適用範圍
1、銀聯網路內從事銀聯卡收單業務的收單機構;
2、向銀聯卡收單機構提供收單專業化服務的機構;
3、銀聯卡收單特約商戶;
對於上述機構,只要業務涉及銀行卡主賬戶(卡號)的處理、傳輸、或存儲,均適用本標準。
主要內容
1、總則:標準目的、適用範圍
2、基本要求:相關機構對於銀行卡信息和持卡人資料的使用、存儲的保護要求
3、政策制定:要求相關構按本標準建立賬戶信息安全管理體系
4、組織管理:要求相關機構設立相關崗位、明確崗位職責、細化人員管理
5、訪問控制:對許可權管理、身份驗證、賬戶密碼管理、系統登錄控制、遠程訪問控制、無線和行動網路訪問控制、用戶配置檔案管理、日誌管理、物理訪問控制的要求
6、賬戶信息生命周期安全管理:對賬戶信息加密、秘鑰管理、賬戶信息的傳輸、使用、存儲與備份,以及賬戶信息的銷毀的要求
7、系統及網路安全管理:對網路及防火牆管理、設備安全管理、防病毒管理、系統補丁管理、系統安全檢查、安全開發流程、變更管理、Web安全管理、安全配置管理的要求
8、銀聯卡受理終端及支付套用軟體安全管理:對各類受理終端、支付套用軟體及其外掛程式的安全要求
認證機構
銀聯收單網路的相關參與方需通過基於ADSS標準要求的合規評估,方可確保其處理銀聯卡交易的安全水平。目前經中國銀聯風險管理委員會授權能夠開展合規評估業務的機構包括:銀行卡檢測中心、中金金融認證中心有限公司(CFCA)、北京神州綠盟信息安全科技股份有限公司(綠盟科技)、甫瀚諮詢(上海)有限公司。
評估機構
已通過ADSS合規評估的機構包括但不限於以下機構及商戶(目前處於有效期內):
銀聯商務有限公司
拉卡拉支付公司
天翼電子商務有限公司
上海匯付數據服務有限公司
深圳市壹卡會科技服務有限公司
北京和融通科技有限公司
上海捷銀信息技術有限公司
銀聯智策顧問(上海)有限公司
銀聯智慧信息服務(上海)有限公司
湖南步步高集團
麥當勞中國