本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。
本文件代替T/PCAC 0001—2016《个人信息保护技术指引》,T/PCAC 0001—2016相比,除结构调整和编辑性改动外,主要技术变化如下:
——更改标准范围为个人支付信息,并给出个人支付信息的分类(见6.1);——提出了个人支付信息安全框架(见8);
———明确了支付业务主体开展个人支付信息保护时的基本范围(见9);——针对性提出不同角色的支付业务主体的基本要求(见10);——提出了从业机构的管理要求(见11);——提出了从业机构的人员要求(见12);——提出了从业机构的系统要求(见13);
——针对不同场景提出了个人信息保护的典型要求(见14)。本文件由中国支付清算协会提出。
本文件由中国支付清算协会安全与技术标准专业委员会归口。
本文件起草单位:中国支付清算协会、北京国家金融科技认证中心有限公司、中金金融认证中心有限公司、北京银联金卡科技有限公司、北京软件产品质量检测检验中心、网银在线(北京)科技有限公司、财付通、通联支付、中国银联股份有限公司、网联清算有限公司、Visa、中国工商银行、浙江大学滨江研究院。
本文件主要起草人:陈波、潘松、左泽华、侯玉华、相海飞、高展、张海燕、李振、李博文、郭大圣、张健、李作全、马鸣、于柳嬌、张大健、王波、王宏铭、姚乾、郑峥、李宇、王威、张鹏、翟耀超、高卓、邵晓博、吴永强、程虎、蒋增增、石常蕴、王维、赵刚、陈俊、邹元、崔凌、杜志琴、韩蒙。本文件及其所替代文件的历次版本发布情况为:
——2016年首次发布为T/PCAC 0001—2016,本次为第1次修订。
为进一步规范个人支付信息处理活动,本指引结合支付业务的参与主体和业务特点,在符合国家及行业监管要求,遵循GB/T 35273、JR/T 0171等标准规范的基础上,提出了支付信息保护整体框架,细化了支付业务中个人信息的处理要求和相关机构的能力要求,为参与支付业务的机构提供指导。
1范围
本规范给出了个人支付信息的范围定义,提出了个人支付信息保护的基本原则、安全框架、安全保护范围、业务主体及主要义务、组织建设、人员管理、终端和业务系统安全等内容,并针对不同业务场景提出了典型的保护要求。
本规范用于指导本协会会员单位信息系统处理个人支付信息的服务与活动。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 35273—2020信息安全技术个人信息安全规范
GB/T 41391—2022信息安全技术移动互联网应用程序(App)收集个人信息基本要求JR/T 0171—2020个人金融信息保护技术规范JR/T 0197—2020金融数据安全数据安全分级指南T/PCAC 0003—2018银行卡销售点(POS)终端检测规范T/PCAC 0005—2019条码支付受理终端检测规范
3术语和定义
GB/T 35273—2020及JR/T 0171—2020界定的以及下列术语和定义适用于本文件。
3.1个人信息personal information
以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[GB/T 35273—2020,定义3.1]
3.2个人支付信息personal payment information
在支付服务过程中获取、加工和保存的个人信息。
3.3支付业务主体payment service institution
从事支付业务、处理个人支付信息的服务机构,包含收单机构、账户机构、清算机构和其它相关机构。
3.4个人支付信息环境personal payment information envirorment
个人支付信息环境由以下部分组成:
·存储、处理或传输个人支付信息的系统组件、人员和流程;
·可能不存储、处理或传输个人支付信息的系统组件,但它们可以不受限制地连接到那些存储、处理或传输个人支付信息的系统组件。
3.5系统组件system components
包含在或连接到个人支付信息数据环境或可能影响个人支付信息数据环境安全的任何网络设备、服务器、计算设备或应用程序。
4缩略语
CVN( Card Verification Number)/ CVN2( Card Verification Number 2)卡片验证码SIEM( Security Information and Event Management)安全信息和事件管理NTP( Network Time Protocol)网络时间协议DNS(Domain Name System)域名系统
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)
