个人金融信息保护技术规范样本Word文档下载推荐.docx
- 文档编号:15010635
- 上传时间:2022-10-26
- 格式:DOCX
- 页数:22
- 大小:32.18KB
个人金融信息保护技术规范样本Word文档下载推荐.docx
《个人金融信息保护技术规范样本Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《个人金融信息保护技术规范样本Word文档下载推荐.docx(22页珍藏版)》请在冰豆网上搜索。
GB/T35273-信息安全技术个人信息安全规范
JR/T0068-网上银行系统信息安全通用规范
JR/T0071金融行业信息系统信息安全级别保护实行指引
JR/T0092-移动金融客户端应用软件安全管理规范
JR/T0149-中华人民共和国金融移动支付支付标记化技术规范
JR/T0167-云计算技术金融应用规范安全技术规定
3术语和定义
GB/T25069-,GB/T35273-界定以及下列术语和定义合用于本文献。
3.1金融业机构financialindustryinstitutions
本原则中金融业机构是指由国家金融管理部门监督管理持牌金融机构,以及涉及个人金融信息解决有关机构。
3.2个人金融信息personalfinancialinformation
金融业机构通过提供金融产品和服务或者其她渠道获取、加工和保存个人信息。
注1:
本原则中个人金融信息涉及账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其她反映特定个人某些状况信息。
注2:
改写GB/T35273-,定义3.1
3.3支付敏感信息paymentsensitiveinformation
支付信息中涉及支付主体隐私和身份辨认重要信息。
注:
支付敏感信息涉及但不限于银行卡磁道数据或芯片等效信息,卡片验证码、卡片有效期、银行卡密码、网络付交易密码等用于支付鉴权个人金融信息。
3.4个人金融信息主体personalfinancialinformationsubject
个人金融信息所标记自然人。
改写GB/T35273-,定义3.3。
3.5个人金融信息控制者personalfinancialinformationcontroller
有权决定个人金融信息解决目、方式等机构。
改写GB/T35273-,定义3.4。
3.6收集collect
获得个人金融信息控制权行为。
收集行为涉及由个人金融信息主体积极提供、通过与个人金融信息主体交互或记录个人金融信息主体行为等自动采集行为,以及通过共享、转让、收集公开信息等间接获取个人金融信息等行为。
如金融产品或服务提供者提供工具供个人金融信息主体使用,提供者不对个人金融信息进行访问,则不属于本原则所称收集。
例如手机银行客户端应用软件在终端获取顾客指纹特性信息用于本地鉴权后,指纹特性信息不回传至提供者,则不属于顾客指纹特性信息收集行为。
注3:
改写GB/T35273-,定义3.5。
3.7公开披露publicdisclosure
向社会或不特定群体发布信息行为。
[GB/T35273-,定义3.10]
3.8转让transferofcontrol
将个人金融信息控制权由一种控制者向另一种控制者转移过程。
改写GB/T35273-,定义3.1。
3.9共享sharing
个人金融信息控制者向其她控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权过程。
改写GB/T35273-,定义3.12。
3.10个人金融信息安全影响评估personalfinancialinformationsecurityimpactassessment
针对个人金融信息解决活动,检查其合法合规限度,判断其对个人金融信息主体合法权益导致损害各种风险,以及评估用于保护个人金融信息主体各项办法有效性过程。
3.11支付账号paymentaccount
具备金融交易功能银行账户、非银行支付机构支付账户及银行卡卡号。
改写JR/T0149-,定义3.1。
3.12支付标记paymenttoken(Token)
作为支付账号等原始交易要素代替值,用于完毕特定场景支付交易。
CJR/T0149-,定义3.2。
3.13磁道数据trackdata
一磁、二磁和三磁定义必备或可选数据元
磁道数据可以在物理卡磁条上,也可以被包括在集成电路或者其她媒介上。
[JR/T0061-],定义3.20。
3.14卡片验证码cardverificationnumber;
CVN
对磁条信息合法性进行验证代码。
[JR/T0061-,定义8.7。
3.15卡片验证码2cardverificationnumber2;
CVN2
在邮购或电话订购等非面对面交易中对银行卡卡片合法性进行验证代码。
[CJR/T0061-,定义8.8]
3.16动态口令one-time-password(OTP),dynamicpassword
基于时间、事件等方式动态生成一次性口令。
[CM/20001-,定义2.15]
3.17短信动态密码SMsdynamiccode
短信验证码SMScode
后台系统以手机短信形式发送到顾客绑定手机上随机数,顾客通过回答该随机数进行身份认证。
[JR/T0088.1-,定义2.41]
3.18客户法定名称customer'slegalname
在法律上承认客户名称,
客户法定名称普通记录在国家授权部门颁发给客户证件上,本原则客户重要指自然人客户。
改写GB/T31186.2-,定义3.2。
3.19证件辨认标记legaldiscriminationID
由国家法定有权部门颁发,可以唯一拟定客户且具备法律效力标记。
证件类辨认标记是外源性数据。
外源性数据意味着数据使用者不是数据所有者,数据在产生、变更、废止后也许不为数据使用者所知悉。
本原则使用者因自身业务需求而产生内部证件类标记,不应在使用者外部使用,也不具备法律效力。
改写GB/T31186.3-,定义3.2。
3.20XX查看unauthorizedreading
未得到信息所有者或有权授权人授权对信息查看。
XX查看也许是善意,也也许是恶意:
信息解决者无意泄露XX查看为信息泄露事件;
袭击者通过使有关安全办法无效办法故意获取XX查看为信息窃取事件。
非法查看是对XX查看一种不严谨但在特定语境下并无二义性提法。
3.21XX变更unauthorizedaltering
未得到信息所有者或有权授权人授权对信息变更。
XX变更典型地分为XX增长(即增长全新内容)、XX更改(即修改既有内容)或XX删除(即删除原有内容)三种状况,也也许是三种状况组合。
XX变更也许是善意,也也许是恶意;
往往体现为信息篡改事件、信息假冒事件、信息丢失事件等。
非法变更是对XX变更一种不严谨但在特定语境下并无二义性提法。
3.22明示批准explicitconsent
个人金融信息主体通过书面声明或积极作出必定性动作,对其个人金融信息进行特定解决作出明确授权行为。
必定性动作涉及个人金融信息主体积极作出声明(电子或纸质形式)、积极勾选、积极点击“批准”“注册”“发送”“拨打”、积极填写或提供等。
改写GB/T35273-,定义3.6
3.23匿名化anonymization
通过对个人金融信息技术解决,使得个人金融信息主体无法被辨认,且解决后信息不能被复原过程。
个人金融信息经匿名化解决后所得信息不属于个人金融信息。
改写GB/T35273-,定义3.13。
3.24去标记化de-identification
通过对个人金融信息技术解决,使其在不借助额外信息状况下,无法辨认个人金融信息主体过程。
去标记化仍建立在个体基本之上,保存了个体颗粒度,采用假名、加密、加盐哈希函数等技术手段代替对个人金融信息标记。
改写GB/T35273-,定义3.14。
3.25删除delete
在金融产品和服务所涉及系统中去除个人金融信息行为,使其保持不可被检索、访问状态。
改写GB/T35273-,定义3.9。
4个人金融信息概述
4.1个人金融信息内容
个人金融信息涉及账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其她反映特定个人金融信息主体某些状况信息,详细如下:
a)账户信息指账户及账户有关信息,涉及但不限于支付账号、银行卡磁道数据(或芯片等效信息)银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生支付标记信息等。
b)鉴别信息指用于验证主体与否具备访问或使用权限信息,涉及但不限于银行卡密码、预付卡支付密码:
个人金融信息主体登录密码、账户查询密码、交易密码;
卡片验证码(CVN和CVN2),动态口令、短信验证码、密码提示问题答案等。
c)金融交易信息指个人金融信息主体在交易过程中产生各类信息,涉及但不限于交易金额、支付记录、透支记录、交易日记、交易凭证;
证券委托、成交、持仓信息;
保单信息、理赔信息等。
d)个人身份信息指个人基本信息、个人生物辨认信息等。
·
个人基本信息涉及但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入状况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集照片、音视频等信息;
个人生物辨认信息涉及但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特性样本数据、特性值与模板。
e)财产信息指金融业机构在提供金融产品和服务过程中,收集或生成个人金融信息主体财产信息,涉及但不限于个人收入状况、拥有不动产状况、拥有车辆状况、纳税额、公积金存缴金额等。
f)借贷信息指个人金融信息主体在金融业机构发生借贷业务产生信息,涉及但不限于信、信用卡和贷款发放及还款、担保状况等。
g)其她信息:
对原始数据进行解决、分析形成,可以反映特定个人某些状况信息,涉及但不限于特定个人金融信息主体消费意愿、支付习惯和其她衍生信息:
在提供金融产品与服务过程中获取、保存其她个人信息。
4.2个人金融信息类别
依照信息遭到XX查看或XX变更后所产生影响和危害,将个人金融信息按敏感限度从高到低分为C3,C2,C1三个类别。
详细如下:
a)C3类别信息重要为顾客鉴别信息。
该类信息一旦遭到XX查看或XX变更会对个人金融信息主体信息安全与财产安全导致严重危害,涉及但不限于:
银行卡磁道数据(或芯片等效信息)、卡片验证码(CVN和CVN2)、卡片有效期、银行卡密码、网络支付交易密码:
账户(涉及但不限于支付账号、证券账户、保险账户)登录密码、交易密码、查询密码:
用于顾客鉴别个人生物辨认信息
b)C2类别信息重要为可辨认特定个人金融信息主体身份与金融状况个人金融信息,以及用于金融产品与服务核心信息。
该类信息一旦遭到XX查看或XX变更,会对个人金融信息主体信息安全与财产安全导致一定危害,涉及但不限于:
支付账号及其等效信息,如支付账号、证件类辨认标记与证件信息(身份证、护照等)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 个人 金融 信息 保护 技术规范 样本