要求及其他生物特征识别信息安全相关国家标准的要求。 注:网络支付服务中,通过生物特征实现支付、身份认证等功能的常见场景包括但不限于在移动终端通过指纹或人 脸信息进行网络支付服务平台的登录验证,线上支付时通过指纹、人脸或声纹进行支付指令验证,线下消费时 通过人脸进行支付指令验证等。
在对账场景下,对网络支付服务提供者的要求如下: a)应建立访间控制机制,确保对账商户仅能访问与自身相关的对账数据; b)应对交易记录中的敏感个人信息字段进行脱敏或加密处理; c)应对对账操作进行定期审计
14.3.2风险控制建模
网络支付服务提供者进行风险控制建模的要求如下: a)·应采取密码技术对用于建模的数据(如训练数据)进行保护; b)进行模型训练时,如需使用用户数据,应在使用前对用户数据进行去标识化处理。
14.3.3联合风险控制
网络支付服务提供者进行联合风险控制的要求如下: a)应通过合同等方式规定参与联合风险控制各方的数据保护责任; b)应对需要提供给其他联合风险控制参与方的训练数据及训练过程数据进行加密处理
网络支付服务提供者进行联合风险控制的要求如下: a)应通过合同等方式规定参与联合风险控制各方的数据保护责任; b)应对需要提供给其他联合风险控制参与方的训练数据及训练过程数据进行加密处
A.1网络支付服务主要业务功能及数据处理活
附录A (资料性) 网络支付服务数据处理活动及安全风险
图A.1网络支付服务数据处理活动示意图
GB/T420152022
A.2网终支付服务数据安全风险
网络支付服务主要面临如下数据安全风险: a)在数据收集活动中,网络支付服务提供者过度收集用户数据,或过度索取移动App系统权限 的风险; b)不 在数据传输、存储活动中,网络支付服务提供者未采取有效安全措施导致数据遭受未经授权的 访问、泄露、复改、丢失的风险; C 在用户数据使用活动中,网络支付服务提供者未采取脱敏、身份鉴别或访问控制等安全措施导 致数据遭到未经授权的访问、泄露、篡改、丢失的风险; d) 网络支付服务提供者滥用用户数据开展自动化决策,或用自动化决策机制造成用户权益损 失的风险; e 网络支付服务提供者以接人第三方应用、嵌人第三方SDK或其他形式对外提供数据时,未经 用户授权或超范围提供数据,以及接收方无法提供充足安全保障措施、滥用用户数据等风险; 网络支付服务提供者以安全风险控制等为由扩大个人信息收集范围、未经用户授权或超出授 权范围加工和使用其个人信息等风险
网络支付服务主要面临如下数据安全风险: a) 在数据收集活动中,网络支付服务提供者过度收集用户数据,或过度索取移动App系统权限 的风险; b)不 在数据传输、存储活动中,网络支付服务提供者未采取有效安全措施导致数据遭受未经授权的 访问、泄露、复改、丢失的风险; C 在用户数据使用活动中,网络支付服务提供者未采取脱敏、身份鉴别或访问控制等安全措施导 致数据遭到未经授权的访问、泄露、篡改、丢失的风险; d) 网络支付服务提供者滥用用户数据开展自动化决策,或用自动化决策机制造成用户权益损 失的风险; e 网络支付服务提供者以接人第三方应用、嵌入第三方SDK或其他形式对外提供数据时,未经 用户授权或超范围提供数据,以及接收方无法提供充足安全保障措施、滥用用户数据等风险; 网络支付服务提供者以安全风险控制等为由扩大个人信息收集范围、未经用户授权或超出授 权范围加工和使用其个人信息等风险
网络支付服务常见扩展业务功能的个人信息收集范围如表C.1所示。
QGDW 11249-2014 10kV配电变压器选型技术原则和检测技术规范络支付服务常见扩展业务功能及其收集的必要个
付服务App相关系统权限申请范围及使用要求
络支付服务AndroidApp(Android11及以下版本)相关系统权限申请范围及使用要求见表D.1。
AndroidApp相关系统权限申请范围及使用要求
.2网络支付服务iOSApp(iOS14及以下版本)相关系统权限申请范围及使用要求见表D.2。
D.2iOSApp相关系统权限申请范围及使用要
注:上述权限主要针对网络支付服务常见业务功能提出。
QB/T 1374-2015 贝类罐头[1]GB/T31502一2015信息安全技未电子支付系统安全保护框架 [2]JR/T0171一2020个人金融信息保护技术规范 [3]JR/T0149一2016中国金融移动支付支付标记化技术规范 [4]非银行支付机构网络支付业务管理办法(中国人民银行公告【2015】第43号) 5】中国人民银行关于印发《条码支付业务规范(试行)》的通知(银发【2017]296号)