ISO20000-1:2011信息安全管理体系标准认证
薪福通
全方位银行级安全保障为您护航
ISO20000-1:2011信息安全管理体系标准认证
通过公安部信息安全等保三级测评
支持专线,物理网络接入杜绝黑客攻击
- 资质认证
- 交易安全
- 数据安全
- 隐私保护
- 服务保障
符合银行级软件要求的安全资质
-
ISO20000认证
ISO20000是针对信息技术服务管理领域的国际标准。招商银行基于ISO/IEC20000-1:2011建立的完善的信息技术服务管理体系,已获得权威机构认证。 -
等保三级
薪福通平台通过了公安部信息安全等保三级测评,能满足绝大部分行业的安全需求。按《网络安全法》履行了应尽的安全责任。
我们如何保证您的交易安全
-
鉴权体系
人脸识别和密码校验双重识别,保障高风险交易安全。部分重要的业务请求, 使用了高强度的非对称加密算法对每一笔交易进行数字签名,可以彻底杜绝非法交易, 并可以确保交易的不可抵赖性。 -
密码安全
采用了改进的高强度一次一密机制来保存和传输密码,整个链路全密文传输,而且传送的值每次登录都会改变。 该机制可以有效防止网络侦听认证协议或伪冒骗取密码,也可以防止管理员盗取用户密码。 -
通讯安全
在客户端和服务器之间传输的所有数据都经过了两层加密:第一层采用标准SSL协议,密钥长度为2048位,该协议能够有效地防破译、防篡改、防重发; 第二层采用私有的加密协议,密钥长度为2048位,该协议不采用公开算法并且有非常高的加密强度。 因为有可靠的数据传输安全控制,并且传输的是数据而不是程序,任何病毒不可能侵入系统。 -
交易安全
每一笔交易必须由一位有权限的用户发起交易请求, 由另一位用户复核才能交易。管理员可以给不同机构设置不同的岗位,每一位用户都可以独立设置岗位数据权限。 -
全方位监控体系
基于招商银行自研的北斗链路追踪和异常捕获系统,实现代码级的性能监控与跟踪。 多渠道告警机制,确保管理员第一时间收到告警信息并及时响应。 -
算法加密
使用国产密码算法对报文和数据进行加密解密和签名验签,并且会定期更新算法。
我们如何保证您的数据安全
-
数据保密
有效的加密处理机制及租户隔离机制确保您的数据不会被包括招商银行内部员工在内的其他人看到。 基于TLS1.2/1.3的加密数据传输,保证系统数据在传输过程中不会被窃取。 -
产品安全漏洞监测
通过第三方权威安全平台的数万名白帽子对产品进行安全测试,从外部视角监测安全漏洞。 内部执行全生命周期的安全开发流程(包括安全架构评审、安全编码规范、安全测试、安全运维等)避免带着漏洞上线。 -
内部安全管理
基于ISO20000等安全标准的要求构建起完善的信息技术服务管理体系和信息安全技术体系; 开发、运维和DBA各司其责,没有职责交叉;运维过程全流程日志记录,确保所有操作可审计。 -
灾难恢复与数据备份
招商银行服务器采用群集负载均衡和数据热备份,数据中心为同城多点多活架构,当某个中心服务区故障,可自动切换到正常的服务中心,保证服务高可用性。
我们如何保证您的隐私
-
数据隐私除非取得用户授权或法律法规另有规定外,招商银行会将用户个人信息做匿名化、去标识化处理;招商银行会采取合理可行的措施,尽力避免收集与使用目的无关的用户数据和网页权限;招商银行对于用户数据的访问进行了严格的权限控制和审。 -
数据处理数据主体(如用户)可以访问、更正和删除自己的信息;招商银行不会将用户数据转让或共享给任何第三方公司、组织或个人;在用户选择终止服务时,招商银行会在符合当地法律法规的前提下,根据用户的意愿,保留或永久删除用户数据。
我们能给你提供的服务保障
-
防火墙
薪福通平台处在多层防火墙保护之中,对系统的所有访问都要通过防火墙, 对于黑客恶意攻击行为,防火墙起到第一层保护作用。 -
安全等级的划分
Web服务器、应用服务器和数据库服务器分置在不同级别的安全区内, 不同安全区之间使用防火墙隔开,核心业务服务器和数据库服务器被严密保护。 -
系统监控
系统对登录、系统管理和业务操作等均有日志记录,日志保存在服务器上, 通过日志可对异常和非法行为进行追溯。 系统的监控服务器可对系统运行进行实时监控,当出现异常时,管理员可及时发现和处理。 -
运行管理
招商银行机房是最高级的国标T4级(白金级认证)数据中心,对应数据中心的可用性99.995%,年平均故障时间0.4小时。
大规模集群部署实现灵活的水平扩展。招商银行制定了非常严格的运行管理制度,运维人员具有非常丰富的管理经验,可以确保系统7x24安全稳定运行。
薪福通平台能达到银行级的安全运行级别,支持100万+用户同时使用,页面首屏加载时间不超过3秒,确保用户体验。 -
防黑客攻击
一个交易的发生是依赖多方面、多环节的安全因素控制,缺少任何一个因素都无法完成交易,所以黑客是不可能窃取或伪造交易数据的。
招商银行的系统经过了国家相关安全部门的严格评审,具有非常高的防黑客入侵的能力。
