概述

目前参与的工作涉及的支付行业的信息安全合规，对于支付行业参与过的合规工作做了一个简单的梳理，主要有以下部分：

认证及标准简介

银联入网检测

 规定了第三方机构接入中国银联强制性安全要求和指导性安全要求，同时规定了第三方机构接入中国银联的申请审批和日常管理流程。第三方机构在接入中国银联前必须达到，如不满足，银联可限制第三方机构业务开展的种类、范围等，甚至拒绝第三方机构接入中国银联。其中的指导性安全要求，用于指导第三方机构采取相关安全措施，降低自身信息系统和给银联卡业务带来的安全风险。

银联卡支付信息安全合规

银联卡支付信息安全合规评估，是指适用《银联卡支付信息安全管理标准》（银联风管委[2018]3号）的机构通过聘请中国银联风险管理委员会授权的银联卡支付信息安全合规评估机构，履行合规义务，以确认符合《银联卡支付信息安全管理标准》要求的过程。中国银联风险管理委员会作为我国专门负责银行卡信息保护的专门组织，于2008年发布《银联卡收单机构账户信息安全管理标准》（银联风管委[2008]1号），简称“ADSS”，明确和细化对收单业务各参与方在账户信息安全管理方面的要求，防范由收单网络引发的账户信息泄露风险。根据普惠金融及移动支付的深度发展，相应新业务带来新的风险特征，结合上位法要求及个人信息保护相关内容，经过多次标准复审和修订，当前现行有效的相应标准是《银联卡支付信息安全管理标准》（银联风管委[2018]3号），该标准简称“UPDSS”。

网络安全等级保护

国内安全行业做的做多的一个安全标准，也在网络安全法中有明确要求。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。是国家信息安全保障工作的基本制度、基本国策；开展信息安全工作的基本方法；促进信息化、维护国家信息安全的根本保障。
网络安全法制度要求：《中华人民共和国网络安全法》：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。 目前实行的是等级保护2.0标准，与1.0时代的区别主要是等保2.0控制措施的分类结构调整，表现为“一个中心、三重防护”。其中技术部分调整为：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理部分调整为：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。同时等保2.0由一个单独的基本要求演变为通用安全要求+新技术安全扩展要求，针对云计算、移动互联、物联网和工业控制系统提出了特殊要求，称为安全扩展要求。其中：
云计算安全扩展要求包括“基础设施的位置”、“虚拟化安全保护”、“镜像和快照保护”、“云服务商选择”和“云计算环境管理”等。
移动互联安全扩展要求包括“无线接入点的地理位置”、“移动终端管控”、“移动应用管控”、“移动应用软件采购”和“移动应用软件开发”等。
物联网安全扩展要求包括“感知节点的物理保护”、“感知节点设备安全”、“感知网关节点设备安全”、“感知节点的管理”和“数据融合处理”等。
工业控制系统安全扩展要求包括“室外控制设备防护”、“工业控制系统网络架构安全”、“拨号使用控制”、“无线使用控制”和“控制设备安全”等。
一般做等保项目的各方关系如下：

非银行支付机构支付业务设施认证

   非银认证是通过对非银行支付机构支付业务设施进行检测、审查等活动，评定其与非银行支付机构支付业务设施认证依据的符合性，对符合要求的机构颁发证书。随着人民银行监管要求的调整，根据新版标准的要求，非银认证不断改进和完善，及时增加了条码支付、机房物理安全、个人信息保护等方面内容。主要认证依据为：
（1）JR/T 0122-2018 非银行支付机构支付业务设施技术要求；
（2）JR/T 0123-2018 非银行支付机构支付业务设施检测规范；
（3）《非银行支付机构支付业务设施技术认证实施规则》V2.1；
（4）适用的法律法规及其他要求。

金融科技产品认证（客户端软件为例）

    为贯彻国务院《关于加强质量认证体系建设 促进全面质量管理的意见》（国发〔2018〕3号）精神，落实国家认证认可监督管理委员会、中国人民银行《关于开展支付技术产品认证工作的实施意见》（国认证联〔2017〕91号）和《关于加强支付技术产品标准实施与安全管理的通知》（银发〔2017〕208号）要求，更好满足金融行业发展与监管需要，市场监管总局、人民银行决定将支付技术产品认证扩展为金融科技产品认证，并确定了《金融科技产品认证目录（第一批）》，制定了《金融科技产品认证规则》。第一批目录包括客户端软件、安全芯片、嵌入式应用、可信应用程序、声纹识别系统、云计算平台等。

其中最常见的客户端软件 是指在移动终端上为用户提供金融交易服务的应用软件，包括但不限于可执行文件、组件等。认证依据为：
JR/T 0092 移动金融客户端应用软件安全管理规范
JR/T 0098.3 中国金融移动支付 检测规范 第三部分：客户端软件
T/PCAC 0006 条码支付移动客户端软件检测规范（适用时）

国推金融云计算平台认证

  社会化的云服务安全故障时有发生，直接影响其上系统运行。近年来，金融云等团体云服务的兴起与发展，将金融系统集中部署、数据集中处理，在提升资源利用效率的同时，也加剧了金融风险的集聚性。金融云故障极易导致金融系统大规模业务中断和数据泄露，甚至威胁国家金融安全。云计算平台认证对金融行业使用的云服务设施的技术架构、安全、容灾等能力进行检测、认证活动，以评定其安全性与标准符合性。适用于为金融行业提供私有云和团体云服务的云服务设施，认证对象为金融领域的云服务提供者及云服务使用者等。
 认证依据
JR/T 0166-2020《云计算技术金融应用规范 技术架构》
JR/T 0167-2020 《云计算技术金融应用规范 安全技术要求》
JR/T 0168-2020 《云计算技术金融应用规范 容灾》

ISO27000系列

  ISO/IEC 27000 系列标准 （又名ISO/IEC 27000 标准系列，及“信息安全管理系统标准族”，简称“ISO27K”） 是由国际标准化组织（ISO）及国际电工委员会（IEC）联合定制。该标准系列由最佳实践所得并提出对于信息安全管理的建议，并在信息安全管理系统领域中的风险及相关管控。目前，在信息安全管理体系方面，ISO/IEC27000信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO 27000体系三年一重审，一年一复审。

PCI-DSS

PCI组织主要负责维护四类标准和认证业务。其中：
PCI DSS是针对系统和账户信息安全的，适用于收单机构、专业化服务公司以及一些大型商户。
PCI PA-DSS：支付应用数据安全标准,主要针对于“作为授权或结算的一部分，存储、处理或传输持卡人数据，并出售、分发或许可给第三方的机构”。
P2PE标准：主要是为银行卡产品中需要进行加密的环节提供技术解决方案。P2PE标准主要包括：加密、解密和密钥管理等几部分。
PCI PTS：针对PIN输入设备，也就是各类受理设备，适用于各类终端厂商

GDPR

   GDPR是 General Data Protection Regulation 的缩写，即通用数据保护条例。是欧盟议会和欧盟理事会在 2016 年 4 月通过，在 2018 年 5 月开始强制实施的规定。GDPR 意义在于推动强制执行隐私条例，规定了企业在对用户的数据收集、存储、保护和使用时新的标准；另一方面，对于自身的数据，也给予了用户更大处理权。GDPR规定，任何存储或处理欧盟国家内有关欧盟公民个人信息的公司，即使在欧盟境内没有业务存在，也必须遵守GDPR。具体如下：
在欧盟境内拥有业务；
在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息；
超过250名员工；
少于250名员工，但是其数据处理方式影响数据主体的权利和隐私，或是包含某些类型的敏感个人数据。

CCPA

   美国加州政府于2018年6月28日快速通过了《消费者隐私保护法案（California Consumer Protection Act）》（以下简称CCPA）。CCPA旨在加强消费者隐私权和数据安全保护，被认为是美国国内当前最严格的消费者数据隐私保护立法，将于2020年1月1日正式生效。该法案适用于在加州组织或经营的、业务内容涉及收集及/或处理消费者个人信息的企业，且满足如下一个或多个条件：1) 年收入超过2500万美元；2)为商业目的，每年单独或组合购买、收取、出售或共享50000人或更多消费者、家庭或设备的个人信息；3)其年收入中不少于50%的部分是通过销售消费者的个人信息所获得。该法案也适用于控制或受符合上述标准的企业控制且同该等企业共享品牌的任何组织，故而这一规定将对特许经营企业和子公司产生广泛的影响。（注：CCPA下所指消费者系“加州永久居民”）