安全中心>安全策略

安全策略

1.网络及系统安全 a.用户认证安全 畅捷支付采用具有广泛适用性的电子邮件作为用户认证的登录账号。在保证用户账号唯一性、随机性的同时,方便用户接受各交易环节的交易通知。该账号适用于用户将来通过畅捷支付平台完成任何类型业务的交易认证。在用户登录畅捷支付进行账号认证的过程中,畅捷支付已为用户设计了以下安全保护措施,以加强用户认证力度同时防止用户认证信息的外泄:
· 登录问候语的启用,有效防止钓鱼网站的欺骗;
· 两个安全问题的使用,进一步加强用户账户的安全性;
· 用户登录错误时不返回详细的错误类型,防止他人对用户账号及密码的反复尝试猜测;
· 用户登录状态不允许记忆,防止用户账号及密码因他人使用同台电脑被盗取;
b. 网络交易安全 · 在用户网络交易过程中,畅捷支付已为用户设计了以下安全保护措施,以防止用户数据在交易和网络传输过程中被窃听和截取:
· 交易信息以非明文方式传输和存储,防止交易数据在传输和存储过程中的窃听和盗取;
· 会话令牌随机生成,足够复杂并且长度在128位以上。会话令牌使用安全的传送方式,以防止黑客攻击;
· 畅捷支付所有产品在设计及开发过程上均参考网银安全和OWASP的相关安全建议进行了安全保护。
c. 信息存储安全 · 在用户信息的存储过程中,畅捷支付已为用户设计了以下安全保护措施,以防止用户信息在存储过程中的窃取:
· 完善的物理、网络、数据库、系统访问安全控制已被启用,防止外部入侵者各层面的攻击及数据窃取;
· 数据加密技术已启用,即使外部入侵者获取用户数据,数据也不可读。
· 文件完整性校验监控控制已建立,以确保用户信息的篡改被及时发现。
d. 实时异动监控 系统运营及风控两大监控中心全年7*24小时专人监控系统运行状况,监控内容包括:用户应用异常、用户交易异常、入侵检测、已知攻击检测、传输过程中数据窜改、峰值异常、网络异常等。同时,一旦监控中心发现任何异动,完备的应急预案将迅速被启动,以保障用户交易顺畅及用户账户安全可靠。
2.商户安全管理 a. 严格的商户准入标准 为了维护普通消费者利益,畅捷支付对想要加入畅捷支付的商户有着严格的签约标准:
· 所有商户签约时均须向畅捷支付递交包括组织营业执照、组织机构代码在内的15项审核材料,由畅捷支付的风险控制专家根据既定的标准流程对商户的资质信用进行审核 验证。
· 对于不同行业的商户,畅捷支付已规定了相应的最少注册年限、最低注册资本的准入标准。只有达到该标准的商户,方有机会成为畅捷支付的签约商户。
· 畅捷支付风险控制部门已成立了正式的商户资质复查小组,不定期对已签约商户的经营规模、资信水平进行抽样复核,如发现商户任何违规或涉嫌违规操作,立时取消签约资格。
b.完善的防钓鱼安全体系 钓鱼网站指的是那些通过仿冒真实商户的网站地址或页面显示内容,骗取消费者进行消费操作,以此窃取消费者用户账号密码或银行账号密码的非法网站。畅捷支付在所有签约商户交易门户均设立了完善的防钓鱼安全措施,以帮助消费者尽快识别钓鱼网站,保障消费者账号密码等重要信息的安全。
c. 实时的反洗钱监控机制 畅捷支付已根据中国人民银行公布的《支付机构反洗钱和反恐怖融资管理办法》中的相关要求,建立了正式的反洗钱内部控制制度,对商户身份识别、身份资料和交易记录保存、可疑交易报告、反洗钱融资调查等环节进行了明确规范。同时,畅捷支付已启用了反洗钱可疑交易监控系统,对商户可疑交易进行实时监控,防止商户通过畅捷支付进行任何非法交易。