中国现代化支付系统运行管理办法的第五章 安全管理
发布网友
发布时间:2023-04-23 19:53
共1个回答
热心网友
时间:2023-10-10 03:04
第二十八条 支付系统所有用户应当严格权限管理,增设用户和变更业务参数等操作应当遵循“双签制”原则。
第二十九条 支付系统岗位应当遵循以下原则进行设置:
(一)系统管理员、系统维护员禁止兼任业务主管或操作员;
(二)业务主管禁止兼任操作员。
第三十条 操作人员在接到用户标识后,应当立即登录系统,修改用户口令,用户口令仅限本人使用,不得外泄;操作人员禁止使用未经修改的口令进行业务操作。用户口令应当具有一定的复杂性,至少每季度更换一次。操作人员遗忘口令时,应当立即报告业务主管,由业务主管通知系统管理员重新设定,业务主管应记录备查。
一个用户标识只能分配给一个操作人员,一个操作人员只能拥有唯一的用户标识。
第三十一条 操作人员应当在规定权限内操作,禁止与业务无关的操作;操作人员离开操作岗位时,应退出登录。
第三十二条 城市处理中心和直接参与者在第一次登录支付系统后,应立即更换登录识别信息。识别信息应采用不易破解的字符串,并定期更换。
第三十三条 支付系统密押设备由清算总中心统一定制配发,由国家处理中心、城市处理中心和直接参与者指定专人配置、维护和保管。
第三十四条 支付系统全国押密钥由中国人民银行业务主管部门负责管理;地方押密钥由中国人民银行当地分支行业务主管部门负责管理。
国家处理中心根据中国人民银行业务主管部门的授权制作、分发全国押密钥卡;城市处理中心根据中国人民银行当地分支行业务主管部门的授权制作、分发地方押密钥卡。
全国押密钥卡和地方押密钥卡由业务主管设置和保管。
第三十五条 国家处理中心、城市处理中心和直接参与者应当妥善保管密押设备和密钥卡。如有丢失,应当及时报告中国人民银行业务主管部门。
第三十六条 支付系统与其他业务系统的网络连接,应当采取防火墙等必要的技术隔离保护措施实现与互联网的物理隔离。
第三十七条 支付系统病毒防范处理应当符合中国人民银行的规定,在支付系统上安装病毒处理程序,及时升级杀毒程序;对外来数据应当进行病毒检测;定期查毒,发现病毒立即处理,并逐级报备。
第三十八条 禁止在生产和备份设备上进行开发和培训、使用非系统专用的存储介质和安装与系统运行无关的软件。
第三十九条 禁止泄漏计算机系统和网络系统的参数、配置信息和参与者的支付交易、账户信息。
系统设备因故障需外送维修时,应当删除系统设备存储的数据。
第四十条 国家处理中心、城市处理中心和直接参与者特殊情况下需要对后台业务数据进行变更操作时,须经业务主管部门授权并经本单位主管领导批准后,由至少两名系统维护员共同实施,详细记录;事后由业务主管及时核对业务数据,并向业务主管部门和本单位主管领导报告。
