第十四条 支付系统应从系统安全性、应用安全性、物理安全性、信息处理安全性、网络安全性、数据安全性等方面进行安全风险控制。系统整体的安全防护能力应不低于《证券期货业信息系统安全等级保护基本要求》二级技术要求。
第十五条 支付系统的备份建设应按照《证券期货经营机构信息系统备份能力标准》中实时系统的相关规定执行。
第十六条 证券公司应合理划分支付系统各子系统的安全域,在不同的系统安全域之间进行有效隔离,同时做好支付系统与外部系统,如交易系统、账户系统、业务终端和网站后台管理等系统的有效隔离。
第十七条 证券公司应对支付系统做好病毒、木马和恶意代码的防护措施,定期扫描系统,及时升级系统补丁和病毒库,防范安全漏洞。
第十八条 证券公司应做好支付门户网站的监控与安全管理。支付门户网站应具备防范SQL注入、跨站脚本、网页篡改、Session欺骗、拒绝式服务攻击和缓冲区溢出等攻击的能力。可定期聘请专业安全机构对网站实施渗透测试,对SQL注入、跨站脚本等WEB漏洞进行检测。证券公司发现钓鱼网站,应及时报告,并在其支付门户网站醒目位置进行风险揭示。
第十九条 证券公司应做好支付系统客户端(含移动终端)的安全管理,程序应具备防木马、防篡改、防密码窃取能力,前台与后台的通信应采用加密机制。
第二十条 证券公司应做好支付网关与其他参与方网关间的连接互信认证,应采用数字证书对报文加密、关键域签名等方式保障数据传输的安全性。
第二十一条 支付系统应采用数字证书、动态口令、短信密码等身份认证机制提高安全性,防窃取、防篡改。
第二十二条 证券公司应加密存储支付系统的关键数据,保证传输过程中的数据完整性。对数据库的操作应有日志留痕,应定期备份数据以满足恢复需要。支付交易数据应至少保存20年。
第二十三条 证券公司应建立网络防火墙隔离机制,对网络外部边界访问策略进行最小化管理并部署防火墙等安全设备。支付网关对外应关闭所有与业务和维护无关的服务及端口。
第二十四条 证券公司网络与安全设备的访问口令不能使用缺省口令及弱密码,管理员密码应由指定人员设置并定期修改。
第二十五条 证券公司应做好支付相关系统网络信息安全事件监控工作,监控工作应至少包括以下内容:能够发现常见的网络信息安全攻击事件,并及时做好防范措施;能够对发生的网络信息安全事件进行有效控制、隔离与遏制,并及时做好应急措施;能够对网络信息安全态势进行准确分析与预测,不断提高网络信息安全事件监控、预防、应急处置能力。
