证券公司参与支付业务信息系统技术指引思维导图

失落感

2023-03-03

浏览量: 0

证券公司

参与

支付

业务

信息系统

技术

指引

互联网金融法

互联网金融法律法规

中证协修订了证券公司网上证券信息系统技术指引。修订后的指引第五十四条明确指出证券公司不得向第三方运营的客户端提供网上证券服务端与证券交易相关的接口。证券公司发布网上证券客户端应当通过公司网站或者授权的第三方渠道进行。树图网为您一一介绍。

树图思维导图提供《证券公司参与支付业务信息系统技术指引》在线思维导图免费制作，点击“编辑”按钮，可对《证券公司参与支付业务信息系统技术指引》进行在线思维导图编辑，本思维导图属于思维导图模板主题，文件编号是：66a7aefd7c1aa8f3abf7fa000f330aa2

思维导图大纲

第一章总则

第一条为推动证券公司支付系统建设、管理、运行的规范化和标准化，依据《中华人民共和国证券法》、中国人民银行规章文件、中国证监会规章文件和中国证券业协会自律规则的有关规定制定本技术指引。

第二条本指引所指的支付系统，是指各参与方支撑证券公司参与支付业务运行的网络与信息系统。各参与方包括参与支付业务的证券公司、支付服务机构（包括行业支付服务机构、第三方支付机构、商业银行等）以及提供数据交换服务的机构（以下简称为“中介服务机构”）。

第三条本指引中所提出的各项要求，是支撑证券公司开展支付业务相关系统应达到的基本要求。证券公司在参与支付业务时自建或所选用的相关合作方系统应符合本指引规定的相关要求。

第四条中国证券业协会（以下简称“协会”）依据本指引对参与支付业务的证券公司实施自律管理。

第二章系统建设

第五条支付系统建设应遵循松耦合、可扩展、可靠性、安全性原则，应充分利用行业信息化公共基础设施实现资源的优化配置，系统功能应满足支付业务的相关业务需求、内控及监管要求。

第六条证券公司支付系统与其他各参与方的系统对接应遵循总对总原则，联接方式既可以采用直联，也可以通过相关中介服务机构进行联接。

第七条支付系统数据交换接口定义应科学规范、统一标准，并具有良好的可扩展性。在时机成熟时，应全面推广使用行业标准数据交换接口。

第八条证券公司支付系统应与其他各参与方之间至少建立两条不同运营商或不同类型的通信线路，各条通信线路之间互为备份，线路带宽能够满足业务需要并留有冗余。

第九条支付系统在进行文件交换时，应校验文件的合法性、真实性和完整性。

第十条支付系统处理性能应满足业务开展的要求，性能应达到：支付类业务的处理能力大于每百万客户50 笔/秒；查询类业务的处理能力大于每百万客户150 笔/秒；单笔业务最长处理时间小于20秒。

第十一条支付系统应配备独立的测试系统。测试规程应包括单项测试、联合测试、系统备份及恢复等环节。测试内容应包括业务流程测试、全覆盖性的功能测试、部署环境与运行模块测试、压力与性能测试等。

第十二条证券公司应按照《证券市场交易结算资金监控系统证券公司接口规范》以及中国证监会的相关要求进行系统建设和数据报送。

第十三条支付系统应具备支付类交易、清算的对账与调账机制。

第三章安全保障

第十四条支付系统应从系统安全性、应用安全性、物理安全性、信息处理安全性、网络安全性、数据安全性等方面进行安全风险控制。系统整体的安全防护能力应不低于《证券期货业信息系统安全等级保护基本要求》二级技术要求。

第十五条支付系统的备份建设应按照《证券期货经营机构信息系统备份能力标准》中实时系统的相关规定执行。

第十六条证券公司应合理划分支付系统各子系统的安全域，在不同的系统安全域之间进行有效隔离，同时做好支付系统与外部系统，如交易系统、账户系统、业务终端和网站后台管理等系统的有效隔离。

第十七条证券公司应对支付系统做好病毒、木马和恶意代码的防护措施，定期扫描系统，及时升级系统补丁和病毒库，防范安全漏洞。

第十八条证券公司应做好支付门户网站的监控与安全管理。支付门户网站应具备防范SQL注入、跨站脚本、网页篡改、Session欺骗、拒绝式服务攻击和缓冲区溢出等攻击的能力。可定期聘请专业安全机构对网站实施渗透测试，对SQL注入、跨站脚本等WEB漏洞进行检测。证券公司发现钓鱼网站，应及时报告，并在其支付门户网站醒目位置进行风险揭示。

第十九条证券公司应做好支付系统客户端（含移动终端）的安全管理，程序应具备防木马、防篡改、防密码窃取能力，前台与后台的通信应采用加密机制。

第二十条证券公司应做好支付网关与其他参与方网关间的连接互信认证，应采用数字证书对报文加密、关键域签名等方式保障数据传输的安全性。

第二十一条支付系统应采用数字证书、动态口令、短信密码等身份认证机制提高安全性，防窃取、防篡改。

第二十二条证券公司应加密存储支付系统的关键数据，保证传输过程中的数据完整性。对数据库的操作应有日志留痕，应定期备份数据以满足恢复需要。支付交易数据应至少保存20年。

第二十三条证券公司应建立网络防火墙隔离机制，对网络外部边界访问策略进行最小化管理并部署防火墙等安全设备。支付网关对外应关闭所有与业务和维护无关的服务及端口。

第二十四条证券公司网络与安全设备的访问口令不能使用缺省口令及弱密码，管理员密码应由指定人员设置并定期修改。

第二十五条证券公司应做好支付相关系统网络信息安全事件监控工作，监控工作应至少包括以下内容：能够发现常见的网络信息安全攻击事件，并及时做好防范措施；能够对发生的网络信息安全事件进行有效控制、隔离与遏制，并及时做好应急措施；能够对网络信息安全态势进行准确分析与预测，不断提高网络信息安全事件监控、预防、应急处置能力。