正   文

第三方机构入网测评

  

  背景介绍

  从事银联卡支付业务的第三方机构在开展业务时,需要将业务系统直接接入中国银联清结算网络,完成相关交易的清结算。为准确掌握第三方机构业务系统信息安全状况,有效发现、防范和及时处置相关安全风险,实现对第三方机构接入中国银联清结算网络的规范管理,2009年,中国银联编制发布了第三方机构接入银联的相关标准和管理办法。

  依据标准和管理办法,第三方机构必须在申请接入中国银联清结算网络时,委托具有测评资质的外部测评机构对接入中国银联清结算网络的业务系统进行入网测评。测评发现第三方机构系统安全状况达到相应要求时,由中国银联向第三方机构颁发入网技术安全资质,准予接入银联清结算网络。

  CFCA作为具有中国银联颁发的第三方机构入网测评资质的权威测评机构,根据标准和管理办法对第三方机构进行入网安全测评。截至目前,CFCA已完成此类项目20余个。

  ■测评依据

  •《第三方机构入网技术安全管理办法》

  •《第三方机构入网技术安全规范》 Q/CUP 062-2013

  •《第三方机构接入中国银联技术安全要求》

  ■适用对象

  测评主要面向第三方机构,具体包括:

  •银联卡传统受理领域和创新支付领域中提供商户拓展、受理终端布放和维护、交易接入、渠道接入等服务的机构;

  •获得中国人民银行支付牌照的非金融支付机构(仅限涉及银联卡的业务类型,预付卡业务系统一般无需接入银联,不涉及此类检测)。

  测评对象主要是第三方机构接入银联网络的业务系统。

  ■测评内容

  测评从第三方机构的管理安全、业务系统基础设施安全、支付信息安全三大方面展开。测评概要如下:

  1.管理安全

  ▶安全管理制度

  ▶安全管理机构

  ▶人员安全管理

  ▶系统建设管理

  ▶系统运维管理

  2.基础设施安全

  ▶基础环境

  ▶网络安全

  ▶主机系统

  ▶应用系统

  ▶数据安全

  3.支付信息安全

  ▶获取安全

  ▶传输安全

  ▶存储安全

  ▶处理安全

  ■测评工作流程  

第三方机构入网测评

  ■服务优势

  CFCA是经中国人民银行和国家信息安全管理机构批准成立的国家级权威安全认证机构,是我国重要的国家金融信息安全基础设施之一。

  在信息安全领域,CFCA是行业主管部门与监管部门的技术支撑力量,是国家计算机网络应急技术处理协调中心(CNCERT)网络安全应急服务支撑单位,是“网络犯罪与信息安全协同创新中心”的7家共建单位之一,是“中关村可信计算产业联盟”联盟副理事长单位,是“互联网金融支付安全联盟”成员单位,可第一时间把握国际国内最新的信息安全资讯及行业动态,熟悉金融行业的先进管理经验和最新的安全防护技术,能够为客户提供优质的信息安全服务。

  CFCA近年来累计实施包括国有商业银行、全国性股份制商业银行,证券业,保险业,政府机构,非金融支付机构,大型电商平台等在内的信息安全产品检测与信息系统安全评估测评项目二百余个,检测业务范围覆盖电子银行系统、第三方支付系统、银行卡收单系统、移动支付客户端、USB-Key产品、安全载体(金融IC)、嵌入式软件等多业务领域,深度理解各类支付业务流程和系统的各个环节,可有效发现问题并提供合理解决方案。

  CFCA主要信息安全技术人员多为信息安全领域从业8年以上的技术骨干,其中从业经历10年以上人员20人。上述人员具备包括第三方机构入网测评师、等级保护测评师、CISSP、CISA、CISP等国内、国际信息安全从业资质。CFCA信息安全技术人员能力全面,经验丰富,服务专业,能够为客户提供优质的信息安全服务,保障业务系统安全,促进业务持续发展。

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888