安全规范

安全漏扫

*第三方提供的服务必须经过漏洞扫描安全测试,确保没有高危漏洞及严重影响系统安全的中低危漏洞。

敏感信息

*敏感信息指用户的身份证、银行卡号、手机号等身份信息,第三方服务页面必须针对敏感信息完成脱敏处理。

脱敏规则:

(1)身份证:显示前6位+*(实际位数)+后4位,如: 140107********0719

(2)银行卡:显示前6位+*(实际位数)+后 4 位,如:622575******1496

(3)手机号:显示前3位+****+后 4 位,如:137****9050

(4)脱敏的逻辑必须在服务端完成,不能使用 Javascript 在客户端进行脱敏,包括代码注释、隐藏域、url 参数、cookies 等处的数据也必须脱敏。

(5)请使用 AES128 对称加密算法进行加密后传输,并且不能将解密密钥传输给用户端。

用户信息

*因第三方服务存在获取平台用户信息的需求,因此第三方需要十分明确获取用户信息的范围,包括用户手机号、用户实名信息、用户人脸信息、用户银行卡信息四个级别,用户在访问第三方服务前平台首先要获取用户同意授权,第三方应严格遵守平台的《用户协议》《隐私协议》《认证服务协议》关于用户信息管理条款,第三方对于收集到的用户信息应妥善管理,不得泄露。

单点认证方式

*晋办来平台现在采用的验证方式为令牌验证,为了保障平台服务和数据安全。(1)第三方服务生厂商调用平台用户接口中所使用的令牌会过期,因此平台每次发送给第三方服务的令牌只可使用一.次。(2)第三方调用平台用户接口只能后端调用,禁止前端调用,并且向平台提供服务所在服务器出口IP,平台设置白名单。(3)采用双向加密+数字验签的方式保证数据传输安全。