Q_500229,CKZY,002-2019网上银行服务质量标准

Q CKZY 重庆城口中银富登村镇银行有限公司企业标准 Q 500229 CKZY 002 2019 ICS 03 060 A 11 网上银行服务质量 Specification for Internet Banking Services 2019 07 20 发布 2020 01 01 实施 重庆城口中银富登村镇银行有限公司 发 布 Q 500229 CKZY 002 2019 I 目 录 前言 III 1 范围 1 2 规范性引用文件 1 3 术语及定语 2 4 目标 3 5 服务安全 3 5 1 安全技术规范 3 5 1 1 客户端安全 3 5 1 1 1 客户端环境 3 5 1 2 增强安全机制 3 5 1 3 网络通信安全 4 5 1 4 服务器端安全 4 5 1 4 1 网络安全 4 5 1 4 2 主机安全 4 5 1 4 3 应用安全 5 5 1 4 4 数据安全及备份恢复 5 5 1 5 与外部系统链接安全 6 5 2 安全管理规范 6 5 2 1 安全管理机构 6 5 2 1 1 管理架构 6 5 2 1 2 岗位要求 6 5 2 1 3 授权和审批 7 5 2 1 4 沟通与合作 7 5 2 1 5 审核与检查 7 5 2 2 安全策略 7 5 2 3 管理制度 8 5 2 4 人员安全管理 8 5 2 5 系统安全运维管理 8 5 2 5 1 恶意代码防范管理 9 5 2 5 2 变更管理 9 5 2 5 3 安全事件处置 9 5 2 6 业务连续性与灾难恢复 9 5 2 6 1 业务运行连续性 9 5 2 6 2 备份与恢复管理 10 5 2 6 3 安全事件与应急响应 10 5 3 业务运作安全 10 5 3 1 业务申请 10 5 3 2 业务安全交易机制 11 Q 500229 CKZY 002 2019 II 5 4 风险控制能力 12 6 服务功能 12 6 1 个人账户管理 12 6 1 1 账户信息查询 12 6 1 2 账户管理 12 6 2 个人结算 13 6 2 1 转账汇款 13 6 3 个人客户服务 13 6 4 对公账户管理 13 7 客户反馈 13 7 1 客户服务类型 13 7 1 1 投诉 13 7 1 2 表扬 13 7 1 3 建议 13 7 1 4 服务请求 13 7 2 客户反馈响应时间 13 8 组织保障 14 8 1 组织架构 14 8 2 规章制度 15 8 3 宣传 15 9 技术保障 15 9 1 系统监控 15 9 1 1 基础监控 15 9 2 运维管理 15 9 2 1 数据中心管理 15 9 2 2 值班管理 16 9 2 3 变更管理 16 9 2 4 机房设施 16 9 3 数据管理 16 10 社会效应 16 10 1 社会贡献 16 10 1 1 服务地域 16 10 1 2 服务规模 17 10 1 3 服务小微 三农 17 10 1 4 普惠金融 17 10 1 5 绿色环保 17 10 2 舆情评论 17 10 2 1 正面新闻及社会评论 17 10 2 2 舆情引导 17 Q 500229 CKZY 002 2019 III 前 言 标准按照GB T 1 1 2009给出的规则起草 本标准由重庆城口中银富登村镇银行有限公司提出 本标准由重庆城口中银富登村镇银行有限公司归口 本标准起草单位 重庆城口中银富登村镇银行有限公司 本标准主要起草人 陈绍钒 Q 500229 CKZY 002 2019 1 网上银行服务质量 1 范围 本标准规定了互联网金融之网上银行的服务质量要求 包括服务安全 服务功能 客户体验 组织 保障 技术保证 服务创新 社会效应 本标准适用于重庆城口中银富登村镇银行有限公司的网上银行服务的质量管控 2 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件 仅注日期的版本适用于本文件 凡是不注日期的引用文件 其最新版本 包括所有的修改单 适用于本文件 GB T 35273 2017 信息安全技术 个人信息安全规范 GB T 32315 2015 银行业客户服务中心基本要求 JR T 0071 2012 金融行业信息系统信息安全等级保护实施指引 JR T 0068 2012 网上银行系统信息安全通用规范 JR T 0131 2015 金融业信息系统机房动力规范 JR T 0132 2015 金融业信息系统机房动力系统测评规范 中银富登村镇银行信息科技风险管理策略 中银富登村镇银行集团信息安全总体策略 中银富登村镇银行数据库安全标准 中银富登村镇银行信息系统技术用户安全管理实施细则 中银富登村镇银行信息系统业务用户安全管理实施细则 中银富登村镇银行业务连续性管理办法 中银富登村镇银行客户反馈管理流程 中银富登村镇银行监控中心运营实施细则 中银富登村镇银行网上银行业务管理办法 中银富登村镇银行动态口令牌管理办法 中银富登村镇银行客户投诉管理制度 中银富登村镇银行客户信息安全保护管理办法 中银富登村镇银行安防监控中心管理办法 中银富登村镇银行密钥管理标准 中银富登村镇银行加密安全标准 中银富登村镇银行信息安全事件分类分级标准 中银富登村镇银行信息安全事件响应标准 中银富登村镇银行账号安全管理标准 中银富登村镇银行口令安全标准 中银富登村镇银行物理安全标准 中银富登村镇银行网络安全标准 中银富登村镇银行应用系统安全标准 中银富登村镇银行信息安全政策 Q 500229 CKZY 002 2019 2 中银富登村镇银行防火墙安全标准 中银富登村镇银行主机与系统安全标准 中银富登村镇银行存储介质管理标准 中银富登村镇银行备份及恢复管理标准 中银富登村镇银行重要信息系统突发事件应急管理办法 中银富登村镇银行信息科技外包管理标准 中银富登村镇银行员工信息安全标准 中银富登村镇银行生产数据安全标准 中银富登村镇银行技术风险管理政策 中银富登村镇银行新需求政策以及管理流程 中银富登村镇银行数据中心运维管理流程 中银富登村镇银行应用系统运维管理流程 中银富登村镇银行项目管理流程 3 术语及定语 JR T 0068 2012 JR T 0071 2012 GB T 35273 2017 GB T 32315 2015界定的以及下列术语和定 义适用于本标准 为了便于使用 以下重复列出了JR T 0068 2012 JR T 0071 2012 GB T 35273 2017 GB T 32315 2015中的某些术语和定义 3 1 网上银行 internet banking 网上银行是指客户通过互联网 利用中银富登村镇银行网上银行客户身份 将需求指令自主地提交 到中银富登村镇银行业务系统 实现查询 转账等业务功能的新型金融服务系统 根据使用对象的不同 分为个人网上银行和企业网上银行 3 2 要求 requirement 明示的 通常隐含的或必须履行的需求或期望 注1 通常隐含 是指组织和相关方的惯例或一般做法 所考虑的需求或期望是不言而喻的 注2 规定要求是经明示的要求 如 在成文信息中阐明 注3 特定要求可使用限定词表示 如 产品要求 质量管理要求 顾客 3 2 1 要求 质量要求 注4 要求可由不同的相关方或组织自己提出 3 3 风险 risk 不确定性的影响 注1 影响是指偏离预期 可以是正面的或负面的 注2 不确定性是一种对某个事件 或是事件的局部的结果或可能性缺乏理解或知识方面的信息的情形 注3 通常 风险是通过有关可能事件 GB T 23694 2013 中的定义 4 5 1 3 和后果 GB T 23694 2013 中的定 义 4 6 1 3 或两者的组合来描述其特性的 注4 通常 风险是以某个事件的后果 包括情况的变化 及其发生的可能性 GB T 23694 2013 中的定义 4 6 1 1 的组合来表述的 注5 风险 一词有时仅在有负面后果的可能性时使用 注6 GB T 19000 2016 定义 3 7 9 3 4 双向认证 mutual authenticatio Q 500229 CKZY 002 2019 3 客户端与服务端相互认证身份 3 5 数据中心 data center 指中银富登生产业务相关的服务器 存储 网络等各类软硬件设备所处的 配备了冗余供电 不间 断电源 UPS 机柜 防火防水设备 制冷设备 电信线路等基础设施的信息化机房 3 6 一类户 category accounts 通过传统银行柜面开立的 满足实名制所有严格要求的账户 属于全功能的银行结算账户 安全等 级最高 二类户 category accounts 通过传统银行柜面开立或线上渠道开立的 部分功能受限的账户 4 目标 网上银行是通过网络向其直接用户提供服务的信息系统 在实际提供服务时 应对其服务内容和服 务保障内容进行规范 以保证服务质量 5 服务安全 网上银行服务安全包括技术安全和安全管理等 5 1 安全技术规范 包括客户端安全 增强安全机制 网络通信安全 服务器端安全 与外部系统链接安全等方面 5 1 1 客户端安全 应采取有效技术措施保证客户端本地处理的敏感信息 客户端与服务器交互的重要信息的机密性和 完整性 有效保护客户端程序的真实性和完整性 以及敏感程序逻辑的机密性 客户端安全包括客户端程序以及客户端环境安全等 5 1 1 1 客户端环境 应采取有效措施检测 提升客户端环境安全级别 例如检测是否安装安全软件 手机是否被root 提供防钓鱼控件等 5 1 2 增强安全机制 应按不同安全机制分类规定增强安全机制的相关要求 保证自身的安全防护能力 并对其与其他设 备间通信的数据进行有效保护 定期升级现有的防护手段 修补漏洞 在短信验证码 多因素认证安全 登录方式 手势密码 生物识别 设备终端信息识别 认证方式 大额支付人工确认等方面的增强安全机制应达到下述要求 a 短信验证码 交易的关键信息应与短信验证码同步发送给客户 并提示客户确认 短信验证码随机产生 长度不应少于 6 位 短信验证码具有时效性 超过有效时间立即作废 基于终端特性采取有效措施防范恶意程序窃取 分析 篡改短信验证码 保证短信验证码 的机密性和完整性 b 多因素认证安全 Q 500229 CKZY 002 2019 4 支持设备将指纹技术 结合 SIM 卡 账号 APP 大数据 时间等多种因素生成用户唯一 的数字凭证 对交易信息进行高强度保护 交易过程中 在用户使用移动 APP 进行交易时 进行二次身份认证 检查是否是已绑定设 备 c 登录方式 支持密码登录 指纹登录 手势密码登录等多种方式 d 生物识别 在开户 修改密码等关键操作场景时 应支持生物识别 生物识别技术应符合本标准 9 2 1 的规定 e 手势密码 手势密码应设置最小长度 且设置手势密码需校验登录密码 手势密码校验有错误次数限制 超限后限制用户继续操作 5 1 3 网络通信安全 应使用强壮的加密算法和安全协议保护客户端与服务器之间 外部机构与服务器之间所有连接 保 证传输安全 报文完整性验证 数据加密传输 安全协议和算法以及不可抵赖性等 基本要求 a 通讯协议 接入 电信网络新型违法犯罪交易风险事件管理平台 实现对涉案账户快速冻结 紧急 止付的功能 配合司法机关打击电信诈骗行为 保障客户资金安全 使用安全加密算法 并使用安全的密钥长度 b 安全认证 客户端与服务器进行双向认证 通讯期间 经过认证的通讯线路应始终保持安全连接状态 确保客户获取的银行 Web 服务器的根证书真实有效 c 通讯链路 网上银行客户端和服务端之间的通讯 必须保证通信数据中的敏感信息被加密 客户端和服务端之间的通讯如经过第三方服务器时 应建立服务端和客户端之间的安全通 道 如专线 VPN TLS 等 避免信息被第三方获取或修改 通讯链路长时间未使用的情况下 支持自动中断通信链路 5 1 4 服务器端安全 5 1 4 1 网络安全 应符合JR 0068 2012 中6 1 4 2基本要求a b