路径: 主页 > GB/T > 第207页 > GB/T 42015-2022 | 标准编号 | GB/T 42015-2022 (GB/T42015-2022) | | 中文名称 | 信息安全技术 网络支付服务数据安全要求 | | 英文名称 | Information security technology - Data security requirements for internet payment services | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 18,168 | | 发布日期 | 2022-10-12 | | 实施日期 | 2023-05-01 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 42015-2022
Information security technology - Data security requirements for internet payment services
ICS 35.030
CCSL80
中华人民共和国国家标准
信息安全技术 网络支付服务数据
安全要求
paymentservices
2022-10-12发布
2023-05-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 2
5.1 网络支付服务业务组成 2
5.2 网络支付服务数据范围 2
6 基本要求 3
7 数据收集 3
7.1 收集个人信息 3
7.2 App系统权限申请 3
7.3 告知同意 3
8 数据存储和传输 4
9 数据使用和加工 4
9.1 数据展示 4
9.2 数据访问 4
9.3 数据加工 5
10 数据提供和公开 5
10.1 数据提供 5
10.2 数据公开 6
11 数据删除 6
12 数据出境 6
13 个人信息主体权利 6
14 网络支付服务典型场景数据安全要求 7
14.1 通过生物特征实现支付、身份认证 7
14.2 对账 7
14.3 支付风险控制 7
14.4 支付口令安全 8
附录A(资料性) 网络支付服务数据处理活动及安全风险 9
附录B(资料性) 网络支付服务重要数据识别参考规则及数据分类示例 11
附录C(资料性) 网络支付服务常见扩展业务功能的个人信息收集范围及使用要求 12
附录D(资料性) 网络支付服务App相关系统权限申请范围及使用要求 13
参考文献 14
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:蚂蚁科技集团股份有限公司、中国电子技术标准化研究院、清华大学、中国网络安
全审查技术与认证中心、国家计算机网络应急技术处理协调中心、中电长城网际系统应用有限公司、
天翼电子商务有限公司、北京快手科技有限公司、马上消费金融股份有限公司、北京三快在线科技有限
公司、北京小米移动软件有限公司、苏宁易购集团股份有限公司、中国信息通信研究院、北京字节跳动科
技有限公司、北京小桔科技有限公司、深圳市腾讯计算机系统有限公司、中国移动通信集团有限公司、京
东科技控股股份有限公司、浙江大学。
本文件主要起草人:彭晋、上官晓丽、徐羽佳、王昕、白晓媛、胡影、周晨炜、落红卫、金涛、魏立茹、
李东南、李海英、李洁、宋铮、舒敏、王文磊、闵京华、张娜、刘源、焦伟、孟小楠、赵新强、黄馨蓓、甘俊杰、
蔡一鸣、于浩洋、李昳婧、王宇晓、宋文娣、冷杉、黄著馨、张秉晟、曹京、郑新雅、宋建、蒋尉、邱勤、胡铁、
武杨、蒋增增、蒋芳婕、李根。
信息安全技术 网络支付服务数据
安全要求
1 范围
本文件规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的
安全要求。
本文件适用于网络支付服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络支
付服务数据处理活动进行监督、管理、评估提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
GB/T 37988 信息安全技术 数据安全能力成熟度模型
GB/T 39335 信息安全技术 个人信息安全影响评估指南
GB/T 40660 信息安全技术 生物特征识别信息保护基本要求
GB/T 41391-2022 信息安全技术 移动互联网应用(App)收集个人信息基本规范
GB/T 41479 信息安全技术 网络数据处理安全规范
GB/T 41819 信息安全技术 人脸识别数据安全要求
3 术语和定义
GB/T 25069和GB/T 35273-2020界定的以及下列术语和定义适用于本文件。
3.1
收款方或付款方通过计算机、移动终端等电子设备,依托互联网远程传输支付指令完成......
|